Poista käytöstä ja poista ei-toivotut palvelut RHEL/CentOS 7 Minimal -asennuksessa
RHEL/CentOS 7 -palvelinten vähimmäisasennus sisältää joitakin valmiiksi asennettuja oletuspalveluja, kuten Postfix Mail Transfer Agent -demon, Avahi mdns-daemon (multicast Domain Name System) ja Chrony palvelu, joka on vastuussa järjestelmän kellon ylläpidosta.
Nyt tulee kysymys .. Miksi meidän on poistettava kaikki nämä palvelut käytöstä. jos ne on asennettu valmiiksi? Yksi tärkeimmistä syistä olisi lisätä järjestelmän suojaustasoa, toinen syy on järjestelmän lopullinen määränpää ja kolmas on järjestelmän resurssit.
- CentOS 7: n minimaalinen asennus
- RHEL 7 Minimaalinen asennus
Jos aiot käyttää äskettäin asennettuasi RHEL/CentOS 7: tä isännöimään, sanotaan, pientä verkkosivustoa, joka toimii Apache tai Nginx -palvelussa, tai verkkopalvelujen tarjoamiseksi, kuten DNS , DHCP, PXE-käynnistys, FTP-palvelin jne. Tai muut palvelut, jotka eivät vaadi Postifx MTA-, Chrony- tai Avahi-daemonien suorittamista, miksi meidän pitäisi siis pitää kaikki nämä tarpeettomat demonit asennettuna tai jopa käynnissä palvelimellasi.
Tärkeimmät ulkoiset palvelut, joita palvelimesi todella tarvitsee suorittaa vähäisen asennuksen suorittamisen jälkeen, ovat vain SSH -demonia, jotta etäkirjautumiset järjestelmään ja joissakin tapauksissa NTP-palvelut voidaan synkronoi palvelimesi sisäinen kello tarkasti ulkoisten NTP-palvelinten kanssa.
Poista käytöstä/poista Postfix MTA-, Avahi- ja Chrony-palvelut
1. Kun asennus on valmis, kirjaudu palvelimellesi root -tilillä tai käyttäjällä, jolla on root-oikeudet, ja suorita järjestelmän päivitys varmistaaksesi, että järjestelmäsi on ajan tasalla kaikkien pakettien ja tietoturvan suhteen laastarit.
# yum upgrade
2. Seuraava askel olisi asentaa joitain hyödyllisiä järjestelmäapuohjelmia YUM Package Managerin avulla, kuten net-tools (tämä paketti tarjoaa vanhemmat
mutta hyvä ifconfig -komento), nano -tekstieditori, wget ja curl URL-osoitteiden siirtoon, lsof (luetteloiden avoimet tiedostot) ja bash-complete , joka täydentää kirjoitetut komennot automaattisesti.
# yum install nano bash-completion net-tools wget curl lsof
3. Nyt voit aloittaa valmiiksi asennettujen ei-toivottujen palveluiden poistamisen käytöstä ja poistaa. Ensinnäkin saat luettelon kaikista käytössä olevista ja käynnissä olevista palveluistasi suorittamalla netstat -komennon TCP-, UDP- ja Listen-tilaverkkoliittimiä vastaan.
# netstat -tulpn ## To output numerical service sockets # netstat -tulp ## To output literal service sockets
4. Kuten näette, Postfix on aloitettu ja kuuntelee portin 25 paikallista palvelinta, Avahi -demonemon sitoutuu kaikkiin verkkoliitäntöihin ja Chronyd -palvelu sitoutuu localhost ja kaikki eri porttien verkkoliitännät. Jatka Postfix MTA -palvelun poistamista antamalla seuraavat komennot.
# systemctl stop postfix # yum remove postfix
5. Poista seuraavaksi Chronyd-palvelu, jonka korvaa NTP-palvelin, antamalla seuraavat komennot.
# systemctl stop chronyd # yum remove chrony
6. Nyt on aika poistaa Avahi -demon. Näyttää siltä, että RHEL/CentOS 7: ssä Avahi-daemon on erittäin tiukka ja riippuu Network Manager -palvelusta. Avahi-daemon-poisto voi jättää järjestelmän ilman verkkoyhteyksiä.
Joten kiinnitä erityistä huomiota tähän vaiheeseen. Jos tarvitset todella Network Managerin automaattista verkon määritystä tai sinun on muokattava käyttöliittymiäsi
nmtui -verkon ja käyttöliittymän kautta, sinun tulee vain pysäyttää ja poistaa Avahi-daemon käytöstä ja poistaa mitään.
Jos haluat silti poistaa tämän palvelun kokonaan, sinun on muokattava verkkoasetustiedostoja, jotka sijaitsevat /etc/sysconfig/network-scripts/ifcfg-interface_name -kohdassa, ja käynnistä sitten verkkopalvelu ja ota se käyttöön.
Poista Avahi mdns -demoni antamalla seuraavat komennot. Varoitus: Älä yritä poistaa Avahi-demonia, jos olet muodostanut yhteyden SSH: n kautta.
# systemctl stop avahi-daemon.socket avahi-daemon.service # systemctl disable avahi-daemon.socket avahi-daemon.service
--------- Stop here if you don't want removal --------- # yum remove avahi-autoipd avahi-libs avahi
7. Tätä vaihetta vaaditaan vain, jos poistat Avahi -demonin ja verkkoyhteydet kaatuvat ja sinun on määritettävä verkkokortti uudelleen manuaalisesti.
