鸟哥的 Linux 与 ADSL 私房菜

移除 Linux 上面不必要的服务

最近更新日期：2001/10/02

针对安全的考量，移除不必要的服务通道

前言：
这篇文章是参考网络上一些前辈的数据写下来的，如果有兴趣的话，不妨去看一下原作者的内容：

• 简易电脑贼防制法：卧龙小三的大作；

• 自己架一个安全的服务器环境（二）：Linux 安全交流网

在你安装了 Linux 之后呢，相信有很多的朋友会开始想要作一些很炫的服务，例如 WWW 或者是 mail 亦或是 FTP 的服务，但是，这些服务都有潜在性的危险喔，很多的电脑贼就是利用你打开的这些服务来进行站点的破坏！基本上，比较麻烦的是『特洛伊木马』程序这一类的后门程序，以你的站点做为中继站去攻击电脑贼想要攻击的目标。所以罗，灌完了 Linux 之后，先将一些不必要的程序或服务移除吧！以保障您的网络安全！

• 关闭一些服务：

  在你开始 Linux 的网络功能之后，建议您关闭一些网络上的服务，通常，这些服务并不会使用到！所以对于您的日常行为（如 e-mail, WWW, FTP ）是不会有影响的，既然对于日常行为不会有影响，又可以增进您网络的安全性，当然是需要进行罗！

1. 关闭一些服务：
   关闭的方法有很多，通常我是使用 /usr/sbin/setup 来关闭的，只是用这样的方式来关闭的话，需要重新激活 Linux ，比较麻烦一些些，如果您是使用我们这个网页的 RedHat6.1 系统的话，那就运行 /usr/sbin/setup 吧！然后选择 System services，将所有的服务激活项目开到剩下如下的几个：

   • atd

   • crond

   • inet

   • keytable

   • kudzu

   • network

   • random

   • sendmai（如果你有打开 e-mail 服务的话）

   • smb（如果你有打开 SAMBA 服务的话）

   • syslog

   • xfs（如果你有运行 X-windows 的话）

   其他的服务就是你的请求来打开罗，其实，除非你真的理解该服务是作何用的，否则可以先予以关闭之，但是上面的几个项目则必须要打开的！
    

2. 设定激活时的服务：
   另外还有一个文件在设定引导系统时的服务设定，那就是/etc/inetd.conf这个文件，在这个文件中，打开到剩下四个服务就好，其他的服务就把他注解掉（加上一个 # 符号即可）。

   • ftp    stream tcp nowait root /usr/sbin/tcpd in.proftpd

   • telnet stream tcp nowait root /usr/sbin/tcpd in.telnetd

   • pop-3  stream tcp nowait root /usr/sbin/tcpd ipop3d

   • imap   stream tcp nowait root /usr/sbin/tcpd imapd

   另外，如果您的 RedHat 版本在 7.0 以后的话，那关于各项服务的目录就会是在 /etc/xinetd.d 这个目录中了！由于 xinetd 是将所有的服务个别放置于不同的文件中，因此你需要针对所有的文件进行修正！通常，只要将每个文件中的 disable = no 改写成 disable = yes 就可以了！
    

3. 从 Linux 系统上移除一些套件：
   虽然我们已经将一些服务关掉了，但是最好还是从根本上将这个套件给他移除吧！以下这些套件是不必要的套件，你可以移除：

   • git

   • finger

   • talk

   • ytalk

   • ucd-snmp-utils

   另外，还有一些 ftp 的套件也可以将之移除喔！（如果你不需要的话！！）移除的方法很简单，就用 rpm 吧：

   • rpm -e git finger talk ytalk ucd-snmp-utils

4. 重新引导系统：
   这个不用教吧！ reboot 即可

2002/ 01/01以来统计人数

---

Designed by VBird during 2001-2004.  Aerosol Lab.