详解Linux服务器安装时不需要安装的服务Linux认证考试

文章作者 100test 发表时间 2009:04:09 22:42:27
来源 100Test.Com百考试题网

　　记得有位前辈说过，Linux服务器其实就好像是一个搭积木的玩具。一个个小的模块、服务组成了一个操作系统。这是对Linux系统的一个最形象的比喻。在Linux服务器安装的时候，系统就会让工程师选择所需要安装的服务。大部分时候出于安全或者其他方面的考虑，系统默认安装服务策略往往不是最好的。为了得到一个安全的Linux服务器环境，系统管理员往往需要选择安装合适的服务。但是Linux系统服务实在太多，多的让人眼花缭乱。
　　在默认情况下，Linux是一个功能比较强大的操作系统，可以提供很多的服务与应用。即使像笔者这种近十年Linux工作经验的过来人，也不能够细数Linux操作系统的相关服务。但是这些服务与应用大多数都是安装以后都不会使用。相反还可能造成安全隐患以及性能方面的问题。通常情况下，笔者认为以下几种服务从安全、优化、性能等方面考虑，最好不要安装。
　　一、dump软件包。
　　Dump为Linux系统的备份工具程序。它可以将目录或者整个文件系统备份到指定的设备上或者备份为一个大文件。这个软件包当中包含两个程序，分别为负责备份的dump与负责还原的restore两个程序。通过dump命令可以来检查文件系统中的文件以确定哪些需要备份，然后可以把这些文件拷贝到硬盘上。这个命令的功能还是比较强的。如可以指定开始备份的时间与日期.可以修改备份媒体预先设置的密度与容量.可以指定备份卷册的区块数据.如可以指定备份的层级等等。
　　但是在实际工作中，很好有系统工程师会使用这个命令来进行系统文件的备份与还原。这主要是因为这个软件包虽然功能比较强，但是实用性比较差。如操作起来参数过多比较麻烦等等。最致命的是，利用这个软件形成的备份文件不怎么稳定。有时候会出现一些莫名其妙的故障，如不能查明原因的文件丢失等等。故笔者建议系统管理员最好不要利用这个软件包来备份系统，在安装Linux服务器的时候不需要安装这个软件包。而可以寻找其他的方法来实现。
　　二、Finger服务。
　　Finger是Inernet软件包下面的一个程序。这个命令可以让系统管理员查看系统中其他用户的一些详细信息，如登陆名、其所采用的目录、真实姓名以及登陆系统的时间等信息。另外这个命令并不限定于在同一服务器上查询，也可以寻找某一个远端服务器上的使用者。如用户只需要输入finger root 就可以显示本级管理员的详细信息。但是通常情况下笔者不建议装这个命令。这主要是因为这可以给入侵者提供有用的信息，会给Linux服务器带来一定的安全隐患。而且这个命令不仅仅root帐户可以使用，任何的使用者都以使用这个命令来查询。为此这个命令的安全风险是比较大的。故从安全角度考虑，还是不要安装这个服务为好。
　　三、Fwhois服务。
　　这个指令的功能有点类似于finger指令，也是Inernet软件包下面的一个程序。它会去查找并显示指定帐号的用户相关信息。不同之处在于 fwhois指令是到Network Solutions的WHOIS数据库去查找，该帐号名称必须有在上面注册才能寻获，且名称没有大小写的差别。WHOIS是一种由操作系统维护的用来保存关于用户、操作系统、网络设置等相关数据库。在这个数据库中，包含着许多跟操作系统安全息息相关的参数。为此如果这个数据库中的内容泄露的话，会大大影响 Linux服务器的安全。而且通常情况下，这些信息系统工程师也不用查询。因为在配制的时候，这些信息都会有预先的规划与存档。故也就没有必要让用户来查询，凭白的给操作系统添加安全隐患。为此百考试题是强烈建议不要安装这个指令。
　　四、telnet程序。
