Безопасность и оптимизация Linux.Редакция для Red Hat

Файл “/etc/inetd.conf”.


Inetd называется “супер сервером”, который запускает другие демоны по запросам из сети. Inetd.conf говорит inetd какие порты слушать и какие сервисы запускать для каждого порта. Как только вы подключаете вашу систему к сети, подумайте какие сервисы вам нужны.

Ненужные сервисы надо отключить, а лучше деинсталлировать, чтобы у вас стало меньше головной боли, а у атакующего меньше шансов найти лазейку в вашу систему. Просмотрите файл /etc/inetd.conf и вы увидите, какие сервисы он предлагает. Закомментируйте строки (# в начале строки) с ненужными сервисами, а затем пошлите процессу inetd сигнал SIGHUP.

Шаг 1.

Измените права доступа к файлу на 600:
[root@deep]# chmod 600 /etc/inetd.conf

Шаг 2.

Удостоверьтесь, что владельцем файла является root
[root@deep]# stat /etc/inetd.conf


File: "/etc/inetd.conf"


Size: 2869 Filetype: Regular File


Mode: (0600/-rw-------) Uid: ( 0/ root) Gid: ( 0/ root)


Device: 8,6 Inode: 18219 Links: 1


Access: Wed Sep 22 16:24:16 1999(00000.00:10:44)


Modify: Mon Sep 20 10:22:44 1999(00002.06:12:16)


Change: Mon Sep 20 10:22:44 1999(00002.06:12:16)

Шаг 3.

Редактируйте файл inetd.conf (vi /etc/inetd.conf) и отключите следующие сервисы: ftp, telnet, shell, login, exec, talk, ntalk, imap, pop-2, pop-3, finger, auth и т.д. пока вы не планируете их использовать. Чем меньше сервисов включено, тем меньше риск для системы. # Чтобы изменения вошли в силу дайте команду 'killall -HUP inetd' # #echo    stream       tcp        nowait      root          internal #echo    dgram       udp       wait          root           internal #discard stream      tcp        nowait      root           internal #discard dgram      udp       wait          root           internal #daytime stream     tcp       nowait      root           internal #daytime dgram     udp       wait         root           internal #chargen stream     tcp        nowait     root           internal #chargen dgram     udp       wait         root            internal #time      stream      tcp        nowait     root           internal #time      dgram      udp       wait         root           internal # # Это стандартные сервисы # #ftp      stream        tcp        nowait        root        /usr/sbin/tcpd in.ftpd -l -a #telnet stream        tcp        nowait        root        /usr/sbin/tcpd in.telnetd # # Shell, login, exec, comsat и talk являются протоколами BSD. # #shell      stream      tcp      nowait       root       /usr/sbin/tcpd in.rshd #login     stream      tcp      nowait       root       /usr/sbin/tcpd in.rlogind #exec      stream       tcp       nowait        root       /usr/sbin/tcpd in.rexecd #comsat dgram        udp       wait           root        /usr/sbin/tcpd in.comsat #talk      dgram       udp      wait          root        /usr/sbin/tcpd in.talkd #ntalk    dgram       udp      wait          root        /usr/sbin/tcpd in.ntalkd #dtalk     stream       tcp        wait           nobody    /usr/sbin/tcpd in.dtalkd # # Почтовые Pop и imap сервисы # #pop-2    stream      tcp        nowait      root       /usr/sbin/tcpd ipop2d #pop-3    stream      tcp        nowait      root       /usr/sbin/tcpd ipop3d #imap      stream     tcp        nowait       root       /usr/sbin/tcpd imapd # #  Internet UUCP сервис. # #uucp     stream     tcp     nowait       uucp        /usr/sbin/tcpd /usr/lib/uucp/uucico -l # # Сервис Tftp предоставляется в первую очередь для удаленной загрузки. # В большинстве случаев, он используется только на "серверах загрузки” # Не удаляйте символы комментариев, если вы не уверены, что это вам нужно. # #tftp      dgram      udp       wait       root          /usr/sbin/tcpd in.tftpd #bootps dgram      udp       wait       root          /usr/sbin/tcpd bootpd # # Finger, systat и netstat дают информацию внешним пользователям, которая # может быть использована для взлома системы. На многих серверах # некоторые или все из них отключены с целью улучшения безопасности. # #finger   stream      tcp      nowait      root         /usr/sbin/tcpd in.fingerd #cfinger  stream       tcp       nowait      root          /usr/sbin/tcpd in.cfingerd #systat    stream       tcp       nowait      guest        /usr/sbin/tcpd /bin/ps -auwwx #netstat   stream       tcp       nowait      guest        /usr/sbin/tcpd /bin/netstat -f inet # # Аутентификация # #auth    stream    tcp    nowait    nobody     /usr/sbin/in.identd in.identd -l -e -o # # Конец inetd.conf

Замечание. Не забудьте послать сигнал SIGHUP процессу inetd (killall -HUP inetd) после редактирования файла /etc/inetd.conf.
[root@deep /root]# killall -HUP inetd

Шаг 4.

Для большего улучшения безопасности, вы можете сделать файл “inetd.conf” неизменным, используя команду chattr:
[root@deep]# chattr +i /etc/inetd.conf

Файл с атрибутом “i” не может быть модифицирован, его нельзя удалить или переименовать, к нему нельзя создать ссылки и никакие данные не могут быть дописаны в файл. Только суперпользователь может установить или снять этот атрибут. Если вы захотите модифицировать файл “inetd.conf”, то дайте следующую команду:
[root@deep]# chattr -i /etc/inetd.conf



Содержание раздела