如何配置Linux安全服务管理工具

在对任何计算机进行安全管理时，最重要的一点就是要保证能够对正在运行的服务进行有效的控制。本文主要讲述如何对对一台运行Linux系统的电脑进行配置，实现安全的服务管理。

在对任何计算机进行安全管理时，最重要的一点就是要保证能够对正在运行的服务进行有效的控制。运行不必要的网络服务会给系统增添额外的安全风险。就算是为了完成某些功能而必须运行的服务，你也应该对其进行仔细的配置和管理，从而最小化该服务有可能带来的风险。为了实现Linux系统最佳的安全配置服务，可以通过/etc/inittab文件，runlevels，以及一两个服务管理超级工具（superdaemon）inetd 或 xinetd ，直接进行管理。

inittab
/etc/inittab文件被用在系统的初始化过程，用来启动系统服务。在一个配置好的系统中，文件中包含的服务应该不会很多，但是某些Linux版本在默认安装时会加载很多额外的服务。/etc/inittab文件的内容看上去并不是很明晰，但是它能令服务管理的变得相对简单。

首先，不要通过 /etc/inittab 文件在系统初始化时添加服务。虽然偶尔有例外，但是一般来说，添加服务可以通过其它方式实现。

第二，不要删除 /etc/inittab 文件中第一个冒号之前的单精度部分或之前的其它部分。以单精度字符开头的一行可以开启你的TTY控制台，而之前列出的整个项目会打开其它功能，甚至一些关键功能。虽然本条规则也有例外，但是为了稳妥，在你不确定时，不要删除任何部分。

第三， /etc/inittab 主要用于系统引导时和runlevel选择时的进程管理，不用于正常的系统操作。

第四，要添加在系统引导时启动的服务，应该使用rc系统，而不是init系统。如果你查看 /etc/inittab中的内容，就会发现每个条目后面都跟有rc 0到rc 6不等的字符，这是表示init系统会如何处理该项目的runlevels。
runlevels
基于Linux的系统可以通过runlevels对操作进行管理。不同的运行等级具有不同的行为，这与微软Windows操作系统所采用的“正常模式”、“安全模式”以及“DOS模式”类似。

Runlevel 0 可以用来关闭正在运行的所有程序，同时，如果系统允许软关机，就将关闭系统电源。

Runlevel 1 是单用户无网络连接模式，这种等级主要用来进行非常低等级的排错以及管理操作。

Runlevel 2 到 Runlevel 5 是多用户系统正常模式。 在runlevel 2-3级，只能采用命令行界面，其中第二级没有网络连接，而第三级则带有网络连接能力。runlevel 5会自动启动X Window 系统，为用户提供图形界面。runlevel2-5级都允许root用户进行配置，因此这几个等级都可以完成你所希望的操作。

Runlevel 6 用来在整个初始化系统以及bootloader需要重新启动时，进行系统重新启动。
从第七级以上的runlevel是管理员自行定义的，但是“传统”的UNIX系统并不会使用这些等级。因此一般也不需要对七级以上的runlevel进行定义和使用。

在外壳中，你可以通过输入runlevel命令来查看先前的runlevel和当前的runlevel。如果系统的runlevel没有改变，那么你会在返回的当前runlevel等级后看到一个大写的“N”，表示没有先前的runlevel。要改变系统的runlevel，你可以使用init命令，之后跟上你所希望改变的runlevel等级。比如，你可以输入init 6，然后重新启动系统，或者init 1，启用单用户模式。

不同版本的Linux可能会有不同的修改runlevel的方法和过程。比如在Debian GNU/Linux中，位于/etc/init.d的服务脚本有来自/etc/rcN.d目录的symbolic link进行链接，其中的N表示你所希望进行配置的runlevel等级。以K作为起始的Symlinks意味着插入runlevel时被杀死的进程，而以字母S开头的Symlinks表示在进入runlevel时被启动的程序。数字从1到99，数字越大，表示启动或被杀死的时间越靠后。

大多数基于RPM的Linux版本都采用基于RedHat的rc系统。比起基于Debian的系统，这一系统使用更复杂的路径结构，而不同的基于RPM的系统之间也有很大的不同。你的Linux产品说明书上会详细的介绍如何管理runlevels。

inetd
“superdaemon”是用来管理Linux后台程序的工具，正如我们所知，inetd就是这样一个常见的服务管理工具。终止inetd引用服务很简单：首先，作为root用户登录，用文本编辑器打开/etc/inetd.conf文件。接下来，找到文件中需要终止的服务。最后，在服务所在行的最前面添加#符号（其他还有“>”和“英镑符”），如下所示。注释掉该行，inetd以后都不会启动这一服务。

编辑前，inetd服务看上去可能如下所示：

ident stream tcp wait identd /usr/sbin/identd identd

禁止inetd 后，该行变为：

# ident stream tcp wait identd /usr/sbin/identd identd

如果你正在卸载inetd服务中的服务后台，不论是通过包管理器或者直接删除它的可执行文件（如上例中的/usr/sbin/identd），都可以简单的删除该行命令。

修改完/etc/inetd.conf后，记得要保存文件，以便inetd采用新的配置。保存后，你可以通过以下命令快速应用新的配置：

kill -HUP `pidofinetd`

这个命令会导致 inetd 根据新的配置文件重新启动。

xinetd
另一个出现较晚，也更复杂一些的superdaemon被称作xinetd ，它的功能比inetd要多一些。如果只是为了禁用某个服务，它使用起来同样很简单。

如果利用xinetd，你必须在/etc/xinetd.conf中添加命令来禁止一个服务。如果要简单的删除某个服务项，你可能需要删除好几行内容，而不像inetd中只需要删除一行。首先你需要在文本编辑器中打开上述文件，然后查找你希望禁止或者删除的服务，然后添加disable = yes 命令禁止该服务，或者将该服务所在项全部删除。比如，我们要禁用telnet，可以如下所示：

service telnet

{

. . .

disable = yes

}

在某些系统中，对于某些服务，服务配置并不在/etc/xinetd.conf文件中。例如，像telnet这样的服务有可能在文件/etc/xinetd.d/telnet中，改变其服务配置方法与它在/etc/xinetd.conf文件中的方法是一样的。

编辑并保存了/etc/xinetd.conf文件后或者更改了服务文件后，可以输入下面的命令让修改即时生效：

kill -USR2 `pidofxinetd`

本命令将通知xinetd程序，使用更改后的配置。

Xinetd除了关闭或移除服务配置之外，还可以用于控制远程主机登录服务。这将通过几个机制完成：

可以为服务指定一个允许的主机。例如：可以通过在服务配置文件中添加only_from = 192.168.0.101这一行限制主机登录telnet服务。尽管使用了词语“only”，但是它只能限制主机的数目，而不仅仅只一台主机。也可以使用部分地址指定完整的网络。例如：可以使用“only_from = 192.168.0.to”表示本地Class C的任何主机都能访问这个服务。

可以在配置文件中为某个服务指定禁止的主机。例如：可以在配置文件中添加“no_access = 192.168.0.102”这一行禁止这个主机远程访问telnet服务。这个也可以使用多次而且也可以使用部分地址指定多个主机。万一某个主机满足only_from和no_access两个限制，则会权衡确定其访问权限。如果xinetd不能确定哪个限制能被应用，则系统默认更安全的选项——服务不会开启。

服务管理之外