Linux系统服务进程

服务名称 功能 默认 建议 备注说明

NetworkManager 用于自动连接网络，常用在Laptop上 开启 关闭 对服务器无用

abrt-ccpp 开启 自定 对服务器无用

abrt-oops 开启 自定 对服务器无用

abrtd 开启 自定 对服务器无用

acpid 电源的开关等检测管理，常用在Laptop上 开启 自定 对服务器无用

atd 在指定时间执行命令 开启 关闭 如果用crond，则可关闭它

auditd 审核守护进程 开启 开启 如果用selinux，需要开启它

autofs 文件系统自动加载和卸载 开启 自定 只在需要时开启它，可以关闭

avahi-daemon 本地网络服务查找 开启 关闭 对服务器无用

bluetooth 蓝牙无线通讯 开启 关闭 对服务器无用

certmonger 关闭 关闭

cpuspeed 调节cpu速度用来省电，常用在Laptop上 开启 关闭 对服务器无用

crond 计划任务管理 开启 开启 常用，开启

cups 通用unix打印服务

开启 关闭 对服务器无用

dnsmasq dns cache 关闭 关闭 DNS缓存服务，无用

firstboot 系统安装后初始设定 关闭 关闭

haldaemon 硬件信息收集服务 开启 开启

ip6tables ipv6防火墙 开启 关闭 用到ipv6网络的就用，一般关闭

iptables

ipv4防火墙 开启 开启 ipv4防火墙服务

irqbalance cpu负载均衡 开启 自定 多核cup需要

kdump 硬件变动检测 关闭 关闭 服务器无用

lvm2-monitor lvm监视 开启 自定 如果使用LVM逻辑卷管理就开启

matahari-broker 关闭 关闭 此服务不清楚，我关闭

matahari-host 关闭 关闭 此服务不清楚，我关闭

matahari-network 关闭 关闭 此服务不清楚，我关闭

matahari-service 关闭 关闭 此服务不清楚，我关闭

matahari-sysconfig 关闭 关闭 此服务不清楚，我关闭

mdmonitor 软raid监视 开启 自定

messagebus 负责在各个系统进程之间传递消息 开启 开启 如停用，haldaemon启动会失败

netconsole 关闭 关闭

netfs 系统启动时自动挂载网络文件系统 开启 关闭 如果使用nfs服务，就开启

network 系统启动时激活所有网络接口 开启 开启 网络基础服务，必需！

nfs 网络文件系统 关闭 关闭 nfs文件服务，用到就开启

nfslock nfs相关 开启 关闭 nfs相关服务，用到就开启

ntpd 自动对时工具 关闭 自定 网络对时服务，用到就开启

ntpdate 自动对时工具 关闭 关闭

oddjobd 与D-BUS相关 关闭 关闭

portreserve RPC 服务相关 开启 自定 可以关闭

postfix 替代sendmail的邮件服务器 开启 自定 如果无邮件服务，可关闭

psacct 负荷检测 关闭 关闭 可以关闭

qpidd 消息通信 开启 开启

quota_nld 关闭 关闭 可以关闭

rdisc 自动检测路由器 关闭 关闭

restorecond selinux相关 关闭 关闭 如果开启了selinux，就需开启

rpcbind 开启 开启 关键的基础服务，nfs服务和桌面环境都依赖此服务！相当于CentOS 5x里面的portmap服务。

rpcgssd NFS相关 开启 关闭 NFS相关服务，可选

rpcidmapd RPC name to UID/GID mapper 开启 关闭 NFS相关服务，可选

rpcsvcgssd NFS相关 关闭 关闭 NFS相关服务，可选

rsyslog 提供系统的登录档案记录 开启 开启 系统日志关键服务，必需！

saslauthd sasl认证服务相关 关闭 关闭

smartd 硬盘自动检测守护进程 关闭 关闭

spice-vdagentd 开启 开启

sshd ssh服务端，可提供安全的shell登录

开启 开启 SSH远程登录服务，必需！

sssd 关闭 关闭

sysstat 开启 开启 一组系统监控工具的服务，常用

