Atspējojiet un noņemiet nevēlamus pakalpojumus RHEL/CentOS 7 minimālajā instalācijā


RHEL/CentOS 7 minimālā serveru instalēšana tiek nodrošināta ar dažiem noklusējuma iepriekš instalētiem pakalpojumiem, piemēram, Postfix Mail Transfer Agent dēmonu, Avahi mdns dēmonu (multicast domēna vārdu sistēmu) un Chrony dienests, kas ir atbildīgs par sistēmas pulksteņa uzturēšanu.

Tagad nāk pie jautājuma .. Kāpēc wed ir jāatspējo visi šie pakalpojumi. ja tie ir iepriekš instalēti? Viens no galvenajiem iemesliem būtu sistēmas drošības līmeņa paaugstināšana, otrais iemesls ir sistēmas galamērķis un trešais ir sistēmas resursi.

  1. CentOS 7 minimālā instalēšana
  2. RHEL 7 minimāla instalēšana

Ja plānojat izmantot tikko instalēto RHEL/CentOS 7, lai, teiksim, nelielu vietni mitinātu, teiksim, nelielu vietni, kas darbojas ar Apache vai Nginx vai lai nodrošinātu tīkla pakalpojumus, piemēram, DNS , DHCP, PXE sāknēšana, FTP serveris utt. Vai citi pakalpojumi, kuriem nav nepieciešams palaist Postifx MTA dēmonu, Chrony vai Avahi dēmonu, kāpēc mums vajadzētu saglabāt visus šos nevajadzīgos dēmonus instalētus vai pat darboties jūsu serverī.

Galvenie ārējie pakalpojumi, kurus jūsu serverim patiešām ir nepieciešams palaist pēc minimālas instalēšanas, būtu tikai SSH dēmons, lai ļautu sistēmā attāli pieteikties un dažos gadījumos arī NTP pakalpojums. precīzi sinhronizēt servera iekšējo pulksteni ar ārējiem NTP serveriem.

Atspējot/noņemt Postfix MTA, Avahi un Chrony Services

1. Pēc instalēšanas beigām piesakieties savā serverī ar root kontu vai lietotāju ar root tiesībām un veiciet sistēmas atjaunināšanu, lai pārliecinātos, ka jūsu sistēma ir atjaunināta ar visām pakotnēm un drošību plāksteri.

# yum upgrade

2. Nākamais solis būtu dažu noderīgu sistēmas utilītu instalēšana, izmantojot YUM Package Manager, piemēram, net-tools (šī pakotne nodrošina vecāku
bet laba ifconfig komanda), nano teksta redaktors, wget un čokurošanās URL pārsūtīšanai, lsof (lai atvērto failu saraksts) un bash-complete , kas automātiski aizpilda ierakstītās komandas.

# yum install nano bash-completion net-tools wget curl lsof

3. Tagad jūs varat sākt atspējot un noņemt iepriekš instalētus nevēlamos pakalpojumus. Vispirms iegūstiet visu iespējoto un darbojošos pakalpojumu sarakstu, palaižot komandu netstat pret TCP, UDP un Klausīšanās stāvokļa tīkla kontaktligzdām.

# netstat -tulpn  	## To output numerical service sockets

# netstat -tulp      	## To output literal service sockets

4. Kā redzat, sākās Postfix un klausās localhost 25. portā, Avahi dēmons saistās visās tīkla saskarnēs un Chronyd pakalpojums localhost un visas tīkla saskarnes dažādās ostās. Turpiniet ar Postfix MTA pakalpojuma noņemšanu, izsniedzot šādas komandas.

# systemctl stop postfix
# yum remove postfix

5. Pēc tam noņemiet Chronyd pakalpojumu, kuru aizstās NTP serveris, izsniedzot šādas komandas.

# systemctl stop chronyd
# yum remove chrony

6. Tagad ir pienācis laiks noņemt dēmonu Avahi . Izskatās, ka RHEL/CentOS 7 Avahi dēmons ir ļoti saspringts un atkarīgs no tīkla pārvaldnieka pakalpojuma. Veicot Avahi dēmonu noņemšanu, sistēma var palikt bez tīkla savienojumiem.

Tātad, pievērsiet īpašu uzmanību šim solim. Ja jums patiešām ir nepieciešama tīkla pārvaldnieka nodrošināta automātiska tīkla konfigurācija vai jums ir jārediģē saskarnes
izmantojot nmtui tīklu un saskarnes utilītu, jums vajadzētu tikai apturēt un atspējot Avahi dēmonu un vispār neveikt noņemšanu.

Ja jūs joprojām vēlaties pilnībā noņemt šo pakalpojumu, jums manuāli jārediģē tīkla konfigurācijas faili, kas atrodas /etc/sysconfig/network-scripts/ifcfg-interface_name , pēc tam sāciet un iespējojiet tīkla pakalpojumu.

Veiciet šādas komandas, lai noņemtu Avahi mdns dēmonu . Uzmanību: nemēģiniet noņemt Avahi dēmonu, ja izveidojāt savienojumu, izmantojot SSH.

# systemctl stop avahi-daemon.socket avahi-daemon.service
# systemctl disable avahi-daemon.socket avahi-daemon.service
--------- Stop here if you don't want removal --------- 

# yum remove avahi-autoipd avahi-libs avahi

7. Šis solis ir nepieciešams tikai tad, ja esat noņēmis dēmonu Avahi un tīkla savienojumi avarēja, un jums vēlreiz manuāli jākonfigurē tīkla interfeisa karte.

