返回文章列表
玄貓(BlackCat)

Linux 系統安全移除非必要網路服務

本文探討如何移除 Linux 系統中非必要的網路服務,以降低系統的攻擊面並提升安全性。文章涵蓋 NFS、DNS、FTP、HTTP、IMAP、POP3、Samba、Squid、SNMP、MTA、rsync、NIS、LDAP 和 RPC

系統管理 資安
Linux 系統安全 網路服務 NFS DNS FTP HTTP IMAP POP3 Samba Squid SNMP MTA rsync NIS LDAP RPC IPv6 無線網路

移除非必要的網路服務是提升 Linux 系統安全性的關鍵步驟。文章詳細說明如何檢查和移除各種常見的網路服務,包含 NFS、DNS、FTP、HTTP、郵件伺服器、Samba、代理伺服器等,並提供對應的指令操作與說明。同時也涵蓋了停用 SNMP、設定 MTA 為本地模式、移除 rsync 和 NIS 等安全性強化措施。此外,文章也引導讀者如何檢查並移除不必要的網路服務客戶端,例如 NIS、rsh、talk、telnet、LDAP 和 RPC 等,並建議使用更安全的替代方案,例如以 SSH 取代 telnet 和 rsh。最後,文章也說明如何停用未使用的網路協定和裝置,例如 IPv6 和無線網路介面,以減少系統的攻擊面,並提供相關的指令和設定範例。

加強系統安全性:移除不必要的網路服務

在維護系統安全性時,移除不必要的網路服務是至關重要的步驟。這些服務可能會成為潛在的安全漏洞,讓攻擊者有機會入侵系統。本文將探討多種常見的網路服務,並提供移除它們的方法,以降低系統的攻擊面。

2.1.7 移除NFS服務

NFS(Network File System)是一種允許系統透過網路掛載其他伺服器檔案系統的協定。如果系統不需要作為NFS伺服器或客戶端,則建議移除NFS服務以減少遠端攻擊面。

檢查NFS是否已安裝

# dpkg -s nfs-kernel-server

移除NFS服務

# apt purge nfs-kernel-server

內容解密:

  1. 檢查NFS安裝狀態:使用dpkg -s nfs-kernel-server命令檢查NFS伺服器套件是否已安裝在系統上。
  2. 移除NFS服務:如果NFS服務未被需要,使用apt purge nfs-kernel-server命令將其移除,以降低潛在的安全風險。

2.1.8 移除DNS伺服器

DNS(Domain Name System)是一種將網域名稱對映到IP地址的系統。如果系統不需要作為DNS伺服器,則建議移除相關套件以減少潛在的攻擊面。

檢查DNS伺服器是否已安裝

# dpkg -s bind9

移除DNS伺服器

# apt purge bind9

內容解密:

  1. 檢查DNS伺服器安裝狀態:使用dpkg -s bind9命令檢查DNS伺服器套件是否已安裝。
  2. 移除DNS伺服器:使用apt purge bind9命令將不必要的DNS伺服器套件移除,以增強系統安全性。

2.1.9 移除FTP伺服器

FTP(File Transfer Protocol)是一種用於在網路上傳輸檔案的協定。由於FTP在傳輸過程中不加密資料和驗證憑證,因此建議使用SFTP(Secure File Transfer Protocol)作為替代。如果系統不需要作為FTP伺服器,則應移除相關套件。

檢查FTP伺服器是否已安裝

# dpkg -s vsftpd

移除FTP伺服器

# apt purge vsftpd

內容解密:

  1. 檢查FTP伺服器安裝狀態:使用dpkg -s vsftpd命令檢查FTP伺服器套件是否已安裝。
  2. 移除FTP伺服器:使用apt purge vsftpd命令將FTP伺服器套件移除,以降低安全風險。

2.1.10 移除HTTP伺服器

HTTP(Hypertext Transfer Protocol)伺服器用於託管網站內容。如果系統不需要作為Web伺服器,則建議移除HTTP伺服器套件。

檢查HTTP伺服器是否已安裝

# dpkg -s apache2

移除HTTP伺服器

# apt purge apache2

內容解密:

  1. 檢查HTTP伺服器安裝狀態:使用dpkg -s apache2命令檢查Apache HTTP伺服器套件是否已安裝。
  2. 移除HTTP伺服器:使用apt purge apache2命令將Apache HTTP伺服器套件移除,以減少潛在的安全漏洞。

2.1.11 移除IMAP和POP3伺服器

IMAP(Internet Message Access Protocol)和POP3(Post Office Protocol version 3)是用於郵件檢索的協定。如果系統不需要提供IMAP或POP3服務,則建議移除相關套件。

檢查IMAP和POP3伺服器是否已安裝

# dpkg -s dovecot-imapd dovecot-pop3d

移除IMAP和POP3伺服器

# apt purge dovecot-imapd dovecot-pop3d

內容解密:

