27、网络服务安全与配置全解析

网络服务安全与配置全解析

1. tcpd访问控制工具

在网络环境中，开放计算机的网络访问权限会带来诸多安全风险。一些应用程序虽然设计了安全防护机制，但可能存在缺陷，例如RTM互联网蠕虫就利用了包括旧版本sendmail邮件守护进程在内的多个程序漏洞进行攻击。而且，部分安全功能无法区分可接受特定服务请求的安全主机和应拒绝请求的不安全主机。像finger和tftp服务，网络管理员通常希望仅允许“受信任主机”访问，但常规设置难以实现这一点，因为inetd要么为所有客户端提供服务，要么完全不提供。

tcpd是一个用于管理特定主机访问的实用工具，常被称为守护进程“包装器”。对于需要监控或保护的TCP服务，它会替代服务器程序被调用。tcpd会检查远程主机是否被允许使用该服务，只有检查通过后才会执行真正的服务器程序，同时还会将请求记录到syslog守护进程中。不过，tcpd对基于UDP的服务无效。

例如，要包装finger守护进程，需将inetd.conf中相应的行从：

# unwrapped finger daemon
finger
stream tcp nowait bin
/usr/sbin/fingerd in.fingerd

修改为：

# wrap finger daemon
finger
stream
tcp
nowait
root
/usr/sbin/tcpd
in.fingerd

不添加任何访问控制时，对客户端而言，这看起来与常规