Linux服务器安全配置调整

原创 2007年10月10日 07:20:00
 
1、            启动和登录安全性
设置BIOS密码且修改引导次序禁止从软盘启动系统
禁止CTRL+Alt+Delete重新启动机器:修改/etc/inittab文件,将”ca::ctrlaltdel:/sbin/shutdown –t3 –r now”一行注释,命令 /sbin/init q使这项改动起作用。然后重新设置/etc/rc.d/init.d目录下所有文件的许可权限,运行 chmod –R 700 /etc/rc.d/init.d
 
删减登录信息:默认情况下登录提示信息会包括linux发行版本,内核版本名和服务器主机名等,可以通过编辑/etc/rc.d/rc.local将输出系统信息的命令行注释:
#echo “”>/etc/issue
#echo “$R”>>/etc/issue
#echo “Kernel $(uname –r) on $a $(uname –m)” >>/etc/issue
#cp –f /etc/issue /etc/issue.net
#echo >> /etc/issue
然后删除
rm /etc/issue
rm /etc/issue.net
touch /etc/issue
touch /etc/issue.net
 
登录终端设置 /etc/securetty文件指定了允许root登录的tty设备,有/bin/login程序读取,其格式是一个被允许的名字列表,通过编辑/etc/securetty注释掉不需要的终端。
 
取消普通用户的控制台访问权限,如shutdown,reboot,halt等命令,/etc/security/console.apps/
 
2、            账户安全
禁止所有默认的被操作系统本身启用的并且不必要的账号,Linux提供了很多默认账号,账号越多,系统遭受攻击的可能性越大。使用userdel useName删除用户,使用groupdel groupName删除用户组。Mail,users用户需要
useradd -c "normal user" -d /home/userid -g users -G webadm,helpdesk –s /bin/bash userid
        (一行写不下时使用 / 标记换行)
这个命令创建了一个名为“userid”(命令的最后一个参数)的新用户。“normal user”是对这个用户的注释。userid 的主目录将是“/home/userid”userid 的主组将是 users,但他也被加入到“webadm”“helpdesk”这两个组。userid 将使用“/bin/bash”shell 作为他的常规控制台环境。
可以从控制台使用userdel命令来删除用户。
userdel -r userid
 
使用可选的 -r开关可以将用户的主目录及所有相关信息全部删除。如果想要保留用户主目录,那么不要使用 -r开关。这个开关不会自动删除系统中所有属于这个用户的文件,只是删除他的主目录。
可以使用gpasswd命令向组中添加成员,要使用-a开关,后面跟要添加的用户名:
gpasswd -a userid mygroup
 
删除组的成员还是使用这个命令,不过使用的开关是-d而不是-a
gpasswd -d userid mygroup
 
也可以通过直接编辑 /etc/group 文件来对组进行修改。
 
用户登录,如果离开系统忘记注销root账户,系统会自动注销,通过修改账户中TMOUT参数,可以实现此功能,按秒计算。编辑profile文件 /etc/profile,在HISTFILESIZE=后面加入折行TMOUT=3600,表示一个小时,如果系统中登录的用户在一个小时内没有动作,那么系统会自动注销这个账户,也可以在个别用户的.bashrc文件中添加该值。
 
使用强壮的密码,使用普通用户登录,用su取得root权限,而不能以root身份登录
解决方案:
修改/etc/login.defs文件,
PASS_MAX_DAYS 60 #每两个月修改一次密码
PASS_MIN_DAYS 0 #本次密码修改后,下次允许修改密码之前所需最少天数
PASS_WARN_AGE 7 #在口令失效之前多少天开始通知用户更改密码
PASS_MIN_LEN 8   #密码最小长度
修改/etc/default/useradd文件
INACTIVE=14
EXPIRE=
指明在口令失效多少天时间内,如果口令没有进行更改,则将账户更改为失效状态
EXPIRE设置为所有新用户设定一个密码失效的明确时间 年份-月份-日期
以上所有这些针对新建立的用户,更改已有用户的设置通过以下命令
chage –M 60 userName   ->pass_max_dyas
chage –m 0 userName    ->pass_min_days
chage –l username    列出当前用户的时效情况
chage –W 7 userName -> pass_warn_age
注意:
 login.defs对root用户,如果etc/shadow中有相同的选项,以shadow中的设置为准
 
使用chattr命令给口令文件加上不可更改属性,从而防止非授权用户获得权限
chattr +i /etc/passwd
chattr +i /etc/shadow
chattr +i /etc/group
chattr +i /etc/gshadow
这几个文件必须对其他用户可读,否则用户登录时会提示找不到用户名之类的问题。
如果不允许任何人都能够su为root,通过编辑/etc/pam.d/su文件,增加
auth sufficient /lib/security/pam_rootok.so debug
auth required /lib/security/pam_wheel.so group=isd
这样,仅isd组的用户可以su为root,如果希望用户user1能够su为root,可以将user1加入到isd组。运行如下命令:
Usermod –G10 user1
 
