教你配置Linux操作系统安全管理服务

Inetd

一个用于Linux后台程序管理的“superdaemon”是众所周知的inetd，它是个用于服务管理的命令行工具。终止服务很简单：首先，作为根用户用文本编辑器打开/etc/inetd.conf文件。接下来，找到文件中需要终止的服务。最后，在服务所在行的最前面添加#符号(其他还有“尖顶符”和“英镑符”)，如下所示。“注释掉”这一行，因此inted以后都不会启动这一服务。

编辑之前服务登录可能是下面这样：

ident stream tcp wait identd /usr/sbin/identd identd

停止之后，服务登录变成下面这个样子：

# ident stream tcp wait identd /usr/sbin/identd identd

如果正在卸载被登录参考的后台程序，可以删除文件中的某些行——是否通过包管理器进行卸载或删除执行文件卸载(对于上面的例子是/usr/sbin/identd文件)。

编辑/etc/inetd.conf文件之后，保存它，inetd以后则可以使用更改。编辑和保存一旦完成，可以在根部输入下面的命令使更改即时生效：

kill -HUP `pidofinetd`

使用修改(保存)后的配置文件会导致inetd重启。

Xinetd

另外一个称为xinetd的superdaemon比inetd更新颖更复杂，能完成更多的功能。但是对于关闭服务来说，他们的使用方法相似。

使用xinetd时，必须在/etc/xinetd.conf文件中添加一行关闭服务。如果只想简单的删除服务，必须删除好几行代码而不是一行。找到想要关闭的服务所在的那一块，在块的后面添加“disable = yes”这一行，或者删除整个块。例如，如果关闭telnet服务，需要像下面这样做。(这里的省略号代表了块的其他内容)

　　service telnet  

　　{  

　　. . .  

　　disable = yes  

　　}

在某些系统中，对于某些服务，服务配置并不在/etc/xinetd.conf文件中。例如，像telnet这样的服务有可能在文件/etc/xinetd.d/telnet中，改变其服务配置方法与它在/etc/xinetd.conf文件中的方法是一样的。

编辑保存了/etc/xinetd.conf文件后或者更改了服务文件后，可以输入下面的命令让修改即时生效：

kill -USR2 `pidofxinetd`

这将通知xinetd程序，使用更改后的配置。

Xinetd除了关闭或移除服务配置之外，还可以用于控制远程主机登录服务。这将通过几个机制完成：

可以为服务指定一个允许的主机。例如：可以通过在服务配置文件中添加only_from = 192.168.0.101这一行限制主机登录telnet服务。尽管使用了词语“only”，但是它只能限制主机的数目，而不仅仅只一台主机。也可以使用部分地址指定完整的网络。例如：可以使用“only_from = 192.168.0.to”表示本地Class C的任何主机都能访问这个服务。

可以在配置文件中为某个服务指定禁止的主机。例如：可以在配置文件中添加“no_access = 192.168.0.102”这一行禁止这个主机远程访问telnet服务。这个也可以使用多次而且也可以使用部分地址指定多个主机。万一某个主机满足only_from和no_access两个限制，则会权衡确定其访问权限。如果xinetd不能确定哪个限制能被应用，则系统默认更安全的选项——服务不会开启。

超越服务管理

对于安全的远程服务访问，还有更多的事情可以做。应该恰当配置防火墙保护服务免受攻击。代理服务器、通过网关服务器端口推进以及网络地址转移都能有效减少服务攻击的风险。针对安全使用，那些用于登录正在运行的服务工具也应进行配置，例如，如果使用安全shell进行远程连接而没有使用X Server时，在SSH中调低X forwarding是很重要的。直接进行安全管理是保证Linux系统安全的重要部分，但是它也只是全面安全计划的一部分。