如何配置Linux安全服務管理工具

在對任何計算機進行安全管理時，最重要的一點就是要保證能夠對正在運行的服務進行有效的控制。本文主要講述如何對對一臺運行Linux系統(tǒng)的電腦進行配置，實現(xiàn)安全的服務管理。

在對任何計算機進行安全管理時，最重要的一點就是要保證能夠對正在運行的服務進行有效的控制。運行不必要的網(wǎng)絡服務會給系統(tǒng)增添額外的安全風險。就算是為了完成某些功能而必須運行的服務，你也應該對其進行仔細的配置和管理，從而最小化該服務有可能帶來的風險。為了實現(xiàn)Linux系統(tǒng)最佳的安全配置服務，可以通過/etc/inittab文件，runlevels，以及一兩個服務管理超級工具（superdaemon）inetd 或 xinetd ，直接進行管理。

inittab
/etc/inittab文件被用在系統(tǒng)的初始化過程，用來啟動系統(tǒng)服務。在一個配置好的系統(tǒng)中，文件中包含的服務應該不會很多，但是某些Linux版本在默認安裝時會加載很多額外的服務。/etc/inittab文件的內容看上去并不是很明晰，但是它能令服務管理的變得相對簡單。

首先，不要通過 /etc/inittab 文件在系統(tǒng)初始化時添加服務。雖然偶爾有例外，但是一般來說，添加服務可以通過其它方式實現(xiàn)。

第二，不要刪除 /etc/inittab 文件中第一個冒號之前的單精度部分或之前的其它部分。以單精度字符開頭的一行可以開啟你的TTY控制臺，而之前列出的整個項目會打開其它功能，甚至一些關鍵功能。雖然本條規(guī)則也有例外，但是為了穩(wěn)妥，在你不確定時，不要刪除任何部分。

第三， /etc/inittab 主要用于系統(tǒng)引導時和runlevel選擇時的進程管理，不用于正常的系統(tǒng)操作。

第四，要添加在系統(tǒng)引導時啟動的服務，應該使用rc系統(tǒng)，而不是init系統(tǒng)。如果你查看 /etc/inittab中的內容，就會發(fā)現(xiàn)每個條目后面都跟有rc 0到rc 6不等的字符，這是表示init系統(tǒng)會如何處理該項目的runlevels。
runlevels
基于Linux的系統(tǒng)可以通過runlevels對操作進行管理。不同的運行等級具有不同的行為，這與微軟Windows操作系統(tǒng)所采用的“正常模式”、“安全模式”以及“DOS模式”類似。

Runlevel 0 可以用來關閉正在運行的所有程序，同時，如果系統(tǒng)允許軟關機，就將關閉系統(tǒng)電源。

Runlevel 1 是單用戶無網(wǎng)絡連接模式，這種等級主要用來進行非常低等級的排錯以及管理操作。

Runlevel 2 到 Runlevel 5 是多用戶系統(tǒng)正常模式。 在runlevel 2-3級，只能采用命令行界面，其中第二級沒有網(wǎng)絡連接，而第三級則帶有網(wǎng)絡連接能力。runlevel 5會自動啟動X Window 系統(tǒng)，為用戶提供圖形界面。runlevel2-5級都允許root用戶進行配置，因此這幾個等級都可以完成你所希望的操作。

Runlevel 6 用來在整個初始化系統(tǒng)以及bootloader需要重新啟動時，進行系統(tǒng)重新啟動。
從第七級以上的runlevel是管理員自行定義的，但是“傳統(tǒng)”的UNIX系統(tǒng)并不會使用這些等級。因此一般也不需要對七級以上的runlevel進行定義和使用。

在外殼中，你可以通過輸入runlevel命令來查看先前的runlevel和當前的runlevel。如果系統(tǒng)的runlevel沒有改變，那么你會在返回的當前runlevel等級后看到一個大寫的“N”，表示沒有先前的runlevel。要改變系統(tǒng)的runlevel，你可以使用init命令，之后跟上你所希望改變的runlevel等級。比如，你可以輸入init 6，然后重新啟動系統(tǒng)，或者init 1，啟用單用戶模式。

