Slökktu á og fjarlægðu óæskilega þjónustu á RHEL/CentOS 7 lágmarksuppsetningu
RHEL/CentOS 7 lágmarksuppsetning fyrir netþjóna kemur með sumum sjálfgefnum foruppsettum þjónustum, svo sem Postfix Mail Transfer Agent púkinn, Avahi mdns púkinn (multicast Domain Name System) og Chrony þjónustu, sem ber ábyrgð á að viðhalda kerfisklukku.
Nú kemur að spurningunni.. Af hverju við þurfum að slökkva á öllum þessum þjónustum. ef þeir eru foruppsettir? Ein helsta ástæðan væri að auka öryggisstig kerfisins, önnur ástæðan er lokaáfangastaður kerfisins og sú þriðja er kerfisauðlindir.
- Lágmarksuppsetning CentOS 7
- RHEL 7 lágmarksuppsetning
Ef þú ætlar að nota nýuppsetta RHEL/CentOS 7 til að hýsa, við skulum segja, litla vefsíðu sem keyrir á Apache eða Nginx, eða til að veita netþjónustu eins og DNS , DHCP, PXE ræsingu, FTP þjón o.s.frv. eða önnur þjónusta sem þarf ekki að keyra Postifx MTA púkann, Chrony eða Avahi púkann, af hverju ættum við þá að hafa alla þessa óþarfa púka uppsetta eða jafnvel keyra á þjóninum þínum.
Helsta ytri þjónustan sem þjónninn þinn krefst sannarlega til að keyra eftir að þú hefur framkvæmt lágmarksuppsetningu væri bara SSH púkinn, til að leyfa fjarinnskráningu á kerfinu og, í sumum tilfellum, NTP þjónustu, til að samstilltu innri klukku netþjónsins nákvæmlega við ytri NTP netþjóna.
Slökktu á/fjarlægðu Postfix MTA, Avahi og Chrony þjónustu
1. Eftir að uppsetningunni er lokið skaltu skrá þig inn á netþjóninn þinn með rót reikningi eða notanda með rótarréttindi og framkvæma kerfisuppfærslu, til að tryggja að kerfið þitt sé uppfært með öllum pakka og öryggi plástra.
# yum upgrade
2. Næsta skref væri að setja upp nokkur gagnleg kerfisforrit með YUM Package Manager, eins og net-tools (þessi pakki veitir eldri
en góð ifconfig skipun), nano textaritill, wget og curl fyrir vefslóðaflutninga, lsof (til að skrá opnu skrárnar þínar) og bash-completion, sem lýkur sjálfkrafa vélrituðum skipunum.
# yum install nano bash-completion net-tools wget curl lsof
3. Nú geturðu byrjað að slökkva á og fjarlægja fyrirfram uppsetta óæskilega þjónustu. Fyrst af öllu fáðu lista yfir allar virkar og keyrðar þjónustur þínar með því að keyra netstat skipunina gegn TCP, UDP og Listen state netinnstungum.
# netstat -tulpn ## To output numerical service sockets # netstat -tulp ## To output literal service sockets
4. Eins og þú sérð er Postfix ræst og hlustar á localhost á port 25, Avahi púkinn bindur sig á öll netviðmót og Chronyd þjónustan bindur sig á localhost og öll netviðmót á mismunandi höfnum. Haltu áfram að fjarlægja Postfix MTA þjónustu með því að gefa út eftirfarandi skipanir.
# systemctl stop postfix # yum remove postfix
5. Fjarlægðu næst Chronyd þjónustu, sem verður skipt út fyrir NTP netþjón, með því að gefa út eftirfarandi skipanir.
# systemctl stop chronyd # yum remove chrony
6. Nú er kominn tími til að fjarlægja Avahi púkinn. Lítur út fyrir að í RHEL/CentOS 7 er Avahi púkinn mjög þéttur og fer eftir þjónustu netstjóra. Ef þú fjarlægir Avahi púka getur það skilið kerfið þitt án nettenginga.
Svo skaltu fylgjast sérstaklega með þessu skrefi. Ef þú þarft raunverulega sjálfvirka netstillingu frá netstjóra eða þú þarft að breyta viðmótunum þínum
í gegnum nmtui net- og viðmótsforrit, þá ættirðu aðeins að stöðva og slökkva á Avahi púknum og alls ekki fjarlægja.
Ef þú vilt samt alveg fjarlægja þessa þjónustu þá verður þú að breyta netstillingarskrám sem eru staðsettar í /etc/sysconfig/network-scripts/ifcfg-interface_name handvirkt og síðan ræsa og virkja netþjónustu.
Gefðu eftirfarandi skipanir til að fjarlægja Avahi mdns púkinn. Varúð: Ekki reyna að fjarlægja Avahi púkinn ef þú tengdir í gegnum SSH.
# systemctl stop avahi-daemon.socket avahi-daemon.service # systemctl disable avahi-daemon.socket avahi-daemon.service
--------- Stop here if you don't want removal --------- # yum remove avahi-autoipd avahi-libs avahi
7. Þetta skref er aðeins nauðsynlegt ef þú fjarlægðir Avahi púkann og nettengingarnar þínar hrundu og þú þarft að stilla netviðmótskortið handvirkt aftur.
