xinetd

本文旨在指导系统管理人员或安全检查人员进行 Linux 操作系统的安全合规性检查和加固。 1. 账号和口令 1.1 禁用或删除无用账号 减少系统无用账号，降低安全风险。 操作步骤 使用 命令 userdel <用户名> 删除不必要的账号。 使用 命令 passwd -l <用户名> 锁定不必要的账号。 使用命令 passwd -u <用户名> 解锁必要的账号。 1.2 检查特殊账号 检查是否存在空口令和root权限的账号。 操作步骤 1. 查看空口令和root权限账号，确认是否存在异常账号： 使用命令 awk -F: '($2=="")' /etc/shadow 查看空口令账号。 使用命令 awk -F: '($3==0)' /etc/passwd 查看UID为零的账号。 2.加固空口令账号： 使用命令 passwd <用户名> 为空口令账号设定密码。 确认UID为零的账号只有root账号。 1.3 添加口令策略 加强口令的复杂度等，降低被猜解的可能性。 操作步骤 1.使用命令 vi /etc/login.defs 修改配置文件。 PASS_MAX_DAYS 90 #新建用户的密码最长使用天数 PASS_MIN_DAYS 0 #新建用户的密码最短使用天数 PASS_WARN_AGE 7 #新建用户的密码到期提前提醒天数 2.使用chage命令修改用户设置。 例如，chage -m

一、学习路线如下 二、DNS介绍 1.域名的概念 域名由特定的格式组成，用来表示互联网中某一台计算机或者计算机组的名称，能够使人更方便的访问互联网，而不用记住能够被机器直接读取的IP地址。 2.DNS（domain name system ） 域名解析服务 域名解析是把域名指向网站IP，人们通过注册的域名可以方便地访问到网站的一种服务。IP地址是网络上标识站点的数字地址，为了方便记忆，采用域名来代替IP地址标识站点地址。域名解析就是域名到IP地址的转换过程。域名的解析工作由DNS服务器完成。 3.域的构成 1.根域.(root) 在整个DNS系统的上方一定是’.’这个服务器，也称根服务器。全球共有13台。 2.一级域名、顶级域、国家域 例如com、edu、cn 3.二级域名 例如qq.com baidu.com 三、DNS工作原理 1.递归查询 递归查询是最常见的查询方式，域名服务器将代替提出请求的客户机（下级DNS服务器）进行域名查询，若域名服务器不能直接回答，则域名服务器会在域各树中的各分支的上下进行递归查询，最终将返回查询结果给客户机，在域名服务器查询期间，客户机将完全处于等待状态。 2.迭代查询 迭代查询又称重指引，当服务器使用迭代查询时能使其他服务器返回一个最佳的查询点提示或主机地址，若此最佳的查询点中包含需要查询的主机地址，则返回主机地址信息

一、安装xinetd telnetd root@helm:~# apt-get install xinetd telnetd 二、查看服务是否启动状态 说明自启动了 如果没有需要启动xinetd，启动命令：/etc/init.d/xinetd start 三、创建并编辑/etc/inetd.conf文件 四、编辑/etc/xinetd.conf 在文件中加上 # Simple configuration file for xinetd # Some defaults, and include /etc/xinetd.d/ defaults { # Please note that you need a log_type line to be able to use log_on_success # and log_on_failure. The default is the following : # log_type = SYSLOG daemon info instances = 60 log_type = SYSLOG authpriv log_on_success = HOST PID log_on_failure = HOST cps = 25 30 } includedir /etc/xinetd 然后重启服务 五、测试 六、PUTTY.EXE 登陆telnet 来源：

