安全多方位 Linux系統(tǒng)守護(hù)進(jìn)程解析

　紅帽企業(yè) Linux 4 Update 2 改進(jìn)了對審核子系統(tǒng)的內(nèi)核和用戶支持。審核子系統(tǒng)可以被系統(tǒng)管理員用來監(jiān)測系統(tǒng)調(diào)用和那些符合 CAPP 或其它審核要求的文件系統(tǒng)訪問。它的主要內(nèi)容包括：
　　· 默認(rèn)情況下，審核在內(nèi)核中被禁用。但是，當(dāng)安裝了 auditd 軟件后，運(yùn)行這個軟件將會啟動審核守護(hù)進(jìn)程（auditd）。
　　· 當(dāng) auditd 運(yùn)行的時候，審核信息會被發(fā)送到一個用戶配置日志文件中（默認(rèn)的文件是 /var/log/audit/audit.log）。如果 auditd 沒有運(yùn)行，審核信息會被發(fā)送到 syslog。這是通過默認(rèn)的設(shè)置來把信息放入 /var/log/messages。如果審核子系統(tǒng)沒有被啟用，沒有審核信息會被產(chǎn)生。
　　· 這些審核信息包括了 SELinux AVC 信息。以前，AVC 信息會被發(fā)送到 syslog，但現(xiàn)在會被審核守護(hù)進(jìn)程發(fā)送到審核日志文件中。
　　· 要完全在內(nèi)核中禁用審核，在啟動的時候使用 audit=0 參數(shù)。您還需要使用 chkconfig auditd off 2345 來關(guān)閉 auditd。您可以在運(yùn)行時使用 auditctl -e 0 來在內(nèi)核中關(guān)閉審核。
　　紅帽企業(yè) Linux 4 Update 2 包括了審核子系統(tǒng)用戶空間服務(wù)和工具程序的初始發(fā)行。
　　審核守護(hù)進(jìn)程（auditd）從內(nèi)核的 audit netlink 接口獲取審核事件數(shù)據(jù)。auditd 的配置會不盡相同，如輸出文件配置和日志文件磁盤使用參數(shù)可以在 /etc/auditd.conf 文件中配置。請參閱 auditd（8） 和 auditd.conf（5） 說明書頁來獲得詳悉的信息。請注意，如果您設(shè)置您的系統(tǒng)來進(jìn)行 CAPP 風(fēng)格的審核，您必須設(shè)置一個專用的磁盤分區(qū)來只供 audit 守護(hù)進(jìn)程使用。這個分區(qū)應(yīng)該掛載在 /var/log/audit。
　　系統(tǒng)管理員還可以使用 auditctl 工具程序來修改 auditd 守護(hù)進(jìn)程運(yùn)行時的審核參數(shù)、syscall 規(guī)則和文件系統(tǒng)的查看。要獲得詳細(xì)的信息，請參閱 auditctl（8） 說明書頁。它包括了一個 CAPP 配置樣本，您可以把它拷貝到 /etc/audit.rules 來使它起作用。
　　審核日志數(shù)據(jù)可以通過 ausearch 工具程序來查看和搜索。請參閱 ausearch（8） 說明書頁來獲得搜索選項(xiàng)的信息。
　　2.不要關(guān)閉以下服務(wù)（除非你有充足的理由）：
　　acpid， haldaemon， messagebus， klogd， network， syslogd
　　請確定修改的是運(yùn)行級別 3 和 5。
　　NetworkManager， NetworkManagerDispatcher
　　NetworkManager 是一個自動切換網(wǎng)絡(luò)連接的后臺進(jìn)程。很多筆記本用戶都需要啟用該功能，它讓你能夠在無線網(wǎng)絡(luò)和有線網(wǎng)絡(luò)之間切換。大多數(shù)臺式機(jī)用戶應(yīng)該關(guān)閉該服務(wù)。一些 DHCP 用戶可能需要開啟它。
　　acpid
　　ACPI（全稱 Advanced Configuration and Power Interface）服務(wù)是電源管理接口。建議所有的筆記本用戶開啟它。一些服務(wù)器可能不需要 acpi。支持的通用操作有：“電源開關(guān)“，”電池監(jiān)視“，”筆記本 Lid 開關(guān)“，“筆記本顯示屏亮度“，“休眠”， “掛機(jī)”，等等。
