Linux下防范缓冲区溢出攻击安全策略 （3）

5． 启动系统的"rc"脚本

/etc/rc.d目录下"rc"开头的文件是用来启动系统的初始化文件的。rc系列文件与Ms- Dos系统下的autoexec.bat很类似。rc的意思是"runtime commands"。它们决定了init进程要启动哪些服务。redhat系统下，这些脚本在/etc/rc.d/rc3.d（如果系统以x为默认启动的话，就是/etc/rc.d/rc5.d）。要在启动时禁止某个服务，只需要把大写的S替换为小写的s，同时，redhat也提供一个工具来帮助你关闭服务，输入/usr/sbin/setup，然后选择"system services"，就可以定制系统启动时运行哪些服务。另外一个选择是chkconfig命令，很多linux版本的系统都自带这个工具。脚本名字中的数字是启动的顺序，以大写的K开头的是用来杀死进程的。 如将S50snmpd（SNMP简单网络管理协议，远程用户能从中获得许多系统信息）改为s50snmpd，则系统启动时将不会启动这项服务。

用下列命令察看在关闭启动脚本之前有多少服务在运行：

suneagle# ps -eaf|wc -l

有两个非常有用的工具：ps -xau（输出大量的有关系统运行的信息）和netstat -vat（列出所有和网络相关的信息）。运行他们就可以知道系统在提供、运行哪些服务。

6． 处理"services"文件

端口号和标准服务之间的对应关系在RFC1700"Assigned Numbers"中有详细的定义。"/etc/services"文件使得服务器和客户端的程序能够把服务的名字转成端口号，这张表在每一台主机上都存在，其文件名是"/etc/services"。只有"root"用户才有权限修改这个文件，而且在通常情况下这个文件是没有必要修改的，因为这个文件中已经包含了常用的服务所对应的端口号。为了提高安全性，我们可以给这个文件加上保护以避免没有经过授权的删除和改变。为了保护这个文件可以用下面的命令：

[root@snow]# chattr +i /etc/services

7． 改变"/etc/rc.d/init.d/"目录下脚本文件的访问许可

通过以下方式改变启动和停止daemon的脚本文件的权限。

[root@snow]# chmod -R 700 /etc/rc.d/init.d/*

这样只有root可以读、写和执行这一脚本，因为一般用户不需要知道脚本文件的内容。

8． 使系统对ping没有反应

防止系统对ping请求做出反应，对于网络安全是很有好处的，因为没人能够ping你的服务器并得到任何反应。TCP/IP协议本身有很多的弱点，黑客可以利用一些技术，把传输正常数据包的通道用来偷偷地传送数据。使你的系统对ping请求没有反应，可以把这个危险减到最小。使用下面的命令：

echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all

运行完这个命令后，系统对ping就没有反应了。可以把这一行加到"/etc/rc.d/rc.local"文件中去，这样当系统重新启动时，该命令就会自动运行。