1. Cobbler介绍 参考链接：http://blog.oldboyedu.com/autoinstall-cobbler/ Cobbler是一个Linux服务器安装的服务，可以通过网络启动(PXE)的方式来快速安装、重装物理服务器和虚拟机，同时还可以管理DHCP，DNS等。 Cobbler可以使用命令行方式管理，也提供了基于Web的界面管理工具(cobbler-web)，还提供了API接口，可以方便二次开发使用。 Cobbler是较早前的kickstart的升级版，优点是比较容易配置，还自带web界面比较易于管理。 Cobbler内置了一个轻量级配置管理系统，但它也支持和其它配置管理系统集成，如Puppet，暂时不支持SaltStack。 Cobbler官网 1.1 Cobbler集成的服务 PXE服务支持 DHCP服务管理 DNS服务管理(可选bind,dnsmasq) 电源管理 Kickstart服务支持 YUM仓库管理 TFTP(PXE启动时需要) Apache(提供kickstart的安装源，并提供定制化的kickstart配置) 注意： 虚拟机网卡采用NAT模式，不要使用桥接模式，因为稍后我们会搭建DHCP服务器，在同一局域网多个DHCP服务会有冲突。 VMware的NAT模式的dhcp服务也关闭，避免干扰。 1.2-cobbler环境准备与部署 [root

环境说明 系统版本 CentOS 6.9 x86_64 Cobbler是一款Linux安装服务器，可以快速设置网络安装环境。它粘合在一起并自动执行许多相关的Linux任务，因此部署新系统时不必在许多不同的命令和应用程序之间跳转，并且在某些情况下更改现有的命令和应用程序。Cobbler可以帮助进行配置，管理DNS和DHCP，软件包更新，电源管理，配置管理编排等等，Cobbler可以使用命令行方式管理，也提供了基于Web的界面管理工具(cobbler-web)，还提供了API接口，可以方便二次开发使用。 Cobbler是较早前的kickstart的升级版，优点是比较容易配置，还自带web界面比较易于管理。 Cobbler内置了一个轻量级配置管理系统，但它也支持和其它配置管理系统集成，如Puppet，暂时不支持SaltStack。 cobbler官网 http://cobbler.github.io/ 1、安装 clbbler需要先配置epel源 yum -y install cobbler cobbler-web dhcp 需要手动安装Django [root@cobbler ~]# yum localinstall Django14-1.4.21-1.el6.noarch.rpm [root@cobbler ~]# rpm -ql cobbler # 查看安装的文件，下面列出部分。

前言：建议在看Cobbler之前先看一下 使用kickstart + pxe 部署无人值守安装 无人值守安装，了解一下Cobbler的实现原理。但是Cobbler是独立的，不需要先安装Kickstart然后再安装Cobbler。 1、 Cobbler简介 ： 　　Cobbler 官网：http://cobbler.github.io 　　 Cobbler是一个快速网络安装 linux的服务，而且在经过调整也可以支持网络安装 windows。该工具使用 python开发，小巧轻便（才 15k行 python代码），使用简单的命令即可完成 PXE网络安装环境的配置，同时还可以管理 DHCP、 DNS、 TFTP、 RSYNC以及 yum仓库、构造系统 ISO镜像。 Cobbler客户端 Koan支持虚拟机安装和操作系统重新安装，使重装系统更便捷。 Cobbler可以使用命令行方式管理，也提供了基于Web的界面管理工具(cobbler-web)，还提供了API接口，可以方便二次开发使用。 Cobbler是较早前的kickstart的升级版，优点是比较容易配置，还自带web界面比较易于管理。 Cobbler内置了一个轻量级配置管理系统，但它也支持和其它配置管理系统集成，如Puppet，暂时不支持SaltStack。 Cobbler 支持众多的发行版： Red Cobbler

