紅帽企業(yè) Linux 4 Update 2 改進(jìn)了對(duì)審核子系統(tǒng)的內(nèi)核和用戶支持。審核子系統(tǒng)可以被系統(tǒng)管理員用來(lái)監(jiān)測(cè)系統(tǒng)調(diào)用和那些符合 CAPP 或其它審核要求的文件系統(tǒng)訪問(wèn)。它的主要內(nèi)容包括：


· 默認(rèn)情況下，審核在內(nèi)核中被禁用。但是，當(dāng)安裝了 auditd 軟件后，運(yùn)行這個(gè)軟件將會(huì)啟動(dòng)審核守護(hù)進(jìn)程（auditd）。


· 當(dāng) auditd 運(yùn)行的時(shí)候，審核信息會(huì)被發(fā)送到一個(gè)用戶配置日志文件中（默認(rèn)的文件是 /var/log/audit/audit.log）。如果 auditd 沒(méi)有運(yùn)行，審核信息會(huì)被發(fā)送到 syslog。這是通過(guò)默認(rèn)的設(shè)置來(lái)把信息放入 /var/log/messages。如果審核子系統(tǒng)沒(méi)有被啟用，沒(méi)有審核信息會(huì)被產(chǎn)生。


· 這些審核信息包括了 SELinux AVC 信息。以前，AVC 信息會(huì)被發(fā)送到 syslog，但現(xiàn)在會(huì)被審核守護(hù)進(jìn)程發(fā)送到審核日志文件中。


· 要完全在內(nèi)核中禁用審核，在啟動(dòng)的時(shí)候使用 audit=0 參數(shù)。您還需要使用 chkconfig auditd off 2345 來(lái)關(guān)閉 auditd。您可以在運(yùn)行時(shí)使用 auditctl -e 0 來(lái)在內(nèi)核中關(guān)閉審核。


紅帽企業(yè) Linux 4 Update 2 包括了審核子系統(tǒng)用戶空間服務(wù)和工具程序的初始發(fā)行。


審核守護(hù)進(jìn)程（auditd）從內(nèi)核的 audit netlink 接口獲取審核事件數(shù)據(jù)。auditd 的配置會(huì)不盡相同，如輸出文件配置和日志文件磁盤(pán)使用參數(shù)可以在 /etc/auditd.conf 文件中配置。請(qǐng)參閱 auditd(8) 和 auditd.conf(5) 說(shuō)明書(shū)頁(yè)來(lái)獲得詳悉的信息。請(qǐng)注意，如果您設(shè)置您的系統(tǒng)來(lái)進(jìn)行 CAPP 風(fēng)格的審核，您必須設(shè)置一個(gè)專用的磁盤(pán)分區(qū)來(lái)只供 audit 守護(hù)進(jìn)程使用。這個(gè)分區(qū)應(yīng)該掛載在 /var/log/audit。


系統(tǒng)管理員還可以使用 auditctl 工具程序來(lái)修改 auditd 守護(hù)進(jìn)程運(yùn)行時(shí)的審核參數(shù)、syscall 規(guī)則和文件系統(tǒng)的查看。要獲得詳細(xì)的信息，請(qǐng)參閱 auditctl(8) 說(shuō)明書(shū)頁(yè)。它包括了一個(gè) CAPP 配置樣本，您可以把它拷貝到 /etc/audit.rules 來(lái)使它起作用。


審核日志數(shù)據(jù)可以通過(guò) ausearch 工具程序來(lái)查看和搜索。請(qǐng)參閱 ausearch(8) 說(shuō)明書(shū)頁(yè)來(lái)獲得搜索選項(xiàng)的信息。


2.不要關(guān)閉以下服務(wù)（除非你有充足的理由）：

acpid, haldaemon, messagebus, klogd, network, syslogd


請(qǐng)確定修改的是運(yùn)行級(jí)別 3 和 5。



NetworkManager, NetworkManagerDispatcher


NetworkManager 是一個(gè)自動(dòng)切換網(wǎng)絡(luò)連接的后臺(tái)進(jìn)程。很多筆記本用戶都需要啟用該功能，它讓你能夠在無(wú)線網(wǎng)絡(luò)和有線網(wǎng)絡(luò)之間切換。大多數(shù)臺(tái)式機(jī)用戶應(yīng)該關(guān)閉該服務(wù)。一些 DHCP 用戶可能需要開(kāi)啟它。


acpid


ACPI（全稱 Advanced Configuration and Power Interface）服務(wù)是電源管理接口。建議所有的筆記本用戶開(kāi)啟它。一些服務(wù)器可能不需要 acpi。支持的通用操作有：“電源開(kāi)關(guān)“，”電池監(jiān)視“，”筆記本 Lid 開(kāi)關(guān)“，“筆記本顯示屏亮度“，“休眠”， “掛機(jī)”，等等。


