Linux系统中内部和外部安全性概述

　　关闭未使用的网络服务(独立服务器)

　　有些服务器并不由 inetd 或 xinetd 启动，但却作为“独立”服务器始终运行着。这样的服务器通常是 atd、lpd、sshd、 nfsd 和其它服务器。事实上，inetd 和 xinetd 本身都是独立服务器，如果在它们各自的配置文件中注释掉所有的服务，就选择了将它们完全关闭。

　　独立服务器通常在系统引导或更改运行级别时由 init 系统启动。如果不记得运行级别是如何工作的，可以看看 LPI 101 系列第 4 部分。

　　要使 init 系统不再启动服务器，在每个运行级别目录中找到指向该服务器启动脚本的符号链接，然后删除它。运行级别目录的名称通常为 /etc/rc3.d 或 /etc/rc.d/rc3.d(针对运行级别 3)。还需要检查其它运行级别。

　　除去服务的运行级别符号链接后，仍需要关闭当前运行的服务器。最好用服务的初始化脚本完成这一操作，通常可以在 /etc/init.d 或 /etc/rc.d/init.d 中找到这一脚本。例如，要关闭 sshd：

　　# /etc/init.d/sshd stop

　　* Stopping sshd... [ ok ]

　　测试更改

　　在修改 inetd 或 xinetd 配置以禁用或限制服务，或用服务器初始化脚本关闭该服务器后，应该对所做的更改加以测试。可以使用 telnet 客户机通过指定服务名称或号码来测试 tcp 端口。例如，要验证 rlogin 已被禁用：

　　除了标准 telnet 客户机以外，还应考虑使用实用程序以测试系统“开放程度”的可能性。我们推荐使用 netcat 和 nmap。

　　ncat 是“网络瑞士军刀”：它是使用 TCP 或 UDP 协议、跨越网络连接读写数据的简单 UNIX 实用程序。nmap 是用于网络探测或安全性审计的实用程序。具体而言，nmap 扫描端口以确定哪个端口打开了。