4.5. 可用网络服务

4.5.1. 对服务的威胁

网络服务可以给 Linux 系统带来许多威胁。以下列举了一些主要威胁：

• 缓冲溢出攻击 — 连接到端口0到1023的服务必须以管理用户的身份运行。如果应用程序中有一个可利用的缓冲溢出漏洞，攻击者就能够在用户运行守护进程的时候获得对系统的控制权。由于可被利用的缓冲溢出的存在，怪客可以使用自动化的工具来识别有弱点的系统，一旦他们获得进入权，他们可以使用自动化的 rootkits 来保持对系统的使用权。

• 拒绝服务攻击（DoS） — 通过使用大批请求充塞，拒绝服务攻击可以使系统由于试图记录和答复每个请求而陷于停顿。

• 脚本弱点攻击 — 如果服务器使用脚本来执行服务器边的行动（万维网服务器通常会这么做），怪客可以对不正确编写的脚本发起攻击。这些脚本弱点能够导致缓冲溢出条件或允许攻击者改变系统上的文件。

要把受到网络攻击的暴露程度限制在一定范围内，你应该关闭所有不使用的服务。

4.5.2. 识别和配置服务

为增强安全性，多数和红帽企业 Linux 一起安装的网络服务都被默认关闭。不过，其中有几个明显的例外：

• cupsd — 红帽企业 Linux 的默认打印服务器。

• lpd — 另一个打印服务器。

• portmap — NFS、NIS、和其它 RPC 协议的必要部件。

• xinetd — 控制到 vsftpd、telnet、和 sgi-fam（Nautilus 文件管理器所必需的）之类的从属服务器的超级服务器。

• sendmail — Sendmail 邮件传输代理被默认启用，但是它只监听 localhost 上的连接。

• sshd — OpenSSH 服务器，是 Telnet 的安全替代品。

在决定是否让这些服务继续运行时，最好是听凭常识，宁可过于小心也不疏忽大意。例如，如果没有打印机，你就不必运行 cupsd。portmap 端口也同理，如果你不挂载 NFS 文件卷或使用 NIS（ypbind 服务），那么 portmap 就应该被禁用。

红帽企业 Linux 中包括了三个用来开关服务的程序。它们是：服务配置工具（redhat-config-services）、ntsysv 和 chkconfig。关于使用这些工具的信息，请参阅《红帽企业 Linux 系统管理指南》的“控制对服务的使用”这一章。

如果你对某服务的目的不清楚，服务配置工具中有一个描述字段可能会对你有所启发，如图 4-3所示。

但是仅仅查看哪些网络服务在引导时被启用是不够的。优秀的系统管理员还应该检查哪些端口被打开或正在监听。关于这个课题的详情，请参阅第 5.8 节。

4.5.3. 不安全服务

任何网络服务都有潜在的不安全因素。这就是关闭不使用服务之所以非常重要的原因。服务漏洞会被例行检查、揭示和修补，从而使更新与网络服务有关的软件包这一点显得格外重要。关于这个问题的详情，请参阅第3章 。

和其它网络协议相比，某些网络协议具有固有的不安全因素。它们包括任何进行以下事务的服务：

• 在网络中传递不经加密的用户名和口令 — 许多旧有的协议，如 Telnet 和 FTP，都不会加密验证会话，应该尽可能地避免使用。

• 不经加密地在网络中传递保密信息 — 许多协议在网络中不经加密地传递信息。这些协议包括 Telnet、FTP、HTTP、和 SMTP。许多网络文件系统，如 NFS 和 SMB，也不经加密地在网络中传递信息。在使用这些协议时，限制传输数据是用户的责任。

  还有，像 netdump 之类的远程内存转储服务会把内存内容不经加密地在网络中传递。内存转储中可以包含口令，更糟的是，还可能包含数据库项目和其它保密信息。

  其它服务如 finger 和 rwhod 会揭示关于系统用户的信息。

带有固有不安全因素的服务包括：

• rlogin

• rsh

• telnet

• vsftpd

所有远程登录和 shell 程序（rlogin、rsh 和 telnet）都应该避免使用，使用 SSH 来替代它们。（关于 sshd 的详情，请参阅第 4.7 节。）

FTP 固有的对系统安全的威胁性没有远程 shell 那么严重，但是 FTP 服务器必须被谨慎配置和监视才能避免问题的发生。关于保护 FTP 服务器的安全的详情，请参阅第 5.6 节。

应该谨慎实现和放置在防火墙之后的服务包括：

• finger

• identd

• netdump

• netdump-server

• nfs

• portmap

• rwhod

• sendmail

• smb (Samba)

• yppasswdd

• ypserv

• ypxfrd

关于保护网络服务安全的详情，请参阅第5章 。

下节讨论了设置简单防火墙可以使用的工具。