定制安全的Linux系統服務平臺(2)

# less /etc/services （列出所有服務運行的端口）

# ps -auxf　> daemons.txt（推薦使用，把所有后臺打印列表）

# cd /var/run/|ls -al（查看啟動服務的進程號文件）

2． 對每個服務都要做好軟件版本號的登記歸檔，密切注意各服務軟件的漏洞，盡快升級或打補丁。如bind軟件在8.X存在安全漏洞，應該盡快升級到9.X。

3．尤其要注意的是，新手們總是認為把服務運行起來工作就已經做完了，其實這是不對的。當服務進程運行起來后，配置文件的優化處理相當重要。比如， Apache的配置文件中，KeepAlive、MaxKeepAliveRequests、KeepAliveTimeout、 StarServers、MinSpareServers、MaxSpareServers、MaxClients、 MaxRequestsPerChild對機器性能的影響都非常重要。所以，需要常去網上論壇了解最新信息和發展動態，從而更好地守住每個進出的要口。管理員應該常去的網站鏈接http://www.linuxsecurity.com。

同時還要特別注意以下幾方面：

配置獨立的專用服務器，增加負荷能力，降低風險

Linux 作為優秀的網絡操作平臺，完全有能力勝任運行多個服務器。比如，它可以作為Web服務器，同時也可以充當FTP服務器和Mail服務器。這樣做的好處在于能夠降低投資成本，但是不安全因素也會隨之相應增加。因此，需要在投資成本與安全最大化之間權衡。假如電腦連接因特網，提供多種服務，且每天都要提供大量訪問量時，建議一“不要把所有的雞蛋放在同一個籃子里”。把各個服務進程運行在不同的主機上，成為專用的Web服務器，FTP服務器或Mail服務器，共同分擔風險。建議二把各種服務分類管理。在FTP服務器和Mail服務器訪問量不大時，也可以把它們統一管理。

取消所有非必要的服務，盡量做到干凈，減少后門

把Linux作為專用服務器是個明智的舉措。例如，希望Linux成為強大的Web服務器，可以取消系統內所有非必要的服務，只開啟必要服務。這樣做可以盡量減少后門，降低隱患，而且可以合理分配系統資源，提高整機性能。以下是幾個不常用的服務：

1. fingerd（finger服務器）報告指定用戶的個人信息，包括用戶名、真實姓名、shell、目錄和聯系方式，它將使系統暴露在不受歡迎的情報收集活動下，應避免啟動此服務。

2. R服務（rshd、rlogin、rwhod、rexec）提供各種級別的命令，它們可以在遠程主機上運行或與遠程主機交互，在封閉的網絡環境中登錄而不再要求輸入用戶名和口令，相當方便。然而在公共服務器上就會暴露問題，導致安全威脅。

3. X-Window從嚴格的意義上說，是Linux窗口管理器的擴展，而不是重要組成部分。從目前的GNOME、KDE這兩種主流圖形服務器來看，體積越來越臃腫，耗存越來越大，一些基于圖形界面的軟件在使用上也存在不少問題。雖然開發人員不會放棄對它的完善，但對于服務器來說，它的存在價值幾乎沒有。因此，在安裝服務器時，務必考慮是否真的需要圖形管理界面。

4. 其它服務，如amd、arpwatch、atd、dhcpd、innd、nntpd、talkd、lpd、named、routed、snmpd、 xfs、wuftpd、tftpd、te.net、ypbind、yppasswd、ypserv，既然是Web服務器，都可以取消或卸載掉。

同理，如果是作為FTP服務器運行，只需FTP進程和必要的程序。

用安全系數高的服務替代正在運行的服務進程

對于一些必要的服務器，如前所說的Web服務器，理論上只需要Apache的進程就可以工作了。但是如果管理員需要遠程控制放在運營中心的主機呢？或者用戶需要通過FTP上傳更新資料呢？Telnet、wu-ftp這些服務的安全性太低，這時，就需要啟用安全級別高的服務來替代這些服務程序。以下為幾個需要替代的進程：

1．用OpenSSH替代Telnet

推薦使用開放軟件OpenSSH（Secure Shell），這是一個安全的登錄系統，且不受加密方法的出口限制，適用于替代Telnet、rlogin、rsh、rcp、rdist。另外， OpenSSH也可以用來在兩臺計算機間建立一條加密信道供其它不安全軟件使用。OpenSSH支持多種算法，包括BlowFish、Triple DES、IDEA、RSA。目前支持SSH的客戶端軟件不少，推薦使用Putty和Filezilla。關于服務器和軟件的安裝使用，請參見相關文章，在此不再詳述。

