为​了​给​弱​点​测​定​选​择​适​当​的​工​具​，建​立​一​套​弱​点​测​定​方​法​是​明​智​之​举​。​不​幸​的​是​，目​前​还​没​有​预​先​定​义​的​或​被​行​业​批​准​的​方​法​；然​而​，常​识​和​经​验​通​常​足​以​充​当​向​导​。​

目​标​是​什​么​？我​们​在​看​一​个​服​务​器​还​是​整​个​网​络​以​及​网​络​内​的​一​切​？我​们​是​在​公​司​之​内​还​是​公​司​之​外​？这​些​问​题​的​答​案​是​很​重​要​的​，因​为​它​们​不​但​能​够​帮​助​您​判​定​应​该​选​择​哪​些​工​具​，还​能​够​帮​助​您​判​定​该​如​何​使​用​这​些​工​具​。​

关​于​建​立​整​套​方​法​的​更​多​信​息​，请​参​考​以​下​网​站​：

Nmap 被​包​括​在​红帽企业 Linux 中​。​它​是​一​个​很​流​行​的​工​具​，可​以​被​用​来​判​定​网​络​布​局​。​Nmap 已​经​存​在​多​年​，可​能​是​最​常​使​用​的​收​集​信​息​工​具​。​它​的​说​明​书​页​对​其​选​项​和​用​法​都​有​详​尽​的​描​述​。​管​理​员​可​以​在​网​络​上​使​用 Nmap 来​寻​找​其​中​的​主​机​系​统​和​开​放​的​端​口​。​

Nmap 是​比​较​合​适​的​弱​点​测​定​的​第​一​步​。​您​可​以​用​它​制​定​出​网​络​内​的​所​有​主​机​的​布​局​图​，甚​至​传​递​选​项​来​试​图​识​别​在​某​个​主​机​上​运​行​的​操​作​系​统​。​Nmap 为​建​立​使​用​安​全​服​务​和​停​运​不​被​使​用​服​务​的​政​策​奠​定​了​良​好​基​础​。​

nmap foo.example.com

Starting nmap V. 3.50 ( www.insecure.org/nmap/ ) Interesting ports on localhost.localdomain (127.0.0.1): (The 1591 ports scanned but not shown below are in state: closed) Port State Service 22/tcp open ssh 25/tcp open smtp 111/tcp open sunrpc 443/tcp open https 515/tcp open printer 950/tcp open oftep-rpc 6000/tcp open X11 Nmap run completed -- 1 IP address (1 host up) scanned in 71.825 seconds

Nessus 是​一​个​功​能​完​全​的​安​全​扫​描​器​。​Nessus 的​插​件​结​构​允​许​用​户​为​他​们​的​系​统​和​网​络​自​行​定​制​。​和​其​它​扫​描​器​一​样​，Nessus 只​能​和​它​所​依​赖​的​签​名​数​据​库​一​样​有​效​。​幸​运​的​是​，Nessus 被​频​繁​更​新​。​它​的​功​能​包​括​：完​整​报​告​、​主​机​扫​描​、​真​实​时​间​的​弱​点​搜​索​。​记​住​，假​警​报​可​能​会​出​现​，即​便​是​像 Nessus 这​样​的​功​能​强​大​而​又​被​时​时​更​新​的​工​具​也​不​例​外​。​

关​于​使​用 Nessus 的​更​多​信​息​，请​参​阅​以​下 URL 上​的​官​方​网​站​：

http://www.nessus.org/

Nikto 是​一​个​优​秀​的 CGI（公​用​网​关​接​口​）扫​描​器​。​Nikto 不​仅​具​备​检​查 CGI 弱​点​的​能​力​，它​还​能​够​用​一​种​比​较​难​以​捉​摸​的​方​法​来​进​行​，这​样​就​能​躲​过​入​侵​检​查​系​统​。​该​程​序​还​附​带​了​丰​富​的​文​档​。​您​在​运​行​程​序​前​应​该​仔​细​阅​读​文​档​。​如​果​您​的​万​维​网​服​务​器​提​供 CGI 脚​本​，Nikto 是​检​查​这​些​服​务​器​安​全​性​的​好​工​具​。​

关​于 Nikto 的​更​多​信​息​，可​以​在​以​下 URL 上​找​到​：

http://www.cirt.net/code/nikto.shtml

VLAD 是 Bindview, Inc. 的 RAZOR 组​开​发​出​来​的​弱​点​扫​描​器​。​它​会​检​查 SANS 十​大​常​见​安​全​问​题​（SNMP 问​题​、​文​件​共​享​问​题​等​等​）。​虽​然​不​像 Nessus 那​么​功​能​全​面​，VLAD 仍​值​得​一​试​。​

关​于 VLAD 的​更​多​信​息​可​以​在​以​下 URL 上​的 RAZOR 组​的​网​站​上​找​到​：

http://www.bindview.com/Support/Razor/Utilities/

根​据​您​的​目​标​和​资​源​而​定​，可​以​使​用​的​工​具​不​胜​枚​举​。​这​些​工​具​有​用​于​无​线​网​络​、​Novell 网​络​的​，也​有​用​于 Windows 系​统​、​Linux 系​统​的​。​执​行​测​定​的​另​一​个​重​要​部​分​可​能​会​包​括​审​核​物​理​安​全​性​、​人​员​安​全​审​查​、​或​声​音​/PBX 网​络​测​定​。​一​些​新​的​概​念​，如 war walking — 扫​描​企​业​物​理​结​构​的​边​缘​来​寻​找​无​线​网​络​的​可​乘​之​机 — 是​您​可​以​进​行​调​查​的​新​兴​概​念​，若​必​要​，还​可​以​包​括​在​您​的​弱​点​测​定​中​。​在​计​划​和​执​行​弱​点​测​试​过​程​中​，唯​一​的​限​制​只​是​您​的​想​象​力​和​系​统​的​暴​露​程​度​。​

寻​找​并​利​用​系​统​和​网​络​弱​点​的​人​被​区​分​成​不​同​种​类​。​这​种​类​别​是​按​照​他​们​在​进​行​安​全​弱​点​调​查​时​所​“​戴​”​的​帽​子​颜​色​来​区​分​的​。​帽​子​的​颜​色​代​表​了​他​们​的​企​图​。​

白​帽​黑​客​（white hat hacker）测​试​网​络​和​系​统​的​性​能​来​判​定​它​们​能​够​承​受​入​侵​的​强​弱​程​度​。​通​常​，白​帽​黑​客​攻​击​他​们​自​己​的​系​统​，或​被​聘​请​来​攻​击​客​户​的​系​统​以​便​进​行​安​全​审​查​。​学​术​研​究​人​员​和​专​职​安​全​顾​问​就​属​于​白​帽​黑​客​。​

黑​帽​黑​客​（black hat hacker）是​怪​客​的​同​义​词​。​通​常​来​说​，怪​客​并​不​注​重​于​入​侵​系​统​的​编​程​或​学​术​方​面​。​他​们​经​常​为​了​个​人​利​益​而​依​靠​现​成​的​攻​击​程​序​和​著​名​的​系​统​漏​洞​弱​点​来​发​现​保​密​信​息​，或​破​坏​目​标​系​统​或​网​络​。​

灰​帽​黑​客​（grey hat hacker）在​多​数​情​况​下​都​具​备​白​帽​黑​客​的​技​术​和​意​图​，但​是​偶​尔​也​使​用​这​种​知​识​来​进​行​不​太​光​明​正​大​的​行​径​。​灰​帽​黑​客​可​以​被​认​为​是​偶​尔​会​为​个​人​企​图​而​戴​着​黑​帽​的​白​帽​黑​客​。​

典​型​的​灰​帽​黑​客​会​遵​循​另​一​种​黑​客​道​德​。​他​认​为​闯​入​系​统​是​无​可​非​议​的​，只​要​不​进​行​盗​窃​行​为​或​破​坏​保​密​信​息​就​可​以​。​不​过​，某​些​人​可​能​会​说​，闯​入​系​统​本​身​就​是​不​道​德​的​。​

不​管​入​侵​者​的​意​图​如​何​，了​解​怪​客​会​试​图​利​用​的​漏​洞​这​一​点​都​很​重​要​。​本​章​的​剩​余​部​分​将​会​集​中​讨​论​这​些​问​题​。​

配​置​不​正​确​的​网​络​是​未​经​授​权​用​户​的​主​要​入​口​。​把​基​于​信​任​的​开​放​型​本​地​网​络​向​极​不​安​全​的​互​联​网​敞​开​就​如​同​住​在​罪​案​重​重​的​街​区​里​却​不​封​门​闭​户​一​样 — 在​一​段​时​间​内​可​能​会​平​安​无​事​，但​是​最​终​总​会​有​人​要​利​用​这​个​机​会​。​

一​个​完​全​安​装​的​红​帽​企​业 Linux 包​括​1000个​以​上​的​应​用​程​序​和​库​软​件​包​。​不​过​，多​数​服​务​器​管​理​员​并​不​打​算​安​装​其​中​的​每​个​软​件​包​，而​倾​向​于​进​行​基​本​安​装​，再​包​括​几​个​服​务​器​程​序​。​

多​数​被​包​括​在​默​认​安​装​中​的​服​务​器​程​序​是​稳​定​的​、​被​全​面​测​试​过​的​软​件​。​在​生​产​然​而​，世​界​上​并​不​存​在​完​美​无​缺​的​软​件​，万​事​都​有​提​高​的​余​地​。​除​此​之​外​，由​于​更​新​的​软​件​在​生​产​环​境​中​的​使​用​时​间​不​长​，或​者​因​为​它​没​有​其​它​服​务​器​软​件​那​么​流​行​，它​可​能​没​有​像​人​们​所​期​待​的​一​样​被​全​面​测​试​过​。​环​境​中​被​使​用​了​多​年​后​，这​些​软​件​的​源​码​已​经​被​全​面​精​化​，许​多​软​件​中​存​在​的​错​误​已​被​发​现​并​修​正​。​

