一：Linux系统的升级

  一：Linux系统的升级
  今天我们说说yum系统，我们知道linux系统自带的工具up2date可以用来升级，却要用yum呢。其实大家知道，up2date 慢且经常失去响应；死机的情况。所以我们还是试一试yum来进行更新下载。yum是yellowdog updater modified 的缩写。yellowdog是一个Linux 的distributionRH将这种升级技术利用到自己的distribution 形成了现在的yum。
  我来说说yum系统的选项与参数
  选项：    -y                                      自动回答yes
                 --installroot=/路径                指定安装路径
  参数：    yum install 包名                         指定安装包
                yumupdate 包名                      升级包
                yum–y update                       更新系统所有的包
                yumsearch 包名                      查询这个包依赖的所有包
                yumremove 包名                      删除某个包
                yumclean                            清楚已安装过下载包
  工具集的安装；
                  yum grouplist                     查询系统工具集
                  yum groupinstall  “工具集名”    安装工具集

                  yum groupinfo     “工具集名”     查询工具集中有哪些包
  二：禁用Linux系统不必要的服务
  我们先查看一下自启动状态；chkconfig –list
   
  查询结果，
   
  接下来就可以禁止不必要的服务了。。。
  １》chkconfig –level 2345 服务器守护进程名 off （rpm包安装的，源码包安装的不支持）
  那么有人问了2345是？呵呵，这里就给简单串讲一下linux系统中的云新级别
  0——————停机
  1——————单用户模式，用于root用户对系统进行维护
  2——————多用户模式，此模式下不能使用NFS
  3——————完全多用户模式，主机作为服务器使用时通常在此运行级别
  4——————未分配使用
  5——————图形登录的多用户模式，用户在该模式下可进行图形界面登录
  6——————重新启动
  2》在命令行中键入“setup”在systemservices中进行设置
   
  进去看看，具体的服务列表
   
  查看也可以用netstat –an
   
  做了更改之后记得重新启动机器。下面是我淘的一些具体服务讲解，给大家列举出来～～

  

         服务名

必需（是/否）

         用途描述

         注解

         acon

         否

语言支持

特别支持左手书写语言:阿拉伯语,波斯语和希伯莱语

         acpi

         否

电源管理

手提电脑电池电扇监控器

         acpid

         否

监听精灵进程

此进程监听并分配内核中的acpi事件

         adsl

         否

内部ADSL开关控制

只有你的计算机内部有互联网连接adsl开关时才用到此服务

         alsa

         否

高级Linux声音构件

这个单独的声音系统实际包含在内核中

         anacron

         否

周期命令调度程序

一个任务调度工具

         apmd

         否

电源管理

手提电脑电源管理

         apmiser

         否

电源管理

另一手提电脑电池延长器

         arpwatch

         否

以太网IP地址配对监控器

用主机名监控并记录远程IP地址

         atd

         否

周期命令调度程序

一个任务调度工具

         autofs

         否

自动安装服务

几个命令服务文件系统自动安装之一.一些此类服务专门针对发行配套软件,如果你使用的发行配套软件拥有自己的自动安装系统,不要用这一个.

         bluetooth

         否

蓝牙技术核心

用于所有蓝牙服务

         bootparamd

         否

导入服务

以前导入无盘客户端/瘦客户端的方法.最新型的方法为零配置系统(zeroconfystem).

         canna

         否

日语转换引擎

 

         capi4linux

         否

基本CAPI子系统

 

         cpqarrayd

         否

         硬件服务

康柏独立冗余磁盘阵列(Raid Array)监控器
      

         cpufreq

         否

         硬件服务

         控查并配置CPU频率精灵程序模块

         cpufreqd

         否

         硬件服务

         此服务自动衡量CPU频率来减少过热情况.在超频时有用.

         crond

         是

         周期命令调度程序

         一个任务调度工具

         Cups-lpd

         否

         使旧式Lunux或商业Unix系统连接到打印主机上.

         只有在允许旧式系统访问打印机时才有用

         cups

         是

         公共Unix打印系统

         进行打印的必要功能

         cvs

         否

         并发版本系统
      

         用于管理多用户文档

         devfsd

         否

         系统维护

         此服务只清除动态桌面目录,除非你的系统经常崩溃,否则不需要此服务.

         dhcpd

         否

         DHCP服务器

         你的网络足够大,使用静态IP很麻烦吗?此项服务对你的网络进行DHCP IP配置,方便网络应用.
      

         diald
      

         否

         拨号网络智能自动拨号器
      

         此服务一经请求,即连接上网络.你一旦输入电子邮件,点击发送,它就自动连接,发送电邮并断开.
      

         dkms
      

         否

         DKMS自安装导入

         发行配套软件专用工具,用于OEM类型安装.它允许管理员密码的最初导入设置以及常规应用的用户名密码,系统的最后配置.
      

         dm
      

         是
      

         显示管理器

         X服务器的核心,使用图形用户界面(GUI)时必需.
      

         dnbc
      

         否

      

         数字网络绑定Chrooter
      

         这是一个简单的bash脚本,它将一个BIND服务器放入一个chroot牢笼中.安装BIND,发布脚本并重启.
      

