系统服务访问控制

Xinetd超级守护进程
/etc/xinetd.conf
设置默认的非独立守护进程配置
/etc/xinetd.d/*
非守护进程的配置
Enabled =yes
Instances =20最大并发连接数
Per_source =10每个IP的链接数
V6only=no
Banner = /some/file 欢迎信息
Cps =50 10 限制入栈连接速率 1秒处理的连接数


Tcp _wrappers服务访问控制
/etc/hosts.allow首先读取
/etc/hosts.deny
格式是
Daemon1,daemon2:client1.client2
支持except的嵌套

Ldd 可以查看是否支持tcp_wrappers控制
含有{libwrp.So}

Selinux
l MAC强制访问控制
l DAC 自主访问控制（默认）



启用selinux 系统首先给每个文件打标
然后使用策略进行管理

/etc/sysconfig/selinux
/etc/selinux/config
设置selinux的状态
l enforcing
l permissive
l disable
enforing表示SELINUX有效
permission只进行警告
diable不做处理
以上文件配置在重启后生效

Getenforce查看当前SELINUX状态
Setenforce 进行SELINUX状态的修改0表示permission 1表示enforcing

System-config-selinux也可以进行设置

Ls –Z可以查看标签
Ps –Z

Getsebool可以查看策略
Setseboo XX 1/0修改策略
加-P选项永久生效

Chcon –t 改变标签
-R 递归
--reference 引用XX的标签为标签



Restorecon 恢复默认标签默认标签可以查看/etc/selinux/targeted/context/XX