不同版本的Linux可能會有不同的修改runlevel的方法和過程。比如在Debian GNU/Linux中，位于/etc/init.d的服務腳本有來自/etc/rcN.d目錄的symbolic link進行鏈接，其中的N表示你所希望進行配置的runlevel等級。以K作為起始的Symlinks意味著插入runlevel時被殺死的進程，而以字母S開頭的Symlinks表示在進入runlevel時被啟動的程序。數(shù)字從1到99，數(shù)字越大，表示啟動或被殺死的時間越靠后。

大多數(shù)基于RPM的Linux版本都采用基于RedHat的rc系統(tǒng)。比起基于Debian的系統(tǒng)，這一系統(tǒng)使用更復雜的路徑結構，而不同的基于RPM的系統(tǒng)之間也有很大的不同。你的Linux產品說明書上會詳細的介紹如何管理runlevels。

inetd
“superdaemon”是用來管理Linux后臺程序的工具，正如我們所知，inetd就是這樣一個常見的服務管理工具。終止inetd引用服務很簡單：首先，作為root用戶登錄，用文本編輯器打開/etc/inetd.conf文件。接下來，找到文件中需要終止的服務。最后，在服務所在行的最前面添加#符號（其他還有“>”和“英鎊符”），如下所示。注釋掉該行，inetd以后都不會啟動這一服務。

編輯前，inetd服務看上去可能如下所示：

ident stream tcp wait identd /usr/sbin/identd identd

禁止inetd 后，該行變?yōu)椋?/P>

# ident stream tcp wait identd /usr/sbin/identd identd

如果你正在卸載inetd服務中的服務后臺，不論是通過包管理器或者直接刪除它的可執(zhí)行文件（如上例中的/usr/sbin/identd），都可以簡單的刪除該行命令。

修改完/etc/inetd.conf后，記得要保存文件，以便inetd采用新的配置。保存后，你可以通過以下命令快速應用新的配置：

kill -HUP `pidofinetd`

這個命令會導致 inetd 根據(jù)新的配置文件重新啟動。

xinetd
另一個出現(xiàn)較晚，也更復雜一些的superdaemon被稱作xinetd ，它的功能比inetd要多一些。如果只是為了禁用某個服務，它使用起來同樣很簡單。

如果利用xinetd，你必須在/etc/xinetd.conf中添加命令來禁止一個服務。如果要簡單的刪除某個服務項，你可能需要刪除好幾行內容，而不像inetd中只需要刪除一行。首先你需要在文本編輯器中打開上述文件，然后查找你希望禁止或者刪除的服務，然后添加disable = yes 命令禁止該服務，或者將該服務所在項全部刪除。比如，我們要禁用telnet，可以如下所示：

service telnet

{

. . .

disable = yes

}

在某些系統(tǒng)中，對于某些服務，服務配置并不在/etc/xinetd.conf文件中。例如，像telnet這樣的服務有可能在文件/etc/xinetd.d/telnet中，改變其服務配置方法與它在/etc/xinetd.conf文件中的方法是一樣的。

編輯并保存了/etc/xinetd.conf文件后或者更改了服務文件后，可以輸入下面的命令讓修改即時生效：

kill -USR2 `pidofxinetd`

本命令將通知xinetd程序，使用更改后的配置。

Xinetd除了關閉或移除服務配置之外，還可以用于控制遠程主機登錄服務。這將通過幾個機制完成：

可以為服務指定一個允許的主機。例如：可以通過在服務配置文件中添加only_from = 192.168.0.101這一行限制主機登錄telnet服務。盡管使用了詞語“only”，但是它只能限制主機的數(shù)目，而不僅僅只一臺主機。也可以使用部分地址指定完整的網(wǎng)絡。例如：可以使用“only_from = 192.168.0.to”表示本地Class C的任何主機都能訪問這個服務。

可以在配置文件中為某個服務指定禁止的主機。例如：可以在配置文件中添加“no_access = 192.168.0.102”這一行禁止這個主機遠程訪問telnet服務。這個也可以使用多次而且也可以使用部分地址指定多個主機。萬一某個主機滿足only_from和no_access兩個限制，則會權衡確定其訪問權限。如果xinetd不能確定哪個限制能被應用，則系統(tǒng)默認更安全的選項——服務不會開啟。

服務管理之外