Jos haluat muokata verkkokorttiasi käyttämään IPv6 ja staattinen IP-osoite , siirry /etc/sysconfig/network-scripts/ -polulle, avaa NIC-liitäntätiedosto (yleensä ensimmäinen kortti on nimeltään ifcfg-eno1677776 ja sen on jo määrittänyt Network Manager) ja käytä seuraavaa otetta oppaana, jos
verkkoliitännällä ei ole asetuksia.
IPV6INIT=no
IPV6_AUTOCONF=yes
BOOTPROTO=none
DEVICE=eno16777736
ONBOOT=yes
UUID=c3f0dc21-d2eb-48eb-aadf-10a520b13df0
TYPE=Ethernet
#DEFROUTE=no
IPV4_FAILURE_FATAL=no
IPV6_DEFROUTE=no
IPV6_FAILURE_FATAL=no
NAME="System eno16777736"
IPV6_PEERDNS=yes
IPV6_PEERROUTES=yes
HWADDR=00:0C:29:E2:06:E9
IPADDR=192.168.1.25
NETMASK=255.255.255.0
GATEWAY=192.168.1.1
DNS1=192.168.1.1
DNS2=8.8.8.8
Tärkeimmät asetukset, jotka sinun tulisi ottaa huomioon, ovat:
- BOOTPROTO - Aseta ei-asetukseksi tai staattinen - staattiselle IP-osoitteelle.
- ONBOOT - Aseta Kyllä - tuo käyttöliittymä esiin uudelleenkäynnistyksen jälkeen.
- SULATUS - Lauseke, joka on kommentoitu # : lla tai poistettu kokonaan - älä käytä oletusreittiä (Jos käytät sitä täällä, sinun on lisättävä "SULATUS: ei" kaikkiin verkkoliitäntöihin, ei käytetä oletuksena reitti).
8. Jos infrastruktuurissasi on DHCP-palvelin, joka määrittää IP-osoitteet automaattisesti, käytä seuraavaa otetta verkkoliitäntöjen määritykseen.
IPV6INIT=no IPV6_AUTOCONF=yes BOOTPROTO=dhcp DEVICE=eno16777736 ONBOOT=yes UUID=c3f0dc21-d2eb-48eb-aadf-10a520b13df0 TYPE=Ethernet ##DEFROUTE=no IPV4_FAILURE_FATAL=no IPV6_DEFROUTE=no IPV6_FAILURE_FATAL=no NAME="System eno16777736" IPV6_PEERDNS=yes IPV6_PEERROUTES=yes HWADDR=00:0C:29:E2:06:E9
Sama kuin staattisen IP-osoitteen määritys, varmista, että BOOTPROTO -asetukseksi on määritetty dhcp , DEFROUTE -käsky kommentoidaan tai poistetaan ja laite on määritetty käynnistyy automaattisesti käynnistettäessä. Jos et käytä IPv6: ta, poista tai kommentoi kaikki IPV6: ta sisältävät rivit.
9. Jotta voit käyttää uusia määrityksiä verkkoliittymissäsi, sinun on käynnistettävä verkkopalvelu uudelleen. Kun olet käynnistänyt verkkodemonin uudelleen, käytä ifconfig
tai ip addr show -komennolla saadaksesi käyttöliittymän asetukset ja yrittää pingata verkkotunnuksen nimeä nähdäksesi, toimiiko verkko.
# service network restart ## Use this command before systemctl # chkconfig network on # systemctl restart network # ifconfig # ping domain.tld
10. Viimeisenä asetuksena varmista, että olet määrittänyt järjestelmän isäntänimen nimen käyttämällä hostnamectl -apuohjelmaa ja tarkista määritykset isäntänimi -komennolla.
# hostnamectl set-hostname FQDN_system_name # hostnamectl status # hostname # hostname -s ## Short name # hostname -f ## FQDN name
11. Siinä kaikki! Viimeisenä testiajoina netstat -komento uudelleen saadaksesi selville, mitkä palvelut ovat käynnissä järjestelmässäsi.
# netstat -tulpn # netstat -tulp
12. SSH-palvelimen lisäksi, jos verkko käyttää DHCP: tä dynaamisten IP-kokoonpanojen hakemiseen, DHCP-asiakkaan tulisi toimia ja olla aktiivinen UDP-portteissa.
# netstat -tulpn
13. Vaihtoehtona netstat -apuohjelmalle voit antaa käynnissä olevat verkkopistorasiat Sockets Statistics -komennon avulla.
# ss -tulpn
14. Käynnistä palvelin uudelleen ja suorita systemd-analize -komento, jotta voit määrittää järjestelmän käynnistysajan suorituskyvyn ja käyttää myös free ja Disk
Ilmainen -komento näyttää RAM- ja kiintolevytilastot ja alkuun -komento nähdäksesi eniten käytettyjä järjestelmäresursseja.
# free -h # df -h # top
Onnittelut! Nyt sinulla on puhdas minimaalinen RHEL/CentOS 7 -ympäristöympäristö, jossa on vähemmän asennettuja ja käynnissä olevia palveluita ja enemmän resursseja käytettävissä tuleviin kokoonpanoihin.
Lue myös : Pysäytä ja poista ei-toivotut palvelut Linuxista