Linux学习-【第三篇】服务器内部的资源管理与防火墙规划

你可直到安装好了Linux之后，系统到底开放了多少服务？这些服务有没有对外面的世界开放监听？这些服务有没有漏洞或者是能不能进行网络在线更新？这些服务如果没有用到，能不能关闭？此外，这些服务能不能仅开放

你可直到安装好了Linux之后，系统到底开放了多少服务？这些服务有没有对外面的世界开放监听？这些服务有没有漏洞或者是能不能进行网络在线更新？这些服务如果没有用到，能不能关闭？此外，这些服务能不能仅开放给部分的原用户而不对整个internet开放？这都需要了解的。接下来我们以几个案例来了解一下。

###案例

####不同runlevel下服务的管理

在当前的internet之下，有哪些服务是默认启动的呢？此外，如果我的系统当前不想启动自动网络挂载(autofs)机制，则如果让该服务在系统启动时不被自动加载启动呢？

默认的runlevel可以使用runlevel这个命令来处理，那我们默认使用3号的runlevel，因此可以这样做。

[root@locahost ~]# LANG=C chkconfig --list | grep '3:on'

上面的命令的输出信息中，会有autofs服务是在启动的状态，如果想要关闭它，可以这样做:

[root@locahost ~]# chkconfig autofs off[root@locahost ~]# /etc/init.d/autofs stop

如果想要了解已启动的网络监听服务，那该如何处理？

####查询已启动的网络监听服务

我想要检查当前我这台主机启动的所以网络监听服务有哪些，并且关系不需要的网络监听程序，该如何进行？网络监听服务及其所使用的端口情况，可以使用如下方式查询到：

[root@locahost ~]# netstat -tulnpProto Recv-Q Send-Q Local Address               Foreign Address             State       PID/Program name   tcp        0      0 0.0.0.0:111                 0.0.0.0:*                   LISTEN      1173/rpcbind        tcp        0      0 0.0.0.0:22                  0.0.0.0:*                   LISTEN      1395/sshd           tcp        0      0 127.0.0.1:631               0.0.0.0:*                   LISTEN      1265/cupsd          tcp        0      0 0.0.0.0:53336               0.0.0.0:*                   LISTEN      1191/rpc.statd      tcp        0      0 127.0.0.1:25                0.0.0.0:*                   LISTEN      1471/master         tcp        0      0 :::111                      :::*                        LISTEN      1173/rpcbind        tcp        0      0 :::22                       :::*                        LISTEN      1395/sshd           tcp        0      0 ::1:631                     :::*                        LISTEN      1265/cupsd          tcp        0      0 ::1:25                      :::*                        LISTEN      1471/master         tcp        0      0 :::47363                    :::*                        LISTEN      1191/rpc.statd      udp        0      0 0.0.0.0:111                 0.0.0.0:*                               1173/rpcbind        udp        0      0 0.0.0.0:631                 0.0.0.0:*                               1265/cupsd          udp        0      0 0.0.0.0:923                 0.0.0.0:*                               1173/rpcbind        udp        0      0 0.0.0.0:943                 0.0.0.0:*                               1191/rpc.statd      udp        0      0 0.0.0.0:57287               0.0.0.0:*                               1191/rpc.statd      udp        0      0 :::111                      :::*                                    1173/rpcbind        udp        0      0 :::49649                    :::*                                    1191/rpc.statd      udp        0      0 :::923                      :::*                                    1173/rpcbind   udp        0      0 0.0.0.0:5353                0.0.0.0:*                               1108/avahi-daemon:udp        0      0 0.0.0.0:58474               0.0.0.0:*                               1108/avahi-daemon:

现在假设想要avhi-daemon这个服务以删除该服务所使用的端口，该操作应该要如同上题一样，利用/etc/init.d/xxx stop关闭，再使用chkconfig去处理开机不启动的行为。不过因为启动的服务名称与实际命令可能不一样，我们在netstat上面看的program项目是实际程序的执行文件，可能与/etc/init.d/下面的服务脚本文件名不同，因此可能需要使用grep去摘取数据，或者通过tab按键取得相关的服务文件名才行。

[root@locahost ~]# /etc/init.d/avahi-daemon stop[root@locahost ~]# chkconfig avahi-daemon off

如果对外开放的软件没有更新，那防火墙形同虚设。所以，软件更新相当重要。在CentOS内，我们已经有yum来进行在线更新来，你当然可以自己利用更改配置文件来指定yum要去查询的镜像站点(mirror site)，不过这里鸟哥建立使用默认的设定值即刻，因为系统会主动判断比较近的镜像站点，不需要人工微调。

####利用yum进行系统更新

假设你的网络已经通了，目前你想要进行整个系统的更新，同时需要每天凌晨2:15自动进行整个系统的更新，该怎么做？整个系统更新使用yum update即可。但是由于yum update需要用户手动输入y去确认所需要进行的安装，因此在crontab里定义相关任务时，就需要使用yum -y update来。

[root@locahost ~]# yum -y update#第一次进行该操作会有一个较长的等待时间！因为系统有些数据要更新！[root@locahost ~]# vim /etc/crontab15 2 * * * root /usr/bin/yum -y update