科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航



ZDNet>网络频道>ZD评测>连载:六脉神剑捍卫企业 Linux系统(二)

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

现代的Linux系统中,网络进程一般可以用以下两种方法中的任一种来启动:一是作为系统启动过程的一部分启动,二是由于响应传入的被通用的网络服务进程检测到的网络请求而启动。

来源:赛迪网 2007年10月10日

关键字:六脉神剑 Linux系统 系统安全

【前文说到:“因此可以终止我们确认为非必要的任何进程(cupsd、portmap、rpc.statd、telnet、vnc),并改变我们想要改变的任何进程的行为。”】

商阳剑─定位无关网络服务的启动命令过程

现代的Linux系统中,网络进程一般可以用以下两种方法中的任一种来启动:一是作为系统启动过程的一部分启动,二是由于响应传入的被通用的网络服务进程检测到的网络请求而启动。本节集中讨论第一种方法,后一种方法在下一节讨论。现在我们就设法确定cupsd、ntpd、portmap、rpc.statd等进程是在什么地方启动的。

注意:

Red Hat Enterprise Linux系统,提供了一个chkconfig命令,能够确认不同服务启动的运行级别。本文将重点讨论更加通用的能够获取此信息的分布式独立机制。

绝大多数现代Linux系统使用一种称为SysVInit的机制,以不同的运行级别来启动不同的系统服务。启动所有系统服务的命令过程集中存储在目录/etc/init.d中。各种服务与不同的运行级别相关联(运行级别一般从0至6),通过从/etc/rc0.d直至/etc/rc6.d的不同目录来确认和识别,并通过与存储在/etc/init.d的主要命令过程的符号连接而实际启动和终止。对于进入某一运行级别时所启动的服务命令过程的符号连接来说,它是以字母“s”开头的,其后跟着一系列反映命令过程启动顺序(升序)的数字。对于进入某一运行级别时所终止的服务命令过程符号连接来说,它是以字母“K”开头的,其后跟着一系列反映命令过程终止顺序(降序)的数字。这种机制称为"Sys V Init",因为这种系统启动方法最初是从AT&T System V Unix计算机上引入的。

要定位用于启动不同服务的命令过程,请切换到目录/etc/init.d,并列示其内容。会看到如下的信息:

仔细观察此列表,容易发现用于cups、ntpd、portmap等服务的启动命令过程,因为启动命令过程的名称引起了其相关联的服务。然而,我们并不清楚哪一个命令过程与rpc.statd进程相关联。因此,可以使用grep来确定:

因而,我们需要禁用cups、nfslock、portmap命令过程,使在重新启动系统时它们不会执行。我们还要修改ntpd命令过程使其执行不同的ntpd服务。

系统的默认运行级别,即指出在系统启动时所启动的特定命令过程和服务集合的方法,是由包含initdefault关键字的命令行决定的,此关键字存在于/etc/inittab中。在一个Red Hat Enterprise Linux系统上,此行看起来会是如下的样子:

$ grep ':initdefault:' /etc/inittab
id:5:initdefault:

不同的Linux发行版本对于从2到6的运行级别赋予不同的逻辑含义,但其机制却是相同的,而无论这些服务运行在何种级别上。例如,在Ubuntu Linux 服务器上默认的运行级别是2级,如下所示:

$ grep 'initdefault:' /etc/inittab
id:2:initdefault:

一旦了解了系统的默认运行级别,就可以转向相关目录,移除与那些不想启动的服务相关联的符号连接。在此例中,这个目录就是/etc/rc5.d,因为我们这个Red Hat Enterprise Linux 系统默认运行在级别5上。

虽然这些仅是符号连接,但是清楚地了解你手动禁用了哪些服务却是个好主意,这就易于使其他系统管理员看出你对特定计算机的默认配置作了哪些改变。为了简化这一点,可以创建一个名DISABLED的目录并将符号连接移到此目录,而不是仅仅删除它们。

