Tăng bảo mật cho Linux: Hạn chế các dịch vụ không cần thiết

Mặc dù các mã cài đặt mặc định từ đĩa CD phân phối Linux khiến cho việc cài đặt Linux dễ dàng hơn, nhưng chúng cũng thêm một số lượng lớn các dịch vụ vào hệ thống, bạn có lẽ chưa bao giờ sử dụng dịch vụ này hoặc trường hợp xấu nhất là rời các cổng để mở cho các cuộc tấn công từ bên ngoài.
Nội dung trích xuất từ tài liệu:
Tăng bảo mật cho Linux: Hạn chế các dịch vụ không cần thiếtTăng bảo mật cho Linux: Hạn chế các dịch vụ không cần thiếtNguồn:quantrimang.comHọc cách xác định và ngắt các dịch vụ không cần thiết mà có thể làm tăngbảo mật cho một hệ thống Linux.Mặc dù các mã cài đặt mặc định từ đĩa CD phân phối Linux khiến cho việc càiđặt Linux dễ dàng hơn, nhưng chúng cũng thêm một số lượng lớn các dịch vụvào hệ thống, bạn có lẽ chưa bao giờ sử dụng dịch vụ này hoặc trường hợp xấunhất là rời các cổng để mở cho các cuộc tấn công từ bên ngoài. Càng chạynhiều dịch vụ thì càng nhiều cổng cho những kẻ xâm nhập. Vì thế để bảo vệ hệthống của bạn, tốt nhất là tắt các dịch vụ không cần thiết.Tìm kiếm các dịch vụ đang sử dụngTrước khi quyết định những dịch vụ nào không cần thiết, bạn cần biết nhữngdịch vụ nào đang được dùng. Để thực hiện điều này, chạy netstat.Đầu tiên mở một cửa sổ cuối và sử dụng lệnh su để chuyển tới gốc. Rồi nhậplệnh # netstat –tap > listening.services, theo sau bởi lệnh # lesslistening.services.Những lệnh này sẽ hiển thị một danh sách tất cả các dịch vụ hiện đang chạy vớiTrạng thái LISTEN. Đồng thời cũng liệt kê PID của các dịch vụ và tên củachương trình bắt đầu các dịch vụ.Nói chung, nếu không thể xác định một dịch vụ được liệt kê, bạn có lẽ không cầnnó. Nếu dịch vụ này không hiển nhiên từ đầu ra netstat một dịch vụ là gì, sửdụng lệnh ps, find, grep hoặc locate để tìm thêm nhiều thông tin về cácchương trình hay các PID đặc biệt. Đồng thời cũng kiểm tra/etc/services cho mộtsố tên dịch vụ hay số cổng.Các dịch vụ hệ thống được bắt đầu bởi mã init được tìm thấy tại /etc/init.d/ (haytại một số phân phối, kể cả Red Hat trong /etc/rc.d/init.d/). Sử dụng ls trên thưmục này để đưa một danh sách các mã.Quyết định ngắt các dịch vụ nàoKhi lập kế hoạch sử dụng hệ thống Linux như một máy để bàn độc lập với truynhập vào Internet, bạn cần phải kiểm tra đầu tiên liệu có bất kỳ dịch vụ nào đượcliệt kê trong Bảng A đang hoạt động. Bảng A: Các dịch vụ tiêu biểu không nên cho phép hoạt động trên Internet Dịch vụ Giới thiệu NFS (Network File NFS là dịch vụ UNIX chuẩn để chia sẻ System) và các dịch vụ các tập tin thông qua mạng. Chỉ nên liên quan: nfsd, lockd, được sử dụng để chia sẻ các tập tin mountd, statd, thông qua mạng LAN, không nên qua portmapper... Internet. Không nên bật hệ thống NFS trên hệ thống độc lập. r* services: rsh, rlogin, Sẽ được liệt kê trong các đầu ra rexec, rcp… netstat mà không cần r (rlogin sẽ được liệt kê là login). Nếu cần thiết, sử dụng ssh thay thế. Máy chủ telnet Sử dụng sshd thay thế. Máy chủ ftp Chỉ sử dụng với các máy chủ ftp chuyên dụng có thể được kiểm tra và bảo mật. Đối với các tập tin trao đổi khác, sử dụng scp hoặc http. BIND (named), gói Dịch vụ này được yêu cầu cho các DNS Server hoạt động hệ thống như là tên các máy chủ cho miền. Chúng nên được hạn chế hay đặt trong tường lửa khi sử dụng qua Internet. Nhân tố chuyển thư: Những dịch vụ này là không cần thiết sendmail, exim, postfix, cho các máy tính độc lập mà sẽ sử qmail dụng một dịch vụ ISP’s POP nhận trực tiếp thư từ các máy chủ Internet trên mạng LAN, chỉ cho phép các dịch vụ này sau tường lửa và truy nhập các chính sách đúng chỗ.Chẳng hạn, netstat thông báo rằng các dịch vụ login và shell đang chạy. Nhưtôi ghi chú trong Bảng 1, thật sự là rlogin, rsh và cần phải được ngắt. Telnet vàftp được liệt kê như những máy chủ chấp nhận các kết nối đầu vào tới máy. Xinnhắc lại, bởi vì đây là một hệ thống tách rời, tôi cần phải tắt các dịch vụ này. Tôiluôn luôn sử dụng máy khách ftp hay telnet khi cần tải xuống tập tin hay telnetqua Internet. Lệnh netstat cũng thông báo rằng máy chủ http đang chạy, đượcyêu cầu bởi một số phân phối truy nhập tài liệu trực tuyến. Nếu định giữ các dịchvụ này chạy, bạn sẽ cần kiểm tra rằng có thể tiếp cận từ bên ngoài hệ thốngđược hay không.Một máy chủ in cũng đang hoạt động. Máy chủ in có thể giữ cổng mở nếu việc inấn được thực hiện qua mạng. Một khi máy in được nối vật lý tới máy, sẽ an toànkhi hoạt động. Cũng sẽ cần giữ /X, hệ thống cửa sổ trong suốt mạng xách taymà tập hợp và phân phối người dùng được nhập vào các chương trình máykhách. Nếu hệ thốn ...