一、安装telnet 1、检测telnet-server的rpm包是否安装 [root@localhost ~]# rpm -qa telnet-server 若无输入内容，则表示没有安装。出于安全考虑telnet-server.rpm是默认没有安装的，而telnet的客户端是标配。即下面的软件是默认安装的。 2、若未安装，则安装telnet-server，否则忽略此步骤 [root@localhost ~]#yum install telnet-server 　 3、检测telnet-server的rpm包是否安装 [root@localhost ~]# rpm -qa telnet telnet-0.17-47.el6_3.1.x86_64 4、若未安装，则安装telnet，否则忽略此步骤 [root@localhost ~]# yum install telnet 二、重新启动xinetd守护进程 由于telnet服务也是由xinetd守护的，所以安装完telnet-server，要启动telnet服务就必须重新启动xinetd [root@locahost ~]#service xinetd restart 三、测试 我们先来查看TCP的23端口是否开启正常 [root@localhost ~]#netstat -tnl |grep 23 tcp 0 0 0.0.0.0

一、安装telnet 1、检测telnet-server的rpm包是否安装 [root@localhost ~]# rpm -qa telnet-server 若无输入内容，则表示没有安装。出于安全考虑telnet-server.rpm是默认没有安装的，而telnet的客户端是标配。即下面的软件是默认安装的。 2、若未安装，则安装telnet-server，否则忽略此步骤 [root@localhost ~]#yum install telnet-server 　 3、检测telnet-server的rpm包是否安装 [root@localhost ~]# rpm -qa telnet telnet-0.17-47.el6_3.1.x86_64 4、若未安装，则安装telnet，否则忽略此步骤 [root@localhost ~]# yum install telnet 二、重新启动xinetd守护进程 由于telnet服务也是由xinetd守护的，所以安装完telnet-server，要启动telnet服务就必须重新启动xinetd [root@locahost ~]#service xinetd restart 三、测试 telnet www.baidu.com 80 返回类似如下则成功： Trying 115.239.210.27... Connected to www

SELinux安全子系统 三种模式： enforcing：强制启用安全策略模式，将拦截服务的不合法请求。 permissive：遇到服务越权访问时，只发出警告而不强制拦截。 disabled：对于越权的行为不警告也不拦截。 getenforce - 获得当前SELinux服务的运行模式 setenforce 0 / 1 - 临时 修改SELinux当前的运行模式（0为禁用，1为启用） semanage <options>__<file> - 管理SELinux的策略 [-l] - 查询； [-a] - 添加； [-m] - 修改； [-d] - 删除 restorecon - 将设置好的SELinux安全上下文立即生效 文件传输协议（FTP） Package : vsftpd, ftp 工作模式 主动模式 ：FTP服务器主动向客户端发起连接请求 被动模式 ：FTP服务器等待客户端发起连接请求（FTP的默认工作模式） systemctl enable _<serviceName>_应用配置 vsftpd工作模式 匿名开放模式（不安全）【匿名用户：anonymous】 本地用户模式 虚拟用户模式（安全，但配置较复杂，要用到PAM） -6 使用IPv6协议 简单文件传输协议 （TFTP） Package : tftp_server, tftp

IPv6被认为是IPv4的替代产品，它用来解决现有IPv4地址空间即将耗尽的问题。 但目前，开启IPv6可能会导致一些问题。因此有时我们需要关闭IPv6。 下面是IPv6的关闭方法应该适用于所有主流的Linux发行版包括Ubuntu、Debian、CentOS。 IPv6在CentOS6.5系统中默认是启用状态，通过以下方式可以确认IPv6的状态 1.1.查看系统IPv6的启用状态 以下命令返回值为0表示IPv6启用，1表示禁用 cat /proc/sys/net/ipv6/conf/all/ disable_ipv6 cat /proc/sys/net/ipv6/conf/default/disable_ipv6 ifconfig ip address list netstat -anptl 1.2.查看内核模块调用 # 有返回结果，说明IPv6模块已启用，可以看出那些程序进行了调用，反之没有启用 lsmod | grep ipv6 2.禁用IPv6 2.1.临时禁用IPv6 # 命令行调整内核参数，临时禁用IPv6 echo 1 >/proc/sys/net/ipv6/conf/all/ disable_ipv6 echo 1 >/proc/sys/net/ipv6/conf/default/ disable_ipv6 # 或着 sysctl - w net.ipv6.conf