Onemogočite in odstranite neželene storitve na minimalni namestitvi RHEL/CentOS 7


Minimalna namestitev RHEL/CentOS 7 za strežnike je opremljena z nekaterimi privzetimi vnaprej nameščenimi storitvami, kot so Postfix demon agent za prenos datotek, Avahi mdns daemon (multicast sistem domenskih imen) in Chrony storitev, ki je odgovorna za vzdrževanje sistemske ure.

Zdaj prihaja do vprašanja .. Zakaj bi morali onemogočiti vse te storitve. če so vnaprej nameščeni? Eden glavnih razlogov bi bil povečanje stopnje varnosti sistema, drugi razlog je končni cilj sistema in tretji sistemski viri.

  1. Minimalna namestitev CentOS 7
  2. RHEL 7 Minimalna namestitev

Če nameravate novo nameščeni RHEL/CentOS 7 uporabiti za gostovanje, recimo, majhnega spletnega mesta, ki deluje na Apache ali Nginx , ali za zagotavljanje omrežnih storitev, kot je DNS , DHCP, zagon PXE, strežnik FTP itd. Ali druge storitve, za katere ni potreben zagon demona Postifx MTA, Chrony ali Avahi, zakaj bi potem morali imeti vse te nepotrebne demone nameščene ali celo delujoče na vašem strežniku.

Glavne zunanje storitve, ki jih vaš strežnik resnično potrebuje za zagon, potem ko izvedete minimalno namestitev, bi bil samo demon SSH , da bi omogočili oddaljeno prijavo v sistem in v nekaterih primerih storitev NTP natančno sinhronizirajte interno uro strežnika z zunanjimi strežniki NTP.

Onemogoči/odstrani storitve Postfix MTA, Avahi in Chrony Services

1. Po končani namestitvi se v strežnik prijavite z računom root ali uporabnikom s korenskimi pravicami in izvedite posodobitev sistema, da zagotovite, da je vaš sistem posodobljen z vsemi paketi in varnostjo obliži.

# yum upgrade

2. Naslednji korak bi bil namestitev nekaterih uporabnih sistemskih pripomočkov z uporabo upravitelja paketov YUM, na primer net-tools (ta paket vsebuje starejše
vendar dober ukaz ifconfig ), nano urejevalnik besedila, wget in curl za prenose URL-jev, lsof (za seznam odprtih datotek) in bash-zaključek , ki samodejno dokonča vnesene ukaze.

# yum install nano bash-completion net-tools wget curl lsof

3. Zdaj lahko začnete onemogočiti in odstraniti vnaprej nameščene neželene storitve. Najprej dobite seznam vseh omogočenih in zagnanih storitev, tako da zaženete ukaz netstat proti omrežnim vtičnicam TCP, UDP in Listen.

# netstat -tulpn  	## To output numerical service sockets

# netstat -tulp      	## To output literal service sockets

4. Kot lahko vidite, se Postfix zažene in posluša na localhostu na vratih 25, Avahi daemon se veže na vse omrežne vmesnike in storitev Chronyd localhost in vsi omrežni vmesniki na različnih vratih. Nadaljujte z odstranjevanjem storitve Postfix MTA z izdajo naslednjih ukazov.

# systemctl stop postfix
# yum remove postfix

5. Nato odstranite storitev Chronyd, ki jo bo nadomestil strežnik NTP, z izdajo naslednjih ukazov.

# systemctl stop chronyd
# yum remove chrony

6. Zdaj je čas, da odstranite demon Avahi . Videti je, da je v demonu RHEL/CentOS 7 Avahi zelo tesno in je odvisno od storitve Network Manager. Z odstranjevanjem demona Avahi lahko sistem ostane brez omrežnih povezav.

Torej, bodite še posebej pozorni na ta korak. Če resnično potrebujete samodejno konfiguracijo omrežja, ki jo zagotavlja Network Manager, ali morate urediti vmesnike
prek pripomočka za omrežje in vmesnik nmtui , morate zaustaviti in onemogočiti demon Avahi in ga sploh ne odstraniti.

Če še vedno želite popolnoma odstraniti to storitev, morate ročno urediti omrežne konfiguracijske datoteke, ki se nahajajo v /etc/sysconfig/network-scripts/ifcfg-interface_name , nato zaženite in omogočite omrežno storitev.

Za odstranitev demona mdns Avahi izdajte naslednje ukaze. Pozor: Ne poskušajte odstraniti demona Avahi, če ste se povezali prek SSH.

# systemctl stop avahi-daemon.socket avahi-daemon.service
# systemctl disable avahi-daemon.socket avahi-daemon.service
--------- Stop here if you don't want removal --------- 

# yum remove avahi-autoipd avahi-libs avahi

7. Ta korak je potreben samo, če ste odstranili demon Avahi in so se vaše omrežne povezave zrušile ter morate znova ročno konfigurirati omrežno kartico.

