Linux系統(tǒng)服務器安裝后的安全配置

一、關(guān)閉不必要的服務

Linux的服務分為兩種，一種是由inetd超級服務器來啟動的，如:ftp、telnet等；對于這些服務來說，系統(tǒng)并不總是運行telnetd、ftpd等服務進程，而是由inetd進程監(jiān)聽這些服務的服務端口，一旦有服務請求到達就啟動對應的服務進程(如:telnetd等)來提供服務。另外一種是獨立的服務器，系統(tǒng)一直運行有對應的服務進程。

關(guān)閉這兩種服務的方法是不同的，對于inetd啟動的進程：

inetd超級服務器的配置文件為/etc/inetd.conf，該文件指示了inetd應該監(jiān)聽哪些服務請求，并在請求時啟動對應的服務。因此只要通過編輯/etc/inetd.conf文件就可以實現(xiàn)關(guān)閉不需要的服務，例如希望關(guān)閉pop3服務，則在編輯/etc/inetd.conf文件以前文件中有如下的內(nèi)容：

pop-3streamtcpnowaitroot/usr/sbin/tcpdipop3d

要關(guān)閉pop3服務則在該行前添加注釋符即可：

#pop-3streamtcpnowaitroot/usr/sbin/tcpdipop3d

通過編輯該文件，實現(xiàn)關(guān)閉不需要的服務(例如我的系統(tǒng)我僅僅開放了telnet和ftp服務)以后，則需要重新啟動inetd超級服務器。首先找到inetd的進程號：

[root@aid/etc]#psax|grepinetd

358?S0:00inetd

然后重新啟動inetd服務器：

[root@aid/etc]#kill-HUP358

最后因為inetd.conf應該不允許普通用戶讀寫，因此設置其訪問權(quán)限為600:

chmod600/etc/inetd.conf

而且該文件應該不被任何用戶修改，包括root用戶。因此為了防止用戶錯誤的修改該文件，為該文件添加不可修改位：

chattri/etc/inetd.conf

對于獨立服務器，則需要通過/usr/sbin/ntsysv命令來修改：

只需要服務前面通過空格鍵來選擇是否在系統(tǒng)啟動時啟動該服務就可以實現(xiàn)關(guān)閉某個服務器，如：希望系統(tǒng)關(guān)閉dhcpd服務，則通過上下鍵選中該服務器，然后通過空格鍵去掉該服務前[]內(nèi)的星號即表示系統(tǒng)啟動時不開放該服務。若希望了解某個服務的具體含義，可以選擇該服務以后按F1鍵來查看該服務的含義。

設置完畢以后，只有希望打開的服務前的[]內(nèi)才會有星號。然后通過Tab鍵選擇OK，按空格鍵。重新啟動機器。

重新啟動機器以后，可以通過下面的命令來察看系統(tǒng)打開了哪些服務，來決定是否已經(jīng)關(guān)閉了不需要的服務，例如我僅僅希望提供telnet服務則：

[ideal@aidideal]$netstat-ln

ActiveInternetconnections(onlyservers)

ProtoRecv-QSend-QLocalAddressForeignAddressState

tcp000.0.0.0:230.0.0.0:*LISTEN

raw000.0.0.0:10.0.0.0:*7

raw000.0.0.0:60.0.0.0:*7

ActiveUNIXdomainsockets(onlyservers)

ProtoRefCntFlagsTypeStateI-NodePath

從上面的命令輸出可以看到系統(tǒng)僅僅開放了23號端口，也就是telnet服務。

服務器租用/服務器托管中國五強！虛擬主機域名注冊頂級提供商！15年品質(zhì)保障！--億恩科技[ENKJ.COM]