  1. 檢查IMAP和POP3安裝狀態:使用dpkg -s dovecot-imapd dovecot-pop3d命令檢查IMAP和POP3伺服器套件是否已安裝。
  2. 移除IMAP和POP3服務:使用apt purge dovecot-imapd dovecot-pop3d命令將IMAP和POP3伺服器套件移除,以增強系統安全性。

2.1.12 移除Samba服務

Samba是一種允許Linux系統與Windows桌面分享檔案系統和目錄的守護程式。如果不需要將檔案系統和目錄掛載到Windows系統,則建議移除Samba服務。

檢查Samba是否已安裝

# dpkg -s samba

移除Samba服務

# apt purge samba

內容解密:

  1. 檢查Samba安裝狀態:使用dpkg -s samba命令檢查Samba套件是否已安裝。
  2. 移除Samba服務:使用apt purge samba命令將Samba套件移除,以降低潛在的安全風險。

2.1.13 移除HTTP代理伺服器

Squid是一種標準的代理伺服器,用於許多發行版和環境中。如果不需要代理伺服器,則建議移除Squid代理以減少潛在的攻擊面。

檢查Squid是否已安裝

# dpkg -s squid

移除Squid代理

# apt purge squid

內容解密:

  1. 檢查Squid安裝狀態:使用dpkg -s squid命令檢查Squid代理套件是否已安裝。
  2. 移除Squid代理:使用apt purge squid命令將Squid代理套件移除,以增強系統安全性。

加強系統安全:移除不必要的服務與客戶端

在維護系統安全時,確保只安裝必要的服務和客戶端至關重要。未使用的服務和客戶端可能會成為潛在的安全風險,因為它們可能包含漏洞或被利用於攻擊。本篇文章將探討幾個常見的不安全服務,包括SNMP伺服器、郵件傳輸代理(MTA)、rsync服務和NIS伺服器,並提供移除或安全組態這些服務的建議。

2.1.14 確保SNMP伺服器未安裝

描述

SNMP(簡單網路管理協定)是一種廣泛用於監控網路裝置、電腦裝置和UPS等裝置健康狀況的協定。Net-SNMP是一套實作SNMPv1、SNMPv2和SNMPv3的應用程式。

風險

SNMP伺服器可以使用SNMPv1進行通訊,該協定以明文傳輸資料且不要求身份驗證即可執行命令。SNMPv3取代了SNMPv2中使用的簡單/明文密碼分享,使用更安全的編碼引數。如果不需要SNMP服務,建議移除net-snmp套件以減少系統的攻擊面。

審核

執行以下命令以驗證snmpd是否未安裝:

# dpkg -s snmpd

修復

執行以下命令以移除snmpd:

# apt purge snmpd

內容解密:

  • dpkg -s snmpd:此命令用於檢查snmpd套件的狀態。如果snmpd未安裝,則會傳回錯誤訊息。
  • apt purge snmpd:此命令用於完全移除snmpd套件,包括其組態檔案。

2.1.15 確保郵件傳輸代理組態為本地模式

描述

郵件傳輸代理(MTA),如sendmail和Postfix,用於監聽傳入的郵件並將訊息傳輸到適當的使用者或郵件伺服器。如果系統不是用作郵件伺服器,建議將MTA組態為僅處理本地郵件。

風險

所有MTA軟體都非常複雜,大多數都有長期的安全問題歷史。確保系統能夠處理本地郵件訊息很重要,但除非伺服器打算用作接收和處理來自其他系統的郵件的郵件伺服器,否則不需要MTA的守護程式監聽在埠上。

審核

執行以下命令以驗證MTA未在任何非迴環地址(127.0.0.1或::1)上監聽:

# ss -lntu | grep -E ':25\s' | grep -E -v '\s(127.0.0.1|::1):25\s'

該命令應該不傳回任何結果。

修復

編輯/etc/exim4/update-exim4.conf.conf檔案並修改以下行以使其類別似於下面的內容:

dc_eximconfig_configtype='local'
dc_local_interfaces='127.0.0.1 ; ::1'
dc_readhost=''
dc_relay_domains=''
dc_minimaldns='false'
dc_relay_nets=''
dc_smarthost=''
dc_use_split_config='false'
dc_hide_mailname=''
dc_mailname_in_oh='true'
dc_localdelivery='mail_spool'

然後重新啟動exim4服務:

# systemctl restart exim4

內容解密:

  • ss -lntu:此命令用於列出所有正在監聽的TCP和UDP埠。
  • grep -E ':25\s':此命令用於過濾出埠25上的監聽服務,通常是SMTP服務。
  • grep -E -v '\s(127.0.0.1|::1):25\s':此命令用於排除迴環地址上的監聽服務。
  • 修改/etc/exim4/update-exim4.conf.conf檔案並重新啟動exim4服務,以確保MTA僅在本地介面上監聽。