　　Telnet服务器软件是以前最常用的远程登录服务器软件，是一种典型的客户机/服务器模型的服务，它应用Telnet协议来工作。Telnet协议是TCP/IP协议族中的一员，是Internet远程登陆服务的标准协议。应用Telnet协议能够把本地用户所使用的计算机变成远程主机系统的一个终端。具体的来说，它主要提供三种服务。一是Telnet协议提供一个允许客户机和服务器协商选项的机制.二是Telnet协议定义了一个网络虚拟终端为远的系统提供一个标准接口，如此的话客户机程序不必详细了解远的系统，他们只需构造使用标准接口的程序。三是Telnet协议对称处理连接的两个端口，也就是说Telnet协议不强迫客户机从键盘输入，也不强迫客户机在屏幕上显示输出。
　　Telnet的应用虽然方便了管理员进行远程登录，但是也给非法供给者提供了一种入侵的手段和后门。如非法攻击者可以通过Telnet远程登录协议来安置后门，后门不会被防火墙查杀以及阻止通信。还可以通过Telnet协议清除系统日志，把非法供给者的入侵痕迹擦除掉。另外Telnet还是一个不安全的远程登录协议。因为其在网络上是不加密传输的。像用户名、帐号、操作指令等等都是明文的。为此只要在网络中安装一个窃听器，那么就可以轻而易举的得到这些机密信息。
　　所以笔者强烈建议，在安装Linux服务器的时候不要安装这个程序。如果真的要采用远程登录的方式来访问Linux服务器的话，那么最好采用 ssh协议来代替。这个协议跟Telnet协议一样也是一个远程登录的软件。但是跟Telent相比，SSH协议提供了比较高的安全性。如至少它在传输的过程中，采取了加密的措施，从而可以防止数据包被窃听。为此笔者的建议是最好不要采用远程登录的方式来管理Linux服务器。如果一定要的话，那么就要采用ssh协议而不是Telnet协议。故在安装Linunx服务器的时候不要安装这个服务。或者在安装后把这个服务禁用掉。这有利于Linux服务器的安全。
　　五、网络管理工具。
　　在Linux操作系统的软件包中，还包括一系列的网络管理工具。如artwatch与argsnmp就是网络监控程序。他们主要用来监控以太网和FDDL网络流量并且建立以太网网址(MAC地址)和IP地址之间对应关系的数据库。如果两者之间的对应关系改变了，则会自动利用Email进行报告。但是这个数据库如果被非法供给者利用，则他们就很容易发起伪IP地址攻击，为给Linux服务器带来安全隐患。
　　另外在系统中，还包括各式各样的用于UCD-SNMP网络管理的实用工具。ucd-snmp源自于卡耐基.梅隆大学的SNMP软件包，后来由加州大学Davis分校来进行开发与维护。在这个软件包中主要包括六个组件，分别为几个用于请求或设置SNMP代理变量的工具程序、几个用于生成或处理 SNMP陷阱的工具程序、一个SNMP代理和管理程序开发库、一个可扩展的SNMP代理程序、一个基于Tk/perl的MIB浏览器和一个标准Unix命令netstat的SNMP版本等等。他虽然可以实现比较强的网络监控功能，但是这很容易被非法供给者使用。故除非这台Linux服务器是专门用来管理网络的，否则的话(如在上面部署的是数据库应用服务)，则建议不要安装这些UCD-SNMP网络管理实用工具。否则的话，会降低Linux服务器的安全性。
　　另外就是有两个应用服务不需要安装。一个是打印服务。企业很少会在服务器上安装打印机，故这个打印服务很少用。如果安装了的话，则很可能会成为攻击者发动攻击的跳板。二是FTP服务。默认情况下，Linux操作系统会安装tftp软件。这个软件提供TFTP协议的用户界面，允许用户上传和下载远程计算机上的文件。不过这个软件具有比较大的安全隐患。即使管理员真的需要这个FTP服务，也最好采用其他安全一点的FTP软件。故这个tftp软件包也不用安装。
　　更多优质资料尽在百考试题论坛 百考试题在线题库　linux认证更多详细资料