anacron, atd, cron


這幾個(gè)調(diào)度程序有很小的差別。 建議開(kāi)啟 cron，如果你的電腦將長(zhǎng)時(shí)間運(yùn)行，那就更應(yīng)該開(kāi)啟它。對(duì)于服務(wù)器，應(yīng)該更深入了解以確定應(yīng)該開(kāi)啟哪個(gè)調(diào)度程序。大多數(shù)情況下，筆記本/臺(tái)式機(jī)應(yīng)該關(guān)閉 atd 和 anacron。注意：一些任務(wù)的執(zhí)行需要 anacron，比如：清理 /tmp 或 /var。


apmd


一些筆記本和舊的硬件使用 apmd。如果你的電腦支持 acpi，就應(yīng)該關(guān)閉 apmd。如果支持 acpi，那么 apmd 的工作將會(huì)由 acpi 來(lái)完成。


autofs


該服務(wù)自動(dòng)掛載可移動(dòng)存儲(chǔ)器（比如 USB 硬盤(pán)）。如果你使用移動(dòng)介質(zhì)（比如移動(dòng)硬盤(pán)，U 盤(pán)），建議啟用這個(gè)服務(wù)。


avahi-daemon, avahi-dnsconfd


Avahi 是 zeroconf 協(xié)議的實(shí)現(xiàn)。它可以在沒(méi)有 DNS 服務(wù)的局域網(wǎng)里發(fā)現(xiàn)基于 zeroconf 協(xié)議的設(shè)備和服務(wù)。它跟 mDNS 一樣。除非你有兼容的設(shè)備或使用 zeroconf 協(xié)議的服務(wù)，否則應(yīng)該關(guān)閉它。我把它關(guān)閉。


bluetooth, hcid, hidd, sdpd, dund, pand


藍(lán)牙（Bluetooth|0">Bluetooth）是給無(wú)線便攜設(shè)備使用的（非 wifi, 802.11）。很多筆記本提供藍(lán)牙支持。有藍(lán)牙鼠標(biāo)，藍(lán)牙耳機(jī)和支持藍(lán)牙的手機(jī)。很多人都沒(méi)有藍(lán)牙設(shè)備或藍(lán)牙相關(guān)的服務(wù)，所以應(yīng)該關(guān)閉它。其他藍(lán)牙相關(guān)的服務(wù)有：hcid 管理所有可見(jiàn)的藍(lán)牙設(shè)備，hidd 對(duì)輸入設(shè)備（鍵盤(pán)，鼠標(biāo)）提供支持， dund 支持通過(guò)藍(lán)牙撥號(hào)連接網(wǎng)絡(luò)，pand 允許你通過(guò)藍(lán)牙連接以太網(wǎng)。


capi


僅僅對(duì)使用 ISDN 設(shè)備的用戶有用。大多數(shù)用戶應(yīng)該關(guān)閉它。


cpuspeed


該服務(wù)可以在運(yùn)行時(shí)動(dòng)態(tài)調(diào)節(jié) CPU 的頻率來(lái)節(jié)約能源（省電）。許多筆記本的 CPU 支持該特性，現(xiàn)在，越來(lái)越多的臺(tái)式機(jī)也支持這個(gè)特性了。如果你的 CPU 是：Petium-M，Centrino，AMD PowerNow， Transmetta，Intel SpeedStep，Athlon-64，Athlon-X2，Intel Core 2 中的一款，就應(yīng)該開(kāi)啟它。如果你想讓你的 CPU 以固定頻率運(yùn)行的話就關(guān)閉它。


cron


參見(jiàn) anacron。


cupsd, cups-config-daemon


打印機(jī)相關(guān)。如果你有能在 Fedora 中驅(qū)動(dòng)的 CUPS 兼容的打印機(jī)，你應(yīng)該開(kāi)啟它。


dc_client, dc_server


磁盤(pán)緩存（Distcache）用于分布式的會(huì)話緩存。主要用在 SSL/TLS 服務(wù)器。它可以被 Apache 使用。大多數(shù)的臺(tái)式機(jī)應(yīng)該關(guān)閉它。


dhcdbd


這是一個(gè)讓 DBUS 系統(tǒng)控制 DHCP 的接口?？梢员Ａ裟J(rèn)的關(guān)閉狀態(tài)。


diskdump, netdump


磁盤(pán)轉(zhuǎn)儲(chǔ)（Diskdump）用來(lái)幫助調(diào)試內(nèi)核崩潰。內(nèi)核崩潰后它將保存一個(gè) “dump“ 文件以供分析之用。網(wǎng)絡(luò)轉(zhuǎn)儲(chǔ)（Netdump）的功能跟 Diskdump 差不多，只不過(guò)它可以通過(guò)網(wǎng)絡(luò)來(lái)存儲(chǔ)。除非你在診斷內(nèi)核相關(guān)的問(wèn)題，它們應(yīng)該被關(guān)閉。


