虽然应用系统更新和修补程序有助于纠正已知漏洞,但保护系统免受尚未报告的漏洞的最佳方法之一是禁用正常
系统操作不需要的所有服务。这可以防止利用以后发现的漏洞。如果未启用服务,则无法利用该服务。本部分中
的操作为某些可安全禁用的服务提供了指导,并在何种情况下大大减少了对最终系统可能造成的威胁的数量。此
外,一些服务在安全配置的情况下也能保持启用。
检查项:
Ensure chargen services are not enabled
检查项:
确保未启用chargen服务
描述:
chargen是一个网络服务,用于为到来的连接响应一个0-512字节的ascii字符数据;此服务旨在用于调试
和测试,建议禁用此服务。
原理:
禁用此服务可减少远程攻击的风险。
配置方法:
运行以下命令禁用chargen-dgram、chargen-stream:
# chkconfig chargen-dgram off
# chkconfig chargen-stream off
检测方法:
运行以下命令查看chargen-dgram、chargen-stream被关闭或者未配置:
# chkconfig --list
xinetd based services:
chargen-dgram: off
chargen-stream: off
检查项:
Ensure daytime services are not enabled
检查项:
确保未启用daytime服务
描述:
daytime是一个网络服务,用于响应服务器当前的日期和时间;此服务旨在用于调试和测试,建议禁用此
服务。
原理:
禁用此服务可减少远程攻击的风险
配置方法:
运行以下命令禁用daytime-dgram、daytime-stream:
# chkconfig daytime-dgram off
# chkconfig daytime-stream off
检测方法:
运行以下命令查看daytime-dgram、daytime-stream被关闭或者未配置:
# chkconfig --list
xinetd based services:
daytime-dgram: off
daytime-stream: off
检查项:
Ensure discard services are not enabled
检查项:
确保未启用discard服务
描述:
discard是一种简单地丢弃它接收的所有数据的网络服务。 此服务旨在用于调试和测试目的。 建议禁用
此服务。
原理:
禁用此服务可减少远程攻击的风险
配置方法:
运行以下命令禁用discard-dgram、discard-stream:
# chkconfig discard-dgram off
# chkconfig discard-stream off
检测方法:
运行以下命令查看discard-dgram、discard-stream被关闭或者未配置:
# chkconfig --list
xinetd based services:
discard-dgram: off
discard-stream: off
检查项:
Ensure time services are not enabled
检查项:
确保未启用time服务
描述:
time是一个网络服务,用一个32位的整数来响应服务器当前的日期和时间。此服务旨在用于调试和测试,
建议禁用此服务。
原理:
禁用此服务可减少远程攻击的风险。
配置方法:
运行以下命令禁用time-dgram、time-stream:
# chkconfig time-dgram off
# chkconfig time-stream off
检测方法:
运行以下命令查看time-dgram、time-stream被关闭或者未配置:
# chkconfig --list
xinetd based services:
time-dgram: off
time-stream: off
检查项:
Ensure rsh server is not enabled
检查项:
确保未启用rsh服务端程序
描述:
Berkeley rsh服务器(rsh,rlogin,rexec)包中包含以明文形式交换凭据的旧服务。
原理:
这些遗留服务包含大量安全风险,并已被更安全的SSH软件包取代。
配置方法:
运行以下命令禁用rsh, rlogin, rexec:
# chkconfig rexec off
# chkconfig rlogin off
# chkconfig rsh off
检测方法:
运行以下命令查看rsh, rlogin, rexec被关闭或者未配置:
# chkconfig --list
xinetd based services:
rexec: off
rlogin: off
rsh: off
检查项:
Ensure talk server is not enabled
检查项:
确保未启用Talk服务器
描述:
会话软件使用户可以通过终端会话跨系统发送和接收消息。 默认安装talk客户端(允许启动会话)。
原理:
该软件使用未加密的协议进行通信,因此存在安全风险。
配置方法:
运行以下命令禁用talk:
# chkconfig talk off
检测方法:
运行以下命令查看talk被关闭或者未配置:
# chkconfig --list
xinetd based services:
talk: off
检查项:
Ensure telnet server is not enabled
检查项:
确保未启用telnet服务器
描述:
telnet-server软件包含telnet守护者程序,该守护程序通过telnet协议接受来自其他系统的用户连接。
原理:
telnet协议不安全且未加密。 使用未加密的传输介质可以允许具有访问嗅探网络流量的用户窃取凭证的
能力。 ssh包提供加密会话和更强的安全性。
配置方法:
运行以下命令禁用telnet:
# chkconfig telnet off
检测方法:
运行以下命令查看telnet被关闭或者未配置:
# chkconfig --list
xinetd based services:
telnet: off
检查项:
Ensure tftp server is not enabled
检查项:
确保未启用tftp服务器
描述:
简单文件传输协议(TFTP)是一种简单的文件传输协议,通常用于从引导服务器自动传输配置或引导计算
机。 软件包tftp和atftp都用于定义和支持TFTP服务器。
原理:
TFTP不支持身份验证,也不确保数据的机密性或完整性。 除非特别需要TFTP,否则建议除去TFTP。 在
这种情况下,配置服务时必须特别小心。
配置方法:
运行以下命令禁用tftp:
# chkconfig tftp off
检测方法:
运行以下命令查看tftp被关闭或者未配置:
# chkconfig --list
xinetd based services:
tftp: off
检查项:
Ensure rsync service is not enabled
检查项:
确保未启用rsync服务器
描述:
rsyncd服务可用于通过网络链接在系统之间同步文件。
原理:
rsyncd服务存在安全风险,因为它使用未加密的协议进行通信。
配置方法:
运行以下命令禁用rsync:
# chkconfig rsync off
检测方法:
运行以下命令查看rsync被关闭或者未配置:
# chkconfig --list
xinetd based services:
rsync: off
检查项:
Ensure xinetd is not enabled
检查项:
确保未启用xinetd
描述:
eXtended InterNET Daemon(xinetd)是一个开源的超级守护进程,它取代了原来的inetd守护进
程。 xinetd守护程序侦听众所周知的服务并调度相应的守护程序以正确响应服务请求。
原理:
如果不需要xinetd服务,建议禁用守护程序。
配置方法:
运行以下命令禁用xinetd:
# chkconfig xinetd off
检测方法:
运行以下命令并验证所有运行级别xinetd是否已列为“off”或不可用:
# chkconfig --list xinetd
xinetd 0:off 1:off 2:off 3:off 4:off 5:off 6:off
本文介绍如何禁用一系列网络服务,如chargen、daytime、discard等,以降低远程攻击风险。通过禁用这些通常用于调试和测试的服务,可以显著提高系统的安全性。
扫一扫
6万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
