鳥哥的 Linux 私房菜 -- 限制 Linux 對外的埠口 port limit

鳥哥的 Linux 與 ADSL 私房菜

限制 Linux 對外連線的埠口
本文已不再維護，更新文章請參考此處

最近更新日期：2003/09/19

為什麼我們的主機會回應網路上面的一些要求封包呢？例如我們設定了一部 WWW 主機後，當有來自 Internet 的 WWW 要求時，我們的主機就會予以回應，這是因為我們的主機有啟用了 WWW 的監聽埠口 (port) 啊！這裡就要特別留意了，當我們啟用了一個 daemon 時，就可能會造成主機的 Port 在進行 Listen 的動作，此時該 daemon 就是已經對網路上面提供服務了！萬一這個 daemon 有漏洞，因為他提供 Internet 的服務，所以就容易被 Internet 上面的 cracker 所入侵了！所以說，仔細的檢查自己系統上面的 port 到底開了多少個，並且予以嚴格的管理，才能夠降低被入侵的可能性啊！

　
什麼是埠口( port )：
　　：總共有多少埠口？哪些是保留的 port ？
　　：Server/Client 連線建立的 TCP 三向交握
　　：安不安全
如何觀察埠口：
　　：使用 netstat
　　：使用 nmap
如何關閉或啟動一個埠口：
設定開機時啟動服務的方法：
安全性：關閉所有對外開放的 port
課後練習：

什麼是埠口( port )：

我的主機開了多少的 port ，會不會被入侵呀！

開那個 port 會比較安全？又，我的服務應該對應什麼 port 呀

監聽, LISTEN

隨機取用的 high port』

所謂的 LISTEN 就是您的主機有啟動某些服務，那麼這個服務就會在 Linux 系統上面啟用一個 port 以監聽來自 Internet 的要求！例如以 FTP 的服務來說好了，如果您的主機有啟用 FTP 這個服務的話，那麼主機就會啟用 port 21 喔！而且 port 21 是一直啟用的，直到 FTP 這個服務關閉為止！

那麼萬一我的主機是要對外主動的連線呢？舉例來說好了，我的 Linux 要對外面的 WWW 主機要求資料 ( WWW 主機預設的 port number 為 80 ) ，那麼我的 Linux 總是需要啟用一個 port 來對外連線吧？！不然資料封包怎麼傳遞？那麼啟用的 port number 是多少呢？呵呵！Linux 主機會『隨機』取用一個沒有被使用的大於 1024 以上的 port 來進行這次的連線行為。

網路基礎

TCP/IP

TCP

註：嘿嘿！有些很少接觸到網路的朋友，常常會問說：『咦！為什麼您的電腦同時有 FTP、WWW、E-Mail 這麼多服務，但是人家傳資料過來，您的電腦怎麼知道如何判斷？電腦真的都不會誤判嗎？！』現在知道為什麼了嗎？！對啦！就是因為 port 不同嘛！您可以這樣想啦，有一天，您要去銀行存錢，那個銀行就可以想成是『主機』，然後，銀行當然不可能只有一種業務，裡頭就有相當多的窗口，那麼您一進大門的時候，在門口的服務人員就會問您說：『嗨！您好呀！您要做些什麼事？』您跟他說：『我要存錢呀！』，服務員接著就會告訴您：『喝！那麼請前往三號窗口！那邊的人員會幫您服務！』這個時候您總該不會往其他的窗口跑吧？！ ^_^""這些窗口就可以想成是『 port 』囉！所以啦！每一種服務都有特定的 port 在監聽！您無須擔心電腦會誤判的問題呦！