打开密码的shadow支持功能,使用/usr/sbin/authconfig工具打开shadow功能,如果要把已有的密码和租转变成shadow格式,可分别使用pwcow,grpconv命令
 
历史命令:/etc/profile文件中histfilesize 和histsize行确定所有用户的.bash_history文件中可以保存的旧命令条数,应设为一个较小的值
在/etc/skel/.bash_logout文件添加如下命令rm –f $HOME/.bash_history,当用户注销时,会删除。
 
3、            文件安全
修改部分执行文件的权限
chmod 744 /bin/mount /bin/umount /bin/login /bin/ping /usr/bin/chfn /usr/bin/chsh /usr/bin/newgrp /usr/bin/crontab
mv /usr/bin/rlogin /usr/bin/rloginbak
mv /usr/bin/rsh /usr/bin/rshbak
mv /usr/bin/at /usr/bin/atbak
 
4、            网络访问
1)        Inet设置
确认/etc/inetd.conf的所有者是root,文件权限为600,使用stat命令检查。
编辑/etc/inetd.conf禁止以下服务:
ftp telnet shell login exec talk ntalk imap pop-2 pop-3 finger auth
如果安装了ssh/scp ,也可以禁止掉telnet/ftp,通过以下命令使改变生效:
Killall –HUP inetd
使用tcp_wrappers增强系统安全性很简单,通过修改/etc/host.deny和/etc/host.allow来增加访问控制,将/etc/host.deny设为ALL:ALL可以拒绝所有访问,然后在/etc/hosts.allow文件中添加允许的访问,如”sshd:192.168.1.1 www.sina.com”表示允许IP地址为192.168.1.1和主机名为www.sina.com通过ssh连接
配置后,使用tcpdchk检查,
 
避免显示信息和版本,改变/etc/inetd.conf文件,telnet stream tcp nowait root /usr/sbin/tcpd in.telnetd –h加-h表示telnet不显示系统信息,而仅仅显示login
 
配置FTP,禁止与发出PORT命令之外的客户端链接
 
修改/proc/sys/net/ipv4/ip_default_ttl设置从本机发出的ip包的生存时间,参数值为整数,范围为0-128,缺省值为64,如果经常得到time to live exceeded的icmp回应,可以适当增大该参数值,也不能过大,因为如果系统存在环路的话,会增加系统报错的时间。
 
修改/proc/sys/net/ipv4/tcp_fin_timeout在一个tcp会话中,在会话结束时,A首先向B发送一个fin包,在获得B的ack确认包后,A就进入Fin Wait2状态等待B的fin包然后给B发ack确认包,这个参数就是用来设置A进入Fin Wait2状态等待对方fin包的超时时间,如果时间到了仍未收到对方的fin包就主动释放该会话,参数值为整数秒
5、            日志安全
通过检查日志查看系统受到的攻击,more /var/log/secure |grep refused来检查系统所受到的攻击
6、            服务管理
 
使用chkconfig查看当前的服务情况
Chkconfig –list
Chkconfig –level 3 srvName off|on
查看/etc/inetd.conf文件,注释掉所有不需要的服务,使用sighup命令升级inetd.conf文件
修改/etc/inetd.conf权限为600
所有者为root
Vi /etc/inetd.conf,取消下列服务ftp,telnet,shell,login,exec,talk,ntalk,imap,pop-2,pop-3,finger,auth等等
给inetd进程发送一个HUP信号killall –HUP inetd
Chattr +I /etc/inetd.conf
 
启动和关闭防火墙
Chkconfig iptables on
Chkconfig iptables off
Service iptables start
Service iptables stop
开启相关端口,修改/etc/sysconfig/iptables文件,增加一下内容
-A RH-Firewall-1-INPUT –m state --state NEW –m tcp –p tcp –dport 80 –j ACCEPT
-A RH-Firewall-1-INPUT –m state –state NEW –m tcp –p tcp –dport 22 –j ACCEPT
 
rhnsd:软件升级
7、            程序管理
禁止不使用的SUID/SGID程序,如果一个程序被设置成SUID root,那么普通用户就可以以root身份来运行这个程序,查找root-owned程序中使用‘s’位的程序
Find / -type f /(-perm -04000 –o –perm -02000 /)/-exec ls –lg {}/;
使用下面的命令禁止选中的带有s位的程序
Chmod a-s [program]
 
8、            防止攻击
1)        阻止ping
在/etc/rc.d/rc.local中增加: echo 1>/proc/sys/net/ipv4/icmp_echo_ignore_all
2) 防止IP欺骗:编辑host.conf增加以下内容防止IP欺骗攻击,
order bind,hosts
multi off
nospoof on
3) 防止Dos攻击
对系统所有的用户设置资源限制可以防止Dos类型攻击,/etc/security/limits.conf 如最大进程数和内存使用数量等
*hard core 0   禁止调试文件
*hard rss 5000 限制内存为5M
*hard nproc 20 限制进程数为20
然后必须编辑/etc/pam.d/login文件检查下面一行是否存在
Session required /lib/security/pam_limits.so
 