# mkdir DISABLED
# ls *nfslock *portmap *cups
S13portmap S14nfslock S55cups
# mv *nfslock *portmap *cups DISABLED

我们应该为其它的可能启动相同服务的运行级别重复这个过程。下面是一个找到完整列表的例子:

# cd /etc
# find {init,rc}.d -name "*nfslock*"
rc.d/init.d/nfslock
rc.d/rc0.d/K86nfslock
rc.d/rc5.d/K86nfslock
rc.d/rc5.d/DISABLED/S14nfslock
rc.d/rc2.d/K86nfslock
rc.d/rc1.d/K86nfslock
rc.d/rc3.d/K86nfslock
rc.d/rc5.d/S14nfslock
rc.d/rc4.d/K86nfslock
rc.d/rc5.d/S14nfslock
rc.d/rc6.d/K86nfslock

这显示出nfslock命令过程也正被调用在级别3和4上,这正是我们应该用相同的机制禁用的地方。你也可以运行同样的命令来确认cups和portmap命令过程所被调用的运行级别。

如果你也运行着一个象Red Hat Enterprise Linux一样的、提供一个运行级别配置工具的系统的话,你可能也要用这种工具来禁用系统的某些服务与不同的运行级别相关联的企图。既然这样,你就可以运行这个命令以禁用在所有运行级别上的指定服务。如下例所示:

# chkconfig nfslock off
# chkconfig cups off
# chkconfig portmap off

其它Linux发行版本,如Ubuntu和Debian,也提供了类似的工具如BootUp Manager(BUM)

中冲剑─修改系统启动行为

注意:

为了安全的原因,本节使用ntpd这个网络时间协议进程,作为一个你想定期运行但并非持续运行的过程。一些网络环境需要所有参与的系统保持绝对的同步。如果是那样的话,本节这个例子也许就不太恰当了,但仍可以阐明怎样用可靠的预定过程来替换一个进程。

正如前面所提到的那样,我们需要修改网络时间协议进程(ntpd)的行为,使你在启动系统后,它只能执行一次查询,而不能连续不断地进行,以后保持日常的同步就可以了。为了完成这点,我们可以修改/etc/init.d/ntpd命令过程,也可以修改任何关联的数据文件,还可以改变系统调用ntpd进程的方法。我们将执行后者,这稍微灵活一些。

首先,按照上一节所阐述的方法从所有运行级别上移除ntpd命令。然后,编辑文件/etc/rc.local,这是启动过程最后一步的命令过程。在文件最后一行的前面加入一行:

/usr/sbin/ntpd –q

编辑之后的结果所下如示:(你的发行版本是另一种的话,可能会略有不同。)

#!/bin/sh
#
# This script will be executed *after* all the other init scripts.
# You can put your own initialization stuff in here if you don't
# want to do the full Sys V style init stuff.
/usr/sbin/ntpd -q
touch /var/lock/subsys/local

如此一来,你的系统每次启动时,都会将 /usr/sbin/ntpd –q作为启动过程的最后一个命令来执行。

下一步,我们要确保系统启动之后,系统每天运行一次这个同样的命令,这就使系统时钟不会与实际时间相差太多。为此,我们使用cron命令来使ntpd –q按照规定的时间运行,在此例中就是每天运行一次。为了实现这一点,我们执行crontab –e命令来编辑定时执行命令表并将下面一行加入到文件中:

5 0 * * * echo `date`: `/usr/sbin/ntpd -q` >> /var/log/cron_ntpd.log

注意:此例中的所有引号均为后单引号,这样就会使其包含的命令被执行。

此条目会在每天午夜5分钟之后运行/usr/sbin/ntpd –q命令,并会将一个登记项添加到/var/log/cron_ntpd.log文件中,此文件由时间信息和命令的输出结果组成。我们可以监视这个日志文件来查看有多少调整是必需的;如果必要的话,增加这个命令的频率。

【稍后精彩内容:“本文第一节展示的lsof和netstat的输出结果确认了auth、telnet、vnc等服务是被xinetd互联网络服务进程所执行的”】

推广二维码
邮件订阅

如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

重磅专题