hpux 系统远程访问的保护

回复 收藏
hpux保护对系统的远程访问

   这里主要讨论inetd守护程序

一、inetd 守护程序

Internet 守护程序 /usr/sbin/inetd 是许多 Internet Services 的主服务器。在引导过程中,inetd 守护程序通常是由 /sbin/init.d/inetd 脚本自动启动的。inetd 守护程序监视对 /etc/inetd.conf 配置文件中列出的服务的连接请求,同时该守护程序在接收到请求的时候产生相应的服务器。inetd 守护程序在连接完成之前确定是否允许来自主机的 telnet 连接。允许或者拒绝访问的主机信息保存在 /var/adm/inetd.sec 文件中。
inetd 守护程序的工作方式如下:
1. 系统引导过程中,在运行级别 2 启动(如果以下命令在系统启动脚本中:/sbin/init.d/inetd start)。
2. 则请检查 /etc/inetd.conf 以确定提供哪些服务。
3. 检查 /etc/services 以确定对哪个端口监视在 /etc/inetd.conf 中列出的服务。/etc/services 文件将服务名称映射到端口号。
4. 接收来自客户端的 Internet Services 连接请求。例如,运行 telnet。
5. 请查阅 /var/adm/inetd.sec 以确定是否允许客户端访问。
6. 如果启用了日志记录,则将请求记录在 /var/adm/syslog/syslog.log 中。
7. 如果 inetd 由于安全原因拒绝连接,则连接将被关闭。
8. 如果连接请求有效,则 inetd 会启动一个服务器进程来处理有效的连接请求。除了 inetd之外,服务器进程还可以具有其他安全功能。

二、 保护 inetd
/etc/inetd.conf 文件是 inetd 配置文件,该文件列出了 inetd 守护程序可以启动的服务。在 /etc/inetd.conf 中列出的每个服务也都必须出现在 /etc/services 文件中。/etc/services 文件将服务名称映射到端口号。每个端口号都有一个相关的协议名称,例如 tcp 或udp。协议的每个条目必须在 /etc/protocols 文件中有一个与之匹配的条目。
下列建议可以使 inetd 更加安全:
• 启用 /etc/rc.config.d/netdaemons 中的 inetd 登录。
• 查看 /etc/inetd.conf 和 /etc/services 中的更改。未经授权的用户可能获得超级用户访问权限从而修改了 /etc/services 和 /etc/inetd.conf 文件。
• 在 /etc/inetd.conf 中注释掉不需要的服务,例如 finger。
• 在 /etc/inetd.conf 中注释掉远程过程调用 (RPC)。
• 在 /etc/inetd.conf 中注释掉 inetd“内部日常”服务,以避免拒绝服务攻击。

三、 使用 /var/adm/inetd.sec 拒绝或允许访问
除配置 /etc/inetd.conf 文件外,还可以配置一个称为 /var/adm/inetd.sec 的可选安全文件,以限制对 inetd 启动的服务的访问。/var/adm/inetd.sec 文件列出了允许或者拒绝访问每个服务的主机。
例如:
login allow 10.3-5 192.34.56.5 ahost anetwork
login deny 192.54.24.5 cory.example.edu.testlan
  详细请参考:http://docs.hp.com/en/B9106-90011/inetd.sec.4.html
2010-03-05 14:19 举报
已邀请:

回复帖子,请先登录注册

退出全屏模式 全屏模式 回复
评分
可选评分理由: