Linux服務(wù)器平臺的安全保護 (2)

S15sound （保存聲卡設(shè)置）

S15netfs （NFS客戶端，用于從NFS服務(wù)器安裝文件系統(tǒng)）

S20rstatd （向遠程用戶泄露過多信息）

S20rusersd

S20rwhod

S20rwalld

S20bootparamd （用于無盤客戶端，通常都不需要）

S25squid （代理服務(wù)器）

S34yppasswdd （如果系統(tǒng)運行NIS服務(wù)器，則必需此服務(wù)）

S35ypserv （如果系統(tǒng)運行NIS服務(wù)器，則必需此服務(wù)）

S35dhcpd （啟動DHCP服務(wù)器守護進程）

S40atd （at服務(wù)，類似cron服務(wù)，但系統(tǒng)通常不需要）

S45pcmcia （僅有筆記本電腦才需要）

S50snmpd （SNMP守護進程，向遠程用戶泄露過多信息）

S55named （DNS服務(wù)器。如果需要運行DNS，請升級到最新版本）

S55routed （RIP，僅在必需時才應(yīng)該啟動）

S60lpd （打印服務(wù)）

S60mars-nwe （Netware文件和打印服務(wù)器）

S60nfs （用于NFS服務(wù)器。除非必須，此服務(wù)不應(yīng)運行）

S72amd （AutoMount守護進程，用于自動安裝遠程文件系統(tǒng)）

S75gated （用于運行其它路由協(xié)議，例如OSPF）

S80sendmail （如果不需要接收或轉(zhuǎn)發(fā)電子郵件應(yīng)關(guān)閉。此時仍可發(fā)送電子郵件）

S85httpd （Apache服務(wù)器，建議升級到最新版本）

S87ypbind （僅有NIS客戶端才需要）

S90xfs （X Windows系統(tǒng)字體服務(wù)器

S95innd （News服務(wù)器）

S99linuxconf （通過瀏覽器遠程配置Linux系統(tǒng)）

要想在修改啟動腳本前了解有多少服務(wù)正在運行，輸入：

ps aux | wc -l

然后修改啟動腳本后，重啟系統(tǒng)，再次輸入上面的命令，就可計算出減少了多少項服務(wù)。越少服務(wù)在運行，安全性就越好。另外運行以下命令可以了解還有多少服務(wù)在運行：

netstat -na --ip

3、日志和系統(tǒng)調(diào)整

在盡可能多地取消服務(wù)后，下一步就是配置系統(tǒng)日志了。所有的系統(tǒng)日志存放在/var/log目錄下。缺省時，Linux有不錯的日志設(shè)置，除了ftp。有兩種方法記錄ftp的日志，配置/etc/ftpaccess文件或編輯/etc/inetd.conf。建議采用相對簡單的編輯/etc/inetd.conf文件的方法。通過編輯/etc/inetd.conf文件如下，可以記錄所有FTP會話的所有日志。

ftp stream tcp nowait root /usr/sbin/tcpd in.ftpd -l -L -i -o

--- 以下選自ftp手冊頁 ---

如果指定-l參數(shù)，syslog會記錄每一個ftp會話。

如果指定-L參數(shù)，缺省時一旦FTP服務(wù)器被調(diào)用，命令日志就會激活。這將使服務(wù)器記錄下所有的USER命令。注意，此時如果一個用戶偶然性地在用戶名輸入時輸入了口令，該口令會被syslog記錄下來！

如果指定-i參數(shù)，ftpd服務(wù)器接收到的文件都會被記錄到xferlog。

如果指定-o參數(shù)，ftpd服務(wù)器發(fā)送的文件都會被記錄到xferlog。

--- snip snip ---

下一步配置是系統(tǒng)調(diào)整。這包括了多個文件的管理。第一件事情是確保/etc/passwd文件的安全。首先要確認系統(tǒng)使用了/etc/shadow文件，此保存了所有用戶口令密文的文件僅允許root根用戶訪問，這可以阻止用戶口令輕易地被訪問和破解。Red Hat 6.0缺省時使用了shadow口令系統(tǒng)，但務(wù)必要檢查確定。只要運行以下命令，就會將口令系統(tǒng)自動轉(zhuǎn)換到/etc/shadow口令系統(tǒng)：