9、            附录
Linux各项系统开机服务的功能是什么 (http://www.zjjy.cn/viewthread.php?tid=11580&extra=page%3D1
Linux在启动时要启动很多系统服务,它们向本地和网络用户提供了Linux的系统功能接口,直接面向应用程序和用户。但是,开启不必要或有漏洞的服务则会给操作系统带来安全和性能上的影响。下面我们以BluePoint Linux 2.0的开机服务为例,列表说明各项服务的功能(见附表)。
alsasound
Alsa声卡驱动程序支持。Alsa声卡驱动程序本来是为了 一种声卡Gravis UltraSound(GUS)而写的,该程序被证 明很优秀,于是作者就开始为一般的声卡写驱动程序。 Alsa和OSS/Free 及OSS/Linux兼容,但是有自己的接口,甚至比OSS优秀。
amd
运行automount精灵程序,该精灵在必要时自动安装一些本地设备和NFS文件系统。
apmd
apmd用来监视系统用电状态,并将相关信息通过syslogd 写入日志。也可以用来在电源不足时关机。
arpwatch 该程序主要用来维护以太网物理地址和IP地址的对应关系。
atalk AppleTalk精灵程序。注意不要在后台运行该程序,该程 序的数据结构必须在运行其他进程前先花一定时间初始化。
atd运行用户用At命令调度的任务。也在系统负荷比较低时 运行批处理任务。
autofs
当您需要时自动转载文件系统,而当您不需要时自动卸载。
bootparamd
该服务允许老的Sun工作站从Linux网络启动,它和rarp 现在很少使用,基本上被bootp和dhcp取代了。

crond
cron是Unix下的一个传统程序,该程序周期地运行用户 调度的任务。比起传统的Unix版本,Vixie版本添加了不 少属性,而且更安全,配置更简单。
dhcpd 该精灵提供了对动态主机控制协议(Dynamic Host Control Protocol)的访问支持。
gated
gated通过一个数据库提供了网络路由功能支持。它支持 各种路由协议,包括RIP版本1和2、DCN HELLO协议、 OSPF版本2以及EGP版本2到4。
gpm
gpm为文本模式下的Linux程序如mc(Midnight Commander)提供了鼠标的支持。它也支持控制台下鼠标 的拷贝,粘贴操作以及弹出式菜单。
httpd
http是著名的www服务器,可用来提供HTML文件以及CGI动态内容服务。
inetd
因特网操作服务程序。监控网络对各种它管理的服务的需 求,并在必要的时候启动相应的服务程序。通常,inetd 管理的程序有telnet、ftp、rsh和rlogin。关闭inetd也就 关闭了这些由它管理的服务。
innd
inn是最流行的用户组新闻服务器。它允许您建立起本地 新闻服务器。配置有一定的难度,可以先阅读/usr/doc/ inn*文档获得帮助。
keytable 该程序的功能是转载您在/etc/sysconfig/keyboards里说 明的键盘映射表,该表可以通过kbdconfig工具进行选 择。您应该使该程序处于激活状态。
ldap
LDAP代表Lightweight Directory Access Protocol, 实现了目录访问协议的行业标准。
linuxconf
linuxconf是Linux下的一个有效的系统配置工具,该服 务允许远程运行。
lpd
lpd是系统打印守护程序,负责将lpr等程序提交给打印 作业。
mcserv
Midnight Commander服务进程允许远程机器上的用户 通过Midnight Commander文件管理器操作本机文件。服务进程用PAM来验证用户,需要给出“用户名/口令” 以通过验证。

mysql 一个快速高效可靠的轻型SQL数据库引擎。
named 域名服务器,将Internet主机名解析为点分的IP地址。
netfs 负责装载/卸载NFS、Samba、NCP(Netware)文件系统。
network 激活/关闭启动时的各个网络接口。
nfs
NFS是一个流行的基于TCP/IP网络的文件共享协议。该 服务提供了NFS文件共享服务,具体的配置在/etc/ exports文件里。
nscd
该服务负责密码和组的查询,并且缓冲查询结果。如果您 的系统有比较慢的服务(如NIS和NIS+),则应该启动该 服务。
pcmcia pcmcia主要用于支持笔记本电脑。
portmap portmap用来支持RPC连接,RPC被用于NFS以及NIS 等服务。
postgresql PostgreSQL关系数据库引擎。
proftpd proftpd是Unix下的一个配置灵活的ftp守护程序。
radvd 路由广播程序。
random
保存和恢复系统的高质量随机数生成器,这些随机数是系 统一些随机行为提供的。
routed
该守护程序支持RIP协议的自动IP路由表维护。RIP主要 使用在小型网络上,大一点的网络就需要复杂一点的协议。
rstatd Rstat协议允许网络上的用户获得同一网络上各机器的性能 参数。
rusersd 该服务使网络用户可以定位同一网络上的其他用户。
rwalld
Rwall协议允许远程用户向在同一系统中活跃着的终端发送 消息,类似wall的本地行为。
rwhod
允许远程用户获得运行rwho精灵的机器上所有已登录用户 的列表,与finger类似。
sendmail 大名鼎鼎的邮件服务器。
smb 启动和关闭smbd和nmbd精灵程序以提供SMB网络服务。
snmpd 简单网络管理协议(SNMP)的守护精灵。
syslog
syslog是操作系统提供的一种机制,守护程序通常使用这 种机制将各种信息写到各个系统日志文件。通常应该启动 该服务。
xfs X的字体服务器。
ypbind NIS/YP的客户端守护程序。如果您需要使用NIS/YP机 器,请启动这项服务,否则,关闭这项服务。
yppasswd
让NIS用户能够修改密码。运行在NIS域的服务器上。客户端程序同样也叫yppasswd。
ypserv
标准NIS/YP网络协议的一个实现。允许主机名,用户名 和其他信息分布于网络各端。运行在NIS服务器上,客户 端不需要
很多的服务是完全可以停掉的,如果你没有必要但是又已经安装了的的。
比如httpd,sendmail,mysql等等
公网单机用户必须的服务:
alsa
keytable
random
syslog
xfs(redhat/fedora 上必须,关了就无法启动 xwindows。对于不用 xfs 的系统里找不到 xfs 服务)
cups(对于有打印机的用户才需要)
network(需要网卡,对于局域网通过代理服务器或路由器上网的用户才是需要的,任何虚拟拨号用户,比如 ADSL 是不需要预先启动 network 服务的)