總共有多少埠口？哪些是保留的 port ？

所有的 port 是由 1 ~ 65535 這麼多個啦

只有 root 才可以啟用 1 ~ 1023 以內的 port

至於大於 1024 以上的 port 除了給系統隨機取用來作為連線的需求之外，也可以用來作為服務的 LISTEN 之用。

Linux 常用網路指令

netstat

netstat -tl

Wu-FTP

[root@test root]# vi /etc/services
ftp-data        20/tcp
ftp-data        20/udp
ftp             21/tcp
ftp             21/udp
ssh             22/tcp                          # SSH Remote Login Protocol
ssh             22/udp                          # SSH Remote Login Protocol
telnet          23/tcp
telnet          23/udp
smtp            25/tcp          mail
smtp            25/udp          mail
domain          53/tcp          nameserver      # name-domain server
domain          53/udp          nameserver
bootps          67/tcp                          # BOOTP server
bootps          67/udp
bootpc          68/tcp                          # BOOTP client
bootpc          68/udp
http            80/tcp          www www-http    # WorldWideWeb HTTP
http            80/udp          www www-http    # HyperText Transfer Protocol
hostname        101/tcp         hostnames       # usually from sri-nic
hostname        101/udp         hostnames       # usually from sri-nic
pop2            109/tcp         pop-2   postoffice      # POP version 2
pop2            109/udp         pop-2
pop3            110/tcp         pop-3           # POP version 3
pop3            110/udp         pop-3
sunrpc          111/tcp         portmapper      # RPC 4.0 portmapper TCP
sunrpc          111/udp         portmapper      # RPC 4.0 portmapper UDP
auth            113/tcp         authentication tap ident
auth            113/udp         authentication tap ident
sftp            115/tcp
sftp            115/udp

Server/Client 連線建立的 TCP 三向交握

網路基礎

每一個 TCP 連線都必須由一端(通常為 client )發起請求，這個 port 通常是隨機選擇大於 1024 以上的 port 號來進行！其 TCP 封包會將(且只將) SYN (主動連線)旗標設定起來！這是整個連線的第一個封包；
如果另一端(通常為 Server ) 接受這個請求的話 ( 當然囉，特殊的服務需要以特殊的 port 來進行，例如 FTP 的 port 21 )，則會向請求端送回整個連線的第二個封包！其上除了 SYN 旗標之外同時還將 ACK (確認)旗標也設定起來，並同時在本機端建立資源以待連線之需；
然後，請求端獲得服務端第一個回應封包之後，必須再回應對方一個確認封包，此時封包只帶 ACK 旗標(事實上﹐後繼連線中的所有封包都必須帶有 ACK 旗標)﹔
只有當服務端收到請求端的確認( ACK )封包(也就是整個連線的第三個封包)之後﹐兩端的連線才能正式建立。這就是所謂的 TCP 連線的『三段式交握( Three-Way Handshake )』的原理。

安全不安全？

我怎麼知道哪一個 port 比較安全？

port

服務

安全

Wu-ftpd 這個服務不安全，建議大家改用 proftp

某些不安全的服務

開了哪些 port

如何觀察埠口：

看他到底在幹啥

/etc/services

服務名稱　　　port 號　　　常見套件名稱　　　　　　　建議
==================================================================================
ftp　　　　　 21　　　　　 Wu-ftp, proftp　　　　　　不要開放他！
telnet　　　　23　　　　　 telnet　　　　　　　　　　不要開放他！
smtp　　　　　25　　　　　 sendmail, postfix　　　　除非必要，不然不要啟動！
http　　　　　80　　　　　 apache　　　　　　　　　　除非必要，不然不要啟動！
pop3　　　　 110　　　　　 imap 　　　　　　　　　　除非是 mail 主機，不然不要開放
netbios-ssn　139　　　　　 SAMBA　　　　　　　　　　除非必要，不然不要啟動！
squid　　　 3128　　　　　 squid　　　　　　　　　　除非必要，不然不要啟動！
mysql　　　 3306　　　　　 MySQL　　　　　　　　　　除非必要，不然不要啟動！