         Drakxtools-http
      

         否
      

         小型服务管理服务器
      

         远程系统管理的发行配套软件专用工具.
      

         dund
      

         否
      

         蓝牙拨号网络
      

 

         fam
      

         否
      

  文件系统变更监控器
      

         文件系统所有改变的记录器
      

         finger
      

         否
      

         数据远程访问
      

         此服务允许你远程访问用户登录日期,最后登录日期与时间.用于不在办公室时监控雇员的工作习惯,主要的安全违反,因为你正有效地在线发布公司机密数据.
      

         freshclam
      

         是
      

         ClamAV更新器
      

         用于自动更新ClamAV
      

         gpm
      

         是
      

         鼠标
      

         鼠标驱动器控制台模式
      

         haldaemon
      

         否

      

         硬件监控系统
      

         此服务监控硬件改变,为你改变新的或更改过的硬件.
      

         harddrake
      

         否
      

         硬件服务
      

         发行配套软件专用硬件探测与配置
      

         heartbeat
      

         否
      

         高可用性服务
      

         此服务旨在增加重要服务与服务器的优先级
      

         hidd
      

         否
      

         蓝牙H.I.D.服务器
      

 

         hplip
      

         否
      

  惠普Linux打印与成像
      

         旧版惠普整成产品供应驱动器
      

         hpoj
      

         否

 Pital?init,惠普办公喷墨打印机驱动器

         惠普办公喷墨打印机旧式驱动器.新式驱动器包含在打印机的打印驱动器内.

         httpd

                  否

Apache网络服务器

          在系统上应用此服务有两个原因,一是要用它作为网络服务器,二是用它作为网址开发器.如果没有此二项,则不必安装Apache.

      

         hylafax?server

                  否

 

                  企业传真机?调制调解器服务

                  此服务仅用于1类与2类传真机.如果你想用hylafax通过调制调解器发送传真,必须运行此服务.它并不是唯一有效的传真工具.

      

         ibod

                  否

                  按需ISDN MPPP带宽

与拨号网络一同使用,按需连接到网络.

      

         identd

                  否

TCP连接鉴定

        

         imaps

                  否

安全IMAP服务器

        

         imaps

                  否

  IMAP服务器

        

         ipop

         否

         POP2邮件服务器

 

         ipop3

         否

         POP3邮件服务器

 

         ipsec

         否

         加密与验证通信
      

         KLIPS为内核一半,PLUTO为用户空间一半.在远程访问情况下十分有用.
      

         iptables

         是

基于Packet过滤防火墙内核

所有优秀的Linux防火墙都基于此项服务

         ipvsadmin

         否

Linux核心IP虚拟服务器

最早的Linux网络系统之一,已不常用.

         ird

         否

红外线设备界面

以前的无线设备支持

         keytable

         是

键盘映射

此服务明确告诉系统你正在使用哪种键盘

         kheader

         否

导入服务

此服务自动重建内核头导入

         lads

         否

 登录异常探测系统

跟踪登录企图并警告入侵企图的工具

         laptop mode

         否

 电源管理

减少电力耗费,延长手提电脑电池寿命的工具

         leafnode

         否

 X? INETD NNTP服务

 

         lisa

         否

局域网信息服务器

 

  三：保证系统密码文件的安全
  /etc/shadow                                     不允许复制
  /etc/passwd                                     有些linux中有，必需开启shadow
  如：/etc/shadow                                 权限
   
   
  四：使用SSH实现远程登录
  五：关闭多余的控制台
  我们知道在按F1———F6时候是进入控制台的热键
  /etc/inittab                                            超级守护进程文件         把多余的控制台停止掉，其实就是注释掉
   
   
  列如我们就使用俩个控制台，把其他的都给禁掉
   
  六：关闭IPV6
  1》修改配置文件 /etc/sysconfig/network
   
  把NETWORKING_IPV6=no掉
   
  2》vi /etc/modprobe.conf进入后加入两句话来把IPV6关掉
   
  七：禁止普通用户关机,重启权限（控制权限）
  1》修改vi /etc/inittab
   
   注释掉ca::ctrlaltdel;/sbin/shutdown –t3 –rnow（禁止热启动）

   
  ２》删除一些热起文件
   
  八：用户访问控制
  １》vi /etc/hosts.deny
   
  添加；ALL:ALL                               任何一个IP地址访问我都不允许访问
  2》vi /etc/hosts.allow
   
  sshd:192.168.12.100                     允许100ssh登录
  九：修改别名文件
  vi /etc/aliases
   
  注释掉以下内容：
  games  ingres  system  tooruucp  manager  dumper  operator  decode  root
   
  十：禁止ping
  在禁止ping前，我们先看是否可以相通，虚机的IP是192.168.0.14
   
  echo 1 > /proc/sys/net/ipv4/icpm_echo_ignore_all（不是用vi打开的，直接敲进去运行就可以）
   
   
  我们在把它改回去，改回去很简单，直接把echo 1改为echo 0
   
  在来测试一下~~~   

  十一：禁止源路由
  echo 0 > /proc/sys/net/ipv4/conf/*/accept_source_route(系统默认的是禁止的)
   
  十二：防止SYN攻击
  SYN攻击大家都知道，就是A给B发包，正常的包是三次握手，但是A给B之后最后一次不进行确认。然后一直不停的给B发包，B接收后确认延迟默认30秒，但是A会一直给B发包，以致阻塞掉路由。。。

  echo 1 >  /proc/sys/net/ipv4/tcp_syncookies