Linux服務器平臺的安全保護 (2)

S15sound （保存聲卡設置）

S15netfs （NFS客戶端，用于從NFS服務器安裝文件系統）

S20rstatd （向遠程用戶泄露過多信息）

S20rusersd

S20rwhod

S20rwalld

S20bootparamd （用于無盤客戶端，通常都不需要）

S25squid （代理服務器）

S34yppasswdd （如果系統運行NIS服務器，則必需此服務）

S35ypserv （如果系統運行NIS服務器，則必需此服務）

S35dhcpd （啟動DHCP服務器守護進程）

S40atd （at服務，類似cron服務，但系統通常不需要）

S45pcmcia （僅有筆記本電腦才需要）

S50snmpd （SNMP守護進程，向遠程用戶泄露過多信息）

S55named （DNS服務器。如果需要運行DNS，請升級到最新版本）

S55routed （RIP，僅在必需時才應該啟動）

S60lpd （打印服務）

S60mars-nwe （Netware文件和打印服務器）

S60nfs （用于NFS服務器。除非必須，此服務不應運行）

S72amd （AutoMount守護進程，用于自動安裝遠程文件系統）

S75gated （用于運行其它路由協議，例如OSPF）

S80sendmail （如果不需要接收或轉發電子郵件應關閉。此時仍可發送電子郵件）

S85httpd （Apache服務器，建議升級到最新版本）

S87ypbind （僅有NIS客戶端才需要）

S90xfs （X Windows系統字體服務器

S95innd （News服務器）

S99linuxconf （通過瀏覽器遠程配置Linux系統）

要想在修改啟動腳本前了解有多少服務正在運行，輸入：

ps aux | wc -l

然后修改啟動腳本后，重啟系統，再次輸入上面的命令，就可計算出減少了多少項服務。越少服務在運行，安全性就越好。另外運行以下命令可以了解還有多少服務在運行：

netstat -na --ip

3、日志和系統調整

在盡可能多地取消服務后，下一步就是配置系統日志了。所有的系統日志存放在/var/log目錄下。缺省時，Linux有不錯的日志設置，除了ftp。有兩種方法記錄ftp的日志，配置/etc/ftpaccess文件或編輯/etc/inetd.conf。建議采用相對簡單的編輯/etc/inetd.conf文件的方法。通過編輯/etc/inetd.conf文件如下，可以記錄所有FTP會話的所有日志。

ftp stream tcp nowait root /usr/sbin/tcpd in.ftpd -l -L -i -o

--- 以下選自ftp手冊頁 ---

如果指定-l參數，syslog會記錄每一個ftp會話。

如果指定-L參數，缺省時一旦FTP服務器被調用，命令日志就會激活。這將使服務器記錄下所有的USER命令。注意，此時如果一個用戶偶然性地在用戶名輸入時輸入了口令，該口令會被syslog記錄下來！

如果指定-i參數，ftpd服務器接收到的文件都會被記錄到xferlog。

如果指定-o參數，ftpd服務器發送的文件都會被記錄到xferlog。

--- snip snip ---

下一步配置是系統調整。這包括了多個文件的管理。第一件事情是確保/etc/passwd文件的安全。首先要確認系統使用了/etc/shadow文件，此保存了所有用戶口令密文的文件僅允許root根用戶訪問，這可以阻止用戶口令輕易地被訪問和破解。Red Hat 6.0缺省時使用了shadow口令系統，但務必要檢查確定。只要運行以下命令，就會將口令系統自動轉換到/etc/shadow口令系統：

pwconv

第二步是刪除/etc/passwd文件中許多缺省的系統帳號。Linux提供這些帳號主要是用于許多其實極少需要的系統操作。如果不需要這些帳號，刪除它們。帳號越多，系統被入侵的可能性就越大。例如"news"帳號，如果不運行nntp新聞組服務器，就不需要該帳號（注意要更新/etc/cron.hourly文件，因為腳本中涉及到了"news"用戶）。另外，一定要刪除"ftp"帳號，因為該帳號僅用于匿名FTP訪問。

我們還要修改/etc/ftpusers文件。任何被列入該文件的帳號將不能ftp到本系統。通常用于限制系統帳號，例如root和bin等，禁止這些帳號的FTP會話。缺省時Linux已創建了該文件。一定要確保root根用戶被包含在該文件中，以禁止root與系統的ftp會話。檢查并確認需要FTP到該防火墻的所有帳號**不**在/etc/ftpusers文件中。

另外，確保根用戶root不能telnet到系統。這強迫用戶用其普通帳號登錄到系統，然后再su成為root。/etc/securetty文件列出了root所能連接的tty終端。

將tty1、tty2等列入該文件中，使root用戶只能從本地登錄到系統中。ttyp1、ttyp2等是pseudo（虛擬）終端，它們允許root遠程telnet到系統中。

最后，創建/etc/issue文件。該ASCII文本文件用于在所有telnet登錄時顯示的信息。當試圖登錄到系統中時，該文件中的警告信息將被顯示。在Linux系統中要修改/etc/rc.d/init.d/S99local腳本文件，以生成固定的/etc/issue文件。

因為缺省時Linux在每次啟動時都生成新的/etc/issue文件。

4、連接到防火墻

通過安全可控的途徑連接到防火墻也是非常重要的。通常，我們需要遠程訪問防火墻以進行管理或上載文件。這些通訊需要考慮安全性。在這里我們主要討論兩種方式：ssh和TCP Wrappers。

我個人推薦ssh，因為它使在我們和防火墻之間的通訊都是經過加密的。TCP Wrappers不能保證網絡通訊不被竊聽，使用戶仍然有可能捕獲通過網絡傳送的明文口令。如果你擔心被其它用戶竊聽你和防火墻之間的通訊，推薦用ssh替代telnet/ftp。ssh會話對其所有網絡通訊進行加密，使在防火墻上的管理和文件上載變得更安全。ssh和TCP Wrappers的相似之處是有自己的日志文件功能，并能限制哪些系統可以創建網絡連接。建議使用1.2.x版本的ssh，因為2.x版本有版權限制。對于Windows 95/NT用戶，推薦用SecureCRT作為ssh客戶端。

TCP Wrappers，雖然不支持加密，但它提供日志功能和控制何人能訪問系統。它通常用于為inetd中的服務，例如telnet或ftp，添加一層限制。當使用TCP Wrappers時，系統通過它來監視inetd進程創建的連接，記錄

億恩科技地址(ADD)：鄭州市黃河路129號天一大廈608室 郵編(ZIP)：450008 傳真(FAX)：0371-60123888
   聯系：億恩小凡
   QQ：89317007
   電話:0371-63322206

服務器租用/服務器托管中國五強！虛擬主機域名注冊頂級提供商！15年品質保障！--億恩科技[ENKJ.COM]