udev-post 设备管理系统 开启 开启

wdaemon 关闭 关闭

wpa_supplicant 无线认证相关 关闭 关闭

ypbind network information service客户端 关闭 关

维护我们服务器的安全是一项艰巨的工作，与第三方解决方案提供商打交道时尤为如此。在许多情况下，面临的挑战是要求禁用SELinux，以便应用程序可以顺利运行。幸好，这种情况越来越少了。在大多数情况下，一番分析足以找到正确的故障排查或解决方法。

SELinux是一个标签系统，它告诉我们系统中的每个文件、目录或对象都有对应的标签(Label)。策略控制这些元素之间的交互关系，内核则执行这些规则。

两个最重要的概念是标签(文件、进程和端口等)和类型强制(根据进程的类型将进程彼此隔离开来)。

标签使用的格式为：user:role:type:level(可选)。

要找出当前配置，请运行getenforce和sestatus两个命令：

# getenforce 

Enforcing 

# sestatus 

SELinux status:                 enabled 

SELinuxfs mount:                /sys/fs/selinux 

SELinux root directory:         /etc/selinux 

Loaded policyname:             targeted 

Current mode:                   enforcing 

Modefrom config file:          enforcing 

Policy MLS status:              enabled 

Policy deny_unknown status:     allowed 

Memory protection checking:     actual (secure) 

Max kernel policy version:      32 

最佳实践告诉我们，我们测试一个新的第三方应用程序时，应该在许可模式下临时配置SELinux，以便确定哪些策略或布尔值(更改行为的简单字符串)必不可少。运行该命令：

# setenforce 0 

查看日志，您可以找到SELinux使应用程序正常运行所需的条件。

SELinux试图告诉我什么

SELinux中生成警报的错误只有四个主要原因：

标签。

SELinux需要知道。

SELinux策略及/或应用程序可能有错误。

您的信息可能被泄露。

最后一种情况是由于对攻击漏洞进行了修改或避免了活动跟踪，不过在这两种情况下，都必须查看这些警报，这点暂且不介绍。

标签

标签问题：/srv/myweb中的文件未正确标记，因而无法访问。

SELinux为同一服务所涉及的每个元素分配一个标签：

二进制文件：/usr/sbin/>

几乎可以肯定每个人都听说过 SELinux (更准确的说，尝试关闭过)，甚至某些过往的经验让您对 SELinux 产生了偏见。不过随着日益增长的 0-day 安全漏洞，或许现在是时候去了解下这个在 Linux 内核中已经有8年历史的强制性访问控制系统(MAC)了。

SELinux 与强制访问控制系统

SELinux 全称 Security Enhanced Linux (安全强化 Linux)，是 MAC (Mandatory Access Control，强制访问控制系统)的一个实现，目的在于明确的指明某个进程可以访问哪些资源(文件、网络端口等)。

强制访问控制系统的用途在于增强系统抵御 0-Day 攻击(利用尚未公开的漏洞实现的攻击行为)的能力。所以它不是网络防火墙或 ACL 的替代品，在用途上也不重复。

举例来说，系统上的 Apache 被发现存在一个漏洞，使得某远程用户可以访问系统上的敏感文件(比如 /etc/passwd 来获得系统已存在用户)，而修复该安全漏洞的 Apache 更新补丁尚未释出。此时 SELinux 可以起到弥补该漏洞的缓和方案。因为 /etc/passwd 不具有 Apache 的访问标签，所以 Apache 对于 /etc/passwd 的访问会被 SELinux 阻止。