Lai rediģētu savu NIC, lai izmantotu IPv6 un statisko IP adresi , dodieties uz /etc/sysconfig/network-scripts/ ceļu, atveriet NIC saskarnes failu (parasti pirmās kartes nosaukums ir ifcfg-eno1677776 un to jau ir konfigurējis tīkla pārvaldnieks) un izmantojiet šo fragmentu kā rokasgrāmatu, ja jūsu
tīkla saskarnei nav konfigurācijas.

IPV6INIT=no
IPV6_AUTOCONF=yes
BOOTPROTO=none
DEVICE=eno16777736
ONBOOT=yes
UUID=c3f0dc21-d2eb-48eb-aadf-10a520b13df0
TYPE=Ethernet
#DEFROUTE=no
IPV4_FAILURE_FATAL=no
IPV6_DEFROUTE=no
IPV6_FAILURE_FATAL=no
NAME="System eno16777736"
IPV6_PEERDNS=yes
IPV6_PEERROUTES=yes
HWADDR=00:0C:29:E2:06:E9
                IPADDR=192.168.1.25
                NETMASK=255.255.255.0
                GATEWAY=192.168.1.1
                DNS1=192.168.1.1
                DNS2=8.8.8.8

Šeit ir jāņem vērā vissvarīgākie iestatījumi:

  1. BOOTPROTO - statiskai IP adresei iestatiet vērtību Nē vai statiska.
  2. ONBOOT - iestatiet uz jā, lai pēc pārstartēšanas parādītu saskarni.
  3. DEFROUTE - paziņojums komentēts ar # vai pilnībā noņemts - nelietot noklusējuma maršrutu (ja to izmantojat šeit, visām tīkla saskarnēm jāpievieno “DEFROUTE: no”, kas netiek izmantota kā noklusējums maršruts).

8. Ja jūsu infrastruktūrā ir DHCP serveris, kas automātiski piešķir IP adreses, tīkla saskarņu konfigurācijai izmantojiet šo fragmentu.

IPV6INIT=no
IPV6_AUTOCONF=yes
BOOTPROTO=dhcp
DEVICE=eno16777736
ONBOOT=yes
UUID=c3f0dc21-d2eb-48eb-aadf-10a520b13df0
TYPE=Ethernet
##DEFROUTE=no
IPV4_FAILURE_FATAL=no
IPV6_DEFROUTE=no
IPV6_FAILURE_FATAL=no
NAME="System eno16777736"
IPV6_PEERDNS=yes
IPV6_PEERROUTES=yes
HWADDR=00:0C:29:E2:06:E9

Tāpat kā konfigurācija ar statisko IP adresi, pārliecinieties, ka BOOTPROTO ir iestatīts uz dhcp , paziņojums DEFROUTE tiek komentēts vai noņemts un ierīce ir konfigurēta automātiski sākas ar sāknēšanu. Ja neizmantojat IPv6, vienkārši noņemiet vai komentējiet visas rindas, kurās ir IPV6.

9. Lai tīkla saskarnēm piemērotu jaunās konfigurācijas, restartējiet tīkla pakalpojumu. Pēc tīkla dēmona restartēšanas izmantojiet ifconfig
vai komandu ip addr show , lai iegūtu interfeisa iestatījumus, un mēģiniet pingēt domēna nosaukumu, lai redzētu, vai tīkls darbojas.

# service network restart	## Use this command before systemctl
# chkconfig network on
# systemctl restart network
# ifconfig
# ping domain.tld

10. Kā pēdējo iestatījumu pārliecinieties, ka esat iestatījis sistēmas resursdatora nosaukums nosaukumu, izmantojot utilītu hostnamectl , un pārskatiet konfigurāciju ar komandu resursdatora nosaukums .

# hostnamectl set-hostname FQDN_system_name
# hostnamectl status
# hostname
# hostname -s   	## Short name
# hostname -f   	## FQDN name

11. Tas ir viss! Kā pēdējo testēšanas komandu netstat vēlreiz, lai uzzinātu, kādi pakalpojumi darbojas jūsu sistēmā.

# netstat -tulpn
# netstat -tulp

12. Bez SSH servera, ja jūsu tīkls izmanto DHCP, lai iegūtu dinamiskas IP konfigurācijas, DHCP klientam vajadzētu darboties un būt aktīvam UDP portos.

# netstat -tulpn

13. Kā alternatīvu netstat utilītai varat izvadīt darbojošās tīkla kontaktligzdas, izmantojot komandu Sockets Statistics .

# ss -tulpn 

14. Pārstartējiet serveri un palaidiet komandu systemd-analize , lai noteiktu sistēmas sāknēšanas laika veiktspēju, kā arī izmantojiet free un Disk
Bezmaksas
komanda, lai parādītu RAM un HDD statistiku, un top komanda, lai redzētu visbiežāk izmantoto sistēmas resursu augšdaļu.

# free -h
# df -h
# top 

Apsveicam! Tagad jums ir tīra minimāla RHEL/CentOS 7 sistēmas vide ar mazāk instalētu un darbināmu pakalpojumu un vairāk resursu, kas pieejami turpmākajām konfigurācijām.

Lasīt arī : pārtrauciet un atspējojiet nevēlamus pakalpojumus no Linux