关冲剑─禁用基于xinetd的网络服务 & {. d3 v) T; K/ \
本文第一节展示的lsof和netstat的输出结果确认了auth、telnet、vnc等服务是被xinetd互联网络服务进程所执行的。此进程是一个通用的网络进程,它等待那些在选定端口上进入的请求,并执行与那些端口相关联的服务。Xinetd与许多早期Linux和Unix系统中的inetd相似,但xinetd功能有所增强,并且更加安全和灵活。
, I' u& Y/ _ }, H6 K
最初引入到xinetd中的一个特性就是TCP封包。这是一个对终端用户的透明库,但却为系统管理员提供了主机能否访问特定网络及相关服务的详细控制。TCP封包库通过检查/etc/hosts.allow(允许) 和 /etc/hosts.deny(禁止)两个文件是否限制那些在连接建立之前就能访问某个服务的主机。TCP封包被证明是相当有用的,所以现在多数现代Linux系统发行版本,都将所有的网络进程用TCP封包库进行编译,这包括独立的进程(如sshd)和NFS进程(如portmap)。
/ o5 o! ^0 V4 y- F
所有被xinetd管理的进程配置文件位于/etc/xinetd.d目录。在Red Hat Enterprise Linux中,此目录包含如下的文件:
3 C: w# }9 h9 {+ \+ y
5 S7 O" u E/ V o
0 F: T7 e g: q$ i
; [# V. x" k7 D
! Z& I; y& n [, D* i) R此目录中包含的文件是文本文件,这些文件包含了每个相关服务的启动指令。每一个文件都包含着一个登录项,用于确认相关的服务在目标计算机上是否被禁用。为了仔细检查哪一个服务被实际上启用了,可以启用如下的命令:
/ _, W/ Z1 t' s6 J# I6 X. p
7 b. R7 C. `) t/ o
$ i H! {7 `; ?- ?& I( w- O$ V, b- p4 y3 m, @
& n1 T( N, l7 @: E9 ] G! @8 A) T$ u1 H9 }" ]. N" O1 K
# cd /etc/xinetd.d
% z9 h2 X2 b5 K4 w( S3 c* f# grep disable * | grep no
- n3 j( T% \& _: i3 u1 }. ~. a& Iauth: disable = no
/ Y' f% r/ [% b* d/ ^2 Q
krb5-telnet: disable = no
, z2 [% f& D! W' Rvnc: disable = no
5 u8 f. ^" _1 n9 Q6 b) U
你的系统的输出结果可能会与此不同,但应该看起来相似。这显示出auth进程,即telnet进程的Kerberos增强版本,以及vnc服务器都是由于响应进入相关端口的请求启动的。正如我们前面所指明的那样,我们需要禁用telnet 和 vnc服务程序,并修改auth进程的行为。本节只解释前者,下一节讲述修改auth进程的行为。
+ Q, ~! b# G/ }% b5 T, x5 B
为了禁用服务使其不能被xinetd启动,只需在一个文本编辑器中编辑每一个文件,将每一个禁用项的“no”改为“yes”即可。这个控制文件应是在重启后xinetd所管理的目录中唯一的文件。
% }7 J$ M# H7 ]" W下一节讲述如何修改xinetd控制文件,使命令仍可执行但需采用不同的方式。
" v' h% v8 J- v7 t- b少冲剑─修改基于xinetd网络服务的行为
. f5 b3 s' Z% e3 p* H6 ^正如前面所讨论的那样,我们仍想运行auth进程,但需要改变它,从而使其返回数字型的用户标识符而不是暴露出系统中用户的登录名。Auth进程的xinetd控制文件会是如下所示(已将注释除去):
1 j' { H7 |9 k$ e4 s1 V
1 F* q. e. I' G$ P! N/ L: F
1 F3 ^6 [6 V8 C3 r: M+ t
& }7 G& d# l: H
4 T; x y5 M. A
# \8 e# V$ W. s, E: w* [2 E
service auth
5 ?, T; v( B9 ` G/ T7 |{