相比其他强制性访问控制系统，SELinux 有如下优势：

●控制策略是可查询而非程序不可见的。

●可以热更改策略而无需重启或者停止服务。

●可以从进程初始化、继承和程序执行三个方面通过策略进行控制。

●控制范围覆盖文件系统、目录、文件、文件启动描述符、端口、消息接口和网络接口。

那么 SELinux 对于系统性能有什么样的影响呢根据 Phoronix 在 2009 年使用 Fedora 11 所做的横向比较来看，开启 SELinux 仅在少数情况下导致系统性能约 5% 的降低。

SELinux 是不是会十分影响一般桌面应用及程序开发呢原先是，因为 SELinux 的策略主要针对服务器环境。但随着 SELinux 8年来的广泛应用，目前 SELinux 策略在一般桌面及程序开发环境下依然可以同时满足安全性及便利性的要求。以刚刚发布的 Fedora 15 为例，笔者在搭建完整的娱乐(包含多款第三方原生 Linux 游戏及 Wine 游戏)及开发环境(Android SDK + Eclipse)过程中，只有 Wine 程序的首次运行时受到 SELinux 默认策略的阻拦，在图形化的“SELinux 故障排除程序”帮助下，点击一下按钮就解决了。

了解和配置 SELinux

1 获取当前 SELinux 运行状态

getenforce

可能返回结果有三种：Enforcing、Permissive 和 Disabled。Disabled 代表 SELinux 被禁用，Permissive 代表仅记录安全警告但不阻止可疑行为，Enforcing 代表记录警告且阻止可疑行为。

目前常见发行版中，RHEL 和 Fedora 默认设置为 Enforcing，其余的如 openSUSE 等为 Permissive。

2 改变 SELinux 运行状态

setenforce [ Enforcing | Permissive | 1 | 0 ]

该命令可以立刻改变 SELinux 运行状态，在 Enforcing 和 Permissive 之间切换，结果保持至关机。一个典型的用途是看看到底是不是 SELinux 导致某个服务或者程序无法运行。若是在 setenforce 0 之后服务或者程序依然无法运行，那么就可以肯定不是 SELinux 导致的。

若是想要永久变更系统 SELinux 运行环境，可以通过更改配置文件 /etc/sysconfig/selinux 实现。注意当从 Disabled 切换到 Permissive 或者 Enforcing 模式后需要重启计算机并为整个文件系统重新创建安全标签(touch /autorelabel && reboot)。

3 SELinux 运行策略

配置文件 /etc/sysconfig/selinux 还包含了 SELinux 运行策略的信息，通过改变变量 SELINUXTYPE 的值实现，该值有两种可能：targeted 代表仅针对预制的几种网络服务和访问请求使用 SELinux 保护，strict 代表所有网络服务和访问请求都要经过 SELinux。

RHEL 和 Fedora 默认设置为 targeted，包含了对几乎所有常见网络服务的 SELinux 策略配置，已经默认安装并且可以无需修改直接使用。

若是想自己编辑 SELinux 策略，也提供了命令行下的策略编辑器 seedit 以及 Eclipse 下的编辑插件 eclipse-slide 。

4 coreutils 工具的 SELinux 模式

常见的属于 coreutils 的工具如 ps、ls 等等，可以通过增加 Z 选项的方式获知 SELinux 方面的信息。

在现在这个世道中，保障基于Linux的系统的安全是十分重要的。但是，你得知道怎么干。一个简单反恶意程序软件是远远不够的，你需要采取其它措施来协同工作。那么Linux的系统的安全如何保障？今天小编就为大家总结九个常用方法来保护Linux系统安全，希望能帮助到大家。

1 使用SELinux

SELinux是用来对Linux进行安全加固的，有了它，用户和管理员们就可以对访问控制进行更多控制。SELinux为访问控制添加了更细的颗粒度控制。与仅可以指定谁可以读、写或执行一个文件的权限不同的是，SELinux可以让你指定谁可以删除链接、只能追加、移动一个文件之类的更多控制。(LCTT译注：虽然NSA也给SELinux贡献过很多代码，但是目前尚无证据证明SELinux有潜在后门)

