Tài liệu<Trước | Nội dung | Tiếp theo>
Giả sử bạn không, chúng tôi sẽ nhanh chóng liệt kê các bước bạn có thể thực hiện để bảo vệ máy của mình. Thông tin mở rộng có thể được tìm thấy trong Linux Security HOWTO.
10.5.2. Dịch vụ
Mục tiêu là chạy càng ít dịch vụ càng tốt. Nếu số lượng cổng mở cho thế giới bên ngoài được giữ ở mức tối thiểu, thì tốt hơn hết là bạn nên giữ một cái nhìn tổng quan. Nếu không thể tắt các dịch vụ cho mạng cục bộ, ít nhất hãy cố gắng tắt chúng cho các kết nối bên ngoài.
Một nguyên tắc chung là nếu bạn không nhận ra một dịch vụ cụ thể, có thể bạn sẽ không cần đến nó. Cũng nên nhớ rằng một số dịch vụ không thực sự được sử dụng qua Internet. Đừng dựa vào cái gì nên đang chạy, hãy kiểm tra xem dịch vụ nào đang lắng nghe trên những cổng TCP nào bằng cách sử dụng netstat chỉ huy:
[elly @ mars ~] netstat -l | grep tcp
tcp | 0 | 0 | *: 32769 | *: * | LISTEN |
tcp | 0 | 0 | *: 32771 | *: * | LISTEN |
tcp | 0 | 0 | *: máy in | *: * | LISTEN |
tcp | 0 | 0 | *: kerberos_master | *: * | LISTEN |
tcp | 0 | 0 | *: sunrpc | *: * | LISTEN |
tcp | 0 | 0 | *: 6001 | *: * | LISTEN |
tcp | 0 | 0 | *: 785 | *: * | LISTEN |
tcp | 0 | 0 | localhost.localdom: smtp | *: * | LISTEN |
tcp | 0 | 0 | *: ftp | *: * | LISTEN |
tcp | 0 | 0 | *: ssh | *: * | LISTEN |
tcp | 0 | 0 | :: 1: x11-ssh-offset | *: * | LISTEN |
Những điều cần tránh:
• executive, rlogin và rsh, và telnet chỉ để an toàn.
• X11 trên máy chủ.
• Không có lp nếu không có máy in nào được gắn vào.
• Không có máy chủ MS Windows trong mạng, không cần Samba.
• Không cho phép FTP trừ khi máy chủ FTP được yêu cầu.
• Không cho phép NFS và NIS qua Internet, hãy tắt tất cả các dịch vụ liên quan khi cài đặt độc lập.
• Không chạy MTA nếu bạn thực sự không ở trên máy chủ thư.
• ...
<Trước | Nội dung | Tiếp theo>