Dienste zum Deaktivieren auf einem neu installierten CentOS 5.3-Computer?

7

Ich habe kürzlich einen CentOS 5.3-Computer installiert, den ich für die Servernutzung in einer kopflosen Umgebung sperre (auf dem Computer wird keine grafische Benutzeroberfläche verwendet). Der Server wird als kombinierter Web- und Datenbankserver verwendet.

Ich habe xfs und portmap deaktiviert, da diese auf dem Computer eindeutig nicht benötigt werden.

Unten finden Sie ein chkconfig-Protokoll, in dem die auf dem Computer ausgeführten Dienste aufgeführt sind.

Frage: Über xfs und portmap hinaus - welche der folgenden Dienste würden Sie deaktivieren? Warum?

chkconfig --list | grep 3:on

acpid           0:off   1:off   2:on    3:on    4:on    5:on    6:off
anacron         0:off   1:off   2:on    3:on    4:on    5:on    6:off
atd             0:off   1:off   2:off   3:on    4:on    5:on    6:off
auditd          0:off   1:off   2:on    3:on    4:on    5:on    6:off
autofs          0:off   1:off   2:off   3:on    4:on    5:on    6:off
crond           0:off   1:off   2:on    3:on    4:on    5:on    6:off
haldaemon       0:off   1:off   2:off   3:on    4:on    5:on    6:off
ip6tables       0:off   1:off   2:on    3:on    4:on    5:on    6:off
iptables        0:off   1:off   2:on    3:on    4:on    5:on    6:off
irqbalance      0:off   1:off   2:on    3:on    4:on    5:on    6:off
kudzu           0:off   1:off   2:off   3:on    4:on    5:on    6:off
mcstrans        0:off   1:off   2:on    3:on    4:on    5:on    6:off
messagebus      0:off   1:off   2:off   3:on    4:on    5:on    6:off
microcode_ctl   0:off   1:off   2:on    3:on    4:on    5:on    6:off
netfs           0:off   1:off   2:off   3:on    4:on    5:on    6:off
network         0:off   1:off   2:on    3:on    4:on    5:on    6:off
readahead_early 0:off   1:off   2:on    3:on    4:on    5:on    6:off
restorecond     0:off   1:off   2:on    3:on    4:on    5:on    6:off
sshd            0:off   1:off   2:on    3:on    4:on    5:on    6:off
syslog          0:off   1:off   2:on    3:on    4:on    5:on    6:off
yum-updatesd    0:off   1:off   2:on    3:on    4:on    5:on    6:off
security centos hardening chkconfig knorv
quelle

Antworten:

2

Ich würde alle Dienste deaktivieren, die ich normalerweise nicht benutze, wie anacron und netfs. Wenn der Server keine Firewall-Regeln benötigt, können iptables und ip6tables deaktiviert werden.

hdanniel
quelle
Alle? "Ja wirklich?" (Syslog, Netzwerk, Crond) Iptables ist Ihre primäre Firewall ... Ein bisschen drakonisch ... ;-)
ForgeMan
In der Tat ist Anacron auf einem Server nutzlos. crond sollte auf einem Server verwendet werden.
Cristian Ciupitu
If the server doesn't need firewallIn der Prädikatenrechnung wird diese Aussage als "Widerspruch" bezeichnet. Wann würden Sie jemals keine Firewall benötigen, insbesondere auf einem Server? Offensichtlich ist die Eingangsfilterung eine sehr wichtige Sache, aber auch die Ausgangsfilterung (sollte Ihr Datenbankbenutzer jemals Verbindungen zur Außenwelt initiieren? Nein? Dann protokollieren + blockieren Sie diese Verbindungen. Gleiches gilt für den Webserver). Und die Tatsache, dass Sie normalerweise nicht manuell mit einem Dienst interagieren, sollte keinesfalls bedeuten, dass der Dienst für das System nicht entscheidend ist. Google, wofür es ist, zumindest.
Parthian Shot
5

Die einzigen Dinge, die ich deaktivieren möchte, sind yum-updatesd (da ich yum update manuell ausführen werde, wenn ich es brauche, und wahrscheinlich in cron geschrieben), autofs, kudzu (da ich davon ausgehe, dass sich Ihre Hardware wahrscheinlich nicht ändert ) und netfs (vorausgesetzt, Sie verwenden kein NFS oder ähnliches). Wenn die Leistung ein großes Problem darstellt, kann es sinnvoll sein, auditd zu deaktivieren. Die meisten anderen können deaktiviert werden, aber um Admins das Leben zu erleichtern, lasse ich sie im Allgemeinen laufen.

Cian
quelle
Dies ist der beste Rat, wenn man die Gruppe vergleicht. In Bezug auf die Liste der bereitgestellten Dienste sind dies sehr vernünftige Empfehlungen.
JM Becker
2

Realistisch gesehen kann nichts auf dieser Liste zu Leistungsproblemen führen. Wenn Sie sie ausschalten, können Sie versuchen, etwas in der Zukunft zu aktivieren und etwas zu bekommen, weil es ausgeschaltet war. Der allgemeine Vorschlag, "alle zu erforschen und nur das einzuschalten, was Sie brauchen", ist gut, aber nicht gerade kostengünstig.

Wenn Sie sich nur um Leistung und / oder Sicherheit sorgen, gibt es weitaus effektivere Orte, an denen Sie suchen können.

Staffelei
quelle
Obwohl ich Ihrer Einschätzung "nichts auf dieser Liste ..." zustimmen würde, würde ich nicht davon ausgehen, dass dies auf der ganzen Linie zutrifft. Da eine 'Base'-Installation viel größer ist als der absolute Minimal-Core, und selbst wenn Base nicht aktiviert ist, ist es immer wichtig zu schauen. Zum Beispiel enthält base Dienste wie "Bluetooth" und "Portmap", die, falls nicht erforderlich, idealerweise deaktiviert werden sollten.
JM Becker
0

Ein allgemeiner Vorschlag wäre, jeden Dienst zu untersuchen und "genau" zu bestimmen, was jeder Dienst tut (prüfen Sie die Leistungssteigerungen mit hdparam oder was syslogd bietet, bevor Sie sie deaktivieren). Wenn sich ein bestimmter Dienst in Ihrem speziellen Setup als nutzlos herausstellt, deaktivieren Sie ihn. Seien Sie jedoch vorsichtig mit dem Dienst, den Sie deaktivieren möchten. Mehrere sind für die tägliche Funktionalität wichtig. ;-);

ForgeMan
quelle