Weboldal keresés

Tiltsa le és távolítsa el a nem kívánt szolgáltatásokat az RHEL/CentOS 7 minimális telepítése során

Az RHEL/CentOS 7 minimális telepítése kiszolgálókhoz néhány alapértelmezett előre telepített szolgáltatással jár, mint például a Postfix Mail Transfer Agent démon, az Avahi mdns démon (multicast Domain Name System) és Chrony szolgáltatás, amely felelős a rendszerórák karbantartásáért.

Most jön a kérdés... Miért kell letiltani ezeket a szolgáltatásokat. ha előre telepítve vannak? Az egyik fő ok a rendszer biztonsági szintjének növelése, a második ok a rendszer végső rendeltetési helye, a harmadik pedig a rendszer erőforrásai.

Követelmények

  1. CentOS 7 minimális telepítés
  2. RHEL 7 Minimális telepítés

Ha azt tervezi, hogy az újonnan telepített RHEL/CentOS 7-et egy Apache vagy Nginx rendszeren futó kis webhely hosztolására vagy hálózati szolgáltatások, például DNS biztosítására tervezi. , DHCP, PXE rendszerindítás, FTP-kiszolgáló stb., vagy egyéb olyan szolgáltatások, amelyekhez nincs szükség a Postifx MTA démon, a Chrony vagy az Avahi démon futtatására, akkor miért kell ezeket a szükségtelen démonokat telepítve vagy akár futva is tartani a szerverén.

A fő külső szolgáltatások, amelyekre a kiszolgálónak valóban szüksége van egy minimális telepítés után, csak egy SSH démon, amely lehetővé teszi a távoli bejelentkezést a rendszerbe, és bizonyos esetekben az NTP szolgáltatást is. pontosan szinkronizálja a szerver belső óráját a külső NTP-szerverekkel.

A Postfix MTA, Avahi és Chrony Services letiltása/eltávolítása

1. A telepítés befejezése után jelentkezzen be a szerverére root fiókkal vagy egy root jogosultsággal rendelkező felhasználóval, és hajtson végre rendszerfrissítést, hogy megbizonyosodjon arról, hogy a rendszer naprakész. -dátum az összes csomaggal és biztonsági javítással.

yum upgrade

2. A következő lépés néhány hasznos rendszersegédprogram telepítése a YUM Package Manager használatával, például a net-tools (ez a csomag a régebbi
de jó ifconfig parancs), nano szövegszerkesztő, wget és curl az URL-átvitelhez, lsof (a megnyitott fájlok felsorolásához) és a bash-completion, amely automatikusan befejezi a begépelt parancsokat.

yum install nano bash-completion net-tools wget curl lsof

3. Most már megkezdheti az előre telepített nem kívánt szolgáltatások letiltását és eltávolítását. Először is kap egy listát az összes engedélyezett és futó szolgáltatásról a netstat parancs futtatásával a TCP, UDP és Listen állapot hálózati socketeken.

netstat -tulpn  	## To output numerical service sockets

netstat -tulp      	## To output literal service sockets

4. Amint láthatja, a Postfix elindul, és a 25-ös porton lévő localhost-on figyel, az Avahi démon kötődik az összes hálózati interfészen és a Chronyd-on szolgáltatás kötődik a localhosthoz és az összes hálózati interfészhez a különböző portokon. Folytassa a Postfix MTA szolgáltatás eltávolítását a következő parancsok kiadásával.

systemctl stop postfix
yum remove postfix

5. Következő lépésként távolítsa el a Chronyd szolgáltatást, amelyet az NTP-kiszolgáló vált fel, a következő parancsok kiadásával.

systemctl stop chronyd
yum remove chrony

6. Most itt az ideje eltávolítani az Avahi démont. Úgy tűnik, hogy az RHEL/CentOS 7-ben az Avahi démon erősen feszes, és a Network Manager szolgáltatástól függ. Az Avahi démon eltávolítása hálózati kapcsolat nélkül hagyhatja el a rendszert.

Tehát fordítson fokozott figyelmet erre a lépésre. Ha valóban szüksége van a Network Manager által biztosított automatikus hálózati konfigurációra, vagy módosítania kell az interfészt
az nmtui hálózati és interfész segédprogramon keresztül, akkor csak állítsa le és tiltsa le az Avahi démont, és ne hajtson végre eltávolítást.

Ha továbbra is teljesen el szeretné távolítani ezt a szolgáltatást, akkor manuálisan kell szerkesztenie az /etc/sysconfig/network-scripts/ifcfg-interface_name helyen található hálózati konfigurációs fájlokat, majd elindítani és engedélyezni kell a hálózati szolgáltatást.

Adja ki a következő parancsokat az Avahi mdns démon eltávolításához. Vigyázat: Ne próbálja meg eltávolítani az Avahi démont, ha SSH-n keresztül csatlakozott.

systemctl stop avahi-daemon.socket avahi-daemon.service
systemctl disable avahi-daemon.socket avahi-daemon.service

--------- Stop here if you don't want removal --------- 

yum remove avahi-autoipd avahi-libs avahi

7. Ez a lépés csak akkor szükséges, ha eltávolította az Avahi démont, és a hálózati kapcsolatok összeomlottak, és újra manuálisan kell konfigurálnia a hálózati interfész kártyát.

