📄 0210port_limit.htm
字号:
<li>可以透过『 /etc/init.d/portmap stop 』来立即关闭他!
</ol>
</td></tr></table><br />
聪明的你一定会问说∶『鸟哥,你的意思是只要将系统所有的服务都关闭,那系统就会安全棉?』
当然....不是!因为『<span class=text_import2>很多的系统服务是必须要存在的,否则系统将会出问题</span>』
举例来说,那个保持系统可以具有工作排程的
<a href="../linux_basic/0430cron.php">crond</a> 服务就一定要存在,而那个记录系统状况的
<a href="../linux_basic/0570syslog.php">syslogd</a>
也当然要存在~否则怎知道系统出了啥问题?
底下鸟哥列出几个常见的必须要存在的系统服务给大家参考参考先!这些服务请不要关闭啊!<br /><br />
<table width=95% border=1 cellspacing=0 cellpadding=3 bgcolor=lightyellow>
<tr bgcolor=lightblue align=center><td width="100">服务名称</td><td>服务内容</td></tr>
<tr><td>acpid</td><td>新版的电源管理模组,通常建议开启,不过,某些笔记型电脑可能不支援此项服务,那就得关闭</td></tr>
<tr><td>atd</td><td>在管理单一预约命令执行的服务,应该要启动的</td></tr>
<tr><td>crond</td><td>在管理工作排程的重要服务,请务必要启动啊!</td></tr>
<tr><td>iptables</td><td>Linux 内建的防火墙软体,这个也可以启动啦!</td></tr>
<tr><td>keytables</td><td>如果你的键盘非正规的格式时,这个服务的启动或许可以帮助你喔!</td></tr>
<tr><td>network</td><td>这个重要了吧?要网路就要有他啊!</td></tr>
<tr><td>sshd</td><td>这是系统预设会启动的,可以让你在远端以文字型态的终端机登入喔!</td></tr>
<tr><td>syslog</td><td>系统的登录档记录,很重要的,务必启动啊!</td></tr>
<tr><td>xinetd</td><td>就是那个 super daemon 嘛!所以也要启动啦!</td></tr>
<tr><td>xfs</td><td>用来管理 X Window 字形资料的服务,如果你会需要 X Window 时,这个服务要启动。</td></tr>
</table><br />
没错!不要怀疑!只要这些就可以啦!这几个服务是必须要启动的!
至于其他服务则都先不用启动!例如 sendmail 啦!其他林林总总的资料,都先摆著!
我们会在后续的章节当中提到如何启动这些服务的啦!<br /><br />
</div>
<hr /><a NAME="daemon_close"></a><img src="../images/penguin-s.gif" alt="小标题的图示" height="23" width="16" align="middle" /><span class="text_h2">安全性的考量</span><br />
<div class=block2>
我们的 Linux distribution 很好心的帮使用者想到很多了,所以在一安装完毕之后,
系统会开启一堆有的没有的网路服务,例如那个 portmap 之类的咚咚,以及网路印表机的 cups 服务等等,
这些东西你或许知道或许不知道,不过他就是有开启~但我们的主机明明就是用来做为伺服器的,
所以这些本来预计要给 client 使用的服务其实有点『多此一举』的感觉~
所以啦,请你将他关闭吧!就利用 ntsysv 或 chkconfig 来关闭他!
只留下前一节咱们建议的那些服务就好了~其他的以后再说啊!<br /><br />
不过要记得, ntsysv 及 chkconfig 都是在管理开机是否启动某些服务的 script 而已,
所以使用 chkconfig 管理完毕后,请记得最好使用 reboot 来完整的重新载入这些服务,
然后以『 netstat -tunpl 』来看看是否有什么其他的网路服务在启动啊?
如果有的话,在一样一样的将他关闭吧! ^_^
</div>
</div>
<hr /><a NAME="ex"></a><img src="images/penguin-m.gif" alt="大标题的图示" height="34" width="25" align="middle" /><span class="text_h1">课后练习</span><br />
<div class=block1>
<ul>
<li>如何观察您 Linux 主机上面已经有多少 port 被打开了?</li>
<div class=block2><font color=white size=-1>
1. 如果是 Linux 这个作业系统上面的话,可以利用『 netstat -tunlp 』观察已经在监听的 port 与服务的对应;<br />
2. 如果是想要查阅所有的 port (包含已建立的连线),可以使用『 netstat -tunp 』来查阅;<br />
3. 如果不在 Linux 本机上,可以用『 nmap IP 』来处理啊!