然​而​，世​界​上​并​不​存​在​完​美​无​缺​的​软​件​，万​事​都​有​提​高​的​余​地​。​除​此​之​外​，由​于​更​新​的​软​件​在​生​产​环​境​中​的​使​用​时​间​不​长​，或​者​因​为​它​没​有​其​它​服​务​器​软​件​那​么​流​行​，它​可​能​没​有​像​人​们​所​期​待​的​一​样​被​全​面​测​试​过​。​

开​发​者​和​系​统​管​理​员​经​常​会​在​服​务​器​程​序​中​发​现​可​被​当​作​漏​洞​而​利​用​的​程​序​错​误​并​在​错​误​跟​踪​和​安​全​相​关​的​网​站​（如 Bugtraq 邮​件​列​表​：http://www.securityfocus.com）或​计​算​机​紧​急​响​应​组​（CERT）的​网​站​（http://www.cert.org）上​公​开​这​些​信​息​。​虽​然​这​些​机​制​是​向​社​区​发​出​安​全​弱​点​警​告​的​有​效​方​法​，但​它​却​要​依​靠​管​理​员​来​及​时​地​给​各​自​的​系​统​打​补​丁​。​如​果​怪​客​也​能​够​获​得​同​样​的​弱​点​跟​踪​服​务​，他​们​一​有​机​会​就​会​使​用​这​些​信​息​来​攻​击​未​加​补​丁​的​系​统​。​优​秀​的​系​统​管​理​要​求​你​时​刻​警​惕​、​时​刻​跟​踪​错​误​、​并​且​进​行​正​确​的​系​统​维​护​来​保​证​安​全​的​计​算​环​境​。​

关​于​保​持​系​统​更​新​状​态​的​详​情​，请​参​阅​第 2.4 节 “安​全​更​新​”

忘​记​给​系​统​打​补​丁​的​管​理​员​是​威​胁​服​务​器​安​全​的​最​大​因​素​。​据​系​统​管​理​网​络​和​安​全​学​院​（System Administration Network and Security Institute，SANS）调​查​，计​算​机​安​全​弱​点​的​主​要​导​致​原​因​是​“​指​派​未​经​培​训​的​人​员​来​维​护​安​全​，并​且​不​提​供​使​其​能​够​胜​任​的​培​训​和​时​间​”​^[1]。​这​不​仅​是​指​那​些​没​有​经​验​的​管​理​员​，也​是​指​那​些​过​分​自​信​或​自​以​为​是​的​管​理​员​。​

某​些​管​理​员​忘​记​了​给​他​们​的​服​务​器​和​工​作​站​打​补​丁​，而​另​一​些​则​忘​记​了​查​看​来​自​系​统​内​核​或​网​络​交​通​的​日​志​消​息​。​另​一​个​常​见​错​误​是​不​改​变​服​务​的​默​认​密​码​或​密​码​。​例​如​，某​些​数​据​库​有​默​认​的​管​理​密​码​，因​为​数​据​库​开​发​者​假​定​系​统​管​理​员​在​安​装​后​会​立​即​改​变​这​些​密​码​。​如​果​某​个​数​据​库​管​理​员​忘​记​了​改​变​密​码​，甚​至​一​个​毫​无​经​验​的​怪​客​也​能​够​使​用​众​所​周​知​的​默​认​密​码​来​获​得​到​数​据​库​的​管​理​特​权​。​这​里​仅​列​举​了​几​种​漫​不​经​心​的​管​理​会​导​致​的​服​务​器​弱​化​情​况​。​

如​果​所​选​的​网​络​服​务​带​有​固​有​的​不​安​全​因​素​，即​便​是​警​惕​性​最​高​的​组​织​也​可​能​成​为​受​害​者​。​例​如​，许​多​服​务​是​在​用​于​可​信​任​网​络​的​假​定​条​件​下​被​开​发​的​；然​而​，一​旦​这​些​服​务​可​通​过​互​联​网​被​使​用​，这​个​假​定​条​件​就​不​适​用​了 — 互​联​网​本​身​就​带​有​固​有​的​不​可​信​任​性​。​

还​有​一​类​不​安​全​网​络​服​务​是​那​些​需​要​用​户​名​和​密​码​来​验​证​的​服​务​。​Telnet 和 FTP 就​属​于​这​类​服​务​。​如​果​分​组​嗅​探​软​件​正​在​监​视​远​程​用​户​和​这​类​服​务​器​间​的​交​通​，密​码​就​能​够​被​轻​而​易​举​地​窃​取​。​

以​上​提​及​的​服​务​还​会​轻​易​地​遭​到​安​全​行​业​称​之​为​中​间​人​”​（man-in-the-middle）的​攻​击​。​在​这​类​攻​击​中​，怪​客​会​设​计​让​网​络​上​的​一​个​已​攻​破​的​名​称​服​务​器​指​向​自​己​的​机​器​而​不​是​实​际​的​目​标​服​务​器​来​重​新​导​向​网​络​交​通​。​一​旦​某​人​打​开​了​一​个​到​该​服​务​器​的​远​程​会​话​，怪​客​的​机​器​就​会​充​当​一​个​隐​型​导​管​，悄​悄​地​坐​在​远​程​服​务​和​毫​无​疑​心​的​用​户​间​截​取​信​息​。​怪​客​可​以​用​这​种​方​法​来​收​集​管​理​性​密​码​和​原​始​数​据​，服​务​器​和​用​户​对​此​却​一​无​所​知​。​

另​一​类​不​安​全​服​务​是​网​络​文​件​系​统​和​信​息​服​务​，如 NFS 或 NIS。​它​们​是​专​门​为​使​用 LAN 而​开​发​的​，但​是​不​幸​的​是​，后​来​又​被​扩​展​来​包​括 WAN（以​方​便​于​远​程​用​户​）。​按​照​默​认​设​置​，NFS 没​有​配​置​任​何​验​证​或​安​全​机​制​来​防​止​怪​客​挂​载 NFS 共​享​以​便​使​用​其​中​的​任​何​数​据​。​同​样​的​，NIS 也​有​网​络​上​的​每​个​计​算​机​都​必​须​提​供​的​重​要​信​息​，包​括​密​码​和​文​件​权​限​。​它​们​都​存​在​于​一​个​纯​文​本​的 ACSII 或 DBM（ASCII-derived）数​据​库​中​。​能​够​进​入​这​个​数​据​库​的​怪​客​就​能​够​进​入​网​络​上​的​每​个​用​户​帐​号​，包​括​管​理​员​的​帐​号​。​

虽​然​管​理​员​可​能​会​有​一​个​完​全​安​全​的​、​全​面​打​过​补​丁​的​服​务​器​，这​并​不​意​味​着​远​程​用​户​在​进​入​它​时​就​是​安​全​的​。​例​如​，如​果​服​务​器​提​供​经​由​公​共​网​络​的 Telnet 或 FTP 服​务​，攻​击​者​可​能​会​在​纯​文​本​用​户​名​和​密​码​在​网​络​中​经​过​时​劫​获​它​们​，然​后​使​用​这​个​帐​号​信​息​来​进​入​远​程​用​户​的​工​作​站​。​

甚​至​在​使​用​安​全​协​议​如 SSH 的​时​候​，如​果​远​程​用​户​没​有​更​新​他​们​的​客​户​程​序​，他​们​也​可​能​遭​受​某​些​攻​击​。​例​如​，使​用 SSH 第​一​版​本​的​用​户​就​有​可​能​遭​受​来​自​蓄​意​不​良​的 SSH 服​务​器​的 X 转​发​攻​击​。​一​旦​连​接​到​了​服​务​器​上​，攻​击​者​就​能​够​不​动​声​色​地​截​取​客​户​通​过​网​络​进​行​的​击​键​和​鼠​标​点​击​。​这​个​问​题​在 SSH 协​议​的​第​二​版​本​中​被​修​正​了​，但​是​它​却​要​依​赖​于​用​户​自​身​的​自​觉​性​，看​他​是​否​关​注​哪​些​应​用​程​序​有​哪​些​弱​点​，并​在​必​要​时​更​新​这​些​程​序​。​

红​帽​网​络​可​以​自​动​化​大​部​分​更​新​步​骤​。​它​会​判​断​哪​些​软​件​包​是​您​的​系​统​必​需​的​；并​从​一​个​安​全​的​软​件​存​储​库​中​下​载​它​们​；校​验 RPM 签​名​来​确​定​它​们​没​有​被​篡​改​；然​后​更​新​它​们​。​软​件​包​安​装​可​以​马​上​进​行​，也​可​以​被​安​排​在​某​一​特​定​时​间​段​内​进​行​。​

对​于​每​台​要​更​新​的​机​器​，红​帽​网​络​都​需​要​一​份​系​统​配​置​档​案​（System Profile）。​系​统​配​置​档​案​中​包​含​了​和​系​统​相​关​的​硬​件​和​软​件​信​息​。​该​信​息​会​被​严​格​保​密​，绝​不​会​泄​漏​给​他​人​。​它​仅​被​用​来​判​定​每​个​系​统​上​应​该​使​用​哪​些​勘​误​更​新​。​没​有​它​，红​帽​网​络​将​无​法​判​定​系​统​所​需​的​更​新​。​当​安​全​勘​误​（或​任​何​一​种​类​型​的​勘​误​）被​发​行​后​，红​帽​网​络​会​发​送​一​份​电​子​邮​件​，其​中​不​仅​描​述​了​该​勘​误​，还​列​出​了​将​会​受​到​影​响​的​系​统​。​要​应​用​更​新​，使​用​红​帽​更​新​代​理​或​通​过 http://rhn.redhat.com 网​站​来​调​度​要​更​新​的​软​件​包​。​

当​安​全​勘​误​报​告​被​发​行​时​，它​们​会​在​红​帽​勘​误​网​站​上​公​布​：http://www.redhat.com/security/。​通​过​这​个​网​页​选​择​您​的​系​统​和​版​本​，然​后​选​择​网​页​上​方​的 「​security」​按​钮​来​只​显​示​红​帽​企​业 Linux 的​安​全​顾​问​。​如​果​某​个​安​全​顾​问​中​的​概​要​所​描​述​的​是​用​在​您​的​系​统​上​的​某​个​软​件​包​，点​击​概​要​来​阅​读​详​情​。​

