您所在的位置:读书频道 > 操作系统 > Linux > 20.3.6 安全性管理

20.3.6 安全性管理

2007-12-07 10:19 鸟哥 机械工业出版社华章公司 字号:T | T
一键收藏,随时查看,分享好友!

《鸟哥的Linux私房菜——服务器架设篇》(第二版)第20章的主要介绍的是在不同的平台上利用同样的协议进行文件传输的操作。本文说的是安全性管理。

AD:

20.3.6  安全性管理

使用SAMBA是有一定程度的危险性的,因为很多网络蠕虫就是通过NetBIOS来攻击的。因此,在架设好SAMBA之后,请记得将权限方面的工作做好。权限方面的工作除了smb.conf内的设置外,Linux文件系统的r、w、x权限也是相当重要的。下面就简单介绍一些基本的安全性管理知识。

1. 利用iptables来管理

最简单的管理登录SAMBA的方法是通过iptables实现的。详细的说明已经在防火墙章节中提过,这里不再详加说明。如果您仅针对下面的范围开放SAMBA时,可以这样设想:

· 仅针对192.168.1.0/24这个网段开放SAMBA。
· SAMBA的端口有137~139 tcp/udp。
· SAMBA主机的网卡为eth0。

所以iptables.rule规则中应该要加入以下几项:

iptables -A INPUT -p tcp -i eth0 -s 192.168.1.0/24 --dport 139     -j ACCEPT
iptables -A INPUT -p udp -i eth0 -s 192.168.1.0/24 --dport 137:138 -j ACCEPT

当然,这是很简单的防火墙规则,需要依据环境自行修改(通常修改192.168.1.0/24网段即可)。除了iptables需要开放之外,还需要将管制daemon是否能够进出的TCP Wrappers开放才行。如果万一/etc/hosts.deny里面多了这样一行:

[root@linux ~]# cat /etc/hosts.deny
ALL : ALL

不要怀疑,这一行不仅使SAMBA不能操作,甚至其他的daemon都可能会无法操作。所以,请将这一行删除,或者是将适合的daemon开放在/etc/hosts.allow文件里。

2. smb.conf的设置值

事实上SAMBA已经有许多防火墙机制了,即hosts allow及hosts deny两个参数。通常我们只要使用hosts allow即可,这样没有写入这个设置项目的其他来源就会被拒绝联机。例如,如果您只想要让本机、192.168.1.11、192.168.1.21使用SAMBA,则可以这样写:

[root@linux ~]# vi /etc/samba/smb.conf
[global]
     # 跟安全有关
     hosts allow=127. 192.168.1.11 192.168.1.21
     smb ports=139

如此一来不但只有以上几台主机可以登录SAMBA服务器,而且SAMBA只能以标准的端口139来连接,关闭Windows常用且有些问题的端口445,这样会比较好。如果还有人想要连接您的SAMBA时,将它加入到hosts allow后面即可。

3. 利用quota限制用户空间使用

quota是磁盘配额限制的一个daemon,可以依据不同的用户来加以限制他们能够使用的硬盘空间,前提是“该磁盘空间必须是一个独立的partition”才行,不建议针对根目录“/”进行quota。这也是为什么在主机规划时特别建议大家独立出一个partition来进行硬盘规划的原因。关于quota的详细用法已在《鸟哥的私房菜——基础学习篇》里面介绍了,这里不再详谈,大家来做个练习。

例题:在规划主机的时候,将/dev/hda2独立一个partition/home目录,现在想要规划quota针对dmtsai这个用户进行磁盘配额的限制,它的hardlimit50mb,而softlimit40mb,请问整个操作应该如何进行?

答:(1)编辑修改/etc/fstab,使得/dev/hda2这个partition成为如下形式:

/dev/hda2 /home  ext3  defaults,usrquota,grpquota 1 1

修改完毕后,请千万记得通过“mount -a”查询一下有没有设置错误(上面总共只有6个字段),这个操作如果发生错误,那么请记得再次进行/etc/fstab的修改。此处应特别留意,因为写错的话,很容易导致无法正常开机。

2)上述操作确定没有问题后,请重新开机启动quota的支持:

sync; sync; sync; reboot

3)执行下面的指令,建立quota所需要的设置文件:

quotacheck -avug

如果上述的操作出现类似“找不到设置文件”的信息时,可以这样做

touch /home/aquota.user; touch /home/aquota.group

然后再进行一次quotacheck即可。

4启动quotass

quotaon -av

5)设置bird的磁盘配额:

edquota -u dmtsai

Disk quotas for user dmtsai (uid 501):

Filesystem   blocks    soft  hard inodes  soft  hard

/dev/hdb2        32  40000  50000     8     0     0

因这里只针对硬盘空间,不针对inode做限制,所以只要前面的数字修订即可。

4. 关于备份

与SAMBA关系最大的当然是用户的信息了。所以,需要备份用户的数据以及SAMBA相关的设置数据。还需要备份的文件如下。

· /etc:因为含有/etc/passwd以及/etc/samba里面的资料,所以建议全部将它备份下来。

· /home:可以查看一下是否有其他非必要的。不过,一般来说,备份个人数据的较多。

· 其他由smb.conf里面设置开放的目录。

【责任编辑:董书 TEL:(010)68476606】

回书目   上一节   下一节

分享到:

  1. Linux服务器配置全程实录
  2. 揭秘--优秀PPT这样制作

热点职位

更多>>

热点专题

更多>>

读书

黑客入侵的主动防御
本书是一本非常全面地讲述黑客入侵主动防御技术的网络安全工具书。本书的重点是介绍黑客的攻击手段和提供相应的主动防御保护措施

51CTO旗下网站

领先的IT技术网站 51CTO 中国首个CIO网站 CIOage 中国首家数字医疗网站 HC3i 51CTO学院 区块链第一聚合媒体 zhijiapro