當然還不只這些哩，更詳細的資訊您應該到您的 Linux 主機之下的 /etc/services 這個檔案去看仔細！好了，那麼接下來就是要來察看我們主機的 port 囉！如何察看呢？底下我們介紹兩個最常使用的觀測指令：

netstat ：在本機上面以自己的程式監測自己的 port ，無危險；
nmap ：在本機上面，以特殊的偵測程式偵測自己，可能會有違法之虞。

見他的大頭王！怎麼使用 nmap 會違法？呵呵！別擔心，由於 nmap 的功能太強大了，所以很多 cracker ( 怪客，網路上面的閒人 ) 會直接以他來偵測別人的主機，這個時候就可能造成違法啦！只要您使用 nmap 的時候不要去偵測別人的電腦主機，那麼就不會有問題啦！ ^_^"" 底下我們分別來說一說這兩個寶貝吧！

使用 netstat 指令：

如前所述，在做為主機的 Linux 系統中，

服務項目是越少越好

！這樣可以避免不必要的入侵管道喔！因此，這個時候請瞭解一下您的系統當中，有沒有哪些服務被開啟了呢？要瞭解自己的系統當中的服務項目，最簡便的方法就是使用 netstat 了！這個東西不但簡單 ( 每一部 Linux 機器當中預設都會安裝的套件喔！ ) ，而且功能也是很不錯的。這個指令的使用方法在 Linux 常用網路功能指令介紹當中提過了，底下我們僅提供如何使用這個工具的方法囉！

[root@test root]# netstat
Active Internet connections (w/o servers)
Proto Recv-Q Send-Q Local Address           Foreign Address         State
tcp        0     20 192.168.1.2:ssh       192.168.1.11:1391     ESTABLISHED
Active UNIX domain sockets (w/o servers)
Proto RefCnt Flags       Type       State         I-Node Path
unix 10     [ ]         DGRAM                    768    /dev/log
unix 2      [ ]         DGRAM                    304058
unix 2      [ ]         DGRAM                    303994
unix 2      [ ]         DGRAM                    303972
unix 2      [ ]         DGRAM                    70794
unix 2      [ ]         DGRAM                    70743
unix 2      [ ]         DGRAM                    27533
unix 2      [ ]         DGRAM                    895
unix 2      [ ]         DGRAM                    785

如上所示，單純使用 netstat 的時候，僅『

列出目前已經接通的服務項目與服務名稱

』所以您可以看到，由於目前僅有一個 ssh 的連線建立成功，所以就只有顯示出一個

ESTABLISHED ( 連線中的意思 )

的項目。上面第三行以 tcp 開頭的那一行，表示『

有一個 ssh 的服務開啟通道連線中，是由遠端 client 的 192.168.1.11 這個 IP 連接到 192.168.1.2 的主機上面的這個 IP ，而 Client 端連線的通道是以 1391 這個通道連接進入 ssh 的服務中的！

』。這裡這個 ssh 所顯示的服務名稱就是在 /etc/services 裡面記載的囉！那如果我需要將所有的項目都列出來呢？例如說：有哪些 port 目前正在監聽呢？！

[root@test root]# netstat -a
AActive Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address           Foreign Address         State
tcp        0      0 *:pop3                  *:*                     LISTEN
tcp        0      0 *:imap                  *:*                     LISTEN
tcp        0      0 *:ftp                   *:*                     LISTEN
tcp        0      0 *:ssh                   *:*                     LISTEN
tcp        0      0 *:smtp                  *:*                     LISTEN
tcp        0     20 192.168.1.2:ssh         192.168.1.11:1391       ESTABLISHED
udp        0      0 *:1238                  *:*
Active UNIX domain sockets (servers and established)
Proto RefCnt Flags       Type       State         I-Node Path
unix 10     [ ]         DGRAM                    768    /dev/log
unix 2      [ ]         DGRAM                    304058
unix 2      [ ]         DGRAM                    303994
unix 2      [ ]         DGRAM                    303972
unix 2      [ ]         DGRAM                    70794
unix 2      [ ]         DGRAM                    70743
unix 2      [ ]         DGRAM                    27533
unix 2      [ ]         DGRAM                    895
unix 2      [ ]         DGRAM                    785