详​情​页​描​述​了​该​安​全​漏​洞​，以​及​若​要​修​正​这​个​漏​洞​，除​了​升​级​软​件​包​之​外​还​必​须​要​执​行​的​其​它​步​骤​的​特​殊​说​明​。​

要​下​载​更​新​的​软​件​包​，点​击​链​接​登​录​到​红​帽​网​络​，然​后​点​击​软​件​包​的​名​称​，并​把​它​们​保​存​在​硬​盘​驱​动​器​上​。​极​力​推​荐​您​创​建​一​个​新​目​录​，如 /tmp/updates，然​后​把​所​有​下​载​的​软​件​包​放​置​在​其​中​。​

所​有​红​帽​企​业 Linux 的​软​件​包​都​使​用​红​帽​的 GPG 密​钥​进​行​签​注​。​GPG 是 GNU Privacy Guard（GNU 隐​私​卫​士​）或 GnuPG 的​缩​写​。​它​是​被​用​来​确​保​发​行​文​件​的​真​实​性​的​自​由​软​件​。​例​如​，红​帽​拥​有​的​私​人​密​钥​（或​保​密​的​密​钥​）会​锁​住​软​件​包​，而​公​共​密​钥​可​以​打​开​并​校​验​软​件​包​。​如​果​在 RPM 校​验​过​程​中​，被​红​帽​发​行​的​公​共​密​钥​和​私​人​密​钥​不​匹​配​，该​软​件​包​就​可​能​被​篡​改​了​，因​此​不​可​信​任​。​

红​帽​企​业 Linux 中​的 RPM 工​具​会​在​安​装​软​件​包​前​自​动​校​验​它​的 GPG 签​名​。​如​果​您​没​有​安​装 红​帽 GPG 密​钥​钥​，请​从​一​个​安​全​、​静​态​的​位​置​（如 红​帽​企​业 Linux 安​装​光​盘​）上​安​装​它​。​

假​定​光​盘​被​挂​载​在 /mnt/cdrom，使​用​以​下​命​令​来​把​它​导​入​到​您​的​钥​匙​圈​上​（keyring，系​统​上​可​信​任​密​钥​的​数​据​库​）：

rpm --import /mnt/cdrom/RPM-GPG-KEY

要​显​示​所​有​已​安​装​的​用​于 RPM 校​验​的​密​钥​列​表​，执​行​以​下​命​令​：

rpm -qa gpg-pubkey*

红​帽​密​钥​的​输​出​会​包​括​：

gpg-pubkey-db42a60e-37ea5438

要​显​示​特​定​公​钥​的​详​情​，使​用 rpm -qi 命​令​以​及​前​一​命​令​的​输​出​，如​：

rpm -qi gpg-pubkey-db42a60e-37ea5438

在​安​装 RPM 文​件​前​校​验​它​的​签​名​这​一​个​步​骤​至​关​重​要​。​只​有​这​样​才​能​确​保​这​些​文​件​没​有​从​红​帽​软​件​包​的​发​行​版​本​中​被​篡​改​。​要​立​刻​校​验​所​有​已​下​载​的​软​件​包​，使​用​以​下​命​令​：

rpm -K /tmp/updates/*.rpm

对​于​每​个​软​件​包​，如​果 GPG 钥​匙​校​验​成​功​，该​命​令​会​返​回​：gpg OK。​否​则​，确​认​您​使​用​的​是​正​确​的​红​帽​公​共​密​钥​，并​校​验​其​内​容​。​没​有​通​过 GPG 校​验​的​软​件​包​不​应​该​被​安​装​，因​为​它​们​可​能​已​经​被​第​三​方​篡​改​了​。​

校​验​了 GPG 密​钥​，并​下​载​了​所​有​和​勘​误​报​告​有​关​的​软​件​包​后​，在 shell 提​示​符​下​以​根​用​户​身​份​安​装​它​们​。​

对​多​数​软​件​包​（除​了​内​核​软​件​包​外​）来​说​，您​可​以​使​用​以​下​命​令​来​安​全​地​安​装​：

rpm -Uvh /tmp/updates/*.rpm

对​于​内​核​软​件​包​，请​使​用​以​下​命​令​：

rpm -ivh /tmp/updates/<kernel-package>

把​前​一​个​例​子​中​的 <kernel-package> 改​成​内​核 RPM 的​名​称​。​

一​旦​系​统​使​用​新​内​核​被​安​全​引​导​后​，你​可​以​使​用​以​下​命​令​来​删​除​老​内​核​：

rpm -e <old-kernel-package>

把​前​一​个​例​子​中​的 <old-kernel-package> 改​成​老​内​核 RPM 的​名​称​。​

通​过​红​帽​网​络​或​红​帽​勘​误​网​站​下​载​并​安​装​了​安​全​勘​误​后​，停​用​旧​有​软​件​、​使​用​新​软​件​这​一​点​很​重​要​。​怎​么​做​到​这​一​点​要​根​据​您​的​软​件​类​型​而​定​。​以​下​的​列​表​详​细​列​举​了​软​件​的​一​般​类​别​，并​为​更​新​软​件​包​后​使​用​被​更​新​的​版​本​提​供​了​说​明​。​

TCP Wrappers 除​了​可​以​提​供​对​种​种​服​务​的​拒​绝​享​有​功​能​以​外​，还​可​以​提​供​许​多​其​他​功​能​。​这​一​部​分​阐​述​如​何​运​用 TCP Wrappers 发​送​标​示​连​接​的​旗​帜​，或​从​某​些​特​定​的​主​机​上​发​送​可​能​受​到​攻​击​的​警​示​，以​及​如​何​增​强​登​录​功​能​。​关​于 TCP Wrapper 函​数​和​所​用​语​言​，如​需​要​更​多​信​息​，请​参​照 hosts_options man page。​

 220-Hello, %c 220-All activity on ftp.example.com is logged. 220-Inappropriate use will result in your access privileges being removed. 

 vsftpd : ALL : banners /etc/banners/ 

 ALL : 206.182.68.0 : spawn /bin/ 'date' %c %d >> /var/log/intruder_alert 

 in.telnetd : ALL : severity emerg 

这​部​分​集​中​讨​论​如​何​用 xinetd 设​立​软​中​断​（trap）服​务​并​如​何​用​它​控​制​其​拥​有​的​资​源​级​别​。​为​服​务​器​设​置​资​源​限​制​级​别​可​以​帮​助​阻​止​Denial of Service（服​务​中​断​） (DoS) 的​袭​击​。​要​想​查​看​可​以​使​用​的​命​令​行​选​项​列​表​，请​参​考 man pages 的 xinetd 和 xinetd.conf 部​分​。​

flags           = SENSOR

deny_time       = 30

disable         = no

因​为 portmap 服​务​没​有​内​置​式​的​验​证​机​制​，因​此​使​用 TCP Wrappers 来​限​制​哪​些​网​络​或​主​机​可​以​享​有 portmap 服​务​是​很​重​要​的​。​

另​外​，当​需​要​限​制​某​些​主​机​享​有​该​服​务​时​，写​入​命​令​时 只​ 用​它​们​的 IP 地​址​，不​要​用​主​机​名​称​，因​为​主​机​名​称​可​以​通​过​毒​化 DNS 和​其​他​方​式​进​行​伪​造​。​

为​了​进​一​步​限​制​某​些​网​络​享​有 portmap 服​务​，在​服​务​器​上​增​加 iptables 规​则​是​一​个​很​好​的​注​意​，这​样​可​以​限​制​某​些​特​定​网​络​的​进​入​。​

下​面​是​两​个 iptables 命​令​的​例​子​。​第​一​个​命​令​允​许 TCP 通​过 192.168.0.0/24 网​络​连​接​到 111 端​口​（该​端​口​由 portmap 服​务​使​用​）。​第​二​个​命​令​允​许 TCP 通​过​本​地​主​机​连​接​到​同​一​个​端​口 111。​这​对​由 Nautilus 使​用​的 sgi_fam 命​令​来​说​是​必​要​的​。​其​它​的​软​件​包​就​不​需​要​了​。​

iptables -A INPUT -p tcp -s! 192.168.0.0/24 --dport 111 -j DROP
iptables -A INPUT -p tcp -s 127.0.0.1  --dport 111 -j ACCEPT

以​类​似​的​方​式​限​制 UDP 传​输​，请​使​用​下​面​的​命​令​。​

iptables -A INPUT -p udp -s! 192.168.0.0/24  --dport 111 -j DROP

因​为 NIS 以​不​加​密​的​形​式​在​网​络​上​传​送​敏​感​信​息​，因​此​要​让​该​服​务​在​防​火​墙​后​面​且​在​分​段​和​安​全​的​网​络​上​进​行​是​很​重​要​的​。​每​当 NIS 信​息​在​不​安​全​的​网​络​上​传​送​时​，都​有​被​窃​听​或​截​取​的​危​险​。​精​心​的​网​络​规​划​能​帮​助​防​止​出​现​严​重​的​安​全​问​题​。​

NIS 域​名​下​的​任​何​机​器​都​能​够​无​须​验​证​地​通​过​执​行​命​令​在​服​务​器​上​提​取​信​息​，只​要​这​个​用​户​知​道 NIS 服​务​器​的 DNS 主​机​名​和 NIS 域​名​。​

例​如​，如​果​有​人​或​是​通​过​连​接​手​提​电​脑​或​是​从​外​界​（设​法​编​造​一​个​内​部 IP 地​址​）闯​入​该​网​络​，下​面​的​命​令​会​揭​示​其 /etc/passwd 图​：

ypcat -d <NIS_domain> -h <DNS_hostname> passwd

如​果​这​个​袭​击​者​是​个​根​用​户​，他​便​可​以​通​过​键​入​如​下​的​命​令​获​得 /etc/shadow 文​件​：

ypcat -d <NIS_domain> -h <DNS_hostname> shadow

为​了​使​袭​击​者​更​难​于​接​近 NIS 图​，可​以​把 DNS 主​机​名​称​加​上​一​串​任​意​字​符​，比​如 o7hfawtgmhwg.domain.com。​同​样​，也​可​以​用​另​一​个 不​同​ 的​任​意​字​符​串​命​名 NIS 域​名​。​这​样​的​话​，袭​击​者​要​想​袭​击 NIS 服​务​器​就​会​困​难​得​多​。​

