תיעודבהנחה שלא, נפרט במהירות את הצעדים שתוכל לנקוט כדי לאבטח את המחשב שלך. ניתן למצוא מידע מורחב ב-HOWTO של Linux Security.
10.5.2. שירותים
המטרה היא להפעיל כמה שפחות שירותים. אם מספר הנמלים הפתוחים עבור העולם החיצון מוגבל למינימום, כל זה עדיף לשמור על סקירה כללית. אם לא ניתן לכבות שירותים עבור הרשת המקומית, נסה לפחות להשבית אותם עבור חיבורים חיצוניים.
כלל אצבע הוא שאם אתה לא מזהה שירות מסוים, כנראה שבכל מקרה לא תזדקק לו. זכור גם ששירותים מסוימים לא באמת מיועדים לשימוש דרך האינטרנט. אל תסמוך על מה צריך פועל, בדוק אילו שירותים מאזינים באילו יציאות TCP באמצעות netstat פקודה:
[elly@mars ~] netstat -l | grep tcp
TCP | 0 | 0 | *: 32769 | *:* | להקשיב |
TCP | 0 | 0 | *: 32771 | *:* | להקשיב |
TCP | 0 | 0 | *:מדפסת | *:* | להקשיב |
TCP | 0 | 0 | *:kerberos_master | *:* | להקשיב |
TCP | 0 | 0 | *: sunrpc | *:* | להקשיב |
TCP | 0 | 0 | *: 6001 | *:* | להקשיב |
TCP | 0 | 0 | *: 785 | *:* | להקשיב |
TCP | 0 | 0 | localhost.localdom:smtp | *:* | להקשיב |
TCP | 0 | 0 | *:ftp | *:* | להקשיב |
TCP | 0 | 0 | *:שש | *:* | להקשיב |
TCP | 0 | 0 | ::1:x11-ssh-offset | *:* | להקשיב |
דברים שיש להימנע מהם:
• exec, rlogin ו-rsh, ו-telnet רק ליתר ביטחון.
• X11 על מכונות שרת.
• אין lp אם אין מדפסת מחוברת פיזית.
• אין מארחים של MS Windows ברשת, אין צורך בסמבה.
• אל תאפשר FTP אלא אם כן נדרש שרת FTP.
• אל תאפשר NFS ו-NIS דרך האינטרנט, השבת את כל השירותים הקשורים בהתקנה עצמאית.
• אל תפעיל MTA אם אתה לא ממש בשרת דואר.
• ...