Документация<Предыдущая | Содержание: | Следующая>
Предполагая, что вы этого не сделаете, мы быстро перечислим шаги, которые вы можете предпринять, чтобы защитить свою машину. Более подробную информацию можно найти в Linux Security HOWTO.
10.5.2. услуги
Цель - запустить как можно меньше сервисов. Если количество портов, открытых для внешнего мира, сведено к минимуму, лучше держать в поле зрения. Если службы не могут быть отключены для локальной сети, попробуйте хотя бы отключить их для внешних подключений.
Основное правило состоит в том, что если вы не узнаете конкретную услугу, она вам, вероятно, все равно не понадобится. Также имейте в виду, что некоторые службы на самом деле не предназначены для использования через Интернет. Не полагайся ни на что должен быть запущенным, проверьте, какие службы прослушивают какие TCP-порты, используя NetStat команда:
[elly @ mars ~] сетьстат -l | грэп TCP
TCP | 0 | 0 | *: 32769 | *: * | СЛУШАТЬ |
TCP | 0 | 0 | *: 32771 | *: * | СЛУШАТЬ |
TCP | 0 | 0 | *: принтер | *: * | СЛУШАТЬ |
TCP | 0 | 0 | *: kerberos_master | *: * | СЛУШАТЬ |
TCP | 0 | 0 | *: sunrpc | *: * | СЛУШАТЬ |
TCP | 0 | 0 | *: 6001 | *: * | СЛУШАТЬ |
TCP | 0 | 0 | *: 785 | *: * | СЛУШАТЬ |
TCP | 0 | 0 | localhost.localdom: smtp | *: * | СЛУШАТЬ |
TCP | 0 | 0 | *: ftp | *: * | СЛУШАТЬ |
TCP | 0 | 0 | *: ssh | *: * | СЛУШАТЬ |
TCP | 0 | 0 | :: 1: x11-ssh-смещение | *: * | СЛУШАТЬ |
Что следует избегать:
• exec, rlogin, rsh и telnet на всякий случай.
• X11 на серверных машинах.
• Нет LP, если принтер физически не подключен.
• Нет хостов MS Windows в сети, не требуется Samba.
• Не разрешайте FTP, если не требуется FTP-сервер.
• Не разрешайте NFS и NIS через Интернет, отключите все связанные службы при автономной установке.
• Не запускайте MTA, если вы на самом деле не на почтовом сервере.
• ...