pwconv

第二步是刪除/etc/passwd文件中許多缺省的系統(tǒng)帳號。Linux提供這些帳號主要是用于許多其實極少需要的系統(tǒng)操作。如果不需要這些帳號，刪除它們。帳號越多，系統(tǒng)被入侵的可能性就越大。例如"news"帳號，如果不運行nntp新聞組服務(wù)器，就不需要該帳號（注意要更新/etc/cron.hourly文件，因為腳本中涉及到了"news"用戶）。另外，一定要刪除"ftp"帳號，因為該帳號僅用于匿名FTP訪問。

我們還要修改/etc/ftpusers文件。任何被列入該文件的帳號將不能ftp到本系統(tǒng)。通常用于限制系統(tǒng)帳號，例如root和bin等，禁止這些帳號的FTP會話。缺省時Linux已創(chuàng)建了該文件。一定要確保root根用戶被包含在該文件中，以禁止root與系統(tǒng)的ftp會話。檢查并確認需要FTP到該防火墻的所有帳號**不**在/etc/ftpusers文件中。

另外，確保根用戶root不能telnet到系統(tǒng)。這強迫用戶用其普通帳號登錄到系統(tǒng)，然后再su成為root。/etc/securetty文件列出了root所能連接的tty終端。

將tty1、tty2等列入該文件中，使root用戶只能從本地登錄到系統(tǒng)中。ttyp1、ttyp2等是pseudo（虛擬）終端，它們允許root遠程telnet到系統(tǒng)中。

最后，創(chuàng)建/etc/issue文件。該ASCII文本文件用于在所有telnet登錄時顯示的信息。當(dāng)試圖登錄到系統(tǒng)中時，該文件中的警告信息將被顯示。在Linux系統(tǒng)中要修改/etc/rc.d/init.d/S99local腳本文件，以生成固定的/etc/issue文件。

因為缺省時Linux在每次啟動時都生成新的/etc/issue文件。

4、連接到防火墻

通過安全可控的途徑連接到防火墻也是非常重要的。通常，我們需要遠程訪問防火墻以進行管理或上載文件。這些通訊需要考慮安全性。在這里我們主要討論兩種方式：ssh和TCP Wrappers。

我個人推薦ssh，因為它使在我們和防火墻之間的通訊都是經(jīng)過加密的。TCP Wrappers不能保證網(wǎng)絡(luò)通訊不被竊聽，使用戶仍然有可能捕獲通過網(wǎng)絡(luò)傳送的明文口令。如果你擔(dān)心被其它用戶竊聽你和防火墻之間的通訊，推薦用ssh替代telnet/ftp。ssh會話對其所有網(wǎng)絡(luò)通訊進行加密，使在防火墻上的管理和文件上載變得更安全。ssh和TCP Wrappers的相似之處是有自己的日志文件功能，并能限制哪些系統(tǒng)可以創(chuàng)建網(wǎng)絡(luò)連接。建議使用1.2.x版本的ssh，因為2.x版本有版權(quán)限制。對于Windows 95/NT用戶，推薦用SecureCRT作為ssh客戶端。

TCP Wrappers，雖然不支持加密，但它提供日志功能和控制何人能訪問系統(tǒng)。它通常用于為inetd中的服務(wù)，例如telnet或ftp，添加一層限制。當(dāng)使用TCP Wrappers時，系統(tǒng)通過它來監(jiān)視inetd進程創(chuàng)建的連接，記錄

億恩科技地址(ADD)：鄭州市黃河路129號天一大廈608室 郵編(ZIP)：450008 傳真(FAX)：0371-60123888
   聯(lián)系：億恩小凡
   QQ：89317007
   電話:0371-63322206

服務(wù)器租用/服務(wù)器托管中國五強！虛擬主機域名注冊頂級提供商！15年品質(zhì)保障！--億恩科技[ENKJ.COM]