2.1.16 確保rsync服務未安裝

描述

rsync服務可用於在網路連結上的系統之間同步檔案。

風險

rsync服務存在安全風險,因為它使用未加密的協定進行通訊。建議移除rsync套件以減少系統的攻擊面。

審核

執行以下命令以驗證rsync是否未安裝:

# dpkg -s rsync

修復

執行以下命令以移除rsync:

# apt purge rsync

內容解密:

  • dpkg -s rsync:檢查rsync套件的狀態。
  • apt purge rsync:完全移除rsync套件。

加強系統安全:移除不必要的網路服務客戶端

在現代的網路環境中,保持系統的安全性是至關重要的。許多舊有的網路服務由於其內在的安全漏洞,已經被更安全的替代方案所取代。本文將重點介紹如何移除不必要的網路服務客戶端,以增強系統的安全性。

為何移除不必要的網路服務客戶端?

許多傳統的網路服務客戶端,如 NIS、rsh、talk、telnet 和 LDAP 客戶端,由於其使用未加密的協定進行通訊,存在著重大的安全風險。這些服務可能會被利用來竊取使用者憑證或進行其他惡意活動。因此,移除這些不必要的客戶端可以顯著減少系統的攻擊面。

如何檢查和移除不必要的網路服務客戶端?

1. 檢查 NIS 客戶端是否已安裝

NIS(Network Information Service)是一種用於分發系統組態檔案的客戶端-伺服器目錄服務協定。由於 NIS 存在安全漏洞,建議移除它。

檢查方法:
dpkg -s nis
移除方法:
apt purge nis

內容解密:

  • dpkg -s nis:此命令用於檢查 NIS 是否已安裝在系統上。
  • apt purge nis:如果 NIS 已安裝,此命令將完全移除 NIS 套件,包括其組態檔案。

2. 檢查 rsh 客戶端是否已安裝

rsh(remote shell)客戶端是一組用於遠端 shell 服務的客戶端命令。由於 rsh 存在多個安全漏洞,建議使用更安全的 SSH 代替。

檢查方法:
dpkg -s rsh-client
移除方法:
apt purge rsh-client

內容解密:

  • dpkg -s rsh-client:此命令檢查 rsh 客戶端是否已安裝。
  • apt purge rsh-client:此命令移除 rsh 客戶端套件,包括 rshrcprlogin 命令。

3. 檢查 talk 客戶端是否已安裝

talk 是一種允許使用者透過終端會話傳送和接收訊息的軟體。由於 talk 使用未加密的協定,建議移除它。

檢查方法:
dpkg -s talk
移除方法:
apt purge talk

內容解密:

  • dpkg -s talk:檢查 talk 是否已安裝。
  • apt purge talk:移除 talk 套件,以減少安全風險。

4. 檢查 telnet 客戶端是否已安裝

telnet 是一種允許使用者透過 telnet 協定連線到其他系統的客戶端。由於 telnet 是未加密的,建議使用 SSH 代替。

檢查方法:
dpkg -s telnet
移除方法:
apt purge telnet

內容解密:

  • dpkg -s telnet:檢查 telnet 是否已安裝。
  • apt purge telnet:移除 telnet 套件,以避免憑證被竊取。

5. 檢查 LDAP 客戶端是否已安裝

LDAP(Lightweight Directory Access Protocol)是一種用於查詢中央資料函式庫的協定。如果系統不需要作為 LDAP 客戶端,建議移除相關套件。

檢查方法:
dpkg -s ldap-utils
移除方法:
apt purge ldap-utils

內容解密:

  • dpkg -s ldap-utils:檢查 LDAP 客戶端是否已安裝。
  • apt purge ldap-utils:移除 LDAP 客戶端套件,以減少潛在的攻擊面。

6. 檢查 RPC 是否已安裝

RPC(Remote Procedure Call)是一種建立低階客戶端-伺服器應用程式的方法。如果不需要 RPC,建議移除相關套件。

檢查方法:
dpkg -s rpcbind
移除方法:
apt purge rpcbind

內容解密:

  • dpkg -s rpcbind:檢查 RPC 是否已安裝。
  • apt purge rpcbind:移除 RPC 相關套件,以減少遠端攻擊面。

加強系統網路安全:移除非必要服務與組態網路引數

在現代網路環境中,系統的安全性至關重要。一個不必要的開放服務或未經組態的網路介面都可能成為攻擊者入侵的途徑。因此,強化系統的安全性需要從移除非必要的服務和正確組態網路引數開始。