　　anacron， atd， cron
　　這幾個調(diào)度程序有很小的差別。 建議開啟 cron，如果你的電腦將長時間運(yùn)行，那就更應(yīng)該開啟它。對于服務(wù)器，應(yīng)該更深入了解以確定應(yīng)該開啟哪個調(diào)度程序。大多數(shù)情況下，筆記本/臺式機(jī)應(yīng)該關(guān)閉 atd 和 anacron。注意：一些任務(wù)的執(zhí)行需要 anacron，比如：清理 /tmp 或 /var。
　　apmd
　　一些筆記本和舊的硬件使用 apmd。如果你的電腦支持 acpi，就應(yīng)該關(guān)閉 apmd。如果支持 acpi，那么 apmd 的工作將會由 acpi 來完成。
　　autofs
　　該服務(wù)自動掛載可移動存儲器（比如 USB 硬盤）。如果你使用移動介質(zhì)（比如移動硬盤，U 盤），建議啟用這個服務(wù)。
　　avahi-daemon， avahi-dnsconfd
　　Avahi 是 zeroconf 協(xié)議的實(shí)現(xiàn)。它可以在沒有 DNS 服務(wù)的局域網(wǎng)里發(fā)現(xiàn)基于 zeroconf 協(xié)議的設(shè)備和服務(wù)。它跟 mDNS 一樣。除非你有兼容的設(shè)備或使用 zeroconf 協(xié)議的服務(wù)，否則應(yīng)該關(guān)閉它。我把它關(guān)閉。
　　bluetooth， hcid， hidd， sdpd， dund， pand
　　藍(lán)牙（Bluetooth）是給無線便攜設(shè)備使用的（非 wifi， 802.11）。很多筆記本提供藍(lán)牙支持。有藍(lán)牙鼠標(biāo)，藍(lán)牙耳機(jī)和支持藍(lán)牙的手機(jī)。很多人都沒有藍(lán)牙設(shè)備或藍(lán)牙相關(guān)的服務(wù)，所以應(yīng)該關(guān)閉它。其他藍(lán)牙相關(guān)的服務(wù)有：hcid 管理所有可見的藍(lán)牙設(shè)備，hidd 對輸入設(shè)備（鍵盤，鼠標(biāo)）提供支持， dund 支持通過藍(lán)牙撥號連接網(wǎng)絡(luò)，pand 允許你通過藍(lán)牙連接以太網(wǎng)。
　　capi
　　僅僅對使用 ISDN 設(shè)備的用戶有用。大多數(shù)用戶應(yīng)該關(guān)閉它。
　　cpuspeed
　　該服務(wù)可以在運(yùn)行時動態(tài)調(diào)節(jié) CPU 的頻率來節(jié)約能源（省電）。許多筆記本的 CPU 支持該特性，現(xiàn)在，越來越多的臺式機(jī)也支持這個特性了。如果你的 CPU 是：Petium-M，Centrino，AMD PowerNow， Transmetta，Intel SpeedStep，Athlon-64，Athlon-X2，Intel Core 2 中的一款，就應(yīng)該開啟它。如果你想讓你的 CPU 以固定頻率運(yùn)行的話就關(guān)閉它。
　　cron
　　參見 anacron。
　　cupsd， cups-config-daemon
　　打印機(jī)相關(guān)。如果你有能在 Fedora 中驅(qū)動的 CUPS 兼容的打印機(jī)，你應(yīng)該開啟它。
　　dc_client， dc_server
　　磁盤緩存（Distcache）用于分布式的會話緩存。主要用在 SSL/TLS 服務(wù)器。它可以被 Apache 使用。大多數(shù)的臺式機(jī)應(yīng)該關(guān)閉它。
　　dhcdbd
　　這是一個讓 DBUS 系統(tǒng)控制 DHCP 的接口?？梢员Ａ裟J(rèn)的關(guān)閉狀態(tài)。
　　diskdump， netdump
　　磁盤轉(zhuǎn)儲（Diskdump）用來幫助調(diào)試內(nèi)核崩潰。內(nèi)核崩潰后它將保存一個 “dump“ 文件以供分析之用。網(wǎng)絡(luò)轉(zhuǎn)儲（Netdump）的功能跟 Diskdump 差不多，只不過它可以通過網(wǎng)絡(luò)來存儲。除非你在診斷內(nèi)核相關(guān)的問題，它們應(yīng)該被關(guān)閉。