建议启动的:
gpm(方便复制、粘贴控制台里的内容以及菜单操作。)

Redhat Linux操作系统下常用服务概括介绍(http://soft.zdnet.com.cn/software_zone/2007/1008/540404.shtml)
aep1000 挂载或卸载 aep1000/2000 协处理器驱动的。
anacron 不过可以在指定时间没有开机无法完成任务的情况下另寻时间完成任务。
Apmd 高级电源管理能源管理服务,可以为你监控电池
Arpwatch 记录日志并构建一个在LAN接口上看到的以太网地址和IP地址对数据库
Atd 用于atbatch的服务atd类似cron,提供在指定的时间做指定的事的服务,就象计划任务
Autofs 自动安装管理进程automount,NFS相关,依赖于NIS(autofs
自动挂载/卸载文件系统服务,可以自动挂载你想访问但还为挂载的文件系统,自动卸载长期不访问的文件系统。)
bcm5820
提供对CryptoNetX SSL Accelerator 适配器(用来处理SSL密钥的设备)的支持。
Crond Linux下自动安排的进程提供运行服务.
Gpm 提供字符模式下对鼠标的支持.
Cups UNIX通用打印系统
cups-lpd 支持用LPD协议跑CUPS
daytime 获取并显示系统时间用的
daytime-udp udp版的daytime
echo 输出字符到客户端的
finger 用来查询系统内用户信息
firstboot 故名思意,安装完后第一次启动时跑的脚本,在第二次启动就不在运行了
imap 为邮件提供imap服务
imaps 为客户端提供SSL加密后的imap服务
ipop2 提供POP2服务,什么是pop不用介绍了吧
ipop3 pop3大名鼎鼎的pop3不用介绍了吧
iptables 2.4内核默认的防火墙
irda 红外线传输支持
netfs 提供网络文件系统(NSFSMBNCP)挂载/卸载的。
Keytable 用于装载键盘镜像
Kudzu 硬件探测器
Netfs 安装和卸载NFSSAMBANETWARE网络文件系统
Network 激活已配置网络接口的脚本程序
Nfslock NFS锁定
Pcmcia 安装pcmcia卡(一般用于笔记本电脑)
Sshd OpenSSH服务器
Syslog 一个让系统引导时启动syslogklogd系统日志守候里程的脚本
Xfs Xwindow字型服务器,为本地和远程X服务器提供字型集
Xinetd 支持多种网络服务的核心守候程序。
Kudzu 检测硬件变化的
Mysqld Mysql database server
Named BIND域名服务
Netfs 提供网络文件系统(NSFSMBNCP)挂载/卸载的
Network 激活/关闭网络设备的
Nfs (NFS)network filesystem 服务
Nfslock 提供一种NFS的权限设置
Ntalk 可以让不同用户在系统上一起聊天的
Ntpd 网络时间协议NTPNetwork Time Protocol)和网络上同步时间用的
Pops 提供SSL加密的pop3
Portmap 端口映射,很多网络服务需要此服务
Rexec 远程执行命令时提供用户验证
Rhnsd redhat的网络服务,可以自动检查软件的升级
rlogin 提供远程登录服务
rsh 远程执行linux命令服务
rsyn 高效的网络远程备份和镜象工具
sendmail 赫赫有名的邮件服务器,(用来发匿信的好东东:) )
servers监听被激活的服务用的
sgi_fam 检测文件变化的
smb 提供samba服务的
snmp 简单网络管理服务
snmptrapd 也是网络管理的
squid web代理服务器
sshd 提供sshd登录
svscan daemontools 的一部分,用来管理后台服务
syslogd 日志服务,很重要的服务
tux 集成内核的web服务工具
vsftpd 一个ftp服务端,以安全著称
winbind smb服务中解析来自NT服务器名字的
xinetd 超级服务器的Inetd的替代者,提供很多服务,非常重要。
Yppasswdd nis服务中提供NIS用户验证服务
random 当系统需要时会,产生随机数。关闭对大多数系统没什么大的影响,服务器不要轻易关闭
http://www.xxlinux.com/linux/article/network/app/20060102/822.html
apmd--apmd用来监视系统用电状态,并将相关信息通过syslogd写入日志。也可以用来在电源不足时关机
arpwatch
--用来维护以太网物理地址和ip地址的对应关系
atd
--运行用户用at命令调度的任务。也在系统负荷比较低时运行批处理任务
autofs
--当您需要时自动转载文件系统,而当您不需要时自动卸载
chargen
--tcp版本的chargen server
chargen-udp
--udp版本的chargen server
crond
--周期地运行用户调度的任务。比起传统的unix版本添加了不少属性,而且更安全,配置更简单
daytime
--tcp版本的daytime server
daytime-udp
--udp版本的daytime server
echo
--tcp版本的echo server
echo-udp
--udp版本的echo server
eklogin
--接受rlogin会话鉴证和用kerberos5加密的一种服务
finger
