机房线路故障,引发多家公司不能上网,和自己de经历有感
2008-04-09 11:15
357 查看
DAC 自主访问控制
MAC 靠SELinux 实现 subject -->domain->label
object-->type->label
SELinux 配置文件 ---> /etc/sysconfig/selinux
---> /etc/selinux/config 两个文件一样
1. 启用SELinux
# getenforce 检查SELinux 是否开启
--> permissive --> 0 警告模式
--> enforcing --> 1 严格模式
--> disabled --> 没有启用SELinux
# setenforce 1 临时有效(严格控制)
# vim /etc/selinux/config 永久有效
2. label
#chcon 专门用来修改标签
-t type
-R recurive 递归
# chcon --reference =a.txt b.txt 以a.txt的type为准,修改b.txt的type
# ls --scontext a.txt 只显示安全上下文
# ls --lcontext a.txt 显示ugo属性跟安全上下文
# restorecon a.txt 恢复成名人标签
# ps -auxz 查看进程的标签
/etc/selinux/targeted/contexts/ 下保存了SELinux的安全上下文
守护进程 ---->独立守护进程-->速度快但占用资源多
---->非独立守护进程-->由超级守护进程管理,xinetd
-->其配置文件在/etc/xinetd.conf 里定义
判断一个进程是否是非独立守护进程 查看/etc/xinetd.d/service 下的内容
一个非独立守护进程如果没有在/etc/xinetd.d/ 下没有明确定义,则使用/etc/xinetd.conf 的默认选项
1. enabled =yes | disable =no 表示服务开启
也可以用 chkconfig telnet on (这里用telnet 来代替)
2. instances =50 用户并发连接量
3. per_source =10 一个客户端最多连接10个
4. cps =50 10 如果最大并发连接达到50,则隐藏服务10s ,主要防范DDOS 攻击
5. banner = /some/file 欢迎提示信息
6. wait =yes 单线程 | wait = no 多线程
7. only_from = --->numeric address (192.168.1.0)
--->network name (from /etc/networks)
--->hostname or domain (domain.com)
--->IP address/netmask range(192.168.0.0/24)
8. no_access = ---->The same to only_from
9. access_time = 12:00-18:00 定义在哪个时间段可以访问
service xinetd restart 启用服务
ldd `which xinetd` 查看xinetd 所依赖的库文件,如果出现libwrap.so.0 则表示支持tcp_wrapper 这个协议-->一种安全访问机制
以telnet 这个非独立守护进程为例:
首先检查本机是否安装 telnet-server工具
# yum install telnet-server
# vim /etc/xinetd.d/telnet
disable =no or enable =yes
#service xinetd restart
这时就可远程登录,登录时,一般不要用root用户登录-->telnet 在网络上是明文。
为了用上tcp_wrapper 这个安全协议,无奈还可以让我们的telnet 安全点
# vim /etc/hosts.allow
in.telnet : The same to only_from (:spawn echo XXX > /var/log/telnet ) 括号里的主要是记录telnet 的登入出日志的。
# vim /etc/hosts.deny
in.telnet ALL
注意:/etc/hosts.deny 一定要写些内容、、
本文出自 “赢在坚持” 博客,转载请与作者联系!
MAC 靠SELinux 实现 subject -->domain->label
object-->type->label
SELinux 配置文件 ---> /etc/sysconfig/selinux
---> /etc/selinux/config 两个文件一样
1. 启用SELinux
# getenforce 检查SELinux 是否开启
--> permissive --> 0 警告模式
--> enforcing --> 1 严格模式
--> disabled --> 没有启用SELinux
# setenforce 1 临时有效(严格控制)
# vim /etc/selinux/config 永久有效
2. label
#chcon 专门用来修改标签
-t type
-R recurive 递归
# chcon --reference =a.txt b.txt 以a.txt的type为准,修改b.txt的type
# ls --scontext a.txt 只显示安全上下文
# ls --lcontext a.txt 显示ugo属性跟安全上下文
# restorecon a.txt 恢复成名人标签
# ps -auxz 查看进程的标签
/etc/selinux/targeted/contexts/ 下保存了SELinux的安全上下文
守护进程 ---->独立守护进程-->速度快但占用资源多
---->非独立守护进程-->由超级守护进程管理,xinetd
-->其配置文件在/etc/xinetd.conf 里定义
判断一个进程是否是非独立守护进程 查看/etc/xinetd.d/service 下的内容
一个非独立守护进程如果没有在/etc/xinetd.d/ 下没有明确定义,则使用/etc/xinetd.conf 的默认选项
1. enabled =yes | disable =no 表示服务开启
也可以用 chkconfig telnet on (这里用telnet 来代替)
2. instances =50 用户并发连接量
3. per_source =10 一个客户端最多连接10个
4. cps =50 10 如果最大并发连接达到50,则隐藏服务10s ,主要防范DDOS 攻击
5. banner = /some/file 欢迎提示信息
6. wait =yes 单线程 | wait = no 多线程
7. only_from = --->numeric address (192.168.1.0)
--->network name (from /etc/networks)
--->hostname or domain (domain.com)
--->IP address/netmask range(192.168.0.0/24)
8. no_access = ---->The same to only_from
9. access_time = 12:00-18:00 定义在哪个时间段可以访问
service xinetd restart 启用服务
ldd `which xinetd` 查看xinetd 所依赖的库文件,如果出现libwrap.so.0 则表示支持tcp_wrapper 这个协议-->一种安全访问机制
以telnet 这个非独立守护进程为例:
首先检查本机是否安装 telnet-server工具
# yum install telnet-server
# vim /etc/xinetd.d/telnet
disable =no or enable =yes
#service xinetd restart
这时就可远程登录,登录时,一般不要用root用户登录-->telnet 在网络上是明文。
为了用上tcp_wrapper 这个安全协议,无奈还可以让我们的telnet 安全点
# vim /etc/hosts.allow
in.telnet : The same to only_from (:spawn echo XXX > /var/log/telnet ) 括号里的主要是记录telnet 的登入出日志的。
# vim /etc/hosts.deny
in.telnet ALL
注意:/etc/hosts.deny 一定要写些内容、、
本文出自 “赢在坚持” 博客,转载请与作者联系!
相关文章推荐
- 由代理引发的不能上网故障
- 【致歉】16:15-16:45机房线路故障造成网站不能访问
- 交换机级联端口变化 引发无法上网故障
- 朋友引发的关于自己本本的详细调查1.无线上网
- 彻底解决四种路由器不能上网故障
- 公司快3个月不能上网了!感谢第一家公司,虽然工资很少
- 看一个屌丝脱屌的经历有感,谈谈脱屌者的经验和自己的感想
- 网线质量引发的H3C inode不能拨号故障处理
- 解决xp在公司能上网,回家不能上网的问题
- 公司不能上有道自己保存点东西
- 3月8日的Google不能访问的DNS故障,只影响了固定宽带用户,但手机和无线依然能上网
- 公司不能上外网的故障
- 彻底解决四种路由器不能上网故障
- 今日公司网络故障抢修有感
- 公司电话突然不能打外线故障处理过程
- ISA 2004 防火墙自己不能上网,提示"错误代码:12206 代理链循环"的解决方法
- 网通电信双线路上网,网通的走网通线路,电信的走电信线路,内网通过NAT上网,双线路故障自动切换
- 光纤收发器的电源适配器故障导致不能上网
- 大小乔的经历告诉我们:有才有钱又长得帅的男人,一般没法陪你到最后。董卓的下场告诉我们:儿子是不能乱认的,尤其是有前科的,更何况自己是大款,为得家产甘当孙子的都有