14. 控制對服務的訪問
維護 Red Hat Linux 系統的安全性極端重要。管理系統安全的方法之一是謹慎管理對系統服務的使用。你的系統可能需要提供對某些服務的公開利用(譬如 httpd,如果你在運行萬維網服務器的話)。然而,如果你不需要提供某項服務,則應該把它關閉 — 這會降低你對可能會出現的偷機取巧情況的曝光率。
管理對系統服務訪問的方法有好幾種。你必須根據服務、系統配置、以及你對 Linux 的掌握程度來決定應使用哪一種方法。
拒絕對某一服務的使用的最簡便方法是將其關閉。不論是由 xinetd(我們會在本章節後面詳細討論)管理的服務,還是在 /etc/rc.d 層次中的服務,都可以使用以下三種不同的應用程序來配置其啓動或停止:
-
服務配置工具 — 一個圖形化應用程序,它顯示了每項服務的描述,以及每項服務是否在引導時啓動(運行級別 3、4、5),並允許你啓動、停止、或重新啓動每項服務。
-
ntsysv — 基於文本的程序。它允許你爲每個運行級別配置引導時要啓動的服務。對於不屬於 xinetd 的服務而言,改變不會立即生效。你不能使用這個程序來啓動、停止、或重新啓動不屬於 xinetd 的服務服務。
-
chkconfig — 一個允許你在不同運行級別啓動和關閉服務的命令行工具。對於不屬於 xinetd 的服務而言,改變不會立即生效。你不能使用這個工具程序來啓動、停止、或重新啓動不屬於 xinetd 的服務服務。
你可能會發現以上工具比使用下面這些方法更簡單 — 手工編輯位於 /etc/rc.d 目錄下的大量符號鏈接,或者編輯 /etc/xinetd.d 中的 xinetd 配置文件。
管理對系統服務的使用的另一種方法是通過使用 iptables 來配置 IP 防火牆。如果你是 Linux 新手,請注意,iptables 可能不是你的最佳解決辦法。設置 iptables 是一項複雜的作業,最好由經驗豐富的 Linux 系統管理員來執行。
從另一角度而言,iptables 的優越性是它的靈活性。譬如,如果你需要一個定製的解決方案來爲某些主機提供到某些服務的使用權, iptables 能夠爲你提供。關於 iptables 的詳情,請參閱《Red Hat Linux 參考指南》和《Red Hat Linux 安全指南》。
此外,如果你尋找的是能夠爲你的家用機器設置常規訪問規則的工具程序,並且(或者)你還是 Linux 新手,你應該嘗試使用 安全級別配置工具(redhat-config-securitylevel)。該工具允許你爲系統選擇安全級別,它和 Red Hat Linux 安裝程序中的「防火牆配置」屏幕相似。你還可以使用 GNOME Lokkit。GNOME Lokkit 是一種 GUI 工具,它會向你詢問一些你要如何使用你的機器的問題。根據你的回答,它會爲你配置一個簡單的防火牆。關於這些工具的詳情,請參閱第13章 。如果需要更明確的防火牆規則,請參閱《Red Hat Linux 參考指南》中的 iptables 這一章。
14.1. 運行級別
在你配置到服務的訪問之前,你必須理解 Linux 運行級別。運行級別是一種狀態,或模式(mode),它由列在 /etc/rc.d/rc<x>.d 目錄中的服務來定義,其中 <x> 是運行級別的數字。
Red Hat Linux 使用下列運行級別:
-
0 — 停運
-
1 — 單用戶模式
-
2 — 沒有使用(可由用戶定義)
-
3 — 完全的多用戶模式
-
4 — 沒有使用(可由用戶定義)
-
5 — 完全的多用戶模式(帶有基於 X 的登錄屏幕)
-
6 — 重新引導
如果你使用的是文本登錄屏幕,你是在運行級別 3 中操作。如果你使用的是圖形化登錄屏幕,你是在運行級別 5 中操作。
默認的運行級別可以通過修改 /etc/inittab 文件來改變,該文件在接近開頭的地方有一行與下面相似:
id:5:initdefault: |
把這一行中的數字改成你想要的運行級別。所做改變在系統重新引導之後纔會生效。
要立即改變運行級別,使用命令 telinit,其後跟隨運行級別數字。你必須是根用戶才能使用這項命令。
/etc/fstab可以設置系統啓動時自動加載
的系統操作
自動掛載nfs:
自動掛載cdrom:
/dev/cdrom /mnt/cdrom udf,iso9660 noauto,owner,kudzu,ro 0 0自動掛載floppy:
/dev/fd0 /mnt/floppy auto noauto,owner,kudzu 0 0