--用于应答finger请求的服务
gpm
--为文本模式下的linux程序提供了鼠标的支持。它也支持控制台鼠标的拷贝,粘帖操作以及弹出式菜单 (必须)
gssftp
--接受可被kerberos5验证的ftp连接
httpd
--http是著名的www服务器,可用来提供html文件以及cgi动态内容服务
identd
--提供验证身份的方法
ipchains
--ipchains包过滤防火墙
iptables
--iptables包过滤防火墙
ipvsadm
--调用ipvsadm来建立和维护ipvs路由选择表
isdn
--启用isdn(综合服务数字网)服务
kadmin
--更改在主控kdc中使用本机的kadmin工具,或透过kadmin服务来完成
kdcrotate
--设置配置文件/etc/krb5.con中的kdcs表项
keytable
--该程序的功能是转载您在/etc/sysconfig/keyboards里说明的键盘映射表
klogin
--接受bsd方式的rlogin会话,但需要使用kerbeos5验证
kprop
--是否允许kdc接收来的master kdc的升级
krb5-telnet
--允许普通的telnet登陆,但也可使用kerberos5验证
krb524
--是以改变kerberos5kerberosIV的赁证
krb5kdc
--开启kerberosIV5所需的连接以获得赁证
kshell
--接受rshell命令鉴证和用kerberos加密的服务
kudzu
--运行硬件检测,并可选择性地设置硬件变化
lpd
--lpd是系统打印守护程序,负责将lpr等程序提交给打印作业
netfs
--负责装载/卸载nfssambancp文件系统
network
--激活/关闭启动时的各个网络接口(必须)
nfs
--nfs是一个流行的基于tcp/ip网络的文件共享协议.该服务提供了nfs文件共享服务
nfslock
--提供nfs文件上锁功能
nscd
--该服务负责密码和组的查询,并且缓冲查询结果
portmap
--portmap用来支持rpc连接,rpc被用于nfs以及nis等服务
postgresql
--postgresql关系数据库引擎
random
--保存和恢复系统的高质量随机数生成器,这些随机数是系统一些随机行为提供的
rlogin
--rlogin程序服务,提供来自远程信任主机的注册功能
routed
--该守护程序支持rip协议的自动ip路由表维护.rip主要使用在小型网络上,大一点的网络就需要复杂一点的协议
rsh
--提供rcmd程序或者rsh程序的服务
rstatd
--rstat协议允许网络上的用户获得同一网络上各机器的性能参数
rsync
--对ftp服务的一个很好的附加,允许循环码求和校验等
rusersd
--该服务使网络用户可以定位同一网络上的其他用户
rwalld
--rwall协议允许远程用户向在同一系统中活跃着的终端发送消息,类似wall的本地行为
rwhod
--允许远程用户获得运行rwho精灵的机器上所有已登录用户的列表,与finger类似
smb
--启动和关闭smbdnmbd精灵程序以提供smb网络服务
snortd
--一个轻量级的网络入侵检测工具
swat
--samba网络配置工具,可以通过流览器的901端口连接使用swat
syslog
--syslog是操作系统提供一种机制,守护程序通常使用这些机制将各种信息写到各个系统日志文件 (必须)
telnet
--提供telnet服务,使用未加密的用户/密码组进行验证
time
--tcp版本的rfc 868 time server
time-udp
--udp版本的rfc 868 time server
webmin
--webmin是基于web的集系统管理与网络管理于一身的强大管理工具
xfs
--在引导和关闭时启动和停上x字体服务,并可能重新生成字体表 (必须)
xinetd
--因特网操作服务程序。提供类似于inetd+tcp_wrapper的功能,但是更加强大和安全,监控网络对各种它管理的服务的需求,并在要的时候启动相应的服务程序
ypbind
--实现网络信息服务的服务器端
--------------------------------------------------------------------------------------------------
redhat
下常用服务介绍
anacron
不考虑系统downtime期间的cron服务
amd
自动安装NFS守候进程
apmd
高级电源管理
arpwatch
记录日志并构建一个在LAN接口上看到的以太网地址和IP地址对数据库
atd
用于atbatch的服务
autofs
自动安装管理进程automount,NFS相关,依赖于NIS
crond
Linux下自动安排的进程提供运行服务.
Gpm
提供字符模式下对鼠标的支持.
Keytable
用于装载键盘镜像
Kudzu
硬件探测器
Netfs
安装和卸载NFSSAMBANETWARE网络文件系统
Network
激活已配置网络接口的脚本程序
Nfslock NFS
锁定
Pcmcia
安装pcmcia卡(一般用于笔记本电脑)
Sshd OpenSSH
服务器
Syslog
一个让系统引导时启动syslogklogd系统日志守候里程的脚本
Xfs Xwindow
字型服务器,为本地和远程X服务器提供字型集
Xinetd
支持多种网络服务的核心守候程序。
 