A hálózati kártya IPv6 és statikus IP-cím használatára való szerkesztéséhez lépjen a /etc/sysconfig/network-scripts/ elérési útra, nyissa meg a hálózati csatolófelület fájlját. (általában az első kártya neve ifcfg-eno1677776, és a Network Manager már konfigurálta), és használja a következő kivonatot útmutatóként arra az esetre, ha a
a hálózati interfésznek nincs konfigurációja.

IPV6INIT=no
IPV6_AUTOCONF=yes
BOOTPROTO=none
DEVICE=eno16777736
ONBOOT=yes
UUID=c3f0dc21-d2eb-48eb-aadf-10a520b13df0
TYPE=Ethernet
#DEFROUTE=no
IPV4_FAILURE_FATAL=no
IPV6_DEFROUTE=no
IPV6_FAILURE_FATAL=no
NAME="System eno16777736"
IPV6_PEERDNS=yes
IPV6_PEERROUTES=yes
HWADDR=00:0C:29:E2:06:E9
                IPADDR=192.168.1.25
                NETMASK=255.255.255.0
                GATEWAY=192.168.1.1
                DNS1=192.168.1.1
                DNS2=8.8.8.8

A legfontosabb beállítások, amelyeket itt figyelembe kell venni:

  1. BOOTPROTO – Nincs vagy statikus – statikus IP-cím esetén.
  2. ONBOOT – Állítsa igenre – a kezelőfelület újraindítás utáni megjelenítéséhez.
  3. DEFROUTE – Az utasítás megjegyzése #-el vagy teljesen eltávolítva – ne használjon alapértelmezett útvonalat (Ha itt használja, a „DEFROUTE: no”-t hozzá kell adnia minden hálózati interfészhez, nem pedig alapértelmezett útvonalként).

8. Ha az infrastruktúrája rendelkezik egy DHCP-kiszolgálóval, amely automatikusan kiosztja az IP-címeket, használja a következő kivonatot a hálózati csatolók konfigurálásához.

IPV6INIT=no
IPV6_AUTOCONF=yes
BOOTPROTO=dhcp
DEVICE=eno16777736
ONBOOT=yes
UUID=c3f0dc21-d2eb-48eb-aadf-10a520b13df0
TYPE=Ethernet
##DEFROUTE=no
IPV4_FAILURE_FATAL=no
IPV6_DEFROUTE=no
IPV6_FAILURE_FATAL=no
NAME="System eno16777736"
IPV6_PEERDNS=yes
IPV6_PEERROUTES=yes
HWADDR=00:0C:29:E2:06:E9

Ugyanúgy, mint a statikus IP-cím beállításánál, győződjön meg arról, hogy a BOOTPROTO dhcp értékre van állítva, a DEFROUTE utasítás megjegyzésre kerül vagy eltávolításra kerül, és az eszköz úgy van konfigurálva automatikusan elindul a rendszerindításkor. Ha nem IPv6-ot használ, egyszerűen távolítsa el vagy írja be megjegyzéssel az összes IPV6-ot tartalmazó sort.

9. Az új konfigurációk hálózati interfészeinek alkalmazásához újra kell indítania a hálózati szolgáltatást. A hálózati démon újraindítása után használja az ifconfig
parancsot vagy az ip addr show paranccsal lekérheti az interfész beállításait, és próbáljon meg pingelni egy domain nevet, hogy ellenőrizze, működik-e a hálózat.

service network restart	## Use this command before systemctl
chkconfig network on
systemctl restart network
ifconfig
ping domain.tld

10. Végső beállításként győződjön meg arról, hogy a hostnamecl segédprogrammal beállított egy nevet a(z) hostname rendszer számára, és ellenőrizze a konfigurációt a hostname< segítségével parancsot.

hostnamectl set-hostname FQDN_system_name
hostnamectl status
hostname
hostname -s   	## Short name
hostname -f   	## FQDN name

11. Ez minden! Utolsó tesztként futtassa újra a netstat parancsot, hogy megnézze, milyen szolgáltatások futnak a rendszeren.

netstat -tulpn
netstat -tulp

12. Az SSH-kiszolgálón kívül, ha hálózata DHCP-t használ a dinamikus IP-konfigurációk lekérésére, egy DHCP-kliensnek futnia kell és aktívnak kell lennie az UDP-portokon.

netstat -tulpn

13. A netstat segédprogram alternatívájaként a futó hálózati socketeket a Sockets Statistics parancs segítségével is kiadhatja.

ss -tulpn

14. Indítsa újra a szervert, és futtassa a systemd-analize parancsot a rendszerindítási idő teljesítményének meghatározásához, valamint használja a free és > Lemez
Ingyenes parancs a RAM és HDD statisztikák megjelenítéséhez, a top parancs pedig a leggyakrabban használt rendszererőforrások listájának megtekintéséhez.

free -h
df -h
top

Gratulálunk! Most egy tiszta, minimális RHEL/CentOS 7 rendszerkörnyezet áll rendelkezésére, kevesebb telepített és futott szolgáltatással, valamint több erőforrás áll rendelkezésre a jövőbeli konfigurációkhoz.

Olvassa el még: Állítsa le és tiltsa le a nem kívánt szolgáltatásokat Linuxon