Отключите и удалите нежелательные службы при минимальной установке RHEL/CentOS 7
Минимальная установка RHEL/CentOS 7 для серверов включает в себя некоторые предустановленные службы по умолчанию, такие как демон Postfix агента передачи почты, Avahi демон mdns (система многоадресных доменных имен) и служба Chrony, которая отвечает за поддержание системных часов.
Теперь возникает вопрос. Зачем нам отключать все эти службы. если они предустановлены? Одной из основных причин является повышение уровня безопасности системы, второй причиной — конечный пункт назначения системы, а третьей — системные ресурсы.
Требования
- Минимальная установка CentOS 7
- Минимальная установка RHEL 7
Если вы планируете использовать недавно установленный RHEL/CentOS 7 для размещения, скажем, небольшого веб-сайта, работающего на Apache или Nginx, или для предоставления сетевых служб, таких как DNS. , DHCP, загрузка PXE, FTP-сервер и т. д. или другие службы, которые не требуют запуска демона Postifx MTA, Chrony или демона Avahi, тогда почему мы должны держать все эти ненужные демоны установленными или даже запущенными на вашем сервере.
Основными внешними службами, которые действительно необходимы вашему серверу после выполнения минимальной установки, будут просто демон SSH, чтобы разрешить удаленный вход в систему, и, в некоторых случаях, служба NTP для точно синхронизируйте внутренние часы вашего сервера с внешними NTP-серверами.
Отключить/удалить службы Postfix MTA, Avahi и Chrony.
1. После завершения установки войдите на свой сервер с учетной записью root или пользователем с правами root и выполните обновление системы, чтобы убедиться, что ваша система готова к работе. -дата со всеми пакетами и исправлениями безопасности.
yum upgrade
2. Следующим шагом будет установка некоторых полезных системных утилит с помощью диспетчера пакетов YUM, таких как net-tools (этот пакет предоставляет более старую
но хорошая команда ifconfig), текстовый редактор nano, wget и curl для передачи URL-адресов, lsof (для вывода списка открытых файлов) и bash-completion, который автоматически завершает введенные команды.
yum install nano bash-completion net-tools wget curl lsof
3. Теперь вы можете приступить к отключению и удалению предустановленных нежелательных служб. Прежде всего, получите список всех включенных и запущенных служб, выполнив команду netstat для сетевых сокетов TCP, UDP и состояния прослушивания.
netstat -tulpn ## To output numerical service sockets
netstat -tulp ## To output literal service sockets
4. Как вы можете видеть, Postfix запускается и прослушивает локальный хост через порт 25, демон Avahi привязывается ко всем сетевым интерфейсам и Chronyd. служба привязывается к локальному хосту и всем сетевым интерфейсам на разных портах. Приступите к удалению службы Postfix MTA, выполнив следующие команды.
systemctl stop postfix
yum remove postfix
5. Затем удалите службу Chronyd, которая будет заменена сервером NTP, выполнив следующие команды.
systemctl stop chronyd
yum remove chrony
6. Теперь пришло время удалить демон Avahi. Похоже, что в RHEL/CentOS 7 демон Avahi сильно ограничен и зависит от службы Network Manager. Удаление демона Avahi может оставить вашу систему без каких-либо сетевых подключений.
Итак, обратите особое внимание на этот шаг. Если вам действительно нужна автоматическая настройка сети, предоставляемая Network Manager, или вам нужно отредактировать интерфейсы
через утилиту сети и интерфейса nmtui, вам следует только остановить и отключить демон Avahi и вообще не выполнять удаление.
Если вы все же хотите полностью удалить эту службу, вам необходимо вручную отредактировать файлы конфигурации сети, расположенные в /etc/sysconfig/network-scripts/ifcfg-interface_name, затем запустить и включить сетевую службу.
Выполните следующие команды, чтобы удалить демон Avahi mdns. Внимание. Не пытайтесь удалить демон Avahi, если вы подключались через SSH.
systemctl stop avahi-daemon.socket avahi-daemon.service
systemctl disable avahi-daemon.socket avahi-daemon.service
--------- Stop here if you don't want removal ---------
yum remove avahi-autoipd avahi-libs avahi
7. Этот шаг необходим только в том случае, если вы удалили демон Avahi и у вас произошел сбой сетевых подключений, и вам необходимо заново настроить сетевую карту вручную.