dund


參見(jiàn) bluetooth。


firstboot


該服務(wù)是 Fedora 安裝過(guò)程特有的。它執(zhí)行在安裝之后的第一次啟動(dòng)時(shí)僅僅需要執(zhí)行一次的特定任務(wù)。它可以被關(guān)閉。


gpm


終端鼠標(biāo)指針支持（無(wú)圖形界面）。如果你不使用文本終端（CTRL-ALT-F1, F2..），那就關(guān)閉它。不過(guò)，我在運(yùn)行級(jí)別 3 開(kāi)啟它，在運(yùn)行級(jí)別 5 關(guān)閉它。


hidd


參見(jiàn) bluetooth。


hplip, hpiod, hpssd


HPLIP 服務(wù)在 Linux 系統(tǒng)上實(shí)現(xiàn) HP 打印機(jī)支持，包括 Inkjet，DeskJet，OfficeJet，Photosmart，Business InkJet 和一部分 LaserJet 打印機(jī)。這是 HP 贊助的惠普 Linux 打印項(xiàng)目（HP Linux Printing Project）的產(chǎn)物。如果你有相兼容的打印機(jī)，那就啟用它。


iptables


它是 Linux 標(biāo)準(zhǔn)的防火墻（軟件防火墻）。如果你直接連接到互聯(lián)網(wǎng)（如，cable，DSL，T1），建議開(kāi)啟它。如果你使用硬件防火墻（比如：D-Link，Netgear，Linksys 等等），可以關(guān)閉它。強(qiáng)烈建議開(kāi)啟它。


ip6tables


如果你不知道你是否在使用 IPv6，大部分情況下說(shuō)明你沒(méi)有使用。該服務(wù)是用于 IPv6 的軟件防火墻。大多數(shù)用戶都應(yīng)該關(guān)閉它。閱讀這里了解如何關(guān)閉 Fedora 的 IPv6 支持。


irda, irattach


IrDA 提供紅外線設(shè)備（筆記本，PDA's，手機(jī)，計(jì)算器等等）間的通訊支持。大多數(shù)用戶應(yīng)該關(guān)閉它。


irqbalance


在多處理器系統(tǒng)中，啟用該服務(wù)可以提高系統(tǒng)性能。大多數(shù)人不使用多處理器系統(tǒng)，所以關(guān)閉它。但是我不知道它作用于多核 CPU's 或 超線程 CPU's 系統(tǒng)的效果。在單 CPU 系統(tǒng)中關(guān)閉它應(yīng)該不會(huì)出現(xiàn)問(wèn)題。


isdn


這是一種互聯(lián)網(wǎng)的接入方式。除非你使用 ISDN 貓來(lái)上網(wǎng)，否則你應(yīng)該關(guān)閉它。


kudzu


該服務(wù)進(jìn)行硬件探測(cè)，并進(jìn)行配置。如果更換硬件或需要探測(cè)硬件更動(dòng)，開(kāi)啟它。但是絕大部分的臺(tái)式機(jī)和服務(wù)器都可以關(guān)閉它，僅僅在需要時(shí)啟動(dòng)。


lm_sensors


該服務(wù)可以探測(cè)主板感應(yīng)器件的值或者特定硬件的狀態(tài)（一般用于筆記本電腦）。你可以通過(guò)它來(lái)查看電腦的實(shí)時(shí)狀態(tài)，了解電腦的健康狀況。它在 GKrellM 用戶中比較流行。查看 lm_sensors 的主頁(yè)獲得更多信息。如果沒(méi)有特殊理由，建議關(guān)閉它。


mctrans


如果你使用 SELinux 就開(kāi)啟它。默認(rèn)情況下 Fedora Core 開(kāi)啟 SELinux。


mdmonitor


該服務(wù)用來(lái)監(jiān)測(cè) Software RAID 或 LVM 的信息。它不是一個(gè)關(guān)鍵性的服務(wù)，可以關(guān)閉它。


mdmpd


該服務(wù)用來(lái)監(jiān)測(cè) Multi-Path 設(shè)備（該類型的存儲(chǔ)設(shè)備能被一種以上的控制器或方法訪問(wèn)）。它應(yīng)該被關(guān)閉。


messagebus


這是 Linux 的 IPC（Interprocess Communication，進(jìn)程間通訊）服務(wù)。確切地說(shuō)，它與 DBUS 交互，是重要的系統(tǒng)服務(wù)。強(qiáng)烈建議開(kāi)啟它。