2禁用不用的服务和应用

通常来讲，用户大多数时候都用不到他们系统上的服务和应用的一半。然而，这些服务和应用还是会运行，这会招来攻击者。因而，最好是把这些不用的服务停掉。(LCTT译注：或者干脆不安装那些用不到的服务，这样根本就不用关注它们是否有安全漏洞和该升级了。)

3 订阅漏洞警报服务

安全缺陷不一定是在你的 *** 作系统上。事实上，漏洞多见于安装的应用程序之中。为了避免这个问题的发生，你必须保持你的应用程序更新到最新版本。此外，订阅漏洞警报服务，如SecurityFocus。

4 使用Iptables

Iptables是什么这是一个应用框架，它允许用户自己为系统建立一个强大的防火墙。因此，要提升安全防护能力，就要学习怎样一个好的防火墙以及怎样使用Iptables框架。

5 检查系统日志

你的系统日志告诉你在系统上发生了什么活动，包括攻击者是否成功进入或试着访问系统。时刻保持警惕，这是你第一条防线，而经常性地监控系统日志就是为了守好这道防线。

6 考虑使用端口试探

设置端口试探(Port knocking)是建立服务器安全连接的好方法。一般做法是发生特定的包给服务器，以触发服务器的回应/连接(打开防火墙)。端口敲门对于那些有开放端口的系统是一个很好的防护措施。

7 默认拒绝所有

防火墙有两种思路：一个是允许每一点通信，另一个是拒绝所有访问，提示你是否许可。第二种更好一些。你应该只允许那些重要的通信进入。(LCTT译注：即默认许可策略和默认禁止策略，前者你需要指定哪些应该禁止，除此之外统统放行;后者你需要指定哪些可以放行，除此之外全部禁止。)

8使用全盘加密

加密的数据更难窃取，有时候根本不可能被窃取，这就是你应该对整个驱动器加密的原因。采用这种方式后，如果有某个人进入到你的系统，那么他看到这些加密的数据后，就有得头痛了。根据一些报告，大多数数据丢失源于机器被盗。

9使用入侵检测系统

入侵检测系统，或者叫IDS，允许你更好地管理系统上的通信和受到的攻击。Snort是目前公认的Linux上的最好的IDS。

以上就是保护Linux系统安全的九个常用方法，希望能帮助到大家！

SELinux，Security Enhanced

Linux的缩写，也就是安全强化的Linux，是由美国国家安全局联合其他安全机构共同开发的，旨在增强传统Linux *** 作系统的安全性，解决传统Linux系统中自主访问控制系统中的各种权限问题。

对于SELinux，初学者可以这么理解，它是部署在Linux上用于增强系统安全的功能模块。

传统的Linux系统安全，采用的是DAC，而SELinux是部署在Linux系统中的安全增强功能模块，它通过对进程和文件资源采用MAC为Linux系统提供了改进的安全性。

SELinux的主要作用

①通过对进程和文件资源采用MAC控制方式，为Linux系统提供了改进的安全性。

②最大限度地减小系统中服务进程可访问的资源。

它赋予了主体最小的访问特权，这也就意味着，每个主体仅被赋予了完成相关任务所必须的一组有限的权限。通过赋予最小访问特权，可以防止主体对其他用户或进程产生不利的影响。

③SELinux管理过程中，每个进程都有自己的运行区域，各进程仅运行在自己的域内，无法访问其他进程和文件，除非被授予了特殊权限。

④SELinux能最大程序上限制Linux系统中的恶意代码活动。

以上就是关于Linux系统服务进程全部的内容，包括:Linux系统服务进程、详解SELinux故障排查和陷阱规避、如何解决SELinux阻止虚拟机访问文件等相关内容解答，如果想了解更多相关内容，可以关注我们，你们的支持是我们更新的动力！