．用Vsftpd替代wu-ftpd、tftpd（基本的FTP服務）、ncftpd（匿名服務）

如果想要一個優秀的FTP軟件，建議使用Vsftpd。Vsftpd（Very Secure）是一個非常值得信賴的FTP軟件。除了與生俱來的高安全性外，在ASCⅡ傳輸模式下的速度是wu-ftpd的兩倍，在千兆以太網的下載速度可達86Mb/s；在穩定性方面，Vsftpd可以在單機（非集群）上支持4000～15000個以上的并發用戶同時連接。除此以外，還可以建立虛擬 FTP服務器，支持非系統用戶的登錄下載，同時也可以給不同的用戶分配不同的權限，保證服務的安全最大化?，F在世界上很多著名的公司都在使用 Vsftpd，如Red Hat、GNU、GNOME、SuSe、KDE、OpenBSD等。具體安裝和配置請見參考資料。

3．用Qmail替代Sendmail

Sendmail 將來仍然是主要的SMTP服務器，網絡上有關Sendmail服務器的配置資料隨處可見。但事實上由于Sendmail代碼的復雜性，使得很多人對其配置一知半解。多數情況下，新手們往往只要能夠讓Sendmail啟動起來、能收發郵件就覺得萬事大吉了。這樣的配置其實漏洞太多，難以保證安全性。所以， Qmail是個更好的選擇。當然，要想真正建立一個功能強大、運行穩定的郵件服務器，掌握其靈活的配置，認真閱讀How-to手冊和FAQ是很有必要的。

使用tcpwrappers控制文件

在沒有設置防火墻之前，可以通過一種簡單而可靠的機制——tcpwrappers來加強網絡訪問控制。tcpwrappers從兩個文件中讀取網絡訪問控制規則：

/etc/hosts.allow 指定授權主機

/etc/hosts.deny 指定非授權主機

配置文件的編寫規則非常簡單，一般是：

services_list : client_list [ : shell_command ]

1. 如果client及services滿足hosts.allow里面的條目，那么訪問將被允許。

2. 如果client及services滿足hosts.deny里面的條目，那么訪問將被禁止。

3. 如果以上兩條都不滿足，訪問將被允許。

4. 如果訪問控制文件不存在，將被當作空規則文件處理。所以可以通過刪除訪問控制文件來關閉訪問限制。

其中services_list可以列出一個或幾個服務進程名，也可以使用通配符；client_list可以是IP地址、主機名或者網絡號，也可以使用通配符。

services_list有兩個特殊用法的符號：ALL和EXCEPT。ALL表示所有的進程，而EXCEPT表示排除某個進程。比如，ALL EXCEPT in.fingerd表示除了in.fingerd外所有的進程。

client_list可以使用如下通配符：

1. “.”號在字符串前匹配所有后面部分和所提供字符串一樣的主機名。比如：.xssz.net可以匹配www.xssz.net或mail.xssz.net。

2. “.”號在字符串后匹配以所提供字符串開頭的地址，比如，10.44.可以匹配所有10.44.xxx.xxx的地址。

3. 可以使用n.n.n.n/m.m.m.m的格式來表示net/mask，比如，10.44.72.0/255.255.254.0匹配從10.44.72.0到10.44.73.255的地址。

4. 以“/”號開頭的字符串將被看作一個文件處理，它匹配所有在這個文件中列出的主機名或者地址。

5. “@”開頭的串將被當作一個NIS組的名字。

6. ALL表示所有的主機，LOCAL匹配所有機器名中不帶“.”號的主機，EXCEPT表示排除某些主機。

比如，hosts.allow中有一行，ALL: .edu.cn EXCEPT example.edu.cn表示允許除了主機名叫example.edu.cn 以外的所有.edu.cn域內的機器訪問所有的服務。而在hosts.deny中，ALL EXCEPT in.fingerd:192.168.0.0/255.255.255.0則表示禁止192.168.0.1到192.168.0.254的機器訪問除了in.fingerd以外的服務。

防火墻的選用和配置

前面介紹了tcpwrappers的詳細應用，但是對管理員而言，只有經過Internet的考驗才能真正得到直接有效的磨煉和提高。如何分辨和抵擋 Internet上形形色色的信息呢？僅僅 tcpwrappers是不夠的，關鍵是防火墻的選用和配置。配置高效的防火墻是管理員要掌握的十分重要而且非常有效的必修課。在此，防火墻的功能和類型就不介紹了。最主要的是防火墻的構建要量身定制，應從企業自身狀況和需求特點來考慮所需要的防火墻解決方案。不同規模、不同類型的企業，其網絡保護的要求也存在明顯的差異。防火墻是個重要的話題，在這里限于篇幅不可能詳細分析每一種配置。有興趣的朋友可以詳見參考資料http://linux- firewall-tools.com/linux/faq/index3.html，這是個很不錯的主題。