4. 保护您的连接

4.1. 安全快速入门

在全职上线之前，不要低估保护连接的必要性。 您将拥有两样世界上的恶作剧者和黑客正在寻找的东西：带宽和一个类 Unix 的操作系统。 您立即成为一个诱人的目标。 有人来敲门只是时间问题。 可能是非常短的时间。 快速入门

• 关闭任何非绝对必要且可以从外部访问的守护程序和服务。 您无法通过未打开的端口受到攻击。 使用 ps 和 netstat 查看正在运行的服务。（具体请参阅手册页）。 您真的需要 named、sendmail、telnet、ftp 运行并对所有人开放吗？ 如果不确定，则不应运行它们。 然后采取一切必要步骤，确保它们在下次启动时不再启动。 请参阅您的发行版文档了解相关信息。

  许多发行版默认启动一些知名的服务。 您可能自己没有明确地做任何事情来启动这些服务。 甚至可能没有意识到这些服务确实在运行。 但您有责任了解正在运行的服务以及它的安全性。 不要依赖任何发行版的“默认”安装来为您执行此操作或确保安全。 很可能它不是安全的。

• 如果您确定某些服务是必不可少的，请确保您运行的是最新版本。 漏洞被发现，然后很快得到修复。 不要措手不及。 全职连接使保持更新变得非常容易——而且非常重要。 与您的发行版联系，查看有哪些新软件包可用。 然后保持联系。 如果他们有安全邮件列表，请加入它。

• 认真对待密码，使用非字典“单词”。 使用影子密码（这应该是较新发行版的标准功能）。 不允许远程 root 登录。 有关更多详细信息和想法，请参阅Security HOWTO。

• 使用 ssh 代替 telnet 或 rsh。

• 设置防火墙以限制访问并记录连接尝试。 这将因您使用的内核系列而异：2.0 使用 ipfwadm，2.2 使用 ipchains，2.4 使用 iptables。 有关此主题和其他安全相关主题的更深入讨论，请参阅以下 HOWTO

• • Security-Quickstart-HOWTO 以及针对基于 Redhat 的发行版 Security-Quickstart-Redhat-HOWTO

  • 防火墙 HOWTO

  • 安全 HOWTO

  • IPCHAINS HOWTO

  • Netfilter/Iptables 文档

  • IP Masquerade HOWTO

  其他参考资料在下面的链接部分中。