Linux服务器平台的安全保护(2)

　　2、关闭服务

　　一旦安装完系统的安装包、补丁，重启后，我们现在就可以开始对操作系统进行安全增强配置了。安全增强配置主要包括关闭服务、增加日志、调整几个文件和配置TCP Wrappers。首先从关闭服务开始。

　　缺省情况下，Solaris是一个提供许多有用服务的高性能操作系统。然而，对于防火墙来说，其中的大多数服务是不需要，且可能是安全风险。首先需要修改/etc/inetd.conf文件。这个文件定义了由/usr/sbin/inetd超级守护进程需要监听的服务。缺省情况下，/etc/inetd.conf会启动35个服务，然而最多仅需要两项：ftp和telnet。其余服务都不是必需的，可以将它们注释（关闭）。这是很重要的，因为inetd监听的许多服务存在严重的安全威胁，例如popd、imapd和rsh。以下命令列出inetd守护进程会监听的服务，请确认将其中不必要的服务的所在行注释（行首加"#"号）：

　　grep -v "^#" /etc/inetd.conf

　　下一步要修改的是/etc/rc2.d和/etc/rc3.d目录下的文件。在这里你能够找到被init进程执行的启动脚本。其中也有许多是不需要的。要取消在启动过程中执行一个脚本，只需将对应文件名的起始大写S改为小写s即可。此外，Red Hat系统中带有一个好工具用以关闭服务。只要在命令行输入"/usr/sbin/setup"，然后选择"System Services"，接着再选择在系统启动时需要执行的脚本。另外还有一种方法就是在大多数发行版本中都带有的chkconfig工具。以下启动脚本是系统缺省安装，但通常却不是必需的。如果确定不需要它们，应该将禁止其启动。

　　注意其中的数字用于决定执行的顺序，在不同的发行版本中可能会有所变化。以大写K开始的脚本用于kill已经在运行中的服务。

　　S05apmd （仅有笔记本电脑才需要）

　　S10xntpd （网络时间协议）

　　S11portmap （如果运行RPC服务则必需打开）

　　S15sound （保存声卡设置）

　　S15netfs （NFS客户端，用于从NFS服务器安装文件系统）

　　S20rstatd （向远程用户泄露过多信息）

　　S20rusersd

　　S20rwhod

　　S20rwalld

　　S20bootparamd （用于无盘客户端，通常都不需要）

　　S25squid （代理服务器）

　　S34yppasswdd （如果系统运行NIS服务器，则必需此服务）

　　S35ypserv （如果系统运行NIS服务器，则必需此服务）

　　S35dhcpd （启动DHCP服务器守护进程）

　　S40atd （at服务，类似cron服务，但系统通常不需要）

　　S45pcmcia （仅有笔记本电脑才需要）

　　S50snmpd （SNMP守护进程，向远程用户泄露过多信息）

　　S55named （DNS服务器。如果需要运行DNS，请升级到最新版本）

　　S55routed （RIP，仅在必需时才应该启动）

　　S60lpd （打印服务）

　　S60mars-nwe （Netware文件和打印服务器）

　　S60nfs （用于NFS服务器。除非必须，此服务不应运行）

　　S72amd （AutoMount守护进程，用于自动安装远程文件系统）

　　S75gated （用于运行其它路由协议，例如OSPF）

　　S80sendmail （如果不需要接收或转发电子邮件应关闭。此时仍可发送电子邮件）

　　S85httpd （Apache服务器，建议升级到最新版本）

　　S87ypbind （仅有NIS客户端才需要）

　　S90xfs （X Windows系统字体服务器

　　S95innd （News服务器）

　　S99linuxconf （通过浏览器远程配置Linux系统）

　　要想在修改启动脚本前了解有多少服务正在运行，输入：

　　ps aux | wc -l

　　然后修改启动脚本后，重启系统，再次输入上面的命令，就可计算出减少了多少项服务。越少服务在运行，安全性就越好。另外运行以下命令可以了解还有多少服务在运行：

　　netstat -na --ip