首页
> 网络安全 >
系统
> 正文
Linux网络安全(上)
来源:本文出自: http://cn.internet.com 仙人掌工作室编译 (2001-05-17 17:01:13)
Linux提供了大量与网络安全有关的工具。但是如果运用不当,这些工具反而会给系统留下隐患。本文介绍您必需掌握的Linux网络安全知识。
概述
近几年来Internet变得更加不安全了。网络的通信量日益加大,越来越多的重要交易正在通过网络完成,与此同时数据被损坏、截取和修改的风险也在增加。
只要有值得偷窃的东西就会有想办法窃取它的人。Internet的今天比过去任何时候都更真实地体现出这一点,基于Linux的系统也不能摆脱这个“普遍规律”而独善其身。因此,优秀的系统应当拥有完善的安全措施,应当足够坚固、能够抵抗来自Internet的侵袭,这正是Linux之所以流行并且成为Internet骨干力量的主要原因。但是,如果你不适当地运用Linux的安全工具,它们反而会埋下隐患。配置拙劣的安全系统会产生许多问题,本文将为你解释必须掌握的Linux安全知识。
远程攻击者会用各种方法闯入你的机器。他们经常寻找并利用现有程序中的漏洞,但Linux组织总是能够快速地发现这些问题并发布补丁。Linux补丁的发布速度常常要比其他操作系统对类似问题的反应快得多。但这里的问题在于,如何才能防止机器因此类问题而遭受损失?接下来我们将会看到许多种击败入侵图谋、构造真正安全的Linux系统的方法。
网络服务
作为一种服务器软件,Linux提供了FTP、WWW、电子邮件等各种各样的服务。Linux管理大多数这类服务的方法是通过一个端口体系实现的,例如FTP的端口号是21。如果你有兴趣,可以在/etc/services文件找到一个端口号和服务名字的对照清单。为了节约系统资源以及简化系统管理,许多服务都通过配置文件/etc/inetd.conf控制,/etc/inetd.conf文件告诉系统怎样来运行各个服务。
检查系统中运行的服务
许多开发商在inetd.conf的默认设置中运行了大量的服务,从尽可能安全的角度来看它们中的许多都应该关闭。在一般的内部网环境下这样的安全性不会产生问题。只要安全性足以防止这类“温和”环境内的意外损害,提供服务就比防范它们更为重要。但是,对于直接和Internet相连的Linux机器就不能再抱同样的观点。
要检查Linux系统中当前运行了那些服务,输入命令:
netstat -vat
该命令的输出类如:
tcp 0 0 *:6000 *:* LISTEN
tcp 0 0 *:www *:* LISTEN
tcp 0 0 *:auth *:* LISTEN
tcp 0 0 *:finger *:* LISTEN
tcp 0 0 *:shell *:* LISTEN
tcp 0 0 *:sunrpc *:* LISTEN
每一个带有“LISTEN”的行代表一个正在等待连接的服务。
这些服务中有一部分以独立程序的形式运行,但其中许多服务都由/etc/inetd.conf控制。如果你不能肯定某个服务的具体情况,请查一下/etc/inetd.conf。如:
grep &single;^finger&single; /etc/inetd.conf
上述命令从inetd.conf返回如下内容:
finger stream tcp nowait nobody /usr/sbin/tcpd /usr/sbin/in.fingerd
如果你觉得自己并不需要这个服务,则可以在/etc/inetd.conf中关闭它:首先注释掉该行内容(在行的前面加一个#),然后执行命令killall -HUP inetd。这样就立即关闭了一个服务,系统不需要重新启动。
如果某个服务没有在/etc/inetd.conf内列出,很有可能它是一个独立的程序。独立后台程序提供的服务可以通过反安装软件包删除。注意只有当你能够肯定自己了解该程序的作用,而且确实不再需要它的时候才可执行这个操作。
(http://www.fanqiang.com)
相关文章
★ 感谢所有的作者为我们学习技术知识提供了一条捷径 ★
www.fanqiang.com
![[ 永远的UNIX::UNIX技术资料的宝库 ]](/images/title.gif)