当前位置: 主页 > Linux安装教程 > 系统设置 >

Linux服务器安全策略详解之xinetd

时间:2019-02-09 15:14来源:网络整理 作者:Linux先生 举报 点击:
xinetd即extended internet daemon,xinetd是新一代的网络守护进程服务程序,又叫超级Internet服务器。经常用来管理多种轻量级Internet服务。xinetd提供类似于in

  4.3.6  xinetd防止拒绝服务攻击(Denial of Services)的原因

  xinetd能有效地防止拒绝服务攻击(Denial of Services)的原因如下。

  1.限制同时运行的进程数

  通过设置instances选项设定同时运行的并发进程数:

  instances=20

  当服务器被请求连接的进程数达到20个时,xinetd将停止接受多出部分的连接请求。直到请求连接数低于设定值为止。

  2.限制一个IP地址的最大连接数

  通过限制一个主机的最大连接数,从而防止某个主机独占某个服务。

  per_source=5

  这里每个IP地址的连接数是5个。

  3.限制日志文件大小,防止磁盘空间被填满

  许多攻击者知道大多数服务需要写入日志。入侵者可以构造大量的错误信息并发送出来,服务器记录这些错误,可能就造成日志文件非常庞大,甚至会塞满硬盘。同时会让管理员面对大量的日志,而不能发现入侵者真正的入侵途径。因此,限制日志文件大小是防范拒绝服务攻击的一个方法。

  log_type FILE.1 /var/log/myservice.log 8388608 15728640

  这里设置的日志文件FILE.1临界值为8MB,到达此值时,syslog文件会出现告警,到达15MB,系统会停止所有使用这个日志系统的服务。

  4.限制负载

  xinetd还可以使用限制负载的方法防范拒绝服务攻击。用一个浮点数作为负载系数,当负载达到这个数目的时候,该服务将暂停处理后续的连接。

  max_load = 2.8

  上面的设定表示当一项系统负载达到2.8时,所有服务将暂时中止,直到系统负载下降到设定值以下。

  说明  要使用这个选项,编译时应加入"--with-loadavg",xinetd将处理max-load配置选项,从而在系统负载过重时关闭某些服务进程,来实现防范某些拒绝服务攻击。

  5.限制所有服务器数目(连接速率)

  xinetd可以使用cps选项设定连接速率,下面的例子:

  cps = 25 60

  上面的设定表示服务器最多启动25个连接,如果达到这个数目将停止启动新服务60秒。在此期间不接受任何请求。

  6.限制对硬件资源的利用

  通过rlimit_as和rlimit_cpu两个选项可以有效地限制一种服务对内存、中央处理器的资源占用:

  rlimit_as = 8M

  rlimit_cpu=20

  上面的设定表示对服务器硬件资源占用的限制,最多可用内存为8MB,CPU每秒处理20个进程。

  xinetd的一个重要功能是它能够控制从属服务可以利用的资源量,通过它的以上设置可以达到这个目的,有助于防止某个xinetd服务占用大量资源,从而导致"拒绝服务"情况的出现。

推荐内容