如上所示，加入 -a ( all )就是說將所有在機器上所有的 port 的狀態列出的意思，不過，服務的名稱已經使用

/etc/services

裡面的名稱了，而不是使用 port 的數字！如上所示，目前我主機上面的服務共開啟了：『 pop3、imap、ftp、ssh、smtp 』等服務 (

就是在 tcp 封包裡頭的具有 LISTEN 的那幾個咚咚囉

！) 至於已經建立的服務就只有 ssh 這一個囉！那如果我想要知道 port 的號碼呢？呵呵，就使用底下的指令吧！

[root@test root]# netstat -an
Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address           Foreign Address         State
tcp        0      0 0.0.0.0:110             0.0.0.0:*               LISTEN
tcp        0      0 0.0.0.0:143             0.0.0.0:*               LISTEN
tcp        0      0 0.0.0.0:21              0.0.0.0:*               LISTEN
tcp        0      0 0.0.0.0:22              0.0.0.0:*               LISTEN
tcp        0      0 0.0.0.0:25              0.0.0.0:*               LISTEN
tcp        0     20 192.168.1.2:22          192.168.1.11:1391       ESTABLISHED
udp        0      0 0.0.0.0:1238            0.0.0.0:*
Active UNIX domain sockets (servers and established)
Proto RefCnt Flags       Type       State         I-Node Path
unix 10     [ ]         DGRAM                    768    /dev/log
unix 2      [ ]         DGRAM                    304058
unix 2      [ ]         DGRAM                    303994
unix 2      [ ]         DGRAM                    303972
unix 2      [ ]         DGRAM                    70794
unix 2      [ ]         DGRAM                    70743
unix 2      [ ]         DGRAM                    27533
unix 2      [ ]         DGRAM                    895
unix 2      [ ]         DGRAM                    785

如上所示，我接通的服務通道只有 22 這一個，而其他的您可以參照上面的指令輸出結果來對照，所以您就可以知道囉：pop3 為 110 而 imap 為 143 呵呵！就是這樣囉！因此，透過此一指令，就可以輕易的瞭解目前主機的運作狀況與服務狀態囉！當然囉， netstat 的用途不止於此，您可以使用

man netstat

來查閱一番喔！相信對您的主機會有更大的瞭解呦！

相信有不少的朋友都會有這個困擾，就是

要怎樣刪除已經建立的連線呢？

因為總有些不速之客會連到您的主機來進行一些破壞的工作！或者是您根本不想讓對方連線過來！呵呵！還記得鳥哥的 Linux 私房菜--基礎學習篇內的資源管理裡面提到的幾個常用的指令吧！？那就是找出那個連線程序的 PID ，然後給他 kill 掉就是了！簡單呀！不過，大問題是『

我要怎樣找出連線的 PID 呀！

？』呵呵！由於 PID 的管理與整體的系統資源有關，這個時候，雖然可以使用 netstat 來觀察 PID ，不過

只有 root 可以觀察到連線狀態的 PID 號碼

呦！( 註：還記得資源管理提及的 PID 概念嗎？就是說，在 Linux 系統之內，每個『程序』系統都會給予一個號碼來管理！這個就是 PID 囉！)

[root@test root]# netstat -ap
Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address           Foreign Address         State       PID/Program name
tcp        0      0 *:ssh                   *:*                     LISTEN      32149/sshd
tcp        0    284 140.116.141.19:ssh      192.168.1.11:1391       ESTABLISHED 24751/sshd
Active UNIX domain sockets (servers and established)
Proto RefCnt Flags       Type       State         I-Node PID/Program name    Path
unix 7      [ ]         DGRAM                    944    509/syslogd         /dev/log
unix 2      [ ]         DGRAM                    3035915 16648/xinetd
unix 2      [ ]         DGRAM                    739227 5951/pppoe
unix 2      [ ]         DGRAM                    739189 5949/pppd
unix 2      [ ]         DGRAM                    1070   628/crond
unix 2      [ ]         DGRAM                    953    514/klogd
unix 2      [ ]         STREAM     CONNECTED     690    1/init [3]

看到上面那個斜體字的連線建立的網路狀態了嗎？嘿嘿！最後面一欄就是顯示那個 PID/Program name ，那個 PID ( 上面是 24751 )也就是我們要來砍掉的啦！這個時候，如果要將該連線砍掉時，就直接以 kill 來做吧！