http://zxsv.com/post/15.html
做为RED HAT LINUX的启动来说,如果只是个人使用的话,只需要启用以下服务,如果还在精减的话,只启用Network就可,这是Fedora core 2启动服务.
acpid:提供高级电源管理。
cpuspeed:可以提高系统运行效率。
crond:执行例行性程序。
Iptables: 防火墙。
Kudzu:自动检测硬件的变更。
Network: 激活网络接口。
Random:加快系统的启动。
Readahead和Readahead_early:加快系统的启动。
Syslog:把各类事件写入日志。

acpid 配置文件:/proc/acpi/event
预设端口:无
说明:Advanced Configuration and Power Interface,为替代传统的APM电源管理标准而推出的新型电源管理标准。
是否需要启动:如果你需要对电源进行管理,那就需要启动。
anacron 配置文件:/etc/anacron
预设端口:无
说明:一个自动化运行任务。Red Hat Linux 随带四个自动化任务的工具:cron、 anacron、at、和 batc。当你的Linux主机并不是全天候开机,这个anacron就可以帮你执行在”crontab”设定的时间内没有执行的工作。举例来说,当你的主机在晚上12:00会自动关闭,但是偏偏crontab这个例行性工作是在4:00工作,这个时候例行性工作就不能起作用了。不过利用anacron就能做到。
是否需要启动:如果主机已经24小时开机,而且运行了cron,那么这个守护程序就不需要启动了。
apmd 配置文件:/etc/sysconfig/apmd
预设端口:无
说明:Advanced Power Management,高级电源管理。传统的电源管理标准。一般系统都会同时支持APM和APMD两种标志,但系统加载时只需加载一个即可。对于笔记本电脑比较有用,可以了解系统的”电池电量”。
是否需要启动:如果我们使用的是台式电脑或一直开机的机型,就不需要使用这个守护程序。
atd 配置文件:/etc/at.allow,/etc/at.deny
预设端口:无
说明:一个自动化运行任务。
是否需要启动:通常需要启动。不过如果你一直使用cron,那么也可以不启动。
autofs 配置文件:/etc/rc.d/init.d/autofs
预设端口:无
说明:实现光盘、软盘的自动加载。
是否需要启动:一般不需要启动。
chargen
chargen-udp 预设端口:TCP/UDP 19
说明:Character Generator Protocol,一种网络服务,主要功能是提供类似远程打字的功能。
更多细节:http://www.networksorcery.com/enp/RFC/Rfc864.txt
是否需要启动:为安全起见,尽量关闭这个服务。
cpuspeed 说明:监测系统空闲百分比,降低或加快CPU时钟速度和电压从而在系统空闲时将能源消耗降为最小,而在系统繁忙时最大化加快系统执行速度。
更多细节:
http://altlinux.org/index.php?module=sisyphus&package=cpuspeed
是否需要启动:需要启动。
crond 配置文件:/etc/crontab
预设端口:无
说明:用来执行例行性命令的守护程序。
是否需要启动:必须启动。
cups 配置文件:
CUPS服务器配置文件:/etc/cups/cupsd.conf
CUPS客户端配置文件:/etc/cups/client.conf
CUPS打印机配置文件:/etc/cups/printers.conf
CUPS中类(class)配置文件:/etc/cups/classes.conf
说明:Common UNIX Printing System,公共UNIX打印支持,为Linux提供打印功能。
是否需要启动:如果不安装打印机,就不需要启动。
cups-lpd 预设端口:无
说明:CUPS Line Printer Daemon (”LPD”),提供打印功能。
是否需要启动:如果不安装打印机,就不需要启动。
daytime
daytime-udp 预设端口:TCP 13
说明:Daytime协议(RFC867)是一个简单的协议,为客户机实现从远程服务器获取日期和时间的功能。
是否需要启动:不用启动。
echo
echo-udp 预设端口:7
说明:服务器回显客户数据服务。
是否需要启动:不用启动。
gpm 配置文件:/etc/sysconfig/mouse
预设端口:无
说明:General Purpose Mouse Daemon ,gpm为文本模式下的Linux程序如mc(Midnight Commander)提供了鼠标的支持。它也支持控制台下鼠标 的拷贝,粘贴操作以及弹出式菜单。
是否需要启动:没必要的话,建议不要启动。
iptables 说明:防火墙。
是否需要启动:必须启动。
irda Infrared Data Association,是一个实现红外无线数据传输的工业标准。
irqbalance 对多个系统处理器环境下的系统中断请求进行负载平衡的守护程序。
是否需要启动:如果你只安装了一个CPU,就不需要加载这个守护程序。
isdn Integrated Services Digital Network,综合数字服务网络。提供对isdn设备的支持。
kudzu 配置文件:
/etc/sysconfig/hwconf
/etc/sysconfig/kudzu
说明:硬件自动检测程序,会自动检测硬件是否发生变动,并相应进行硬件的添加、删除工作。当系统启动时,kudzu会对当前的硬件进行检测,并且和存储在 /etc/sysconfig/hwconf中的硬件信息进行一一对照,如果某个硬件从系统中被添加或者删除时,那么kudzu就会察觉到,并且通知用户是否进行相关配置,然后修改/etc/sysconfig/hwconf,使硬件资料与系统保持同步。如果/etc/sysconfig/hwconf这个文件不存在,那么kudzu将会从/etc/modprobe.conf,/etc/sysconfig/network-scripts/和 /etc/X11/XF86Config中探测已经存在的硬件。
是否需要启动:如果启动kudzu,则每次启动系统,都会检查新硬件(checking new hardware),会延长系统启动的时间。如果你不打算增加新硬件,那么就可以关闭这个启动服务,以加快系统启动时间。
