提高LINUX安全性

jianglaiyi

一般来说，队LINUX系统的安全设定包括取消不必要的服务，限制远程存取，隐藏重要文件，修补安全漏洞，采用安全工具以及经常性的检修。
  早期的UNIX版本中，每一个不同的网络服务都有一个服务程序在后天运行，后来 的版本用统一的/etc/inetd服务器程序但此重任。Inetd是internetdaemon 的缩写，它同时监视多个网络端口，一旦收到外界传来的连接信息，就执行相应的TCP或UDP网络服务，由于受inetd的统一指挥，因此LINUX中的大部分TCP或UDP服务都是在/etc/inetd.conf文件中设定。所以取消不必要的服务的第一步就是检查/etc/inetd.conf文件，在不必要的服务前加“＃”号。
  一般来说，除了HTTP,SMTP,TELNET和FTP之外，其他服务都应取消，象TFTP,IMAP/IPOP,GOPHER,DAYTIME和TIME等。
  还有一些报告系统状态的服务，如FINGER,EFINGER,SYSTAT和NETSTAT等，虽然对系统查错和寻找用户非常有用，但也给黑客带来了方便。例如，黑客可以利用FINGER服务查找用户的电话，使用目录以及其他重要信息。因此，很多LINUX系统将这些服务全部取消和取消部分，以增强系统的安全性。
  Inetd除了利用/etc/inetd.conf设置系统服务项之外，还利用/etc/services文件查找各项服务所使用的端口。因此，用户必须仔细检查该文件中各端口的设定，以免有安全上的漏洞。
  在LINUX中有两种不同的服务状态，一种是仅在有需要时才执行的服务，如FINGER服务，另一种是一直在执行的用不停顿的服务。这类服务在系统启动时就开始执行，因此不能靠修改inetd来停止其服务，而只能从修改/etc/rc.d/rc[n].d/文件或用run level editor  去修改它。提供文件服务的NFS服务器和提供NNTP新闻服务的news都属于这类服务，如没必要，最好取消这些服务。


本文来自ChinaUnix博客，如果查看原文请点：http://blog.chinaunix.net/u/15750/showart_242893.html