Če želite NIC urediti tako, da uporablja IPv6 in statični naslov IP , pojdite na pot /etc/sysconfig/network-scripts/, odprite datoteko vmesnika NIC (ponavadi je prva kartica imenovana ifcfg-eno1677776 in jo je že konfiguriral Network Manager) in uporabite naslednji izvleček kot vodilo v primeru, da vaš
omrežni vmesnik nima konfiguracije.

IPV6INIT=no
IPV6_AUTOCONF=yes
BOOTPROTO=none
DEVICE=eno16777736
ONBOOT=yes
UUID=c3f0dc21-d2eb-48eb-aadf-10a520b13df0
TYPE=Ethernet
#DEFROUTE=no
IPV4_FAILURE_FATAL=no
IPV6_DEFROUTE=no
IPV6_FAILURE_FATAL=no
NAME="System eno16777736"
IPV6_PEERDNS=yes
IPV6_PEERROUTES=yes
HWADDR=00:0C:29:E2:06:E9
                IPADDR=192.168.1.25
                NETMASK=255.255.255.0
                GATEWAY=192.168.1.1
                DNS1=192.168.1.1
                DNS2=8.8.8.8

Najpomembnejše nastavitve, ki bi jih morali upoštevati, so:

  1. BOOTPROTO - nastavljeno na nič ali statično - za statični naslov IP.
  2. ONBOOT - nastavljeno na yes - za prikaz vmesnika po ponovnem zagonu.
  3. DEFROUTE - izjava, komentirana z # ali popolnoma odstranjena - ne uporabljajte privzete poti (če jo uporabljate tukaj, dodajte v vse omrežne vmesnike “DEFROUTE: ne”, ki se ne uporablja kot privzeta pot).

8. Če ima vaša infrastruktura strežnik DHCP, ki samodejno dodeli naslove IP, uporabite naslednji odlomek za konfiguracijo omrežnih vmesnikov.

IPV6INIT=no
IPV6_AUTOCONF=yes
BOOTPROTO=dhcp
DEVICE=eno16777736
ONBOOT=yes
UUID=c3f0dc21-d2eb-48eb-aadf-10a520b13df0
TYPE=Ethernet
##DEFROUTE=no
IPV4_FAILURE_FATAL=no
IPV6_DEFROUTE=no
IPV6_FAILURE_FATAL=no
NAME="System eno16777736"
IPV6_PEERDNS=yes
IPV6_PEERROUTES=yes
HWADDR=00:0C:29:E2:06:E9

Enako kot pri konfiguraciji s statičnim naslovom IP, zagotovite, da je BOOTPROTO nastavljen na dhcp , izjava DEFROUTE je komentirana ali odstranjena, naprava pa nastavljena na samodejni zagon ob zagonu. Če ne uporabljate IPv6, preprosto odstranite ali komentirajte vse vrstice, ki vsebujejo IPV6.

9. Če želite uporabiti nove konfiguracije za svoje omrežne vmesnike, morate znova zagnati omrežno storitev. Po ponovnem zagonu omrežnega demona uporabite ifconfig
ali ukaz ip addr show , da dobite nastavitve vmesnika in poskusite preveriti, ali omrežje deluje.

# service network restart	## Use this command before systemctl
# chkconfig network on
# systemctl restart network
# ifconfig
# ping domain.tld

10. Kot končno nastavitev preverite, ali ste s pomočjo pripomočka hostnamectl nastavili ime za sistem ime gostitelja in preglejte svojo konfiguracijo z ukazom ime gostitelja .

# hostnamectl set-hostname FQDN_system_name
# hostnamectl status
# hostname
# hostname -s   	## Short name
# hostname -f   	## FQDN name

11. To je vse! Kot zadnji preizkus znova zaženite ukaz netstat , da si ogledate, katere storitve se izvajajo v vašem sistemu.

# netstat -tulpn
# netstat -tulp

12. Poleg SSH strežnika, če vaše omrežje uporablja DHCP za vlečenje dinamičnih konfiguracij IP, mora odjemalec DHCP zagnati in biti aktiven na vratih UDP.

# netstat -tulpn

13. Kot alternativo pripomočku netstat lahko s pomočjo ukaza Sockets Statistics izpišete svoje delujoče omrežne vtičnice.

# ss -tulpn 

14. Znova zaženite strežnik in zaženite ukaz systemd-analize , da določite čas zagona sistema in uporabite brezplačno in disk
Brezplačen
ukaz za prikaz statističnih podatkov o RAM-u in trdem disku ter top ukaz za prikaz najbolj uporabljenih sistemskih virov.

# free -h
# df -h
# top 

Čestitamo! Zdaj imate čisto minimalno sistemsko okolje RHEL/CentOS 7 z manj nameščenimi in zagnanimi storitvami ter več viri na voljo za prihodnje konfiguracije.

Preberite tudi : Ustavite in onemogočite neželene storitve iz Linuxa