　　dund
　　參見 bluetooth。
　　firstboot
　　該服務(wù)是 Fedora 安裝過程特有的。它執(zhí)行在安裝之后的第一次啟動時僅僅需要執(zhí)行一次的特定任務(wù)。它可以被關(guān)閉。
　　gpm
　　終端鼠標(biāo)指針支持（無圖形界面）。如果你不使用文本終端（CTRL-ALT-F1， F2.。），那就關(guān)閉它。不過，我在運(yùn)行級別 3 開啟它，在運(yùn)行級別 5 關(guān)閉它。
　　hidd
　　參見 bluetooth。
　　hplip， hpiod， hpssd
　　HPLIP 服務(wù)在 Linux 系統(tǒng)上實(shí)現(xiàn) HP 打印機(jī)支持，包括 Inkjet，DeskJet，OfficeJet，Photosmart，Business InkJet 和一部分 LaserJet 打印機(jī)。這是 HP 贊助的惠普 Linux 打印項(xiàng)目（HP Linux Printing Project）的產(chǎn)物。如果你有相兼容的打印機(jī)，那就啟用它。
　　iptables
　　它是 Linux 標(biāo)準(zhǔn)的防火墻（軟件防火墻）。如果你直接連接到互聯(lián)網(wǎng)（如，cable，DSL，T1），建議開啟它。如果你使用硬件防火墻（比如：D-Link，Netgear，Linksys 等等），可以關(guān)閉它。強(qiáng)烈建議開啟它。
　　ip6tables
　　如果你不知道你是否在使用 IPv6，大部分情況下說明你沒有使用。該服務(wù)是用于 IPv6 的軟件防火墻。大多數(shù)用戶都應(yīng)該關(guān)閉它。閱讀這里了解如何關(guān)閉 Fedora 的 IPv6 支持。
　　irda， irattach
　　IrDA 提供紅外線設(shè)備（筆記本，PDA‘s，手機(jī)，計算器等等）間的通訊支持。大多數(shù)用戶應(yīng)該關(guān)閉它。
　　irqbalance
　　在多處理器系統(tǒng)中，啟用該服務(wù)可以提高系統(tǒng)性能。大多數(shù)人不使用多處理器系統(tǒng)，所以關(guān)閉它。但是我不知道它作用于多核 CPU’s 或 超線程 CPU‘s 系統(tǒng)的效果。在單 CPU 系統(tǒng)中關(guān)閉它應(yīng)該不會出現(xiàn)問題。
　　isdn
　　這是一種互聯(lián)網(wǎng)的接入方式。除非你使用 ISDN 貓來上網(wǎng)，否則你應(yīng)該關(guān)閉它。
　　kudzu
　　該服務(wù)進(jìn)行硬件探測，并進(jìn)行配置。如果更換硬件或需要探測硬件更動，開啟它。但是絕大部分的臺式機(jī)和服務(wù)器都可以關(guān)閉它，僅僅在需要時啟動。
　　lm_sensors
　　該服務(wù)可以探測主板感應(yīng)器件的值或者特定硬件的狀態(tài)（一般用于筆記本電腦）。你可以通過它來查看電腦的實(shí)時狀態(tài)，了解電腦的健康狀況。它在 GKrellM 用戶中比較流行。查看 lm_sensors 的主頁獲得更多信息。如果沒有特殊理由，建議關(guān)閉它。
　　mctrans
　　如果你使用 SELinux 就開啟它。默認(rèn)情況下 Fedora Core 開啟 SELinux。
　　mdmonitor
　　該服務(wù)用來監(jiān)測 Software RAID 或 LVM 的信息。它不是一個關(guān)鍵性的服務(wù)，可以關(guān)閉它。
　　mdmpd
　　該服務(wù)用來監(jiān)測 Multi-Path 設(shè)備（該類型的存儲設(shè)備能被一種以上的控制器或方法訪問）。它應(yīng)該被關(guān)閉。
　　messagebus
　　這是 Linux 的 IPC（Interprocess Communication，進(jìn)程間通訊）服務(wù)。確切地說，它與 DBUS 交互，是重要的系統(tǒng)服務(wù)。強(qiáng)烈建議開啟它。
