鳥哥的 Linux 與 ADSL 私房菜

---

針對安全的考量，移除不必要的服務通道

前言：
這篇文章是參考網路上一些前輩的資料寫下來的，如果有興趣的話，不妨去看一下原作者的內容：

• 簡易駭客防制法：臥龍小三的大作；
• 自己架一個安全的伺服器環境（二）：Linux 安全交流網

在你安裝了 Linux 之後呢，相信有很多的朋友會開始想要作一些很炫的服務，例如 WWW 或者是 mail 亦或是 FTP 的服務，但是，這些服務都有潛在性的危險喔，很多的駭客就是利用你開啟的這些服務來進行網站的破壞！基本上，比較麻煩的是『特洛伊木馬』程式這一類的後門程式，以你的網站做為中繼站去攻擊駭客想要攻擊的目標。所以囉，灌完了 Linux 之後，先將一些不必要的程式或服務移除吧！以保障您的網路安全！

• 關閉一些服務：
在你開始 Linux 的網路功能之後，建議您關閉一些網路上的服務，通常，這些服務並不會使用到！所以對於您的日常行為（如 e-mail, WWW, FTP ）是不會有影響的，既然對於日常行為不會有影響，又可以增進您網路的安全性，當然是需要進行囉！

1. 關閉一些服務：

關閉的方法有很多，通常我是使用 /usr/sbin/setup 來關閉的，只是用這樣的方式來關閉的話，需要重新啟動 Linux ，比較麻煩一些些，如果您是使用我們這個網頁的 RedHat6.1 系統的話，那就執行 /usr/sbin/setup 吧！然後選擇 System services，將所有的服務啟動項目開到剩下如下的幾個：
• atd
• crond
• inet
• keytable
• kudzu
• network
• random
• sendmai（如果你有開啟 e-mail 服務的話）
• smb（如果你有開啟 SAMBA 服務的話）
• syslog
• xfs（如果你有執行 X-windows 的話）
其他的服務就是你的要求來開啟囉，其實，除非你真的瞭解該服務是作何用的，否則可以先予以關閉之，但是上面的幾個項目則必須要開啟的！
 
2. 設定啟動時的服務：

另外還有一個檔案在設定開機時的服務設定，那就是/etc/inetd.conf這個檔案，在這個檔案中，開啟到剩下四個服務就好，其他的服務就把他註解掉（加上一個 # 符號即可）。
• ftp    stream tcp nowait root /usr/sbin/tcpd in.proftpd
• telnet stream tcp nowait root /usr/sbin/tcpd in.telnetd
• pop-3  stream tcp nowait root /usr/sbin/tcpd ipop3d
• imap   stream tcp nowait root /usr/sbin/tcpd imapd
另外，如果您的 RedHat 版本在 7.0 以後的話，那關於各項服務的目錄就會是在 /etc/xinetd.d 這個目錄中了！由於 xinetd 是將所有的服務個別放置於不同的檔案中，因此你需要針對所有的檔案進行修正！通常，只要將每個檔案中的 disable = no 改寫成 disable = yes 就可以了！
 
3. 從 Linux 系統上移除一些套件：

雖然我們已經將一些服務關掉了，但是最好還是從根本上將這個套件給他移除吧！以下這些套件是不必要的套件，你可以移除：
• git
• finger
• talk
• ytalk
• ucd-snmp-utils
另外，還有一些 ftp 的套件也可以將之移除喔！（如果你不需要的話！！）移除的方法很簡單，就用 rpm 吧：
• rpm -e git finger talk ytalk ucd-snmp-utils
4. 重新開機：

這個不用教吧！ reboot 即可

Designed by VBird during 2001-2004.  Aerosol Lab.