日本免费全黄少妇一区二区三区-高清无码一区二区三区四区-欧美中文字幕日韩在线观看-国产福利诱惑在线网站-国产中文字幕一区在线-亚洲欧美精品日韩一区-久久国产精品国产精品国产-国产精久久久久久一区二区三区-欧美亚洲国产精品久久久久

  1. 首頁 > 云知道 > >

76 FreeBSD連載:設置基本系統(tǒng)( 六 )

云知道


## $Id: inetd.conf,v 1.30 1998/09/30 16:12:40 wosch Exp $## Internet server configuration database## @(#)inetd.conf 5.4 (Berkeley) 6/30/90#ftp stream tcp nowait root /usr/libexec/ftpd ftpd -ltelnet stream tcp nowait root /usr/libexec/telnetd telnetdshell stream tcp nowait root /usr/libexec/rshd rshdlogin stream tcp nowait root /usr/libexec/rlogind rlogindfinger stream tcp nowait/3/10 nobody /usr/libexec/fingerd fingerd -s#exec stream tcp nowait root /usr/libexec/rexecd rexecd#uucpd stream tcp nowait root /usr/libexec/uucpd uucpd#nntp stream tcp nowait usenet /usr/libexec/nntpd nntpdcomsat dgram udp wait root /usr/libexec/comsat comsatntalk dgram udp wait root /usr/libexec/ntalkd ntalkd這個文件中的每一行對應一個服務程序 。為了增強系統(tǒng)安全,建議除了必要的服務,如telnetd、ftpd之外,其他比如rshd、rlogind等r命令服務程序,fingerd等守護進程都應該加以注釋 。telnet和ftp也應該與S/key等認證方式相結合,來保證口令的安全性 。除非需要,不要提供匿名ftp服務 。
當使用rlogin,rsh等r命令的時候,/etc/hosts.equiv文件和用戶個人目錄下的.rhosts文件中的設置將對系統(tǒng)安全有嚴重的影響 。
如果要求更安全的系統(tǒng),甚至可以屏蔽inetd,不使用inetd來提供任何服務,通過其他安全途徑來完成遠程訪問FreeBSD 。要屏蔽inetd,需要在rc.conf中改變inetd_enable變量的值為NO 。即使使用inetd的時候,最好讓inetd記錄相關日志,這需要使用參數(shù)-l啟動inetd,在rc.conf中可以設置inetd_flags為”-l” 。
當需要啟動某個守護進程的時候,inetd.conf中的第五列參數(shù)對安全性有重要影響,這個參數(shù)設置啟動這個進程的用戶標識,應該盡量不要使用root用戶,以減少具備root身份的進程 。
為了避免服務程序出現(xiàn)問題,還要經常更新軟件的版本,或應用補丁程序,以堵上可能出現(xiàn)的漏洞,因此有些服務程序的老版本存在已經發(fā)現(xiàn)的安全問題,如果不及時彌補,入侵者就能利用這些漏洞達到入侵系統(tǒng)的目的 。雖然每個FreeBSD版本使用的都是最新版本的服務軟件,但服務器軟件是不斷升級的,因此就需要及時升級服務器軟件 。
在inetd啟動的服務中,telnetd和ftpd是最重要的兩個,它們提供最基本的網絡服務 。telnetd本身的安全問題較少,與它相關的安全問題有訪問認證問題,可以通過S/key,login.access等方式加以保護,而ftpd則的安全問題就更為敏感一些 。
如果需要啟動ftp服務,雖然在inetd.conf中啟動ftpd已經使用了-l參數(shù),使ftpd將日志記錄發(fā)送給syslogd,但是還需要配置syslogd才能接收ftpd發(fā)送的記錄 。如果/etc/syslog.conf文件中沒有下面的設置行用于記錄ftp的日志,請修改syslog.conf加入 。
ftp.* /var/log/ftpd然后還需要執(zhí)行下列命令,使得syslogd重新啟動,使其能開始記錄下ftpd發(fā)送的記錄信息 。
# touch /var/log/ftpd# killall -HUP syslogdftp對訪問進行了種種限制,這些限制對于網絡安全都是非常重要的,當用戶的shell不在/etc/shells中的時候,ftp拒絕提供服務,當用戶的用戶名位于/etc/ftpusers文件中時,或者是/etc/ftpusers中記錄的組的成員,ftp同樣也拒絕提供服務,這樣就對使用ftp的用戶進行了限制,尤其對于安全敏感的用戶 。如果/var/run/nologin文件存在時,ftp將拒絕一切用戶訪問 。
ftp認證是通過標準認證過程進行的,因此也可以使用S/key等安全認證的方式 。同樣,/etc/ftphosts可以設置對來自不同位置的主機訪問ftp服務的限制 。
很多情況下需要FreeBSD服務器提供匿名ftp服務功能,如果此時普通用戶能通過更安全的方法訪問系統(tǒng),就應該屏蔽普通用戶使用ftp服務的權力,而只允許匿名ftp,可以使用-A選項啟動ftp服務器,此時ftp將拒絕正常用戶登錄,避免ftp服務器出現(xiàn)安全問題的可能性及減少安全問題的影響 。當使用-S選項時,ftp將所有匿名訪問的傳輸日志也記錄在/var/log/ftpd文件中 。這兩個選項對于提供匿名ftp服務非常有用 。對于提供匿名ftp的服務器,還可以不再使用FreeBSD提供的ftpd服務器,而使用wuftpd或ncftpd等其他種類的ftp服務器,同樣也需要針對這些服務器設置其安全性 。

推薦閱讀