Poista käytöstä ja poista ei-toivotut palvelut RHEL/CentOS 7:n minimiasennuksessa
Palvelinten RHEL/CentOS 7 -minimiasennuksen mukana tulee joitain esiasennettuja oletuspalveluita, kuten Postfix Mail Transfer Agent -daemon, Avahi mdns-daemon (multicast Domain Name System) ja Chrony-palvelu, joka vastaa järjestelmän kellon ylläpitämisestä.
Nyt tulee kysymykseen.. Miksi meidän on poistettava kaikki nämä palvelut käytöstä. jos ne on esiasennettu? Yksi tärkeimmistä syistä olisi järjestelmän turvatason nostaminen, toinen syy on järjestelmän lopullinen kohde ja kolmas on järjestelmäresurssit.
Vaatimukset
- CentOS 7:n minimiasennus
- RHEL 7 Minimiasennus
Jos aiot käyttää äskettäin asennettua RHEL/CentOS 7:ää isännöimään esimerkiksi pientä verkkosivustoa, joka toimii Apachella tai Nginxillä, tai tarjoamaan verkkopalveluita, kuten DNS. , DHCP, PXE-käynnistys, FTP-palvelin jne. tai muita palveluita, jotka eivät vaadi Postifx MTA -daemonia, Chrony- tai Avahi-daemonia, miksi meidän pitäisi pitää kaikki nämä tarpeettomat demonit asennettuina tai jopa käynnissä palvelimellasi.
Tärkeimmät ulkoiset palvelut, joita palvelimesi todella tarvitsee toimiakseen minimaalisen asennuksen jälkeen, ovat vain SSH-demoni, jotta etäkirjautuminen voidaan sallia järjestelmään ja joissakin tapauksissa NTP-palveluun. synkronoida palvelimesi sisäinen kello tarkasti ulkoisten NTP-palvelimien kanssa.
Poista käytöstä/poista Postfix MTA, Avahi ja Chrony Services
1. Kun asennus on valmis, kirjaudu palvelimellesi root-tilillä tai käyttäjällä, jolla on pääkäyttäjän oikeudet, ja suorita järjestelmäpäivitys varmistaaksesi, että järjestelmäsi on ajan tasalla. -päiväys kaikkien pakettien ja tietoturvakorjausten kanssa.
yum upgrade
2. Seuraava askel on asentaa hyödyllisiä järjestelmäapuohjelmia YUM Package Managerin avulla, kuten net-tools (tämä paketti tarjoaa vanhemman
mutta hyvä ifconfig-komento), nano-tekstieditori, wget ja curl URL-osoitteiden siirtoon, lsof (avoimien tiedostojen luetteloimiseksi) ja bash-completion, joka suorittaa automaattisesti kirjoitetut komennot.
yum install nano bash-completion net-tools wget curl lsof
3. Nyt voit alkaa poistaa käytöstä ja poistaa esiasennettuja ei-toivottuja palveluita. Ensinnäkin saat luettelon kaikista käytössä olevista ja käynnissä olevista palveluistasi suorittamalla netstat-komento TCP-, UDP- ja Listen state -verkkoliitäntöjä vastaan.
netstat -tulpn ## To output numerical service sockets
netstat -tulp ## To output literal service sockets
4. Kuten näet, Postfix käynnistyy ja kuuntelee localhostilla portissa 25, Avahi-daemon sitoutuu kaikkiin verkkoliitäntöihin ja Chronyd -palvelu sitoutuu localhost-palvelimeen ja kaikkiin verkkoliitäntöihin eri porteissa. Jatka Postfix MTA -palvelun poistamista antamalla seuraavat komennot.
systemctl stop postfix
yum remove postfix
5. Poista seuraavaksi Chronyd-palvelu, joka korvataan NTP-palvelimella, antamalla seuraavat komennot.
systemctl stop chronyd
yum remove chrony
6. Nyt on aika poistaa Avahi-daemon. Näyttää siltä, että RHEL/CentOS 7:ssä Avahi-daemon on vahvasti tiukka ja riippuu Network Manager -palvelusta. Avahi-daemonin poistaminen voi jättää järjestelmäsi ilman verkkoyhteyksiä.
Joten kiinnitä erityistä huomiota tähän vaiheeseen. Jos todella tarvitset Network Managerin tarjoamaa automaattista verkkomääritystä tai sinun on muokattava liitäntöjäsi
nmtui-verkon ja käyttöliittymäapuohjelman kautta, sinun tulee vain pysäyttää ja poistaa käytöstä Avahi-daemon, äläkä suorita poistoa ollenkaan.
Jos haluat silti poistaa tämän palvelun kokonaan, sinun on muokattava manuaalisesti verkkoasetustiedostoja, jotka sijaitsevat osoitteessa /etc/sysconfig/network-scripts/ifcfg-interface_name, ja käynnistettävä ja otettava verkkopalvelu käyttöön.
Poista Avahi mdns daemon antamalla seuraavat komennot. Varoitus: Älä yritä poistaa Avahi-daemonia, jos olet muodostanut yhteyden SSH:n kautta.
systemctl stop avahi-daemon.socket avahi-daemon.service
systemctl disable avahi-daemon.socket avahi-daemon.service
--------- Stop here if you don't want removal ---------
yum remove avahi-autoipd avahi-libs avahi
7. Tämä vaihe on pakollinen vain, jos poistit Avahi-demonin ja verkkoyhteytesi kaatui ja sinun on määritettävä verkkoliitäntäkortti manuaalisesti uudelleen.