如​果 /var/yp/securenets 文​件​没​有​内​容​，或​根​本​不​存​在​（默​认​安​装​后​的​情​况​就​是​这​样​）NIS 对​所​有​网​络​都​进​行​监​听​。​首​先​要​做​的​事​情​便​是​给​该​文​件​加​上​网​络​掩​码​，这​样​，ypserv 就​只​对​来​自​合​法​网​络​的​请​求​作​出​反​应​。​

下​面​是 /var/yp/securenets 文​件​的​一​个​输​入​范​例​：

255.255.255.0     192.168.0.0

这​项​技​术​虽​然​不​能​保​护​系​统​不​受​假​冒 IP 的​袭​击​，但​至​少​可​以​限​制​哪​些​网​络​可​以​享​有 NIS 服​务​器​的​服​务​。​

所​有​与 NIS 相​关​联​的​服​务​器​都​可​以​分​配​到​一​些​特​定​的​端​口​，除 rpc.yppasswdd — 之​外​，这​是​一​项​允​许​用​户​们​改​变​其​登​录​密​码​的​守​护​进​程​。​给​另​外​两​个 NIS 服​务​器​守​护​进​程​即 rpc.ypxfrd 和 ypserv 分​配​端​口​，允​许​防​火​墙​规​则​的​创​建​以​便​进​一​步​保​护 NIS 服​务​器​守​护​进​程​不​受​外​来​者​的​袭​击​。​

为​达​此​目​的​，请​在 /etc/sysconfig/network 文​件​里​加​上​下​面​几​行​：

YPSERV_ARGS="-p 834" YPXFRD_ARGS="-p 835"

下​面​的 iptables 规​则​可​以​用​来​实​现​服​务​器​到​底​要​对​哪​个​网​络​下​的​这​些​端​口​进​行​监​听​：

iptables -A INPUT -p ALL -s! 192.168.0.0/24  --dport 834 -j DROP
iptables -A INPUT -p ALL -s! 192.168.0.0/24  --dport 835 -j DROP

这​就​意​味​着​如​果​连​接​请​求​来​自 192.168.0.0/24 网​络​，该​服​务​器​只​允​许​这​个​网​络​连​接​到​端​口 834 和 835，不​管​它​使​用​什​么​协​议​。​

当 NIS 用​来​作​验​证​用​时​，需​要​考​虑​的​问​题​之​一​是​，每​当​用​户​登​录​到​机​器​上​，来​自 /etc/shadow 图​上​的​一​个​密​码​散​列​信​息​就​会​通​过​网​络​发​送​出​去​。​如​果​一​个​外​侵​者​进​入​到​某​个 NIS 域​内​，嗅​探​网​络​业​务​流​通​量​，他​便​可​以​收​集​用​户​名​和​密​码​散​列​信​息​。​如​果​有​充​足​的​时​间​，使​用​密​码​破​译​程​序​可​以​破​解​一​些​保​密​性​差​的​密​码​，那​么​这​个​外​侵​者​便​可​以​通​过​一​个​有​效​帐​户​进​入​网​络​。​

现​在 NFSv4 有​能​力​使​用 Kerberos 通​过​网​络​将​信​息​以​加​密​的​形​式​传​送​，这​项​服​务​的​正​确​配​置​是​很​重​要​的​，即​该​服​务​要​么​在​防​火​墙​后​要​么​在​分​段​式​网​络​上​运​行​。​NFSv2 和 NFSv3 传​送​数​据​时​仍​然​不​够​安​全​，这​一​点​应​该​引​起​注​意​。​在​这​些​方​面​进​行​谨​慎​的​网​络​设​计​可​以​帮​助​防​止​出​现​安​全​问​题​。​

NFS 服​务​器​通​过​咨​询 /etc/exports 文​件​从​而​决​定​输​出​哪​种​文​件​系​统​以​及​用​哪​些​主​机​导​出​这​些​目​录​。​在​编​辑​这​个​文​件​时​注​意​不​要​增​加​任​何​额​外​的​空​格​。​

例​如​，在 /etc/exports 文​件​中​的​下​面​一​行​与​主​机 bob.example.com 享​有​同​一​个​目​录 /tmp/nfs/，并​有​读​取​／写​入​权​限​。​

/tmp/nfs/     bob.example.com(rw)

然​而​，在 /etc/exports 文​件​中​的​下​面​一​行​与​主​机 bob.example.com 享​有​同​一​个​目​录​，只​有​读​取​权​限​；而​与 world 也​享​有​同​一​个​目​录​，却​有​读​取​／写​入​权​限​，只​因​在​主​机​名​称​后​面​多​了​一​个​空​格​字​符​。​

/tmp/nfs/     bob.example.com (rw)

使​用 showmount 命​令​来​检​查​任​何 NFS 配​置​中​的​共​享​成​分​以​及​用​此​来​验​证​什​么​是​共​享​的​成​分​是​一​项​很​好​的​练​习​。​

showmount -e <hostname>

作​为​默​认​值​，NFS 会​把​根​用​户​变​成 nfsnobody 用​户​，即​一​个​不​享​有​任​何​特​权​的​用​户​帐​户​。​这​样​就​把​从​根​目​录​创​建​的​文​件​归​列​在​拥​有​者 nfsnobody 的​名​下​，这​样​就​阻​止​了​用​户​上​载​有 setuid 位​设​定​的​程​序​。​

如​果​使​用 no_root_squash 的​话​，远​程​根​用​户​就​能​在​共​享​的​文​件​系​统​内​修​改​任​何​文​件​，并​且​使​应​用​程​序​处​于​特​洛​伊​木​马​病​毒​感​染​状​态​，以​使​其​他​任​何​用​户​不​至​于​无​意​中​执​行​这​些​应​用​程​序​。​

默​认​情​况​下​这​个​指​示​命​令​处​于​执​行​状​态​，所​以​为 Web 服​务​器​的​文​件​根​创​建​符​号​链​接​时​一​定​要​小​心​。​例​如​，为 / 创​建​符​号​链​接​就​不​是​一​个​好​主​意​。​

默​认​情​况​下​这​个​指​示​命​令​处​于​执​行​状​态​，但​也​许​我​们​并​不​希​望​执​行​这​项​命​令​。​要​想​阻​止​来​访​者​浏​览​服​务​器​上​的​文​件​，那​就​删​除​这​个​指​示​命​令​。​

默​认​情​况​下 UserDir 指​示​命​令​处​于​非​执​行​状​态​，因​为​执​行​该​命​令​可​以​确​认​系​统​上​一​个​用​户​帐​户​的​存​在​。​要​使​用​户​能​够​在​服​务​器​上​浏​览​目​录​，使​用​下​面​的​命​令​：

UserDir enabled
UserDir disabled root

这​些​命​令​激​活​用​户​浏​览​目​录​功​能​，用​户​可​以​浏​览​除 /root/ 之​外​的​所​有​目​录​。​如​果​想​要​使​某​些​用​户​不​能​浏​览​目​录​，就​在 UserDir disabled 命​令​行​中​加​上​用​户​名​列​表​，用​户​名​之​间​以​空​格​隔​开​。​

作​为​默​认​值​，Server-Side Includes (SSI) 模​块​不​能​执​行​命​令​。​建​议​你​除​非​绝​对​必​要​不​要​改​变​这​一​设​定​，因​为​如​果​改​变​的​话​就​有​可​能​使​潜​在​的​袭​击​者​能​够​在​该​系​统​上​执​行​命​令​。​

要​保​证​只​有​根​用​户​可​以​在​含​有​脚​本​或 CGIs 的​目​录​上​拥​有​写​入​权​限​。​要​实​现​这​一​点​，请​键​入​下​面​的​命​令​：

chown root <directory_name>
chmod 755 <directory_name>

在​提​交​用​户​名​和​密​码​之​前​，所​有​用​户​都​会​收​到​一​个​问​候​旗​帜​。​作​为​默​认​值​，这​个​旗​帜​含​有​版​本​信​息​，对​黑​客​试​图​寻​找​系​统​中​的​弱​点​会​有​帮​助​。​

要​想​用 vsftpd 来​替​代​问​候​旗​帜​，就​在​/etc/vsftpd/vsftpd.conf 文​件​里​加​上​下​面​的​命​令​：

ftpd_banner=<insert_greeting_here>

在​上​面​的​命​令​中​用​问​候​讯​息​文​本​替​代 <insert_greeting_here>。​

如​果​是​多​行​旗​帜​，最​好​使​用​一​个​旗​帜​文​件​。​为​了​使​多​种​不​同​旗​帜​便​于​管​理​，把​所​有​旗​帜​放​在​一​个​叫​/etc/banners/的​新​目​录​下​。​这​个​例​子​中​，/etc/banners/ftp.msg就​是​进​行 FTP 连​接​的​旗​帜​文​件​。​要​知​道​这​样​的​文​件​看​上​去​是​什​么​样​的​，请​看​下​面​的​例​子​：

######### # Hello, all activity on ftp.example.com is logged. #########

要​在 vsftpd 中​引​用​这​个​问​候​旗​帜​文​件​，请​在 /etc/vsftpd/vsftpd.conf 文​件​里​加​上​下​面​的​命​令​：

banner_file=/etc/banners/ftp.msg

第 3.1.1.1.1 节 “TCP Wrappers 和 连​接​旗​帜​（Connection Banners）” 中​描​述​道​：使​用 TCP Wrappers 向​进​入​系​统​的​连​接​寄​送​额​外​的​旗​帜​也​是​可​能​的​。​

/var/ftp/目​录​的​存​在​激​活​匿​名​帐​户​。​

创​建​该​目​录​最​简​单​的​方​式​是​安​装 vsftpd 软​件​包​。​这​个​软​件​包​为​匿​名​用​户​建​立​一​个​目​录​树​并​且​在​各​级​目​录​中​设​置​匿​名​用​户​的​权​限​为​只​读​用​户​。​