1 {( z0 Q2 F2 Q! v. P- E9 gdisable = no
& n+ Y* @2 O0 O0 u: F7 A8 isocket_type = stream
; k) [" Q2 u9 F4 Pwait = no
5 l+ M+ d! k7 g2 W* O
user = ident
( {8 p# {! s8 Y/ E1 c# ^
cps = 4096 10
, k% H m- Q4 F) J0 z# sinstances = UNLIMITED
3 X( Y; ^) @+ g( ?6 c
server = /usr/sbin/in.authd
7 Z% E* @) `# @9 }8 g; d6 K% T
server_args = -t60 --xerror --os -E
+ W) ^: {7 b4 {$ K9 K; l! H}
7 J2 Z( q. Y$ u' T在这个例子中,我们只想给authd命令加上-n选项,用户可以用自己喜欢的文本编辑器来这实现这一点,修改后的文件看起来会是如下这个样子:
8 v$ N% W$ h5 k" P: ^+ K
- j; q6 d& M' ~6 t$ D; ?( s( g
! w3 f* x- y X' ~) `4 c2 `$ s9 m* \: f0 ]5 C8 y" e
% d# {- z3 x3 U' l( g4 k2 O, F) x
5 r: p, ^4 Y& Mservice auth
5 ^0 K: f; P4 Q; ^ z/ H: H
{
/ }. a# @9 q6 P' L7 ` u
disable = no
5 J4 U3 S4 P4 u) o, k$ x M$ ksocket_type = stream
" p! S8 P8 ]$ y; C6 ywait = no
( O6 Z# J& q4 p2 O Y; d9 Y5 {5 \. `7 Vuser = ident
8 X( f7 h2 i3 O9 j) B
cps = 4096 10
1 V, e/ s J9 `/ {% |
instances = UNLIMITED
2 e: u5 ~; T. v M- `( K7 q
server = /usr/sbin/in.authd
: \: E1 r, R5 m4 `/ F! s% O
server_args = -n -t60 --xerror --os -E
9 Y" h1 }. l; W; R
}
+ g5 ]) @7 Z. ^. k6 \( s
保存文件之后,下一次运行xinetd时,authd的请求不会再返回和显示用户名,却会返回并显示数字型的用户ID。虽然提供的功能是相同的,但是通过网络暴露的系统信息会更少。
: K7 w. @+ l8 [. |, t( f少泽剑─验证网络服务的改变
3 |7 v" q4 _. q9 D对系统启动过程和可用服务进行改变之后,最好的检查就是重启系统,然后用我们前面使用的同样的命令检查它,来探索其效能。在重启系统之后,lsof命令会显示如下的信息:
u$ Z. ?* Q2 x) l2 K( N. C( U+ g! O% T9 {0 Z# v! [2 T
1 u( \2 M6 f2 z
. t% ^' ]/ V' P+ z+ z; \
' F5 A5 L# O$ i$ {9 R要验证远程系统能怎样看这台样本计算机,只需在远程计算机上,使用nmap来确认只有更加有限的服务对其它计算机是可用的。
; a4 R8 ?4 l/ \ V1 x: C" w0 {
$ s* X7 H" c9 ~- h7 v
; `& H, e. \0 T7 |5 p
) d! F! m) ?0 ]0 _( Z J d: G% y+ q' i& M+ Q; a
这就确认了样本系统对外暴露的程度很小。减少特定系统的可用服务也会带来额外的好处,也就是将服务需要的内存返回到系统自身可用的内存中。
, Q5 {* l" E5 d8 n; O& r- a总结 9 j, Z# r5 U9 `* _ Q
你可以采用的确保网络系统安全的最重大的步骤就是减少打开的端口和系统默认的网络可用服务。本文提供了一些例子,用以清除那些非必要的但却作为启动过程一部分的服务,也清除了那些被计算机上其它进程(如xinetd)所管理的服务。
) z: Q% }4 f2 E5 W5 x/ h/ p