Jos haluat muokata verkkokorttiasi käyttämään IPv6:ta ja staattista IP-osoitetta, siirry osoitteeseen /etc/sysconfig/network-scripts/ polku ja avaa NIC-liitäntätiedosto. (yleensä ensimmäinen kortti on nimeltään ifcfg-eno1677776 ja Network Manager on jo määrittänyt sen) ja käytä seuraavaa otetta oppaana, jos
verkkoliittymässä ei ole konfiguraatiota.
IPV6INIT=no
IPV6_AUTOCONF=yes
BOOTPROTO=none
DEVICE=eno16777736
ONBOOT=yes
UUID=c3f0dc21-d2eb-48eb-aadf-10a520b13df0
TYPE=Ethernet
#DEFROUTE=no
IPV4_FAILURE_FATAL=no
IPV6_DEFROUTE=no
IPV6_FAILURE_FATAL=no
NAME="System eno16777736"
IPV6_PEERDNS=yes
IPV6_PEERROUTES=yes
HWADDR=00:0C:29:E2:06:E9
IPADDR=192.168.1.25
NETMASK=255.255.255.0
GATEWAY=192.168.1.1
DNS1=192.168.1.1
DNS2=8.8.8.8
Tärkeimmät asetukset, jotka sinun tulee ottaa huomioon, ovat:
- BOOTPROTO – Ei mitään tai staattinen – staattista IP-osoitetta varten.
- ONBOOT – Aseta asetukseksi kyllä – tuo käyttöliittymäsi näkyviin uudelleenkäynnistyksen jälkeen.
- DEFROUTE – Lausunto kommentissa # tai poistettu kokonaan – älä käytä oletusreittiä (jos käytät sitä tässä, lisää "DEFROUTE: ei" kaikkiin verkkoliitäntöihin, ei käytetä oletusreittinä).
8. Jos infrastruktuurissasi on DHCP-palvelin, joka määrittää IP-osoitteet automaattisesti, käytä seuraavaa verkkoliitäntöjen määritysten otetta.
IPV6INIT=no
IPV6_AUTOCONF=yes
BOOTPROTO=dhcp
DEVICE=eno16777736
ONBOOT=yes
UUID=c3f0dc21-d2eb-48eb-aadf-10a520b13df0
TYPE=Ethernet
##DEFROUTE=no
IPV4_FAILURE_FATAL=no
IPV6_DEFROUTE=no
IPV6_FAILURE_FATAL=no
NAME="System eno16777736"
IPV6_PEERDNS=yes
IPV6_PEERROUTES=yes
HWADDR=00:0C:29:E2:06:E9
Sama kuin staattisen IP-osoitteen määritys, varmista, että BOOTPROTO-asetuksena on dhcp, DEFROUTE-käsky on kommentoitu tai poistettu ja laite on määritetty käynnistyy automaattisesti käynnistyksen yhteydessä. Jos et käytä IPv6:ta, poista tai kommentoi kaikki IPV6:n sisältävät rivit.
9. Sinun on käynnistettävä verkkopalvelu uudelleen, jotta voit ottaa käyttöön uusia määrityksiä verkkoliittymillesi. Kun olet käynnistänyt verkkodemonin uudelleen, käytä ifconfig
-ohjelmaa tai ip addr show -komento saadaksesi käyttöliittymäasetukset ja yrittää pingata verkkotunnuksen nimi nähdäksesi, toimiiko verkko.
service network restart ## Use this command before systemctl
chkconfig network on
systemctl restart network
ifconfig
ping domain.tld
10. Varmista lopuksi, että määrität järjestelmän isäntänimi nimen hostnamectl-apuohjelmalla ja tarkista määritykset isäntänimi<. -komento.
hostnamectl set-hostname FQDN_system_name
hostnamectl status
hostname
hostname -s ## Short name
hostname -f ## FQDN name
11. Siinä kaikki! Viimeisenä koeajona netstat-komento uudelleen nähdäksesi, mitä palveluita järjestelmässäsi on käynnissä.
netstat -tulpn
netstat -tulp
12. Jos verkkosi käyttää DHCP:tä dynaamisten IP-määritysten noutamiseen SSH-palvelimen lisäksi, DHCP-asiakkaan tulee toimia ja olla aktiivinen UDP-porteissa.
netstat -tulpn
13. Vaihtoehtona netstat-apuohjelmalle voit tulostaa käynnissä olevat verkkopistokkeet Sockets Statistics -komennon avulla.
ss -tulpn
14. Käynnistä palvelin uudelleen ja suorita systemd-analize-komento määrittääksesi järjestelmän käynnistysajan ja käytä myös ilmaisia ja > Levy
Ilmainen-komento näyttää RAM- ja HDD-tilastot ja top-komento nähdäksesi eniten käytetyt järjestelmäresurssit.
free -h
df -h
top
Onnittelut! Nyt sinulla on puhdas minimaalinen RHEL/CentOS 7 -järjestelmäympäristö, jossa on vähemmän palveluita asennettuna ja käynnissä ja enemmän resursseja tulevia määrityksiä varten.
Lue myös: Pysäytä ja poista käytöstä ei-toivotut palvelut Linuxista