首页
手机
笔记本平板
家电厨卫
数码影音
DIY整机
企业IT
服务器
网络通信
存储
网络安全
虚拟化
数据中心
无线组网
企业商用
技术开发
信息化
云计算
大数据
办公
办公频道
打印机
复合机
投影机
3D打印
耗材
互动
Chinaunix
ITPub社区
IT文库
数据库大会
架构师大会
社区
本友会
机友会
索尼论坛
服务器
频道
IT168首页
>
服务器
>
服务器应用
> 正文
关注安全:加固Linux服务器
作者:网络 笨笨虎
编辑:
IT168
2005-10-14 00:00
分享
限制网络访问
1.NFS访问
如果你使用NFS网络文件系统服务,应该确保你的/etc/exports具有最严格的访问权限设置,也就是意味着不要使用任何通配符、不允许root写权限并且只能安装为只读文件系统。编辑文件/etc/exports并加入如下两行。
/dir/to/export host1.mydomain.com(ro,root_squash)
/dir/to/export host2.mydomain.com(ro,root_squash)
/dir/to/export是你想输出的目录,host.mydomain.com是登录这个目录的机器名,ro意味着mount成只读系统,root_squash禁止root写入该目录。为了使改动生效,运行如下命令。
# /usr/sbin/exportfs -a
2.Inetd设置
首先要确认/etc/inetd.conf的所有者是root,且文件权限设置为600。设置完成后,可以使用“stat”命令进行检查。
# chmod 600 /etc/inetd.conf
然后,编辑/etc/inetd.conf禁止以下服务。
ftp telnet shell login exec talk ntalk imap pop-2 pop-3 finger auth
如果你安装了ssh/scp,也可以禁止掉Telnet/FTP。为了使改变生效,运行如下命令:
#killall -HUP inetd
默认情况下,多数Linux系统允许所有的请求,而用TCP_WRAPPERS增强系统安全性是举手之劳,你可以修改/etc/hosts.deny和/etc/hosts.allow来增加访问限制。例如,将/etc/hosts.deny设为“ALL: ALL”可以默认拒绝所有访问。然后在/etc/hosts.allow文件中添加允许的访问。例如,“sshd: 192.168.1.10/255.255.255.0 gate.openarch.com”表示允许IP地址192.168.1.10和主机名gate.openarch.com允许通过SSH连接。
配置完成后,可以用tcpdchk检查:
# tcpdchk
tcpchk是TCP_Wrapper配置检查工具,它检查你的tcp wrapper配置并报告所有发现的潜在/存在的问题。
0
1
2
查看全文
第1页:启动和登录安全性
第2页:限制网络访问
相关文章
关注我们