如何来量身定制安全的Linux系统服务平台

　　有效控制服务器运行的后台进程

　　服务进程（Daemon）是Linux操作系统的核心程序，是外界与主机互相交互的主要途径，同时也是连接因特网的大门。正因为运行了不同的服务进程，Linux系统才能够提供不同的服务，网络才变得丰富多彩。一个称职的管理员必须掌握以下几个要领：

　　1． 要对自己的服务器有足够的了解，清楚每台服务器的所有后台进程，了解哪台主机运行了哪些服务，开放了哪些端口。我们可以用以下方法得到服务器的配置：

　　# ntsysv (或 setup) （列出所有的服务清单，可以选择安装/卸载）

　　# less /etc/services （列出所有服务运行的端口）

　　# ps -auxf　> daemons.txt（推荐使用，把所有后台打印列表）

　　# cd /var/run/|ls -al（查看启动服务的进程号文件）

　　2． 对每个服务都要做好软件版本号的登记归档，密切注意各服务软件的漏洞，尽快升级或打补丁。如bind软件在8.X存在安全漏洞，应该尽快升级到9.X。

　　3．尤其要注意的是，新手们总是认为把服务运行起来工作就已经做完了，其实这是不对的。当服务进程运行起来后，配置文件的优化处理相当重要。比如， Apache的配置文件中，KeepAlive、MaxKeepAliveRequests、KeepAliveTimeout、 StarServers、MinSpareServers、MaxSpareServers、MaxClients、 MaxRequestsPerChild对机器性能的影响都非常重要。所以，需要常去网上论坛了解最新信息和发展动态，从而更好地守住每个进出的要口。管理员应该常去的网站链接http://www.linuxsecurity.com。

　　同时还要特别注意以下几方面：

　　配置独立的专用服务器，增加负荷能力，降低风险

　　Linux 作为优秀的网络操作平台，完全有能力胜任运行多个服务器。比如，它可以作为Web服务器，同时也可以充当FTP服务器和Mail服务器。这样做的好处在于能够降低投资成本，但是不安全因素也会随之相应增加。因此，需要在投资成本与安全最大化之间权衡。假如电脑连接因特网，提供多种服务，且每天都要提供大量访问量时，建议一“不要把所有的鸡蛋放在同一个篮子里”。把各个服务进程运行在不同的主机上，成为专用的Web服务器，FTP服务器或Mail服务器，共同分担风险。建议二把各种服务分类管理。在FTP服务器和Mail服务器访问量不大时，也可以把它们统一管理。