mdmonitor 与RAID设备相关的守护程序。
mdmpd 与RAID设备相关的守护程序。
messagebus D-BUS是一个库,为两个或两个以上的应用程序提供一对一的通讯。
dbus-daemon-1是一个应用程序,它使用这个库来实现messagebus守护程序。多个应用程序通过连接messagebus守护程序可以实现与其他程序交换信息。
更多细节:
http://www.freedesktop.org/software/dbus/doc/dbus-daemon-1.1.html
microcode_ctl 可以编码以及发送新的微代码到kernel以更新Intel IA32系列处理器(Pentium Pro,PII,PIII,Pentium 4,Celeron, Xeon 等等 - 全部 P6 以及更高,不包括 pentium classics)。
更多细节:
http://www.urbanmyth.org/microcode/
http://microcodes.sourceforge.net/
netdump News Backup Dump Server,远程备份服务器。
netfs Network Filesystem Mounter,安装和卸载NFS、SAMBA和NCP网络文件系统。
netplugd 配置文件:
/etc/netplug/netplugd.conf
/etc/netplug.d/netplug
说明:network cable hotplug management daemon,netplugd是一个守护程序,可以监控一个或多个网络接口的状态,当某些事件触发时运行一个外部脚本程序。
更多细节:http://people.debian.org/~enrico/netplugd.html
network 在系统启动时激活所有的网络接口。
nfs 网络文件系统。
nfslock NFS是一个流行的通过TCP/IP网络共享文件的协议,此服务提供了NFS文件锁定功能。
ntpd 配置文件:/etc/ntp.conf
说明:Network time Protocol daemon,网络时间校正协议。简单的说,NTP是用来使系统和一个精确的时间源保持时间同步的协议。
推荐大家看一篇文章:《NTP-让网络里的电脑时间精确到毫秒》
发表在2004年12月份的《在线技术》杂志第63页
pcmcia Pcmcia卡,支持笔记本电脑的PCMCIA 设备,如调制解调器, 网络适配器, SCSI卡等等。
portmap Portmap守护程序为RPC服务,如NIS和NFS提供动态端口的分配。
psacct 包括几个工具用来监控进程活动的工具,包括ac,lastcomm, accton 和sa。
random 说明:快速的将系统的状态在随机的时间内存到景象档案中,对于系统相当重要。因为在开机之后,系统会迅速的恢复到开机之前的状态。
是否需要启动:必须启动。
rawdevices 在使用集群文件系统时用于加载raw设备的守护程序。
readahead
readahead_early 配置文件:/etc/readahead.early.files /etc/readahead.files
说明:readahead和readahead_early是在Fedora core 2中最新推出的两个后台运行的守护程序。其作用是在启动系统期间,将启动系统所要用到的文件首先读取到内存中,然后在内存中进行执行,以加快系统的启动速度。而上面两个配置文件就保存着将要读取到内存的文件列表。
rhnsd Red Hat 网络服务。通知你有关官方的安全信息以及为你的系统打补丁。
rpcgssd
rpcidmapd
rpcsrcgssd 说明:gestion NFS v4,是Linux 2.6内核新添的功能。
是否需要启动:不需要启动。
rsync remote sync,远程数据备份工具。
saslauthd 使用SASL的认证守护程序。
sendmail 邮件服务器。
services 一个内部xinetd服务,用于监听活动的服务。
sgi-fam 实现实时数据镜像。监控文件的变更,提供一个应用程序API接口用来当指定的文件火目录改变时及时通知。
smartd Self Monitor Analysis and Reporting Technology System,监控你的硬盘是否出现故障。
sshd 配置文件:
OpenSSH服务器配置文件:/etc/ssh/sshd_config
OpenSSH客户端配置文件:/etc/ssh/ssh_config
预设端口:22
说明:Secure Shell Protocol,实现安全地远程登陆管理主机。
是否需要启动:如果想实现远程管理,就需要启动。
syslog 配置文件:/etc/syslog.conf
说明:记录所有的系统行为。
是否需要启动:必须启动。
time 从远程主机获取时间和日期,采用TCP协议。
time-udp 从远程主机获取时间和日期,采用UDP协议。
vncserver VNC (Virtual Network Computing,虚拟网络计算),它提供了一种在本地系统上显示远程计算机整个”桌面”的轻量型协议。
更多细节:http://www.realvnc.com/
xfs 预设端口:TCP 7100
说明:x font server,X Window字型服务器,为本地和远程X服务器提供字型集。
是否需要启动:如果使用run-level为5的图形界面,那么就需要启动。
xinetd 配置文件:/etc/xinetd.conf
说明:xinetd作为inetd的后续版本,负责管理系统中不频繁使用的服务,这些服务程序在有请求时才由xinetd服务负责启动运行,一旦完成服务请求服务程序结束运行,这样可以有效地减少对系统资源的占用率。通常,xinetd管理的程序有telnet、ftp、rsh和rlogin。关闭 inetd也就关闭了这些由它管理的服务。
更多细节:http://www.xinetd.org/
是否需要启动:必须启动。
yum 配置文件:/etc/yum.conf
说明:Yellow Dog UpdaterModified,是一个自动更新、安装和删除RPM软件包的管理程序,它会自动计算软件包的管理程序,并判断哪些软件应该安装,哪些软件则不必安装。
 