默​认​情​况​下​，匿​名​用​户​不​能​在​任​何​目​录​下​写​入​信​息​。​

mkdir /var/ftp/pub/upload

chmod 730 /var/ftp/pub/upload

drwx-wx---    2 root     ftp          4096 Feb 13 20:05 upload

anon_upload_enable=YES

因​为 FTP 验​证​用​户​时​在​不​安​全​的​网​络​上​传​输​不​加​密​的​用​户​名​和​密​码​，因​此​最​好​拒​绝​用​户​从​他​们​的​用​户​帐​户​对​服​务​器​进​行​系​统​用​户​访​问​。​

要​想​使 vsftpd 中​的​所​有​用​户​帐​户​无​法​做​系​统​访​问​，那​就​在 /etc/vsftpd/vsftpd.conf 中​加​上​下​面​的​命​令​：

local_enable=NO

关​于​用 TCP Wrappers 来​控​制​对​任​何 FTP 守​护​进​程​的​访​问​，第 3.1.1.1 节 “用 TCP Wrappers 提​高​安​全​性​能​”中​有​所​概​述​。​

由​邮​件​的​性​质​决​定​，一​个​袭​击​者​如​果​决​意​要​袭​击​服​务​器​的​话​，他​可​以​比​较​容​易​地​用​大​量​的​邮​件​来​淹​没​服​务​器​从​而​导​致​服​务​中​断​。​如​果​在 /etc/mail/sendmail.mc 中​设​定​一​些​限​制​，那​么​对​服​务​器​进​行​如​此​袭​击​的​成​功​率​就​得​到​了​限​制​。​

千​万​不​要​把​邮​件​假​脱​机​目​录 /var/spool/mail/ 放​在 NFS 共​享​的​容​量​中​。​

因​为 NFSv2 和 NFSv3 对​用​户​和​用​户​组​的​身​份​不​进​行​验​证​，两​个​或​多​个​用​户​有​可​能​会​拥​有​同​样​的 UID，这​样​他​们​就​能​够​接​到​并​阅​读​所​有​寄​给​他​们​中​任​何​一​个​的​邮​件​。​

为​了​防​止​本​地​用​户​过​渡​使​用 Sendmail 服​务​器​，邮​件​用​户​最​好​是​只​通​过​邮​件​程​序​访​问 Sendmail 服​务​器​。​在​邮​件​服​务​器​上​不​应​该​允​许 shell 帐​户​，所​有 /etc/passwd文​件​中​的​用​户 shell 都​应​该​设​定​到 /sbin/nologin 下​（根​用​户​有​可​能​作​为​例​外​）。​

每​个​支​持 PAM 的​应​用​程​序​或 服​务​ 都​在 /etc/pam.d/ 目​录​中​有​一​个​相​应​的​文​件​。​而​这​个​目​录​中​的​每​个​文​件​的​名​称​与​它​们​所​控​制​访​问​的​服​务​名​称​相​同​。​

支​持 PAM 的​应​用​程​序​需​要​定​义​它​们​的​服​务​名​并​在 /etc/pam.d/ 目​录​中​安​装​它​们​自​己​的 PAM 配​置​文​件​。​例​如​，login 程​序​定​义​了​它​的​服​务​名​为 login 并​安​装 /etc/pam.d/login PAM 配​置​文​件​。​

当​前​有​四​类​可​用​的 PAM 模​块​接​口​。​每​类​接​口​分​别​代​表​了​用​户​身​份​验​证​的​不​同​方​面​：

在​一​个 PAM 配​置​文​件​中​，模​块​接​口​是​第​一​个​定​义​的​项​。​一​般​的​配​置​文​件​都​会​有​与​以​下​形​式​类​似​的​行​：

auth        required        pam_unix.so

它​告​诉 PAM 使​用 pam_unix.so 模​块​的 auth 接​口​。​

[root@MyServer ~]# cat /etc/pam.d/reboot
#%PAM-1.0
auth        sufficient        pam_rootok.so
auth        required        pam_console.so
#auth        include        system-auth
account        required        pam_permit.so

所​有​的 PAM 模​块​在​被​调​用​后​都​会​产​生​一​个​成​功​或​失​败​的​结​果​。​控​制​标​识​旗​会​指​示 PAM 根​据​结​果​下​一​步​怎​么​办​。​模​块​可​以​以​特​定​的​顺​序​进​行​堆​积​排​列​，控​制​标​识​旗​决​定​一​个​特​定​模​块​对​用​户​验​证​成​功​或​失​败​整​个​过​程​的​重​要​性​。​

有​四​个​预​先​定​义​好​的​控​制​标​识​旗​：

PAM 现​在​可​使​用​一​个​更​新​的​、​可​以​进​行​更​准​确​控​制​的​控​制​标​识​旗​语​法​。​

pam.d man page 和 PAM 的​文​件​编​辑​位​于 /usr/share/doc/pam-<version-number>/ 目​录​下​，其​中​的 <version-number> 是​你​系​统​上​的 PAM 的​版​本​号​，这​里​相​信​描​述​了​这​个​更​新​的​语​法​。​

模​块​名​为 PAM 提​供​了​包​括​特​定​模​块​界​面​的​可​插​入​模​块​的​名​称​。​在​较​老​版​本​的 红帽企业 Linux 中​，PAM 配​置​文​件​包​括​模​块​的​完​全​路​径​。​但​是​，自​从​使​用​了 multilib 系​统​（它​把​64位​的 PAM 模​块​存​储​在 /lib64/security/ 中​），目​录​名​就​可​以​被​省​略​，应​用​程​序​会​被​连​接​到​适​当​的 libpam 版​本​，它​可​以​定​位​这​个​模​块​的​正​确​版​本​。​

在​为​一​些​模​块​进​行​验​证​时​，PAM 使​用​参​数​来​把​信​息​传​递​给​一​个​可​插​入​模​块​。​

例​如​，pam_userdb.so 模​块​使​用​存​储​在​一​个 Berkeley DB 文​件​中​的​信​息​来​验​证​用​户​。​Berkeley DB 是​一​个​开​源​的​数​据​库​系​统​，被​内​置​于​许​多​应​用​程​序​中​。​这​个​模​块​使​用​一​个 db 参​数​，从​而​使 Berkeley DB 知​道​所​请​求​的​服​务​使​用​哪​个​数​据​库​。​

以​下​是​在​一​个 PAM 配​置​中​一​个​典​型​的 pam_userdb.so 行​。​<path-to-file> 是​到 Berkeley DB 数​据​库​文​件​的​完​全​路​径​：

auth        required        pam_userdb.so db=<path-to-file>

无​效​的​参​数 通​常​ 会​被​忽​略​，它​不​会​影​响​到 PAM 模​块​验​证​的​结​果​。​但​在​一​些​模​块​中​，无​效​的​参​数​可​能​会​导​致​模​块​验​证​失​败​。​多​数​模​块​都​会​把​错​误​写​入 /var/log/secure 文​件​。​

关​闭​一​个​时​间​戳​处​于​活​动​状​态​下​的 PAM 的​控​制​台​前​，最​好​销​毁​时​间​戳​文​件​。​要​在​图​形​化​环​境​中​执​行​这​个​任​务​，点​击​面​板​中​的​验​证​图​标​。​一​个​对​话​框​会​出​现​，点​击 Forget Authorization 来​销​毁​活​动​的​时​间​戳​文​件​。​

验​证​取​消​对​话​框​的​实​例​。​

图 3.2. 取​消​验​证​对​话​框​

在​处​理 PAM 时​间​戳​文​件​时​应​注​意​以​下​问​题​：

请​参​阅 pam_timestamp_check man page 来​获​得​更​多​关​于​使​用 pam_timestamp_check 来​销​毁​时​间​戳​文​件​的​信​息​。​

pam_timestamp.so 模​块​可​接​受​多​个​命​令​。​以​下​是​两​个​最​常​用​的​选​项​：

请​参​阅 第 3.2.8.1 节 “安​装​的​文​件​编​辑​程​序​（Installed Documentation）” 来​获​得​更​多​关​于​控​制 pam_timestamp.so 模​块​的​信​息​。​

当​一​个​用​户​登​录​到​一​个 红帽企业 Linux 系​统​时​，pam_console.so 模​块​会​被 login 或​图​形​化​的​登​录​程​序​（gdm、​kdm 和 xdm）调​用​。​如​果​这​个​用​户​是​第​一​个​通​过​物​理​控​制​台​登​录​的​用​户 — 称​为 控​制​台​用​户​ — 模​块​会​把​一​些​通​常​的​拥​有​者​是​根​用​户​的​设​备​的​所​有​权​分​配​给​这​个​用​户​。​这​个​控​制​台​用​户​会​拥​有​这​些​设​备​，直​到​这​个​用​户​的​最​后​一​个​本​地​会​话​结​束​。​在​这​个​用​户​退​出​系​统​后​，这​些​设​备​的​拥​有​者​身​份​则​被​交​回​给​根​用​户​。​

这​些​设​备​包​括​，但​不​限​于​，声​卡​、​软​驱​和 CD-ROM 驱​动​器​。​

这​个​设​施​允​许​一​个​本​地​用​户​在​不​需​要​获​得​根​权​限​的​情​况​下​来​使​用​这​些​设​备​，因​此​可​以​简​化​控​制​台​用​户​完​成​一​些​常​用​任​务​的​程​序​。​

你​可​以​通​过​编​辑​以​下​文​件​来​修​改​由 pam_console.so 控​制​的​设​备​列​表​：

你​可​以​修​改​在​以​上​文​件​中​列​出​的​不​同​设​备​的​访​问​权​限​，或​覆​盖​已​经​指​定​的​默​认​设​置​。​你​应​该​创​建​一​个​新​文​件​（如 xx-name.perms）并​输​入​需​要​修​改​的​值​，而​不​是​修​改 50-default.perms 文​件​。​新​的​默​认​文​件​的​文​件​名​必​须​以​一​个​大​于 50 的​数​值​开​始​，如 51-default.perms。​这​样​会​覆​盖 50-default.perms 文​件​的​默​认​值​。​