netdump


參見(jiàn) diskdump。


netplugd


Netplugd 用于監(jiān)測(cè)網(wǎng)絡(luò)接口并在接口狀態(tài)改變時(shí)執(zhí)行指定命令。建議保留它的默認(rèn)關(guān)閉狀態(tài)。


netfs


該服務(wù)用于在系統(tǒng)啟動(dòng)時(shí)自動(dòng)掛載網(wǎng)絡(luò)中的共享文件空間，比如：NFS，Samba 等等。如果你連接到局域網(wǎng)中的其它服務(wù)器并進(jìn)行文件共享，就開(kāi)啟它。大多數(shù)臺(tái)式機(jī)和筆記本用戶應(yīng)該關(guān)閉它。


nfs, nfslock


這是用于 Unix/Linux/BSD 系列操作系統(tǒng)的標(biāo)準(zhǔn)文件共享方式。除非你需要以這種方式共享數(shù)據(jù)，否則關(guān)閉它。


ntpd


該服務(wù)通過(guò)互聯(lián)網(wǎng)自動(dòng)更新系統(tǒng)時(shí)間。如果你能永久保持互聯(lián)網(wǎng)連接，建議開(kāi)啟它，但不是必須的。


pand


參見(jiàn) bluetooth。


pcscd


該服務(wù)提供智能卡（和嵌入在信用卡，識(shí)別卡里的小芯片一樣大?。┖椭悄芸ㄗx卡器支持。如果你沒(méi)有讀卡器設(shè)備，就關(guān)閉它。


portmap


該服務(wù)是 NFS（文件共享）和 NIS（驗(yàn)證）的補(bǔ)充。除非你使用 NFS 或 NIS 服務(wù)，否則關(guān)閉它。


readahead_early, readahead_later


該服務(wù)通過(guò)預(yù)先加載特定的應(yīng)用程序到內(nèi)存中以提供性能。如果你想程序啟動(dòng)更快，就開(kāi)啟它。


restorecond


用于給 SELinux 監(jiān)測(cè)和重新加載正確的文件上下文（file contexts）。它不是必須的，但如果你使用 SELinux 的話強(qiáng)烈建議開(kāi)啟它。


rpcgssd, rpcidmapd, rpcsvcgssd


用于 NFS v4。除非你需要或使用 NFS v4，否則關(guān)閉它。


sendmail


除非你管理一個(gè)郵件服務(wù)器或你想 在局域網(wǎng)內(nèi)傳遞或支持一個(gè)共享的 IMAP 或 POP3 服務(wù)。大多數(shù)人不需要一個(gè)郵件傳輸代理。如果你通過(guò)網(wǎng)頁(yè)（hotmail/yahoo/gmail）或使用郵件收發(fā)程序（比如：Thunderbird， Kmail，Evolution 等等）收發(fā)郵件。你應(yīng)該關(guān)閉它。


smartd


SMART Disk Monitoring 服務(wù)用于監(jiān)測(cè)并預(yù)測(cè)磁盤(pán)失敗或磁盤(pán)問(wèn)題（前提：磁盤(pán)必須支持 SMART）。大多數(shù)的桌面用戶不需要該服務(wù)，但建議開(kāi)啟它，特別是服務(wù)器。


smb


SAMBA 服務(wù)是在 Linux 和 Windows 之間共享文件必須的服務(wù)。如果有 Windows 用戶需要訪問(wèn) Linux 上的文件，就啟用它。查看如何在 Fedora Core 6 下配置 Samba。


sshd


SSH 允許其他用戶登錄到你的系統(tǒng)并執(zhí)行程序，該用戶可以和你同一網(wǎng)絡(luò)，也可以是遠(yuǎn)程用戶。開(kāi)啟它存在潛在的安全隱患。如果你不需要從其它機(jī)器或不需要從遠(yuǎn)程登錄，就應(yīng)該關(guān)閉它。


xinetd


（該服務(wù)默認(rèn)可能不被安裝）它是 一個(gè)特殊的服務(wù)。它可以根據(jù)特定端口收到的請(qǐng)求啟動(dòng)多個(gè)服務(wù)。比如：典型的 telnet 程序連接到 23 號(hào)端口。如果有 telent 請(qǐng)求在 23 號(hào)端口被 xinetd 探測(cè)到，那 xinetd 將啟動(dòng) telnetd 服務(wù)來(lái)響應(yīng)該請(qǐng)求。為了使用方便，可以開(kāi)啟它。運(yùn)行 chkconfig --list， 通過(guò)檢查 xinetd 相關(guān)的輸出可以知道有哪些服務(wù)被 xinetd 管理。