เอกสาร<ก่อนหน้านี้ | Contents | ถัดไป>
สมมติว่าคุณไม่ได้ดำเนินการ เราจะแสดงรายการขั้นตอนที่คุณสามารถดำเนินการเพื่อรักษาความปลอดภัยให้เครื่องของคุณได้อย่างรวดเร็ว สามารถดูข้อมูลเพิ่มเติมได้ใน Linux Security HOWTO
10.5.2 บริการ
เป้าหมายคือให้บริการน้อยที่สุด หากจำนวนพอร์ตที่เปิดสำหรับโลกภายนอกเหลือน้อยที่สุด ให้พิจารณาภาพรวมทั้งหมดดีกว่า หากไม่สามารถปิดบริการสำหรับเครือข่ายท้องถิ่นได้ อย่างน้อยก็พยายามปิดการใช้งานสำหรับการเชื่อมต่อภายนอก
หลักการง่ายๆ ก็คือ หากคุณไม่รู้จักบริการใดบริการหนึ่ง คุณอาจไม่จำเป็นต้องใช้มัน พึงระลึกไว้เสมอว่าบริการบางอย่างไม่ได้มีไว้เพื่อใช้บนอินเทอร์เน็ตจริงๆ ไม่ต้องพึ่งอะไร น่า กำลังทำงาน ตรวจสอบว่าบริการใดกำลังฟังพอร์ต TCP ใดที่ใช้ netstat คำสั่ง:
[เอลลี่@มาร์ส~] netstat -l | เกรป ทีซีพี
TCP | 0 | 0 | *:32769 | * * * * * * * * | ฟัง |
TCP | 0 | 0 | *:32771 | * * * * * * * * | ฟัง |
TCP | 0 | 0 | *:เครื่องพิมพ์ | * * * * * * * * | ฟัง |
TCP | 0 | 0 | *:kerberos_master | * * * * * * * * | ฟัง |
TCP | 0 | 0 | *:ซันอาร์พีซี | * * * * * * * * | ฟัง |
TCP | 0 | 0 | *:6001 | * * * * * * * * | ฟัง |
TCP | 0 | 0 | *:785 | * * * * * * * * | ฟัง |
TCP | 0 | 0 | localhost.localdom:smtp | * * * * * * * * | ฟัง |
TCP | 0 | 0 | *:ftp | * * * * * * * * | ฟัง |
TCP | 0 | 0 | *:ส | * * * * * * * * | ฟัง |
TCP | 0 | 0 | ::1:x11-ssh-ออฟเซ็ต | * * * * * * * * | ฟัง |
สิ่งที่ต้องหลีกเลี่ยง:
• exec, rlogin และ rsh และ telnet เพื่อความปลอดภัย
• X11 บนเครื่องเซิร์ฟเวอร์
• ไม่มี lp หากไม่มีเครื่องพิมพ์ติดอยู่
• ไม่มีโฮสต์ MS Windows ในเครือข่าย ไม่จำเป็นต้องใช้ Samba
• ไม่อนุญาตให้ใช้ FTP เว้นแต่จำเป็นต้องใช้เซิร์ฟเวอร์ FTP
• ไม่อนุญาตให้ใช้ NFS และ NIS ทางอินเทอร์เน็ต ปิดใช้งานบริการที่เกี่ยวข้องทั้งหมดในการติดตั้งแบบสแตนด์อโลน
• อย่าเรียกใช้ MTA หากคุณไม่ได้อยู่บนเซิร์ฟเวอร์อีเมลจริงๆ
-