为了禁用服务使其不能被xinetd启动,只需在一个文本编辑器中编辑每一个文件,将每一个禁用项的“no”改为“yes”即可。这个控制文件应是在重启后xinetd所管理的目录中唯一的文件。
下一节讲述如何修改xinetd控制文件,使命令仍可执行但需采用不同的方式。
少冲剑─修改基于xinetd网络服务的行为
正如前面所讨论的那样,我们仍想运行auth进程,但需要改变它,从而使其返回数字型的用户标识符而不是暴露出系统中用户的登录名。Auth进程的xinetd控制文件会是如下所示(已将注释除去):
|
在这个例子中,我们只想给authd命令加上-n选项,用户可以用自己喜欢的文本编辑器来这实现这一点,修改后的文件看起来会是如下这个样子:
|
保存文件之后,下一次运行xinetd时,authd的请求不会再返回和显示用户名,却会返回并显示数字型的用户ID。虽然提供的功能是相同的,但是通过网络暴露的系统信息会更少。
少泽剑─验证网络服务的改变
对系统启动过程和可用服务进行改变之后,最好的检查就是重启系统,然后用我们前面使用的同样的命令检查它,来探索其效能。在重启系统之后,lsof命令会显示如下的信息:
要验证远程系统能怎样看这台样本计算机,只需在远程计算机上,使用nmap来确认只有更加有限的服务对其它计算机是可用的。
这就确认了样本系统对外暴露的程度很小。减少特定系统的可用服务也会带来额外的好处,也就是将服务需要的内存返回到系统自身可用的内存中。
总结
你可以采用的确保网络系统安全的最重大的步骤就是减少打开的端口和系统默认的网络可用服务。本文提供了一些例子,用以清除那些非必要的但却作为启动过程一部分的服务,也清除了那些被计算机上其它进程(如xinetd)所管理的服务。