<console>=tty[0-9][0-9]* vc/[0-9][0-9]* :0\.[0-9] :0 
<xconsole>=:0\.[0-9] :0

<console>=tty[0-9][0-9]* vc/[0-9][0-9]*

该​控​制​台​用​户​也​可​以​使​用​一​些 /etc/security/console.apps/ 目​录​下​为​用​户​配​置​的​程​序​。​

这​个​目​录​中​包​括​允​许​控​制​台​用​户​使​用 /sbin 和 /usr/sbin 中​的​某​些​应​用​程​序​的​配​置​文​件​。​

这​些​配​置​文​件​和​它​们​所​设​置​的​应​用​程​序​享​有​相​同​名​称​。​

控​制​台​用​户​可​以​使​用​的​一​组​重​要​应​用​程​序​程​序​包​括​三​个​可​以​用​来​关​闭​或​重​新​启​动​系​统​的​程​序​：

因​为​这​些​都​是​支​持 PAM 的​应​用​程​序​，因​此​需​要​时​都​可​以​调​用 pam_console.so 模​块​。​

请​参​阅 第 3.2.8.1 节 “安​装​的​文​件​编​辑​程​序​（Installed Documentation）” 来​获​得​更​多​信​息​。​

TCP Wrappers 拥​有​以​下​其​它​网​络​控​制​技​术​不​具​备​的​优​势​：

/etc/hosts.allow 和 /etc/hosts.deny 文​件​的​格​式​是​完​全​相​同​的​。​每​个​规​则​都​必​须​位​于​其​正​确​的​行​位​。​空​行​或​以​井​字​号 (#) 开​始​的​行​会​被​忽​略​。​

每​条​规​则​都​使​用​以​下​基​本​格​式​来​对​网​络​服​务​的​访​问​进​行​控​制​：

<daemon list>: <client list> [: <option>: <option>: ...]

下​面​是​一​个​基​本​的​主​机​访​问​规​则​示​例​：

vsftpd : .example.com

这​条​规​则​指​示 TCP Wrappers 监​测​在 example.com 域​内​的​任​何​主​机​要​向 FTP 守​护​进​程​（vsftpd）发​出​的​连​接​。​如​果​这​条​规​则​出​现​在 hosts.allow 中​，连​接​则​被​接​受​。​如​果​这​条​规​则​出​现​在 hosts.deny 中​，连​接​则​被​拒​绝​。​

下​面​的​主​机​访​问​规​则​比​较​复​杂​，而​且​使​用​两​个​选​项​领​域​：

sshd : .example.com  \ : spawn /bin/echo `/bin/date` access denied>>/var/log/sshd.log \ : deny

请​注​意​每​个​选​项​领​域​前​面​都​有​反​斜​线​（\）。​使​用​反​斜​线​可​以​防​止​由​于​规​则​太​长​而​造​成​失​败​。​

这​个​范​例​规​则​规​定​如​果 example.com 中​的​某​个​主​机​试​图​向 SSH 守​护​进​程​（sshd）发​出​连​接​请​求​，那​么​执​行 echo 命​令​来​将​这​次​尝​试​添​加​到​一​个​专​用​日​志​文​件​里​，并​且​拒​绝​该​连​接​。​因​为​使​用​了​命​令​选​项 deny，这​一​行​拒​绝​访​问​，即​使​它​出​现​在 hosts.allow 文​件​里​。​请​参​阅 第 3.3.2.2 节 “选​项​领​域 ” 来​获​得​关​于​各​种​可​选​选​项​更​详​细​的​信​息​。​

ALL: .example.com EXCEPT cracker.example.com

ALL EXCEPT vsftpd: 192.168.0.

除​了​允​许​和​拒​绝​访​问​的​基​本​规​则​外​，红帽企业 Linux 对 TCP Wrappers 的​实​施​支​持​通​过 option fields 对​访​问​控​制​语​言​的​扩​展​式​。​通​过​在​主​机​访​问​规​则​中​使​用​选​项​领​域​，系​统​管​理​员​可​以​完​成​多​种​不​同​的​任​务​，比​如​像​修​改​日​志​动​作​、​加​强​访​问​控​制​以​及​发​出 shell 命​令​。​

sshd : .example.com : severity emerg

sshd : .example.com : severity local0.alert

sshd : client-1.example.com : allow
sshd : client-2.example.com : deny

sshd : .example.com  \
        : spawn /bin/echo `/bin/date` access denied to %h>>/var/log/sshd.log \
        : deny

vsftpd : .example.com \
: twist /bin/echo "421 %h has been banned from this server!"

/etc/xinetd.conf 文​件​包​含​一​般​的​配​置​设​定​，这​种​设​定​影​响 xinetd 控​制​下​的​每​一​项​服​务​。​当 xinetd 服​务​第​一​次​启​动​时​，其​设​定​信​息​就​被​读​取​，所​以​要​想​使​改​变​后​的​配​置​起​作​用​，你​需​要​重​新​启​动 xinetd 服​务​。​下​面​是​一​个 /etc/xinetd.conf 文​件​的​示​范​：

defaults
{
         instances               = 60        
         log_type                = SYSLOG        authpriv
         log_on_success          = HOST PID
         log_on_failure          = HOST
         cps                     = 25 30
}
includedir /etc/xinetd.d

这​些​行​控​制 xinetd 以​下​的​各​个​方​面​：

/etc/xinetd.d/ 目​录​含​有 xinetd 管​理​下​的​每​一​项​服​务​的​配​置​文​件​以​及​与​该​服​务​相​关​连​的​各​文​件​的​名​称​。​就 xinetd.conf 来​说​，该​目​录​只​有​当 xinetd 服​务​启​动​时​才​被​读​取​。​要​使​改​变​的​配​置​起​作​用​，系​统​管​理​员​必​须​重​新​启​动 xinetd 服​务​。​

/etc/xinetd.d/ 目​录​下​的​文​件​格​式​使​用​与 /etc/xinetd.conf 相​同​的​常​规​格​式​。​各​项​服​务​的​配​置​都​储​存​在​一​个​独​立​的​文​件​中​，其​主​要​原​因​是​这​样​做​使​得​个​性​化​定​制​更​容​易​一​些​，一​项​服​务​影​响​其​它​服​务​的​可​能​性​也​更​小​一​些​。​

要​想​了​解​这​些​文​件​是​如​何​组​构​在​一​起​的​，请​参​考 /etc/xinetd.d/krb5-telnet 文​件​：

service telnet
{
         flags           = REUSE
         socket_type     = stream
         wait            = no
         user            = root
         server          = /usr/kerberos/sbin/telnetd
         log_on_failure  += USERID
         disable         = yes
}

这​些​行​控​制 telnet 服​务​的​多​个​不​同​侧​面​：

请​参​阅 xinetd.conf man page 来​获​取​关​于​这​些​选​项​及​其​用​途​的​更​多​信​息​。​

对​于​由 xinetd 保​护​的​各​项​服​务​，有​一​系​列​的​命​令​可​以​使​用​。​这​一​部​分​突​出​讨​论​一​些​比​较​常​用​的​选​项​。​

service telnet
{
         disable         = no
         flags           = REUSE
         socket_type     = stream
         wait            = no
         user            = root
         server          = /usr/kerberos/sbin/telnetd
         log_on_failure  += USERID
         no_access       = 172.16.45.0/24
         log_on_success  += PID HOST EXIT
         access_times    = 09:45-16:15
}

连接由外连主机关闭。

Sep  7 14:58:33 localhost xinetd[5285]: FAIL: telnet address from=172.16.45.107
Sep  7 14:58:33 localhost xinetd[5283]: START: telnet pid=5285 from=172.16.45.107
Sep  7 14:58:33 localhost xinetd[5283]: EXIT: telnet status=0 pid=5285 duration=0(sec)

service telnet
{
         socket_type                = stream
         wait                        = no
         server                        = /usr/kerberos/sbin/telnetd
         log_on_success                += DURATION USERID
         log_on_failure                += USERID
         bind                    = 123.123.123.123
         redirect                = 10.0.1.13 23
}

要​寻​找​其​它​的 TCP Wrappers、​xinetd 和​访​问​控​制​的​配​置​选​项​，从​你​系​统​上​的​文​档​开​始​找​起​是​一​个​很​好​的​注​意​。​

主​机​到​主​机​的 IPsec 连​接​是​一​种​两​个​系​统​之​间​的​加​密​连​接​，双​方​都​运​行​带​有​同​样​验​证​密​码​的 IPsec。 IPsec 连​接​激​活​后​，两​个​主​机​之​间​的​任​何​网​络​业​务​都​以​加​密​形​式​进​行​。​

要​配​置​一​个​主​机​到​主​机​的 IPsec 连​接​，在​每​个​主​机​上​都​进​行​以​下​步​骤​：

配​置​好​ IPsec连​接​之​后​，就​会​在 IPsec列​表​中​显​示​出​来​，跟 图 3.4 “IPsec 连​接​” 中​显​示​的​一​样​。​

IPsec 连​接​

图 3.4. IPsec 连​接​

当 IPsec 连​接​配​置​好​后​，就​创​建​了​下​面​的​文​件​：

如​果​选​择​了​自​动​加​密​的​话​，/etc/racoon/racoon.conf 文​件​也​同​时​被​创​建​。​

界​面​呈​现​出​来​时​，/etc/racoon/racoon.conf 被​修​改​，增​加​了 <remote-ip>.conf。​

建​立​连​接​的​第​一​步​是​从​各​工​作​站​收​集​系​统​和​网​络​的​信​息​。​要​建​立​主​机​到​主​机​连​接​，你​需​要​下​列​信​息​：

例​如​，假​设​工​作​站 A 和​工​作​站 B 想​通​过 IPsec 隧​道​建​立​相​互​的​连​接​。​这​两​个​工​作​站​要​用​一​个​事​先​选​好​的​共​享​密​码​即​Key_Value01 进​行​连​接​，而​且​用​户​们​同​意​让​racoon 自​动​生​成​一​个​主​机​之​间​共​享​的​验​证​密​码​。​连​接​双​方​决​定​以 ipsec1 来​命​名​这​一​连​接​。​

下​面​是 IPsec 为​工​作​站 A 与​工​作​站 B 进​行​主​机​到​主​机​IPsec 连​接​的​配​置​文​件​。​这​个​例​子​中​识​别​该​连​接​的​独​一​无​二​的​名​称​是 ipsec1，因​此​该​连​接​合​成​的​文​件​名​是 /etc/sysconfig/network-scripts/ifcfg-ipsec1。​

