Linux安全小谈 （2）

　　在上面的工作都完成之后，我们接下来安装软件包。一般情况下Linux可以提供强大的服务，但是这些服务并不是都有必要的，有些可以造成安全隐患。我们只需要必要的东西，也就是软件组包，通过选上“Select individual package”这个单选框，在后面的安装过程中，你可以选中或不选单独的软件包。

　　我们安装LINUX的机器，不需要图形界面，在服务器上安装LINUX的图形界面就意味着更底的安全性能，更少的CUP时间，更少的内存，更底的处理能力等等，我们可以选择以下的软件组包进行安装：

　　◆Networked Workstation

　　◆Network Management Workstation

　　◆Utilities

　　接下来我们就应该选择单个的软件包了（别嫌麻烦），安装程序列出可以选择的软件包组，每个软件包组下面是单独的软件，下面列出一些软件，因为安全等种种问题请不要安装这些软件：

　　Applications/Archiving: dump

　　Applications/file: git

　　Applications/Internet: finger, ftp, fwhois, ncftp, rsh, rsync, talk, telnet

　　Applications/Publishing: ghosts cript, ghosts cript-fonts, mpage, rhs-printfilters

　　Applications/System: arpwatch, bind-utils, knfsd-clients, procinfo, rdate, rdist, screen, ucd-snmp-utils

　　Documentation: indexhtml

　　System Environment/Base: chkfontpath, yp-tools

　　System Environment/Daemons: XFree86-xfs, lpr, pidentd, portmap, routed, rusers, rwho, tftp, ucd-snmp, ypbind

　　System Environment/Libraries: XFree86-libs, libpng

　　User Interface/X: XFree86-75dpi-fonts, urw-fonts

　　我来解释下为什么不要安装这些软件：

　　Applications/Archiving：

　　dump这个软件包包括dump和restore这两个程序。dump用来检查文件系统中的文件以确定哪些需要备份，然后把这些文件拷贝到磁盘、磁带或其它介质上。对于我们来说，他没有必要，我们可以通过其他方法来实现；

　　Applications/File：

　　GIT可以浏览文件系统，查看文本文件或者2进值文件，查看或者停止进程，还包括其他一些工具和SHELL脚本，这些没有必要；

　　Applications/Internet：

　　FINGER，FTP，TELENT，FWHOIS，ncftp对于服务器是绝对的安全隐患，入侵者可以利用这些些软件HACK服务器并且查询并登陆其他服务器，所以一概不要；

　　Applications/Publishing：

　　ghosts cript是一套软件包括：Posts cript(tm)解释器、C语言的函数库（ghosts cript函数库实现了对Posts cript语言的图形*作）和PDF文件的解释器。ghosts cript font是一些Posts cript(tm)字体，ghosts cript解释器要用到这些字体。同时，这些字体也ghosts cript和X11共享的。mpage把纯文本的文件和Posts cript(tm)文件输出到Posts cript打印机上，可以在一张纸上打印多于一页的内容。（服务器一般不安装打印机，所以这是没有必要的）。

　　rhs-printfilter包括一组打印驱动，这主要是和RedHat的pinttool结合使用的。以上这些对于服务器来说，一般是没有必要的。

　　Applications/System：

　　arpwatch包括arpwatch and arpsnmp两个程序，他们都是网络监控程序，都是用来监控以太网和FDDI网络流量并且建立以太网地址和IP地址之间的数据库，如果二者时间的关系发生变化会通过EMAIL通报。（没有必要）

　　Dind-utils用来查询DNS服务器以获得Internet上主机的信息。（我们可以自己动手做到）

　　Knfsd-clients包括showmount程序，用来查询远程主机的mount daemon以获取远程主机上的NFS信息（安全隐患）

　　procinfo命令可以从/proc目录获取系统信息，并用适当的格式显示在标准输出上。（我们可以利用其他方法实现）

　　rdate根据RFC 868协议可以从网络中的其它计算机上获取日期和时间信息。（安全隐患）

　　rdist程序维护多台主机上相同文件的多个拷贝。如果可能，rdist会保留文件的owner，group，mode和mtime这些属性，而且它还可以动态的更新正在运行的程序。（安全隐患）

　　ucd-snmp包括各式各样的用于UCD-SNMP网络管理的实用工具。（安全隐患，也没有什么必要）

　　screen工具允许你在一个终端上，同时登录多次。screen对于使用telnet登录远程服务器或使用哑终端的用户比较有用。（没必要）

　　Documentation：

　　indexhtml包括一些HTML文件以及一些图片，在你成功安装RedHat Linux之后，作为浏览器的欢迎界面。（作为服务器，没有必要）

　　System Environment/Base：

　　chkfontpath是简单的命令行程序，用来添加、删除和列出X Window的字体路径。（没必要）

　　NIS为网络上的所有计算机提供网络信息，如：登录名、口令、家目录和组信息。（安全隐患）