[root@test root]# kill -9 24751

這樣就能將該連線給他『踢出去』您的主機啦！！ ^_^""

使用 nmap 套件：注意安全！

在本機上面觀察 port 最好是使用 netstat 啦！因為他安全又可靠！但是，由於可能有某些 port 會尋找不到，或者不曉得那些 port 是幹嘛用的，尤其是 /etc/services 裡頭沒有提到的幾個 port 對應的服務！這個時候怎麼辦？！沒關係，不要緊，我們這個時候可以使用那個很流行的『黑客指令』，就是 nmap 這個東西啦！nmap 的套件說明之名稱為：『Network exploration tool and security scanner』，顧名思義，這個東西是被系統管理員用來管理系統安全性查核的工具！他的具體描述當中也提到了， nmap 可以經由內部自行定義的幾個 port 對應的指紋資料，來查出該 port 的服務為何，所以我們也可以藉此瞭解我們主機的 port 到底是幹嘛用的！如果您是安裝 Linux 是 Red Hat 版本的話，那麼這個 nmap 套件應該已經安裝妥當了，萬一沒有這個套件的話，也可以來到底下的網站下載：

http://linux.vbird.org/download/#nmap

[root@test root]# nmap <掃瞄類型> <掃瞄參數> <Hosts 位址與範圍>
參數說明：
<掃瞄類型>：主要的掃瞄類型有底下幾種：
　　-sT：掃瞄 TCP 封包已建立的連線 connect() ！
　　-sS：掃瞄 TCP 封包帶有 SYN 標籤的資料
　　-sP：以 ping 的方式進行掃瞄
　　-sU：以 UDP 的封包格式進行掃瞄
　　-sO：以 IP 的協定 ( protocol ) 進行主機的掃瞄
<掃瞄參數>：主要的掃瞄參數有幾種：
　　-PT：使用 TCP 裡頭的 ping 的方式來進行掃瞄，可以獲知目前有幾部
　　　　電腦存活(較常用)
　　-PI：使用實際的 ping (帶有 ICMP 封包的) 來進行掃瞄
　　-p ：這個是 port range ，例如 1024-, 80-1023, 30000-60000 等等的使用方式
<Hosts 位址與範圍>：這個有趣多了，有幾種類似的類型
　　192.168.0.100 ：直接寫入 HOST IP 而已，僅檢查一部；
　　192.168.0.0/24 ：為 C Class 的型態，
　　192.168.*.*　　：嘿嘿！則變為 B Class 的型態了！掃瞄的範圍變廣了！
　　192.168.0.0-50,60-100,103,200 ：這種是變形的主機範圍啦！很好用吧！
範例：

例題一：掃瞄單一部電腦！
[root@test root]# nmap localhost　　
# 沒有加上任何參數，由 nmap 的預設參數來進行掃瞄
Starting nmap V. 2.54BETA22 ( www.insecure.org/nmap/ )
Interesting ports on vbird.adsldns.org (127.0.0.1):
(The 1539 ports scanned but not shown below are in state: closed)
Port       State       Service
21/tcp     open        ftp
22/tcp     open        ssh
23/tcp     open        telnet
Nmap run completed -- 1 IP address (1 host up) scanned in 1 second
# 由上面可以看出我的系統目前共有 21, 22, 23 這三個 port 開放！而且
# 各 port 對應的服務也被查出來了！

例題二：掃瞄單一部電腦的較少數 port 號碼！
[root@test root]# nmap -p 1024-65535 localhost
# 僅掃瞄較少數的 port 啦！
Starting nmap V. 2.54BETA22 ( www.insecure.org/nmap/ )
Interesting ports on pc510.ev.ncku.edu.tw (127.0.0.1):
(The 64511 ports scanned but not shown below are in state: closed)
Port State Service
3306/tcp open mysql <==只有這個 port 被找出來囉！
Nmap run completed -- 1 IP address (1 host up) scanned in 11 seconds