</font></div>
<li>如何观察程序?</li>
<div class=block2><font color=white size=-1>
利用『 ps -aux 』或『 top 』都可以,另外,『 pstree -p 』则可以了解所有的程序相依性,而『 lsof 』
则可以察看所有程序所开的档案喔!
</font></div>
<li>请问 LISTEN 的 port 与 daemon 的关系为何?</li>
<div class=block2><font color=white size=-1>
正在 LISTEN 当中的埠口均是由某些服务(daemons)所启动的,所以要启动埠口就得启用某个服务,
要了解某个埠口是由那个 daemon 所启动的,就利用 netstat -tulp 来查阅。
</font></div>
<li>请问 stand alone 与 super daemon 各是什么?</li>
<div class=block2><font color=white size=-1>
Linux 系统的服务有独立启动(stand alone)及超级服务员(super daemon)两种启动的方式。挂在 super daemon
底下的服务可以经由 super daemon 的控管,以加强一些安全功能,不过由于还要经过 super daemon
的管理,所以服务的连接速度上会比 stand alone 慢一点。
</font></div>
<li>请问您的 Linux 主机 (不论是那个 distributions ) 有关 daemon 启动与关闭的
scripts 与档案放置在那个目录下?</li>
<div class=block2><font color=white size=-1>
各个 daemons 的启动与关闭的 scripts 是放置在 /etc/init.d/ 内, Red Hat 系统则是放到 /etc/rc.d/init.d
里面,至于 super daemon 的控管参数档案则在 /etc/xinetd.d 里面!
</font></div>
<li>为什么阻断式服务 (DDoS) 会造成系统的当机与网路瘫痪?试由三向交握的角度来探讨。</li>
<div class=block2><font color=white size=-1>
所谓的阻断式服务是利用三向交握程序的漏洞,多个 cient 端持续发送 tcp 封包的连线要求,
但却不理会 server 端的 SYN/ACK 的封包,导致 server 端会持续启动很多的 port 在等待 client 端的回应,
那我们知道一般 port 有 65536 个,万一用完了,那系统网路就瘫痪了!所以 DDoS 会造成系统网路瘫痪的问题。
另外,由于多个 client 同时要求,所以网路频宽也会被用光!
</font></div>
</div>
<hr><span class="text_history">
2002/08/02∶首次完成释出<br />
2003/08/21∶重新编辑,并且加入课后练习。<br />
2003/09/19∶加入参考用解答了。<br />
2006/08/08∶将旧的文章移动到 <a href="0210port_limit/0210port_limit.php">此处</a><br />
</span>
<hr><span class="text_date">2002/08/02以来统计人数</span><br>
<img SRC="http://linux.vbird.org/cgi-bin/Count.cgi?dd=A&ft=0&sh=T&pad=Y&df=vbird_linux_server_0210port_limit.dat"
NOSAVE height=15 width=60 align=ABSCENTER><br>
</td>
<td style="width:16px; font-size:6px;
background-image:url('../images/border-middle-right.jpg')"> </td></tr>
<tr><td style="width:16px; height:16px; background-image:url('../images/border-bottom-left.jpg');
font-size:6px"> </td>
<td style="width:750px; height:16px; font-size:6px;
background-image:url('../images/border-bottom-center.jpg')"> </td>
<td style="width:16px; height:16px; background-image:url('../images/border-bottom-right.jpg');
font-size:6px"> </td></tr>
</table>
<div style="padding-top:10px; text-align:center">
<a href="http://linux.vbird.org/" target="_blank"
onmouseover="document.tail_icon1.src='../images/icon_VBird_on.jpg'"
onfocus="document.tail_icon1.src='../images/icon_VBird_on.jpg'"
onmouseout="document.tail_icon1.src='../images/icon_VBird_off.jpg'">
<img alt="前往鸟哥的 Linux 私房菜馆首页" title="前往鸟哥的 Linux 私房菜馆首页" name="tail_icon1"
src="../images/icon_VBird_off.jpg" border="0" /></a>
<a target="_blank" href="http://linux.vbird.org/linux_basic"
onmouseover="document.tail_icon2.src='../images/icon_basic_on.jpg'"
onfocus="document.tail_icon2.src='../images/icon_basic_on.jpg'"
onmouseout="document.tail_icon2.src='../images/icon_basic_off.jpg'">
<img src="../images/icon_basic_off.jpg" border="0"
alt="前往 Linux 基础文件,新手请从头学起"
title="前往 Linux 基础文件,新手请从头学起" name="tail_icon2" /></a>
<a target="_blank" href="http://linux.vbird.org/linux_server"
onmouseover="document.tail_icon3.src='../images/icon_server_on.jpg'"
onfocus="document.tail_icon3.src='../images/icon_server_on.jpg'"
onmouseout="document.tail_icon3.src='../images/icon_server_off.jpg'">
<img src="../images/icon_server_off.jpg" border="0"
alt="前往 Linux 架站文件,网路基础那章节请务必参考!"
