Keelake ja eemaldage soovimatud teenused RHEL/CentOS 7 minimaalses installis
RHEL/CentOS 7 minimaalne installimine serveritele on varustatud vaikimisi eelinstallitud teenustega, näiteks Postfix Mail Transfer Agent deemon, Avahi mdns deemon (multicast Domain Name System) ja Chrony teenus, mis vastutab süsteemi kella säilitamise eest.
Nüüd jõuab küsimuseni. Miks on vaja kõik need teenused keelata. kui need on eelinstallitud? Üks peamisi põhjusi oleks süsteemi turvalisuse taseme tõstmine, teine põhjus on süsteemi lõppsihtkoht ja kolmas süsteemi ressursid.
- CentOS 7 minimaalne installimine
- RHEL 7 Minimaalne installimine
Kui plaanite kasutada oma hiljuti installitud RHEL/CentOS 7, et korraldada näiteks Apache või Nginx -is töötavat väikest veebisaiti või pakkuda võrguteenuseid nagu DNS , DHCP, PXE alglaadimine, FTP-server jne või muud teenused, mis ei nõua Postifx MTA, Chrony või Avahi deemoni käivitamist, miks peaksime siis kõik need mittevajalikud deemonid teie serveris installitud või isegi töötama.
Peamised välised teenused, mida teie server pärast minimaalse installi käivitamist tõepoolest nõuab, oleks lihtsalt SSH deemon, et võimaldada süsteemis kaug sisselogimisi ja mõnel juhul ka NTP-teenust sünkroonige oma serveri sisemine kell täpselt väliste NTP-serveritega.
Keela/eemalda Postfix MTA, Avahi ja Chrony Services
1. Kui installimine on lõpule jõudnud, logige oma serverisse sisse juur konto või root-õigustega kasutajaga ja sooritage süsteemivärskendus, veendumaks, et teie süsteem on kõigi pakettide ja turvalisusega kursis plaastrid.
# yum upgrade
2. Järgmine samm oleks mõne kasuliku süsteemi utiliidi installimine YUM-i paketihalduri abil, näiteks net-tools (see pakett pakub vanemat
kuid hea ifconfig käsk), nano tekstiredaktor, wget ja curl URL-i edastamiseks, lsof (avatud failide loetlemiseks) ja bash-complete , mis täidab automaatselt sisestatud käsud.
# yum install nano bash-completion net-tools wget curl lsof
3. Nüüd saate alustada eelinstallitud soovimatute teenuste keelamist ja eemaldamist. Kõigepealt hankige kõigi lubatud ja töötavate teenuste loend, käivitades käsu netstat TCP, UDP ja Listen oleku võrgupesade vastu.
# netstat -tulpn ## To output numerical service sockets # netstat -tulp ## To output literal service sockets
4. Nagu näete, on käivitatud Postfix ja kuulab porti 25 localhostit, seondub Avahi deemon kõikides võrguliideses ja teenus Chronyd localhost ja kõik võrguliidesed erinevates sadamates. Jätkake Postfix MTA teenuse eemaldamist, väljastades järgmised käsud.
# systemctl stop postfix # yum remove postfix
5. Järgmisena eemaldage Chronyd-teenus, mis asendatakse NTP-serveriga, väljastades järgmised käsud.
# systemctl stop chronyd # yum remove chrony
6. Nüüd on aeg eemaldada Avahi deemon. Näib, et RHEL/CentOS 7-s on Avahi deemon tugevalt piiratud ja sõltub võrguhalduri teenusest. Avahi deemoni eemaldamine võib teie süsteemist ilma võrguühenduseta lahkuda.
Niisiis, pöörake sellele sammule erilist tähelepanu. Kui vajate tõesti võrguhalduri pakutavat automaatset võrgukonfiguratsiooni või peate oma liideseid muutma
nmtui võrgu ja liidese utiliidi kaudu peaksite Avahi deemoni peatama ja keelama ning eemaldamist üldse tegema.
Kui soovite siiski selle teenuse täielikult eemaldada, peate käsitsi muutma võrgu konfiguratsioonifaile, mis asuvad saidil /etc/sysconfig/network-scripts/ifcfg-interface_name , seejärel käivitage ja lubage võrguteenus.
Avahi mdns deemon eemaldamiseks väljastage järgmised käsud. Ettevaatust: Ärge proovige Avahi deemonit eemaldada, kui ühendasite SSH kaudu.
# systemctl stop avahi-daemon.socket avahi-daemon.service # systemctl disable avahi-daemon.socket avahi-daemon.service
--------- Stop here if you don't want removal --------- # yum remove avahi-autoipd avahi-libs avahi
7. See samm on vajalik ainult siis, kui eemaldasite deemoni Avahi ja teie võrguühendused katkestasid ning peate võrguliidese kaardi uuesti käsitsi konfigureerima.