　　netdump
　　參見 diskdump。
　　netplugd
　　Netplugd 用于監(jiān)測網(wǎng)絡(luò)接口并在接口狀態(tài)改變時執(zhí)行指定命令。建議保留它的默認(rèn)關(guān)閉狀態(tài)。
　　netfs
　　該服務(wù)用于在系統(tǒng)啟動時自動掛載網(wǎng)絡(luò)中的共享文件空間，比如：NFS，Samba 等等。如果你連接到局域網(wǎng)中的其它服務(wù)器并進(jìn)行文件共享，就開啟它。大多數(shù)臺式機(jī)和筆記本用戶應(yīng)該關(guān)閉它。
　　nfs， nfslock
　　這是用于 Unix/Linux/BSD 系列操作系統(tǒng)的標(biāo)準(zhǔn)文件共享方式。除非你需要以這種方式共享數(shù)據(jù)，否則關(guān)閉它。
　　ntpd
　　該服務(wù)通過互聯(lián)網(wǎng)自動更新系統(tǒng)時間。如果你能永久保持互聯(lián)網(wǎng)連接，建議開啟它，但不是必須的。
　　pand
　　參見 bluetooth。
　　pcscd
　　該服務(wù)提供智能卡（和嵌入在信用卡，識別卡里的小芯片一樣大小）和智能卡讀卡器支持。如果你沒有讀卡器設(shè)備，就關(guān)閉它。
　　portmap
　　該服務(wù)是 NFS（文件共享）和 NIS（驗(yàn)證）的補(bǔ)充。除非你使用 NFS 或 NIS 服務(wù)，否則關(guān)閉它。
　　readahead_early， readahead_later
　　該服務(wù)通過預(yù)先加載特定的應(yīng)用程序到內(nèi)存中以提供性能。如果你想程序啟動更快，就開啟它。
　　restorecond
　　用于給 SELinux 監(jiān)測和重新加載正確的文件上下文（file contexts）。它不是必須的，但如果你使用 SELinux 的話強(qiáng)烈建議開啟它。
　　rpcgssd， rpcidmapd， rpcsvcgssd
　　用于 NFS v4。除非你需要或使用 NFS v4，否則關(guān)閉它。
　　sendmail
　　除非你管理一個郵件服務(wù)器或你想 在局域網(wǎng)內(nèi)傳遞或支持一個共享的 IMAP 或 POP3 服務(wù)。大多數(shù)人不需要一個郵件傳輸代理。如果你通過網(wǎng)頁（hotmail/yahoo/gmail）或使用郵件收發(fā)程序（比如：Thunderbird， Kmail，Evolution 等等）收發(fā)郵件。你應(yīng)該關(guān)閉它。
　　smartd
　　SMART Disk Monitoring 服務(wù)用于監(jiān)測并預(yù)測磁盤失敗或磁盤問題（前提：磁盤必須支持 SMART）。大多數(shù)的桌面用戶不需要該服務(wù)，但建議開啟它，特別是服務(wù)器。
　　smb
　　SAMBA 服務(wù)是在 Linux 和 Windows 之間共享文件必須的服務(wù)。如果有 Windows 用戶需要訪問 Linux 上的文件，就啟用它。查看如何在 Fedora Core 6 下配置 Samba。
　　sshd
　　SSH 允許其他用戶登錄到你的系統(tǒng)并執(zhí)行程序，該用戶可以和你同一網(wǎng)絡(luò)，也可以是遠(yuǎn)程用戶。開啟它存在潛在的安全隱患。如果你不需要從其它機(jī)器或不需要從遠(yuǎn)程登錄，就應(yīng)該關(guān)閉它。
　　xinetd
　?。ㄔ摲?wù)默認(rèn)可能不被安裝）它是 一個特殊的服務(wù)。它可以根據(jù)特定端口收到的請求啟動多個服務(wù)。比如：典型的 telnet 程序連接到 23 號端口。如果有 telent 請求在 23 號端口被 xinetd 探測到，那 xinetd 將啟動 telnetd 服務(wù)來響應(yīng)該請求。為了使用方便，可以開啟它。運(yùn)行 chkconfig --list， 通過檢查 xinetd 相關(guān)的輸出可以知道有哪些服務(wù)被 xinetd 管理。
?