《Linux防火牆（第4版）》——2.6　私有網路服務VS公有網路服務

本節書摘來自非同步社群《Linux防火牆（第4版）》一書中的第2章，第2.6節，作者：【美】Steve Suehring（史蒂夫 蘇哈林）著，更多章節內容可以訪問雲棲社群“非同步社群”公眾號檢視

2.6　私有網路服務VS公有網路服務

最容易因疏忽導致未經請求的入侵即是允許外部訪問那些被設計為只用於LAN的本地服務。一些服務，如果僅僅在本地提供，絕不應該跨越您的本地區域網和網際網路的界限。如果這樣的服務在您的區域網外可用，那麼有些服務會騷擾您的鄰居，有些會提供您應該保密的資訊，有些則代表著明顯的安全漏洞。

一些最早期的網路服務，尤其是被設計用於本地的分享並且簡化在受信任的環境裡跨多個實驗室的計算機間訪問的r-*-based。後來的一些服務用於接入網際網路，但它們被設計於一個網際網路基本是由學者和研究者構成的延伸社群的時代。那時，網際網路是相對開放、安全的地方。由於網際網路成長為一個包括了普通大眾訪問的全球性的網路，它已發展成為一個完全不受信任的環境。

許多Linux網路服務被設計用於提供系統中的一些本地資訊：關於使用者的賬戶、哪個程式在執行哪個資源正被使用、系統狀態、網路狀態、通過網路連線的其他計算機的相似的資訊。並不是所有的這些資訊化服務本身代表了安全漏洞。並不是說某人可以用它們直接對您的系統獲得非授權的訪問。它們只是提供了您系統的資訊以及使用者賬戶，這些資訊對某些在尋找已知漏洞的人來說十分有用。它們可能還提供了例如使用者名稱、地址、電話號碼等等，您絕對不希望輕易地被任何問詢的人瞭解資訊。

一些更危險的網路服務被設計用於提供區域網內對共享檔案系統和裝置的訪問，例如網路印表機或傳真機。

一些服務難於正確的配置，一些則難於安全的配置。整本書都致力於配置一些更復雜的Linux服務。特定的服務的配置則超出了本書的範圍。

有些服務僅僅在家庭或小型辦公室環境是沒有意義的。一些則傾向於管理大型網路，提供網際網路路由服務，提供大型資料庫資訊服務，支援雙向的加密和認證，等等。

2.6.1　保護不安全的本地服務
最簡單的保護您自己的方式就是不提供服務。但如果您需要這些本地服務中的一個呢？並不是所有的服務都能夠在資料包過濾層被充分地保護。檔案共享軟體、即時通訊服務和基於UDP的RPC服務都是眾所周知難以在資料包過濾層保障安全的。

一種保衛您的計算機的方式是不要在防火牆計算機上託管您不希望公眾使用的網路服務。如果服務不可用，那麼遠端的客戶端也就無法連線到它。讓防火牆只做防火牆。

一個包過濾防火牆並不能提供絕對的安全。一些程式需要比資料包過濾層能提供的更高層的安全措施。一些程式則有太多問題，以至於不應冒險執行在防火牆計算機，甚至不安全的住宅主機上。

小型站點（例如在家庭站點）通常沒有多餘的計算機通過“在其他計算機上執行私有服務”來執行訪問安全策略。這裡必須做出些折中，尤其是所需的服務僅由Linux提供。然而，在區域網中的小型站點不應該在防火牆機器上執行檔案共享或其他私有的LAN服務，例如Samba。這臺計算機不應該有任何不必要的使用者賬戶。不需要的系統軟體應該從該系統中移除。此計算機除了安全的閘道器外不應該擁有任何其他功能。

2.6.2　選擇執行的服務
當上面說到的都已做完時，您唯一可以決定的便是哪些服務是您需要或想要的。保障系統安全的第一步便是決定您打算在防火牆計算機上以及在防火牆後的私有網路中執行哪些服務和守護程式。每個服務都有它自己安全的考量。在選擇執行於Linux下或其他作業系統下的服務時，一般的規則是“僅執行那些您瞭解和需要的網路服務”。瞭解一個網路服務，在執行它之前知道它做了什麼、供誰使用十分重要——尤其是它執行在直接連線到網際網路的計算機上。