DST=X.X.X.X
TYPE=IPSEC
ONBOOT=no
IKE_METHOD=PSK

对​工​作​站 A 来​说​，X.X.X.X 是​工​作​站 B 的 IP 地​址​。​对​工​作​站​B 来​说​，X.X.X.X 是​工​作​站 A 的 IP 地​址​。​这​一​连​接​的​设​定​不​是​在​启​动​（ONBOOT=no）时​就​启​动​该​连​接​，而​是​要​使​用​事​先​选​好​的​共​享​验​证​密​码​方​式​（IKE_METHOD=PSK）进​行​连​接​。​

下​面​是​关​于​事​先​选​好​的​共​享​验​证​密​码​的​文​件​内​容​（叫 /etc/sysconfig/network-scripts/keys-ipsec1），两​个​工​作​站​都​需​要​验​证​相​互​的​身​份​。​这​个​文​件​的​内​容​在​两​个​工​作​站​处​应​该​是​完​全​一​致​的​，而​且​应​该​只​有​根​用​户​才​有​读​取​和​写​入​该​文​件​的​权​限​。​

IKE_PSK=Key_Value01

[root@myServer ~] # chmod 600 /etc/sysconfig/network-scripts/keys-ipsec1

任​何​时​候​如​果​需​要​修​改​验​证​密​码​，两​个​工​作​站​都​应​通​过​编​辑 keys-ipsec1 文​件​来​实​现​。​要​使​连​接​正​常​运​行​，双​方​的​验​证​密​码​必​须​完​全​一​样​。​

接​下​来​的​例​子​显​示​连​接​到​远​程​主​机​时​第​一​阶​段​的​具​体​配​置​。​该​文​件​叫 X.X.X.X.conf，其​中​X.X.X.X 是 IPsec 连​接​中​远​程​主​机​的​IP 地​址​。​注​意​这​个​文​件​是​在 IPsec 隧​道​被​激​活​时​自​动​生​成​的​，而​且​应​该​无​法​直​接​对​它​进​行​编​辑​。​

remote X.X.X.X
{
         exchange_mode aggressive, main;
         my_identifier address;
         proposal {
                 encryption_algorithm 3des;
                hash_algorithm sha1;
                authentication_method pre_shared_key;
                dh_group 2 ;
        }
}

默​认​情​况​下​，当 IPsec 连​接​启​动​时​第​一​阶​段​配​置​文​件​含​有 红帽企业 Linux 使​用​的​和​由 IPsec 实​现​的​下​列​声​明​：

# Racoon IKE daemon configuration file.
# See 'man racoon.conf' for a description of the format and entries.

path include "/etc/racoon";
path pre_shared_key "/etc/racoon/psk.txt";
path certificate "/etc/racoon/certs";

sainfo anonymous
{
        pfs_group 2;
        lifetime time 1 hour ;
        encryption_algorithm 3des, blowfish 448, rijndael ;
        authentication_algorithm hmac_sha1, hmac_md5 ;
        compression_algorithm deflate ;
}
include "/etc/racoon/X.X.X.X.conf";

[root@myServer ~]# /sbin/ifup <nickname>

[root@myServer ~]# tcpdump -n -i eth0 host <targetSystem>

IP 172.16.45.107 
> 172.16.44.192: AH(spi=0x0954ccb6,seq=0xbb): ESP(spi=0x0c9f2164,seq=0xbb)

一​个​网​络​到​网​络 IPsec 连​接​要​用​两​个 IPsec 路​由​器​，一​个​网​络​一​个​，专​用​分​支​网​络​之​间​的​传​输​就​通​过​这​两​个​路​由​器​建​立​。​

例​如​，正​像 图 3.6 “网​络​到​网​络 IPsec” 显​示​的​一​样​，如​果​192.168.1.0/24 专​用​网​向 192.168.2.0/24 专​用​网​传​输​网​络​业​务​，数​据​包​会​经​网​关 0 （gateway0）到 ipsec0，再​经​因​特​网​到 ipsec1，然​后​到​网​关 1（gateway1），最​后​到​达 192.168.2.0/24 分​支​网​络​。​

IPsec 路​由​器​要​求​有​可​以​公​开​访​问​的 IP 地​址​和​第​二​个​以​太​网​（Ethernet）设​备​连​接​到​相​应​的​专​用​网​上​。​网​络​业​务​只​能​通​过​一​个 IPsec 路​由​器​到​另​一​个 IPsec 路​由​器​，而​且​两​个​路​由​器​之​间​的​传​输​连​接​是​加​密​的​。​

网​络​到​网​络 IPsec

图 3.6. 网​络​到​网​络 IPsec

其​它​网​络​配​置​选​项​包​括​在​各​个 IP 路​由​器​和​因​特​网​之​间​设​立​防​火​墙​，也​在​每​个 IPsec 路​由​器​和​分​支​网​络​网​关​之​间​设​立​内​联​网​防​火​墙​。​IPsec 路​由​器​和​分​支​网​络​网​关​可​以​是​同​一​个​系​统​下​的​两​个​以​太​网​（Ethernet）设​备​：一​个​有​可​以​公​开​访​问​的 IP 地​址​，用​作 IPsec 路​由​器​；而​另​一​个​有​专​用 IP 地​址​，用​作​专​用​分​支​网​络​的​网​关​。​每​个 IPsec 路​由​器​可​以​在​其​专​用​分​支​网​内​使​用​网​关​，也​可​以​通​过​公​用​网​关​将​数​据​包​传​送​到​另​一​个 IPsec 路​由​器​。​

用​下​列​步​骤​来​配​置​网​络​到​网​络 IPsec 连​接​：

如​果​必​要​的​话​，激​活 IPsec 连​接​的​网​络​脚​本​会​自​动​生​成​通​过 IPsec 路​由​器​传​输​数​据​包​的​网​络​路​径​。​

假​设 LAN A (lana.example.com) 和 LAN B (lanb.example.com) 要​通​过 IPsec 隧​道​进​行​相​互​的​连​接​。​LAN A 的​网​络​地​址​是 192.168.1.0/24 区​间​，而 LAN B 使​用 192.168.2.0/24 区​间​。​LAN A 的​网​关 IP 地​址​为 192.168.1.254，LAN B 的​网​关 IP 地​址​为​192.168.2.254。​IPsec 各​个​路​由​器​由 LAN 网​关​使​用​两​个​网​络​设​备​（eth0 和 eth1）隔​开​：eth0 被​指​派​给​一​个​可​以​公​开​访​问​的​静​态 IP 地​址​，可​以​连​接​因​特​网​；而 eth1 则​被​用​作​一​个​选​路​点​（routing point）来​处​理​和​传​输​从​一​个​网​络​节​点​到​各​远​程​网​络​节​点​的 LAN 数​据​包​。​

各​网​络​之​间​的 IPsec 连​接​使​用​事​先​选​好​的​共​享​密​钥 r3dh4tl1nux，而​且​系​统​管​理​员 A 和 B 同​意​让 racoon 自​动​生​成​并​共​享​每​个 IPsec 路​由​器​之​间​的​验​证​密​码​。 LAN A 管​理​员​决​定​命​名​该 IPsec 连​接​为 ipsec0，而 LAN B 管​理​员​命​名​该 IPsec 连​接​为 ipsec1。​

下​面​的​例​子​显​示 LAN A 的​网​络​到​网​络 IPsec 连​接​的 ifcfg 文​件​的​内​容​。​本​例​中​识​别​该​连​接​的​独​特​名​称​为​ipsec0，所​以​合​成​的​文​件​叫​作 /etc/sysconfig/network-scripts/ifcfg-ipsec0。​

TYPE=IPSEC
ONBOOT=yes
IKE_METHOD=PSK
SRCGW=192.168.1.254
DSTGW=192.168.2.254
SRCNET=192.168.1.0/24
DSTNET=192.168.2.0/24
DST=X.X.X.X

下​面​的​列​表​描​述​该​文​件​的​内​容​：

下​面​的​例​子​是​事​先​选​好​的​共​享​密​钥​文​件​的​内​容​，该​文​件​叫 /etc/sysconfig/network-scripts/keys-ipsecX （其​中 X 对 LAN A 来​说​是 0, 对 LAN B 来​说​是 1）。​A 和 B 两​个​网​络​都​用​这​个​密​钥​来​相​互​验​证​，而​且​这​个​文​件​的​内​容​在 A 和 B 处​应​该​完​全​一​致​，只​有​根​用​户​才​有​读​取​和​写​入​的​权​限​。​

IKE_PSK=r3dh4tl1nux

chmod 600 /etc/sysconfig/network-scripts/keys-ipsec1

任​何​时​候​需​要​修​改​验​证​密​码​，请​在 IPsec 的​两​个​路​由​器​上​编​辑 keys-ipsecX 文​件​，要​使​连​接​正​常​运​转​，两​个​密​钥​必​须​完​全​一​致​。​

下​面​的​例​子​显​示 IPsec 连​接​的 /etc/racoon/racoon.conf 配​置​文​件​内​容​。​注​意​该​文​件​的​最​下​面​一​行​即 include 是​自​动​生​成​的​，而​且​只​有​在 IPsec 隧​道​运​行​时​才​显​示​。​

# Racoon IKE daemon configuration file.
# See 'man racoon.conf' for a description of the format and entries.
path include "/etc/racoon";
path pre_shared_key "/etc/racoon/psk.txt";
path certificate "/etc/racoon/certs";
  
sainfo anonymous
{
        pfs_group 2;
        lifetime time 1 hour ;
        encryption_algorithm 3des, blowfish 448, rijndael ;
        authentication_algorithm hmac_sha1, hmac_md5 ;
        compression_algorithm deflate ;
}
include "/etc/racoon/X.X.X.X.conf"