移除非必要的服務

系統中執行的服務越多,遭受攻擊的風險就越大。因此,識別並移除非必要的服務是加強系統安全性的第一步。

檢查系統中的監聽服務

要檢查系統中目前正在監聽的服務,可以使用以下命令:

# lsof -i -P -n | grep -v "(ESTABLISHED)"

這個命令會列出所有正在監聽的網路服務。管理員應該仔細檢查這些服務,確認它們是否為系統所需。

移除非必要的服務

對於確認為非必要的服務,應該予以移除。如果該服務所屬的套件有其他依賴關係,則應該停止並遮罩該服務,以減少系統的攻擊面。

移除套件的命令如下:

# apt purge <package_name>

停止並遮罩服務的命令如下:

# systemctl --now mask <service_name>

詳細解說:

  1. lsof -i -P -n:列出所有開啟的網路連線。
    • -i:顯示所有網路連線。
    • -P:不將埠號轉換為服務名稱。
    • -n:不將IP位址轉換為主機名稱。
  2. grep -v "(ESTABLISHED)":過濾掉已建立的連線,僅顯示監聽中的服務。
  3. apt purge <package_name>:徹底移除指定的套件及其設定檔。
  4. systemctl --now mask <service_name>:停止並遮罩指定的服務,防止其在未來被啟動。

組態網路引數

除了移除非必要的服務外,正確組態網路引數也是加強系統安全性的重要步驟。

停用未使用的網路協定和裝置

停用未使用的網路協定(如IPv6,如果未使用)和裝置(如無線介面)可以減少系統的攻擊面。

停用IPv6

如果系統不需要使用IPv6,建議停用它。停用IPv6可以透過修改GRUB組態或sysctl設定實作。

透過GRUB組態停用IPv6
  1. 編輯/etc/default/grub檔案,並在GRUB_CMDLINE_LINUX引數中新增ipv6.disable=1
  2. 執行update-grub命令以更新GRUB組態。
GRUB_CMDLINE_LINUX="ipv6.disable=1"
# update-grub
透過sysctl設定停用IPv6
  1. /etc/sysctl.conf/etc/sysctl.d/下的檔案中設定以下引數:

net.ipv6.conf.all.disable_ipv6 = 1 net.ipv6.conf.default.disable_ipv6 = 1

2. 執行以下命令使設定生效:
   ```bash
# sysctl -w net.ipv6.conf.all.disable_ipv6=1
# sysctl -w net.ipv6.conf.default.disable_ipv6=1
# sysctl -w net.ipv6.route.flush=1

詳細解說:

  1. GRUB_CMDLINE_LINUX="ipv6.disable=1":在GRUB啟動引數中新增停用IPv6的選項。
  2. sysctl -w net.ipv6.conf.all.disable_ipv6=1:立即停用所有介面的IPv6。
  3. sysctl -w net.ipv6.route.flush=1:重新整理IPv6路由快取。

停用無線介面

對於不需要無線連線的系統,應該停用無線介面以減少潛在的攻擊途徑。

檢查無線介面狀態

可以使用以下指令碼檢查無線介面是否被停用:

#!/bin/bash
if command -v nmcli >/dev/null 2>&1 ; then
    nmcli radio all | grep -Eq '\s*\S+\s+disabled\s+\S+\s+disabled\b' && echo "Wireless is not enabled" || nmcli radio all
elif [ -n "$(find /sys/class/net/*/ -type d -name wireless)" ]; then
    t=0
    drivers=$(for driverdir in $(find /sys/class/net/*/ -type d -name wireless | xargs -0 dirname); do basename "$(readlink -f "$driverdir"/device/driver)";done | sort -u)
    for dm in $drivers; do
        if grep -Eq "^\s*install\s+$dm\s+/bin/(true|false)" /etc/modprobe.d/*.conf; then
            /bin/true
        else
            echo "$dm is not disabled"
            t=1
        fi
    done
    [[ $t -eq 0 ]] && echo "Wireless is not enabled"
else
    echo "Wireless is not enabled"
fi

停用無線介面

可以使用以下指令碼停用無線介面:

#!/bin/bash
if command -v nmcli >/dev/null 2>&1 ; then
    nmcli radio all off
else
    if [ -n "$(find /sys/class/net/*/ -type d -name wireless)" ]; then
        drivers=$(for driverdir in $(find /sys/class/net/*/ -type d -name wireless | xargs -0 dirname); do basename "$(readlink -f "$driverdir"/device/driver)";done | sort -u)
        for dm in $drivers; do
            echo "install $dm /bin/true" >> /etc/modprobe.d/disable_wireless.conf
        done
    fi
fi

詳細解說:

  1. nmcli radio all off:使用NetworkManager命令停用所有無線介面。
  2. echo "install $dm /bin/true" >> /etc/modprobe.d/disable_wireless.conf:透過修改modprobe組態永久停用無線驅動程式。