Linux 安全技术:网络服务访问控制与防火墙配置
1. 网络服务访问控制
1.1 审计扫描与防火墙设置
在进行全面审计时,务必包含 UDP 扫描。此外,可以参考 nmap 工具网站获取更多有益的扫描建议。若为进行 nmap 扫描而降低了服务器防火墙,扫描完成后需重新启用防火墙,命令如下:
systemctl start firewalld.service1.2 TCP 包装器控制网络服务访问
对于 Linux 服务器提供的服务,需要实施访问控制。可借助 TCP 包装器,通过/etc/hosts.allow和/etc/hosts.deny文件实现对选定服务的访问控制。
若网络服务支持 TCP 包装器,会使用libwrap。可通过以下命令检查,以sshd为例:
$ ldd /usr/sbin/sshd | grep libwrap libwrap.so.0 => /lib/libwrap.so.0 (0x0012f000)当远程系统请求访问支持 TCP 包装器的服务时,会按以下步骤检查:
1. 检查hosts.allow文件:
- 若远程系统地址列在其中,允许访问,且不再进行后续 TCP 包装器检查。
- 若未列出,继续