例題三：直接以 Ping 的方式掃瞄數個電腦！
[root @test /root]# nmap -PT 192.168.1.171-177
# 看到了吧！掃瞄一個區段的活著的電腦！

Starting nmap V. 2.54BETA22 ( www.insecure.org/nmap/ )
Interesting ports on linux172 (192.168.1.172):
(The 1536 ports scanned but not shown below are in state: closed)
Port       State       Service
110/tcp    open        pop-3
135/tcp    open        loc-srv
139/tcp    open        netbios-ssn
445/tcp    open        microsoft-ds
1025/tcp   open        listen
1110/tcp   open        nfsd-status

Interesting ports on linux174 (192.168.1.174):
(The 1537 ports scanned but not shown below are in state: closed)
Port       State       Service
110/tcp    open        pop-3
135/tcp    open        loc-srv
139/tcp    open        netbios-ssn
445/tcp    open        microsoft-ds
1025/tcp   open        listen

Interesting ports on linux176 (192.168.1.176):
(The 1537 ports scanned but not shown below are in state: closed)
Port       State       Service
110/tcp    open        pop-3
135/tcp    open        loc-srv
139/tcp    open        netbios-ssn
445/tcp    open        microsoft-ds
1025/tcp   open        listen

Nmap run completed -- 7 IP addresses (3 hosts up) scanned in 1 second
瞧！我要偵測的只有七部電腦，所以這七部電腦只會回應給我囉！而其中只有三部有啟動，所以當然就只會有三段回應啦！這個方式蠻適合一次掃瞄您的子網域內的所有電腦呢！ ^_^"

請特別留意，這個 nmap 的功能相當的強大，也是因為如此，所以很多剛在練習的黑客會使用這個軟體來進行偵測別人的電腦，這個時候請您特別留意，目前很多的人已經都有『特別的方式』來進行登錄的工作！例如以 TCP_Wrappers ( /etc/hosts.allow, /etc/hosts.deny ) 的功能來記錄曾經偵測過該 port 的主機 IP！這個軟體用來『偵測自己機器的安全性』是很不錯的一個工具，但是如果用來偵測別人的主機，可是可能會『吃上官司』的！特別留意！！

如何關閉或啟動一個埠口：

開或關一個 port 的方式是：開啟或關閉一個服務即可！

[root@test root]# /etc/rc.d/init.d/sendmail start
Starting sendmail:                                         [ OK ]
[root@test root]# netstat -an|more
Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address           Foreign Address         State
tcp        0      0 0.0.0.0:22              0.0.0.0:*               LISTEN
tcp        0      0 127.0.0.1:25            0.0.0.0:*               LISTEN
tcp        0      0 192.168.1.2:22          192.168.1.11:3175       ESTABLISHED
Active UNIX domain sockets (servers and established)
Proto RefCnt Flags       Type       State         I-Node Path
unix 8      [ ]         DGRAM                    944    /dev/log
unix 2      [ ]         DGRAM                    3161529
unix 2      [ ]         DGRAM                    3160038
unix 2      [ ]         DGRAM                    739227
unix 2      [ ]         DGRAM                    739189
unix 2      [ ]         DGRAM                    1070
unix 2      [ ]         DGRAM                    953
unix 2      [ ]         STREAM     CONNECTED     690
# 看！那個 127.0.0.1:25 出現了！！
　
[root@test root]# /etc/rc.d/init.d/sendmail stop
Shutting down sendmail:                                    [ OK ]

鳥哥的 Linux 私房菜 -- 基礎學習篇內的認識服務

/etc/rc.d/init.d
/etc/xinetd.d

/etc/rc.d/init.d/sendmail start

super daemon

重新啟動 xinetd 這個服務！

/etc/rc.d/init.d/xinetd restart

service

註： service 這個指令並非所有的 Linux distribution 都存在，僅有 Red Hat 及 Mandrake 上面才會發現這個指令喔！

service xinetd restart

設定開機時啟動服務的方法：

基礎學習篇--Linux 開機關機程序

BIOS
MBR
Linux Loader
Kernel, init ( 取得 run-level ),
/etc/rc.d/,
/etc/modules.conf,
/etc/rc.d/rc[0-6].d,
/etc/rc.d/rc.local