title="前往 Linux 架站文件,网路基础那章节请务必参考!" name="tail_icon3" /></a>
<a target="_blank" href="http://linux.vbird.org/linux_security"
onmouseover="document.tail_icon4.src='../images/icon_security_on.jpg'"
onfocus="document.tail_icon4.src='../images/icon_security_on.jpg'"
onmouseout="document.tail_icon4.src='../images/icon_security_off.jpg'">
<img src="../images/icon_security_off.jpg" border="0"
alt="前往『网路安全』相关文件网页" title="前往『网路安全』相关文件网页" name="tail_icon4" /></a>
<a href="http://phorum.vbird.org" target="_blank"
onmouseover="document.tail_icon5.src='../images/icon_forum_on.jpg'"
onfocus="document.tail_icon5.src='../images/icon_forum_on.jpg'"
onmouseout="document.tail_icon5.src='../images/icon_forum_off.jpg'">
<img src="../images/icon_forum_off.jpg" border="0"
alt="前往 Linux 新手讨论区,发问前务必查阅发文规则"
title="前往 Linux 新手讨论区,发问前务必查阅发文规则" name="tail_icon5" /></a>
<a target="_blank" href="http://linux.vbird.org/adsl"
onmouseover="document.tail_icon6.src='../images/icon_adsl_on.jpg'"
onfocus="document.tail_icon6.src='../images/icon_adsl_on.jpg'"
onmouseout="document.tail_icon6.src='../images/icon_adsl_off.jpg'">
<img src="../images/icon_adsl_off.jpg" border="0"
alt="前往『ADSL连线分享』相关文件网页" title="前往『ADSL连线分享』相关文件网页" name="tail_icon6" /></a>
<a href="http://www.study-area.org" target="_blank"
onmouseover="document.tail_icon7.src='../images/icon_study-area.jpg'"
onfocus="document.tail_icon7.src='../images/icon_study-area.jpg'"
onmouseout="document.tail_icon7.src='../images/icon_study-area.jpg'">
<img src="../images/icon_study-area.jpg" border="0"
alt="前往 Study Area 网站" title="前往 Study Area 网站" name="tail_icon7" /></a>
<br />
<div style="padding:0; margin:0">
</div>
<span style="font-size: 80%">
本网页主要以 <a href="http://moztw.org" target="_blank">firefox</a> 配合解析度 1024x768 作为设计依据<br />
<a href="http://linux.vbird.org" target="_top" title="前往鸟哥的首页">http://linux.vbird.org</a>
is designed by <a href="mailto:vbird@mail.vbird.idv.tw" title="联络鸟哥(我不要广告信!)">VBird</a>
during 2001-2007.
<a href="http://aerosol.ev.ncku.edu.tw">Aerosol Lab.</a></span>
</div>
</center>
</body>
</html>
⌨️ 快捷键说明
复制代码
Ctrl + C
搜索代码
Ctrl + F
全屏模式
F11
切换主题
Ctrl + Shift + D
显示快捷键
?
增大字号
Ctrl + =
减小字号
Ctrl + -