连载：六脉神剑捍卫企业 Linux系统(一)

虽然nmap命令不能识别与631和795端口相关的服务，但前面展示的lsof和nmap命令在本地计算机的输出却分别将其确定为打印端口监控程序和rpc.statd命令。

如果所有的输出一致的话，下一步便是分析可用的服务来决定其是否必需，如果是非必需的，应怎样处理：

首先，在netstat和lsof中输出的cupsd（打印）和sendmail(邮件服务器)这两个进程在nmap的输出中是不可见的。netstat 和 lsof的输出确认了它们只是在监听本地的回路接口，因此对于外部的计算机来说是不可见的，并且不会引安全问题。如果性能是你要分析的计算机的一个问题的话，sendmail对于本地邮件传输是有用的；但如果并没有人正在本机上打印的话，你可能会终止CUPS进程。

Ssh(安全外壳)对于远程登录提供了安全机制并支持加密通信，这是好事情。

Telnet进程代表了一个用于建立远程连接的较早的协议，它使用了非加密的通信。一些telnet的较新版本支持安全的认证和通信机制，如支持Kerberos；但不管怎么说，这是一个非必需的服务，因为已经提供了SSH，所以必须关闭这个进程。

Rpcbind (端口映射程序) and rpc.statd (795端口)进程仅在NFS环境中有用。如果我们正在分析的不是一个NFS客户端,就应该关闭它。

Auth进程对于分析网络客户端的问题是有用的，但可会为入侵者提供系统用户的信息。然而，一些FTP和其它的网络客户却必须使用它。因此我们要么禁用它，要么用-n选项启用它。-n使其只显示数字的用户ID而非用户名。

Ntp(网络时间协议)进程用于使网络上的计算机时钟同步，但在过去常被某些人用于查找漏洞等。我们可以在启动时运行ntp –q命令，这样就可以查询并同步时间服务，然后再退出。

在32768端口上的omad进程可能令人困惑，但反复检查lsof 和netstat的输出,会发现32768实际上正被用于rpc.statd查询，因此应该通过关闭rpc.statd进程来终止它。这是一个被nmap错误识别的进程。

此过程的下一步就是到我们正在分析的计算机那里来决定在什么地方及什么时间这些进程被启动，因此可以终止我们确认为非必要的任何进程（cupsd, portmap,rpc.statd, telnet, vnc）,并改变我们想要改变的任何进程的行为。

【稍后精彩内容：“现代的Linux系统中，网络进程一般可以用以下两种方法中的任一种来启动”】