基礎學習篇--開機關機程序

好用的系統工具

不是將所有的服務都關掉就是安全的

一定要啟動的

服務名稱　　　　　　服務內容說明
===============================================================================
atd　　　　　　　　在例行性命令裡頭提到的，單一次預約命令執行的服務，務必啟動！
cron　　　　　　　　在例行性命令裡頭提到的，循環執行的命令，務必啟動！
iptables　　　　　　這個是防火牆軟體，無論如何，先啟動他吧！
keytables　　　　　設定鍵盤的上面的字母的格式！當然需要讀入了！不然如何控制！
network　　　　　　您總該不會不想要有網路吧？！所以這個也請啟動囉！
random　　　　　　　快速的將系統的狀態在隨機的時間內存到映象檔當中，對於系統
　　　　　　　　　　相當重要！因為在開機之後，系統會迅速的回復到關機之前的狀態！
syslog　　　　　　　在系統登錄檔裡面提過很多次了！相當重要的服務！務必啟動！
xinetd　　　　　　　對啦！另一個服務管理員 super daemon！也是必須要啟動的項目之一！
xfs　　　　　　　　如果您是使用 run-level 為 5 的圖形介面，那麼這個也必須要啟動啦

安全性：關閉所有對外開放的 port

在您安裝了 Linux 之後呢，相信有很多的朋友會開始想要作一些很炫的服務，例如 WWW 或者是 mail 亦或是 FTP 的服務，但是，這些服務都有潛在性的危險喔，很多的駭客就是利用您開啟的這些服務來進行網站的破壞！基本上，比較麻煩的是『特洛伊木馬』這一類的後門程式，以您的網站做為中繼站去攻擊駭客想要攻擊的目標。所以囉，灌完了 Linux 之後，先將一些不必要的程式或服務移除吧！以保障您的網路安全！其中，更重要的則是將所有的對外的 port 都先關起來！有需要的才開啟！好了，利用我們剛剛提到的幾個方法將您的對外的 port 都關起來吧！

1. 使用 ntsysv 設定開機時啟動的服務項目：
[root@test root]# ntsysv
只要選擇底下幾個服務即可(注意！我是以 Red Hat 的文字介面為基礎的)
atd, cron, iptables, keytables, network, random, syslog, xinetd
如果是 Mandrake 的話，就得要使用 chkconfig 了！

2. 重新開機讓設定生效：
[root@test root]# reboot

3. 觀察目前的 port 開啟多少個？
[root@test root]# netstat -an | more
Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address           Foreign Address         State
Active UNIX domain sockets (servers and established)
Proto RefCnt Flags       Type       State         I-Node Path
unix 7      [ ]         DGRAM                    944    /dev/log
unix 2      [ ]         DGRAM                    3162963
unix 2      [ ]         DGRAM                    739227
unix 2      [ ]         DGRAM                    739189
unix 2      [ ]         DGRAM                    1070
unix 2      [ ]         DGRAM                    953
unix 2      [ ]         STREAM     CONNECTED     690

這樣一來，所有的對外窗口將暫時的全部關閉了！好了，準備要來玩架站囉！一個一個的啟動我們的 port 吧！ ^_^

課後練習：

如何觀察您 Linux 主機上面已經有多少 port 被打開了？
如何觀察程序？
請問 LISTEN 的 port 與 daemon 的關係為何？
請解釋三向交握的原理與封包傳輸的方向。
請問 stand alone 與 super daemon 各是什麼？
請問您的 Linux 主機 (不論是那個 distributions ) 有關 daemon 啟動與關閉的 scripts 與檔案放置在那個目錄下？
請將您的 linux 主機對外的連線埠口全部關閉！

前往參考用解答

限制 Linux 對外連線的埠口

2002/08/02：首次完成釋出
2003/08/21：重新編輯，並且加入課後練習。
2003/09/19：加入參考用解答了。