linux中如何限制IP访问服务器

http://purpen.iteye.com/blog/1135342
  • rgb_rgb
  • rgb_rgb
  • 2014年06月12日 15:38
  • 10719

设置nginx禁止通过IP访问服务器的方法

在Nginx上设置禁止通过IP访问服务器,只允许通过域名访问,以避免别人把未备案的域名解析到自己的服务器IP而导致服务器被断网。 nginx的默认虚拟主机允许用户通过IP访问,或者通过未设置的域...
  • toplover2
  • toplover2
  • 2013年01月15日 05:35
  • 1502

配置服务器禁止所有非法域名 访问自己的服务器

配置 Apache 服务器禁止所有非法域名 访问自己的服务器 禁止单个域名访问服务器...
  • chenxiruanhai
  • chenxiruanhai
  • 2014年08月27日 21:26
  • 4093

linux服务器安全配置

  • 2012年08月15日 11:39
  • 20KB
  • 下载

Linux服务器安全配置

Linux服务器安全配置 众所周知,网络安全是一个非常重要的课题,而服务器是网络安全中最关键的环节。Linux被认为是一个比较安全的Internet服务器,作为一种开放源代码...
  • zhihui1017
  • zhihui1017
  • 2017年06月13日 11:17
  • 495

linux服务器安全配置攻略

引言: 我们必须明白:最小的权限+最少的服务=最大的安全 所以,无论是配置任何服务器,我们都必须把不用的服务关闭、把系统权限设置到最小话,这样才能保证服务器最大的安全。下面是CentOS服务器安全...
  • zqtsx
  • zqtsx
  • 2013年07月16日 16:58
  • 4240

Linux服务器安全优化及配置

众所周知,网络安全是一个非常重要的课题,而服务器是网络安全中最关键的环节。Linux被认为是一个比较安全的Internet服务器,作为一种开放源代码操作系统,一旦Linux系统中发现有安全漏洞,Int...
  • yangxuepeng89
  • yangxuepeng89
  • 2017年12月12日 12:42
  • 56

linux服务器安全配置10大技巧

1.禁止ping/etc/rc.d/rc.localecho 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all2.对用户和口令文件进行权限控制chmod 600 ...
  • h4ck0ne
  • h4ck0ne
  • 2016年01月23日 17:47
  • 112

Linux服务器安全配置

1用户帐户和环境  1.1确保没有空口令/弱口令帐户 系统帐户没有口令或有弱口令,导致服务器的安全受到威胁,需要修改没有口令或弱口令的帐户,或删除该帐户。 设置方法:  1、在命令行输入:  ...
  • god_7z1
  • god_7z1
  • 2011年09月14日 12:08
  • 330

linux服务器安全配置实例(一)引言

最近有很多小伙伴的服务器经常遭受到攻击,出现的攻击方式有:http服务攻击、操作系统漏洞溢出攻击、sql注入攻击等。其实小伙伴们大多服务器都托管在阿里云或者腾讯云上,这些云服务也都提供杀毒软件和防火墙...
  • kid_2412
  • kid_2412
  • 2016年01月22日 22:05
  • 524
内容举报
返回顶部
收藏助手
不良信息举报
您举报文章:Linux服务器安全配置调整
举报原因:
原因补充:

(最多只允许输入30个字)