Til að breyta NIC til að nota IPv6 og static IP Address, farðu í /etc/sysconfig/network-scripts/ slóð, opnaðu NIC tengiskrá (venjulega heitir fyrsta kortið ifcfg-eno1677776 og er nú þegar stillt af netstjóranum) og notaðu eftirfarandi útdrátt sem leiðbeiningar ef
netviðmót hefur enga uppsetningu.
IPV6INIT=no
IPV6_AUTOCONF=yes
BOOTPROTO=none
DEVICE=eno16777736
ONBOOT=yes
UUID=c3f0dc21-d2eb-48eb-aadf-10a520b13df0
TYPE=Ethernet
#DEFROUTE=no
IPV4_FAILURE_FATAL=no
IPV6_DEFROUTE=no
IPV6_FAILURE_FATAL=no
NAME="System eno16777736"
IPV6_PEERDNS=yes
IPV6_PEERROUTES=yes
HWADDR=00:0C:29:E2:06:E9
IPADDR=192.168.1.25
NETMASK=255.255.255.0
GATEWAY=192.168.1.1
DNS1=192.168.1.1
DNS2=8.8.8.8
Mikilvægustu stillingarnar hér sem þú ættir að hafa í huga eru:
- BOOTPROTO – Stillt á ekkert eða static – fyrir fasta IP tölu.
- ONBOOT – Stilltu á já – til að koma upp viðmótinu þínu eftir endurræsingu.
- DEFROUTE – Fullyrðing skrifað ummæli með # eða alveg fjarlægð – ekki nota sjálfgefna leið (Ef þú notar hana hér ættirðu að bæta „DEFROUTE: nei“ við öll netviðmót, ekki notuð sem sjálfgefið leið).
8. Ef innviðir þínir eru með DHCP-þjón sem úthlutar sjálfkrafa IP-tölum skaltu nota eftirfarandi útdrátt fyrir uppsetningu netviðmóta.
IPV6INIT=no IPV6_AUTOCONF=yes BOOTPROTO=dhcp DEVICE=eno16777736 ONBOOT=yes UUID=c3f0dc21-d2eb-48eb-aadf-10a520b13df0 TYPE=Ethernet ##DEFROUTE=no IPV4_FAILURE_FATAL=no IPV6_DEFROUTE=no IPV6_FAILURE_FATAL=no NAME="System eno16777736" IPV6_PEERDNS=yes IPV6_PEERROUTES=yes HWADDR=00:0C:29:E2:06:E9
Sama og uppsetningin með Static IP Address, tryggðu að BOOTPROTO sé stillt á dhcp, DEFROUTE yfirlýsingu er gerð athugasemd eða fjarlægð og tækið er stillt til að byrjar sjálfkrafa við ræsingu. Ef þú notar ekki IPv6 skaltu bara fjarlægja eða skrifa athugasemd við allar línur sem innihalda IPV6.
9. Til þess að nota nýju stillingarnar fyrir netviðmótin þín verður þú að endurræsa sérþjónustuna. Eftir að þú endurræsir netpúkann skaltu nota ifconfig
eða ip addr show skipunina til að fá viðmótsstillingarnar þínar og reyndu að smella á lén til að sjá hvort netið sé virkt.
# service network restart ## Use this command before systemctl # chkconfig network on # systemctl restart network # ifconfig # ping domain.tld
10. Sem lokastilling skaltu ganga úr skugga um að þú setjir upp nafn fyrir hostname kerfisins með því að nota hostnamectl tólið og endurskoðaðu stillingarnar þínar með skipuninni hostname.
# hostnamectl set-hostname FQDN_system_name # hostnamectl status # hostname # hostname -s ## Short name # hostname -f ## FQDN name
11. Það er allt! Sem lokaprófun keyra netstat skipunina aftur til að sjá hvaða þjónustur eru í gangi á kerfinu þínu.
# netstat -tulpn # netstat -tulp
12. Fyrir utan SSH miðlara, ef netið þitt notar DHCP til að draga kraftmikla IP stillingar, ætti DHCP viðskiptavinur að keyra og vera virkur á UDP tengi.
# netstat -tulpn
13. Sem valkostur við netstat tólið geturðu gefið út hlaupandi netinnstungur með hjálp Sockets Statistics skipunarinnar.
# ss -tulpn
14. Endurræstu netþjóninn þinn og keyrðu systemd-analize skipunina til að ákvarða ræsingartíma kerfisins og notaðu einnig ókeypis og Disk
Ókeypis skipun til að sýna tölfræði um vinnsluminni og HDD og top skipun til að sjá toppinn yfir mest notuðu kerfisauðlindirnar.
# free -h # df -h # top
Til hamingju! Nú hefurðu hreint lágmarks RHEL/CentOS 7 kerfisumhverfi með minni þjónustu uppsett og í gangi og meira fjármagn tiltækt fyrir framtíðarstillingar.
Lestu líka: Stöðvaðu og slökktu á óæskilegri þjónustu frá Linux