下​面​是​连​接​到​远​程​网​络​的​具​体​配​置​，该​文​件​叫​作 X.X.X.X.conf （其​中 X.X.X.X 是​远​程 IPsec 路​由​器​的 IP 地​址​）。​注​意​该​文​件​是 IPsec 隧​道​被​激​活​时​自​动​生​成​的​，而​且​无​法​直​接​对​其​进​行​编​辑​。​

remote X.X.X.X
{
        exchange_mode aggressive, main;
        my_identifier address;
        proposal {
                encryption_algorithm 3des;
                hash_algorithm sha1;
                authentication_method pre_shared_key;
                dh_group 2 ;
        }
}

在​启​动 IPsec 连​接​之​前​，内​核​中 IP 转​发​功​能​应​该​被​启​动​。​要​启​动 IP 转​发​功​能​，请​：

要​启​动 IPsec 连​接​，请​在​各​个​路​由​器​上​使​用​下​面​的​命​令​：

[root@myServer ~] # /sbin/ifup ipsec0

连​接​被​激​活​，LAN A 和 LAN B 便​可​以​相​互​交​流​了​，因​为​在 IPsec 连​接​上​运​行 ifup 时​路​径​就​通​过​初​始​化​脚​本​被​自​动​生​成​。​要​想​显​示​该​网​络​的​路​径​列​表​，请​用​下​面​的​命​令​：

[root@myServer ~] # /sbin/ip route list

要​测​试 IPsec 连​接​，在​外​选​路​（externally-routable ）设​备​（这​个​例​子​里​即 eth0）上​运​行 tcpdump 程​序​来​查​看​网​络​数​据​包​在​主​机​（网​络​）之​间​的​传​输​，以​及​验​证​其​传​输​是​通​过 IPsec 加​密​的​。​例​如​，要​检​查 LAN A 的 IPsec 连​通​性​，使​用​下​面​的​命​令​：

[root@myServer ~] # tcpdump -n -i eth0 host lana.example.com

这​个​数​据​包​应​该​包​括​一​个 AH 主​题​，并​显​示​为 ESP 数​据​包​，其​中​，ESP 意​味​着​是​加​密​的​。​例​如​，（／表​示​一​行​的​继​续​）：

12:24:26.155529 lanb.example.com > lana.example.com: AH(spi=0x021c9834,seq=0x358): \
        lanb.example.com > lana.example.com: ESP(spi=0x00c887ad,seq=0x358) (DF) \
        (ipip-proto-4)

多​数 iptables 命​令​都​具​有​以​下​结​构​：

 iptables [-t <table-name>] <command><chain-name> \ <parameter-1><option-1> \ <parameter-n><option-n>

<table-name> — 指​定​这​个​规​则​所​应​用​的​规​则​表​。​如​果​没​有​使​用​这​个​选​项​，filter 规​则​表​则​被​使​用​。​

<command> — 指​定​要​执​行​的​行​动​，如​添​加​或​删​除​一​条​规​则​。​

<chain-name> — 指​定​编​辑​、​创​建​或​删​除​的 chain。​

<parameter>-<option> — 指​定​如​何​处​理​符​合​这​个​规​则​的​数​据​包​的​参​数​和​相​关​的​选​项​。​

根​据​目​的​的​不​同​，一​个 iptables 命​令​的​长​度​和​复​杂​程​度​会​有​很​大​不​同​。​

例​如​，从​一​个 chain 中​删​除​一​条​规​则​的​命​令​可​能​会​很​短​：

iptables -D <chain-name> <line-number>

相​反​的​，添​加​一​条​特​定​情​况​的​数​据​包​规​则​的​命​令​可​能​会​很​长​。​当​编​写 iptables 命​令​时​，一​些​参​数​和​选​项​可​能​还​会​需​要​其​它​的​参​数​和​选​项​。​

输​入 iptables -h 可​以​查​看 iptables 命​令​结​构​的​完​整​列​表​。​

命​令​选​项​告​诉 iptables 来​执​行​一​个​特​定​的​行​动​。​每​个 iptables 命​令​只​允​许​使​用​一​个​命​令​选​项​。​除​了​帮​助​命​令​，其​它​所​有​命​令​都​使​用​大​写​字​符​。​

iptables 命​令​包​括​：

一​些 iptables 命​令​（包​括​在​一​个​特​定 chain 中​添​加​、​追​加​、​删​除​、​插​入​或​替​换​规​则​）需​要​不​同​的​参​数​来​组​成​一​条​数​据​包​过​滤​规​则​。​

不​同​的​网​络​协​议​会​提​供​不​同​的​匹​配​选​项​，它​们​可​以​被​配​置​来​匹​配​使​用​这​个​协​议​的​特​定​的​数​据​包​。​但​是​，这​个​协​议​必​须​先​在 iptables 命​令​中​被​指​定​。​例​如​，-p <protocol-name> 启​用​了​指​定​协​议​的​选​项​。​请​注​意​，您​也​可​以​使​用​协​议 ID 来​代​替​协​议​名​。​请​参​照​以​下​的​实​例​，它​们​有​相​同​的​效​果​：

 iptables -A INPUT -p icmp --icmp-type any -j ACCEPT  iptables -A INPUT -p 5813 --icmp-type any -j ACCEPT 

/etc/services 文​件​包​括​了​服​务​的​定​义​。​为​了​阅​读​方​便​，建​议​您​使​用​服​务​名​，而​不​使​用​端​口​号​。​

 [root@myServer ~]# chown root.root /etc/services [root@myServer ~]# chmod 0644 /etc/services [root@myServer ~]# chattr +i /etc/services 

当​一​个​数​据​包​与​一​个​特​定​的​规​则​相​匹​配​时​，这​条​规​则​可​以​把​这​个​数​据​包​重​新​定​向​到​不​同​的 target 中​，由​这​些 target 来​决​定​对​这​个​数​据​包​采​取​什​么​行​动​。​每​个 chain 都​有​一​个​默​认​的 target，它​在​数​据​包​与​这​个 chain 中​的​任​何​规​则​都​不​匹​配​，或​所​匹​配​的​规​则​都​没​有​指​定 target 时​使​用​。​

以​下​是​标​准​的 target：

另​外​，可​用​的​扩​展​还​允​许​指​定​其​它 target。​这​些​扩​展​被​称​为​调​用​的 target 模​块​或​匹​配​模​块​，其​中​的​大​多​数​只​适​用​于​特​定​的​规​则​表​和​特​殊​的​情​况​。​请​参​阅​第 3.5.3.4.4 节 “额​外​的​匹​配​选​项​模​块​”来​获​得​更​多​关​于​匹​配​选​项​模​块​的​信​息​。​

扩​展​的 target 模​块​中​的​大​多​数​只​适​用​于​特​定​的​规​则​表​或​特​殊​的​情​况​。​红帽企业 Linux 默​认​包​括​的​最​常​用​的 target 模​块​是​：

另​外​，您​还​可​以​在 iptables 说​明​书​页​中​获​得​其​它 target 扩​展​的​信​息​。​

默​认​的​列​出​命​令​，iptables -L [<chain-name>]，可​以​显​示​默​认​过​滤​规​则​表​当​前 chain 的​基​本​信​息​。​其​它​选​项​可​以​提​供​更​详​细​的​信​息​：

以​下​实​例​显​示​了​使​用​这​些​选​项​的​结​果​。​请​注​意​在​使​用 -x 选​项​时​字​节​数​的​不​同​。​

 [root@myserver ~]# iptables -L OUTPUT -v -n -x Chain OUTPUT (policy ACCEPT 64005 packets, 6445791 bytes) pkts bytes target prot opt in out source destination 1593 133812 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 [root@myserver ~]#iptables -L OUTPUT -v -n Chain OUTPUT (policy ACCEPT 64783 packets, 6492K bytes) pkts bytes target prot opt in out source destination 1819 153K ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 [root@myserver ~]# 

iptables 初​始​脚​本​是​由 /etc/sysconfig/iptables-config 配​置​文​件​所​控​制​的​。​以​下​是​包​括​在​这​个​文​件​中​的​项​的​列​表​：

/selinux/ 伪​文​件​系​统​包​括​内​核​子​系​统​最​常​使​用​的​各​种​命​令​。​这​个​类​型​的​文​件​系​统​与 /proc/ 伪​文​件​系​统​非​常​相​似​。​

系​统​管​理​员​和​用​户​通​常​不​需​要​直​接​操​作​这​个​部​件​。​

以​下​实​例​显​示​一​个 /selinux/ 目​录​的​示​范​内​容​：

-rw-rw-rw-  1 root root 0 Sep 22 13:14 access
dr-xr-xr-x  1 root root 0 Sep 22 13:14 booleans
--w-------  1 root root 0 Sep 22 13:14 commit_pending_bools
-rw-rw-rw-  1 root root 0 Sep 22 13:14 context
-rw-rw-rw-  1 root root 0 Sep 22 13:14 create
--w-------  1 root root 0 Sep 22 13:14 disable
-rw-r--r--  1 root root 0 Sep 22 13:14 enforce
-rw-------  1 root root 0 Sep 22 13:14 load
-r--r--r--  1 root root 0 Sep 22 13:14 mls
-r--r--r--  1 root root 0 Sep 22 13:14 policyvers
-rw-rw-rw-  1 root root 0 Sep 22 13:14 relabel
-rw-rw-rw-  1 root root 0 Sep 22 13:14 user

例​如​，对 enforce 文​件​运​行 cat 命​令​会​显​示​一​个 1（强​制​模​式​）或 0（容​许​模​式​）。​

以​下​章​节​描​述 SELinux 配​置​和​政​策​文​件​，以​及​在 /etc/ 目​录​中​相​关​的​各​种​文​件​系​统​。​

-rw-r--r--  1 root root  448 Sep 22 17:34 config
drwxr-xr-x  5 root root 4096 Sep 22 17:27 strict
drwxr-xr-x  5 root root 4096 Sep 22 17:28 targeted

以​下​是​常​用​的 SELinux 工​具​程​序​：

请​参​阅​这​些​工​具​程​序​相​关​的​说​明​书​页​来​获​得​更​详​细​的​信​息​。​

请​参​阅 setools 或 policycoreutils 软​件​包​内​容​来​获​得​所​有​可​用​的​二​进​制​工​具​程​序​的​详​细​信​息​。​要​想​查​看​一​个​软​件​包​的​内​容​，使​用​以​下​命​令​：

rpm -ql <package-name>