TCP/IP网络安全
保护inetd
inetd配置中将很多服务设置为启用,当接收到来自网络的请求时,系统就会提供相应的服务。我们应该注意到,任何接收的网络连接都应该被视为对系统的潜在威胁。
将/etc/inetd.conf中不需要管理的项目注释掉
几乎所有情况下,除了那些明确要提供的(包括那些标记为"internal"的),可以注释掉文件中的所有服务,而不会造成功能上的损失。
对该文件改动后,不必重启linux,只要使用下面的命令重启inetd服务器即可:
killall -HUP inetd
/etc/services文件
/etc/inetd.conf中的文件名来自/etc/services文件。
如果某些连接不需要可以更改其端口号,有时也会改进系统的安全性。这样意味着如果用户要连接到系统必须要知道连接的端口号---这种功能较弱的安全方法通常被认为是较低级的安全(security of obscruity)。
值得注意的是:
/etc/services文件中包含的列表只影响inetd daemon管理的服务。
rdN.d中脚本独立启动的服务有可能不受该文件指定端口的约束。
如果对方使用端口扫描而不是用命令行连接,更改缺省端口并不会起什么作用。
适当使用TCP Wrappers
如果在/etc/inetd.conf文件中没有任何字段指向/usr/sbin/tcpd,而且系统中也没有/usr/sbin/tcpd二进制文件,则系统就没有受到TCP Wrappers的保护,应该立即升级。