NIC-i muutmiseks IPv6 ja staatilise IP-aadressi kasutamiseks minge teele /etc/sysconfig/network-scripts/, avage NIC-liidesefail (tavaliselt on esimese kaardi nimeks ifcfg-eno1677776 ja võrguhaldur on selle juba konfigureerinud) ja kasutage juhendina järgmist väljavõtet
võrguliidesel pole konfiguratsiooni.
IPV6INIT=no
IPV6_AUTOCONF=yes
BOOTPROTO=none
DEVICE=eno16777736
ONBOOT=yes
UUID=c3f0dc21-d2eb-48eb-aadf-10a520b13df0
TYPE=Ethernet
#DEFROUTE=no
IPV4_FAILURE_FATAL=no
IPV6_DEFROUTE=no
IPV6_FAILURE_FATAL=no
NAME="System eno16777736"
IPV6_PEERDNS=yes
IPV6_PEERROUTES=yes
HWADDR=00:0C:29:E2:06:E9
IPADDR=192.168.1.25
NETMASK=255.255.255.0
GATEWAY=192.168.1.1
DNS1=192.168.1.1
DNS2=8.8.8.8
Siin on kõige olulisemad seaded, mida peaksite arvestama:
- BOOTPROTO - staatilise IP-aadressi jaoks määrake olekuks ükski või staatiline.
- ONBOOT - määrake jah - liidese kuvamiseks pärast taaskäivitamist.
- DEFROUTE - avaldus, mida on kommenteeritud # või mis on täielikult eemaldatud - ärge kasutage vaikemarsruuti (kui kasutate seda siin, peaksite lisama kõigile võrguliidestele "DEFROUTE: no", mida ei kasutata vaikimisi marsruut).
8. Kui teie infrastruktuuris on DHCP-server, mis määrab automaatselt IP-aadressid, kasutage võrguliideste seadistamiseks järgmist väljavõtet.
IPV6INIT=no IPV6_AUTOCONF=yes BOOTPROTO=dhcp DEVICE=eno16777736 ONBOOT=yes UUID=c3f0dc21-d2eb-48eb-aadf-10a520b13df0 TYPE=Ethernet ##DEFROUTE=no IPV4_FAILURE_FATAL=no IPV6_DEFROUTE=no IPV6_FAILURE_FATAL=no NAME="System eno16777736" IPV6_PEERDNS=yes IPV6_PEERROUTES=yes HWADDR=00:0C:29:E2:06:E9
Sama mis staatilise IP-aadressiga konfiguratsioonis, veenduge, et BOOTPROTO väärtuseks oleks seatud dhcp , lauset DEFROUTE kommenteeritakse või eemaldatakse ja seade on konfigureeritud käivitub automaatselt käivitamisel. Kui te IPv6-d ei kasuta, eemaldage või kommenteerige kõik IPV6-d sisaldavad read.
9. Uute konfiguratsioonide rakendamiseks võrguliideste jaoks peate võrguteenuse taaskäivitama. Pärast võrgudémoni taaskäivitamist kasutage ifconfig
või käsk ip addr show , et saada oma liidese seaded ja proovida pingutada domeeninime, et näha, kas võrk on toimiv.
# service network restart ## Use this command before systemctl # chkconfig network on # systemctl restart network # ifconfig # ping domain.tld
10. Viimase seadena veenduge, et olete seadistanud süsteemi hostinimi nime, kasutades utiliiti hostnamectl ja kontrollige oma konfiguratsiooni käsuga hostinimi .
# hostnamectl set-hostname FQDN_system_name # hostnamectl status # hostname # hostname -s ## Short name # hostname -f ## FQDN name
11. See on kõik! Viimase testkäivina käsk netstat uuesti, et saada ülevaade teie süsteemis töötavatest teenustest.
# netstat -tulpn # netstat -tulp
12. Kui teie võrk kasutab dünaamiliste IP-konfiguratsioonide tõmbamiseks DHCP-d, peaks lisaks SSH-serverile töötama ka DHCP-klient ja olema aktiivne UDP-pordides.
# netstat -tulpn
13. Alternatiivina utiliidile netstat saate käivitusvõrgu pistikupesad väljastada käsu Sockets Statistics abil.
# ss -tulpn
14. Taaskäivitage oma server ja käivitage käsk systemd-analize , et määrata oma süsteemi käivitamise aeg ja kasutada ka tasuta ja ketast
Vaba käsk RAM-i ja HDD statistika kuvamiseks ning käsk üles , et näha enimkasutatavate süsteemiressursside ülaosa.
# free -h # df -h # top
Palju õnne! Nüüd on teil puhas minimaalne RHEL/CentOS 7 süsteemikeskkond, kus on vähem installitud ja töötavaid teenuseid ning tulevaste konfiguratsioonide jaoks saadaval rohkem ressursse.
Loe ka : peatage ja keelake soovimatud teenused Linuxist