Configurare inetd.conf
Il demone inetd viene chiamato il "super server" perchè si occupa di gestire un numero elevato di programmi
su chiamate di rete. Il file /etc/inetd.conf illustra al proprio demone quali porte devono rimanere in ascolto e quali
programmi si devono occupare delle singole porte.
Seguire i passi seguenti per aumentare la sicurezza della vostra macchina:
- Cambiare i permessi sul file di configurazione:
# chmod 600 /etc/inetd.conf
in modo che il vostro file abbia i permessi di lettura per il solo proprietario.
- Assicuratevi che il proprietario del file sia l'utente root:
# ls -la /etc/inetd.conf
-rw-r-r- 1 root root 2070 Dec 25 02:12 inetd.conf
Se così non fosse digitare quanto segue:
# chown root /etc/inetd.conf
- Modificate il file
/etc/inetd.conf commentando ogni riga relativa a servizi non necessari.
# To re-read this file after changes,
# just do a 'killall -HUP inetd'
#
#echo stream tcp nowait root internal
#echo dgram udp wait root internal
#discard stream tcp nowait root internal
#discard dgram udp wait root internal
#daytime stream tcp nowait root internal
#daytime dgram udp wait root internal
#chargen stream tcp nowait root internal
#chargen dgram udp wait root internal
#time stream tcp nowait root internal
#time dgram udp wait root internal
#
# These are standard services.
#
#ftp stream tcp nowait root /usr/sbin/tcpd in.ftpd -l -a
#telnet stream tcp nowait root /usr/sbin/tcpd in.telnetd
#
# Shell, login, exec, comsat and talk are BSD protocols.
#
#shell stream tcp nowait root /usr/sbin/tcpd in.rshd
#login stream tcp nowait root /usr/sbin/tcpd in.rlogind
#exec stream tcp nowait root /usr/sbin/tcpd in.rexecd
#comsat dgram udp wait root /usr/sbin/tcpd in.comsat
#talk dgram udp wait root /usr/sbin/tcpd in.talkd
#ntalk dgram udp wait root /usr/sbin/tcpd in.ntalkd
#dtalk stream tcp waut nobody /usr/sbin/tcpd in.dtalkd
#
# Pop and imap mail services et al
#
#pop-2 stream tcp nowait root /usr/sbin/tcpd ipop2d
#pop-3 stream tcp nowait root /usr/sbin/tcpd ipop3d
#imap stream tcp nowait root /usr/sbin/tcpd imapd
#
# The Internet UUCP service.
#
#uucp stream tcp nowait uucp /usr/sbin/tcpd /usr/lib/uucp/uucico -l
#
# Tftp service is provided primarily for booting. Most sites
# run this only on machines acting as `boot servers.`
# Do not uncomment this unless you *need* it.
#
#tftp dgram udp wait root /usr/sbin/tcpd in.tftpd
#bootps dgram udp wait root /usr/sbin/tcpd bootpd
#
# Finger, systat and netstat give out user information
# which may be valuable to potential `system crackers.`
# Many sites choose to disable some or all of these services
# to improve security.
#
#finger stream tcp nowait root /usr/sbin/tcpd in.fingerd
#cfinger stream tcp nowait root /usr/sbin/tcpd in.cfingerd
#systat stream tcp nowait guest /usr/sbin/tcpd /bin/ps -auwwx
#netstat stream tcp nowait guest /usr/sbin/tcpd /bin/netstat -f inet
#
# Authentication
#
#auth stream tcp nowait nobody /usr/sbin/in.identd in.identd -l -e -o
#
# End of inetd.conf
Una volta commentate le righe indicate è necessario riavviare il demone inetd digitando:
# killall -HUP inet
Una ulteriore precauzione può essere quella di rendere sicuro il nostro file di configurazione da modifiche e alterazioni.
Per renderlo "immutabile" digitiamo:
# chattr +i /etc/inetd.conf
Il comando digitato "blocca" il nostro file da ogni alterazione o modifica e non si possono creare link a quest'ultimo. L'unico
modo per poter nuovamente apportare modifiche è utilizzare lo stesso comando precedentemente digitato con un opzione differente:
# chattr -i /etc/inetd.conf
|