Чтобы отредактировать сетевой адаптер для использования IPv6 и статического IP-адреса, перейдите по пути /etc/sysconfig/network-scripts/ и откройте файл интерфейса сетевого адаптера. (обычно первая карта называется ifcfg-eno1677776 и уже настроена с помощью Network Manager) и используйте следующий отрывок в качестве руководства на случай, если ваш
сетевой интерфейс не имеет конфигурации.
IPV6INIT=no
IPV6_AUTOCONF=yes
BOOTPROTO=none
DEVICE=eno16777736
ONBOOT=yes
UUID=c3f0dc21-d2eb-48eb-aadf-10a520b13df0
TYPE=Ethernet
#DEFROUTE=no
IPV4_FAILURE_FATAL=no
IPV6_DEFROUTE=no
IPV6_FAILURE_FATAL=no
NAME="System eno16777736"
IPV6_PEERDNS=yes
IPV6_PEERROUTES=yes
HWADDR=00:0C:29:E2:06:E9
IPADDR=192.168.1.25
NETMASK=255.255.255.0
GATEWAY=192.168.1.1
DNS1=192.168.1.1
DNS2=8.8.8.8
Наиболее важные настройки, которые вы должны принять во внимание:
- BOOTPROTO — установите значение «Нет» или «статический» — для статического IP-адреса.
- ONBOOT — установите значение «да» — чтобы интерфейс отображался после перезагрузки.
- DEFROUTE – оператор прокомментирован с помощью # или полностью удален – не используйте маршрут по умолчанию (если вы используете его здесь, вам следует добавить «DEFROUTE: no» ко всем сетевым интерфейсам, который не используется в качестве маршрута по умолчанию).
8. Если в вашей инфраструктуре есть DHCP-сервер, который автоматически назначает IP-адреса, используйте следующий отрывок для настройки сетевых интерфейсов.
IPV6INIT=no
IPV6_AUTOCONF=yes
BOOTPROTO=dhcp
DEVICE=eno16777736
ONBOOT=yes
UUID=c3f0dc21-d2eb-48eb-aadf-10a520b13df0
TYPE=Ethernet
##DEFROUTE=no
IPV4_FAILURE_FATAL=no
IPV6_DEFROUTE=no
IPV6_FAILURE_FATAL=no
NAME="System eno16777736"
IPV6_PEERDNS=yes
IPV6_PEERROUTES=yes
HWADDR=00:0C:29:E2:06:E9
Как и в конфигурации со статическим IP-адресом, убедитесь, что для BOOTPROTO установлено значение dhcp, оператор DEFROUTE закомментирован или удален, а устройство настроено на автоматически запускается при загрузке. Если вы не используете IPv6, просто удалите или закомментируйте все строки, содержащие IPV6.
9. Чтобы применить новые конфигурации сетевых интерфейсов, необходимо перезапустить сетевую службу. После перезапуска сетевого демона используйте ifconfig
. или команду ip addr show, чтобы получить настройки интерфейса и попытаться проверить доменное имя, чтобы проверить, работает ли сеть.
service network restart ## Use this command before systemctl
chkconfig network on
systemctl restart network
ifconfig
ping domain.tld
10. В качестве окончательной настройки убедитесь, что вы установили имя для системы hostname с помощью утилиты hostnamectl и просмотрите свою конфигурацию с помощью hostname<. /б> команда.
hostnamectl set-hostname FQDN_system_name
hostnamectl status
hostname
hostname -s ## Short name
hostname -f ## FQDN name
11. Вот и все! В качестве заключительного теста еще раз запустите команду netstat, чтобы узнать, какие службы работают в вашей системе.
netstat -tulpn
netstat -tulp
12. Помимо SSH-сервера, если ваша сеть использует DHCP для получения динамических конфигураций IP, должен быть запущен DHCP-клиент, который будет активен на портах UDP.
netstat -tulpn
13. В качестве альтернативы утилите netstat вы можете вывести данные о работающих сетевых сокетах с помощью команды Статистика сокетов.
ss -tulpn
14. Перезагрузите сервер и запустите команду systemd-analize, чтобы определить время загрузки вашей системы, а также используйте бесплатные и Диск
Бесплатная команда для отображения статистики оперативной памяти и жесткого диска и команда top для просмотра списка наиболее часто используемых системных ресурсов.
free -h
df -h
top
Поздравляем! Теперь у вас есть чистая минимальная системная среда RHEL/CentOS 7 с меньшим количеством установленных и запущенных служб и большим количеством ресурсов, доступных для будущих конфигураций.
Читайте также: Остановите и отключите нежелательные службы Linux