记得有位前辈说过,Linux服务器其实就好像是一个搭积木的玩具。一个个小的模块、服务组成了一个操作系统。这是对Linux系统的一个最形象的比喻。在Linux服务器安装的时候,系统就会让工程师选择所需要安装的服务。大部分时候出于安全或者其他方面的考虑,系统默认安装服务策略往往不是最好的。为了得到一个安全的Linux服务器环境,系统管理员往往需要选择安装合适的服务。但是Linux系统服务实在太多,多的让人眼花缭乱。
在默认情况下,Linux是一个功能比较强大的操作系统,可以提供很多的服务与应用。即使像笔者这种近十年Linux工作经验的过来人,也不能够细数Linux操作系统的相关服务。但是这些服务与应用大多数都是安装以后都不会使用。相反还可能造成安全隐患以及性能方面的问题。通常情况下,笔者认为以下几种服务从安全、优化、性能等方面考虑,最好不要安装。
一、dump软件包。
Dump为Linux系统的备份工具程序。它可以将目录或者整个文件系统备份到指定的设备上或者备份为一个大文件。这个软件包当中包含两个程序,分别为负责备份的dump与负责还原的restore两个程序。通过dump命令可以来检查文件系统中的文件以确定哪些需要备份,然后可以把这些文件拷贝到硬盘上。这个命令的功能还是比较强的。如可以指定开始备份的时间与日期;可以修改备份媒体预先设置的密度与容量;可以指定备份卷册的区块数据;如可以指定备份的层级等等。
但是在实际工作中,很好有系统工程师会使用这个命令来进行系统文件的备份与还原。这主要是因为这个软件包虽然功能比较强,但是实用性比较差。如操作起来参数过多比较麻烦等等。最致命的是,利用这个软件形成的备份文件不怎么稳定。有时候会出现一些莫名其妙的故障,如不能查明原因的文件丢失等等。故笔者建议系统管理员最好不要利用这个软件包来备份系统,在安装Linux服务器的时候不需要安装这个软件包。而可以寻找其他的方法来实现。
二、Finger服务。
Finger是Inernet软件包下面的一个程序。这个命令可以让系统管理员查看系统中其他用户的一些详细信息,如登陆名、其所采用的目录、真实姓名以及登陆系统的时间等信息。另外这个命令并不限定于在同一服务器上查询,也可以寻找某一个远端服务器上的使用者。如用户只需要输入finger root 就可以显示本级管理员的详细信息。但是通常情况下笔者不建议装这个命令。这主要是因为这可以给入侵者提供有用的信息,会给Linux服务器带来一定的安全隐患。而且这个命令不仅仅root帐户可以使用,任何的使用者都以使用这个命令来查询。为此这个命令的安全风险是比较大的。故从安全角度考虑,还是不要安装这个服务为好。
三、Fwhois服务。
这个指令的功能有点类似于finger指令,也是Inernet软件包下面的一个程序。它会去查找并显示指定帐号的用户相关信息。不同之处在于fwhois指令是到Network Solutions的WHOIS数据库去查找,该帐号名称必须有在上面注册才能寻获,且名称没有大小写的差别。WHOIS是一种由操作系统维护的用来保存关于用户、操作系统、网络设置等相关数据库。在这个数据库中,包含着许多跟操作系统安全息息相关的参数。为此如果这个数据库中的内容泄露的话,会大大影响Linux服务器的安全。而且通常情况下,这些信息系统工程师也不用查询。因为在配制的时候,这些信息都会有预先的规划与存档。故也就没有必要让用户来查询,凭白的给操作系统添加安全隐患。为此笔者是强烈建议不要安装这个指令。