Quais serviços serão desabilitados em um servidor de banco de dados / web do CentOS 5.8?

2

Acabei de configurar meu servidor do CentOS 5.8 64 [final] como um servidor da Web.

Especificações: CPU Intel E5620 de 2x, RAM DDR3, Hardware Adaptec RAID 10, unidades SAS de 4x.

Eu me instalei:

 Nginx
 PHP-FPM
 MySQL [ourdelta.org version]
 Sphinx
 Vsftpd
 Fail2ban
 Citadel [ddos flood protection]
 Munin
 NTP
 Htop
 Iptraf

Estas são todas as coisas que uso ativamente para executar meus sites.

Agora, minha pergunta:

Eu encontrei este artigo: link

Que fala sobre uma lista completa de serviços que você pode desativar.

Esta é a lista que eles sugerem:

chkconfig anacron off
chkconfig apmd off
chkconfig atd off
chkconfig autofs off
chkconfig cpuspeed off
chkconfig cups off
chkconfig cups-config-daemon off
chkconfig gpm off
chkconfig isdn off
chkconfig netfs off
chkconfig nfslock off
chkconfig openibd off
chkconfig pcmcia off
chkconfig portmap off
chkconfig rawdevices off
chkconfig readahead_early off
chkconfig rpcgssd off
chkconfig rpcidmapd off
chkconfig smartd off
chkconfig xfs off
chkconfig ip6tables off
chkconfig avahi-daemon off
chkconfig firstboot off
chkconfig yum-updatesd off 
chkconfig sendmail off
chkconfig mcstrans off
chkconfig pcscd off
chkconfig bluetooth off
chkconfig hidd off

Agora eu uso sendmail e smartd para que eu continue.

Mas a maioria dos outros processos não reconhece. Há algo que eu deva tomar cuidado com a desativação?

    
por Mr.Boon 23.10.2012 / 14:38

3 respostas

3

Tenha cuidado ao usar as "listas" de outras pessoas, pois você pode desativar as coisas de que realmente precisa.

Alguns problemas óbvios que vejo com essa lista são:

  • anacron garante que as tarefas do cron não foram atendidas devido ao tempo de inatividade ser executado quando o sistema voltar a funcionar.
  • smartd monitora a saúde de seus discos e pode ser configurado para enviar um e-mail se um disco estiver falhando (embora, como você tem um RAID de hardware, use a ferramenta fornecida pelo fornecedor).
  • ip6tables é o firewall IPv6 ... Realmente? Alguém aconselhou desligar o firewall ?!? Isso realmente leva sua credibilidade ao inferno.
  • yum-updatesd fornece atualizações automáticas. Se você não quiser isso, desative-o, embora seja útil em alguns cenários.

Eu também tenho que concordar com o conselho do @ aairey para fazer uma instalação mínima. No CentOS 5, isso requer o uso de um arquivo de kickstart; O CentOS 6 possui um CD especial de instalação mínima.

    
por 23.10.2012 / 15:19
1

Embora a desativação / desinstalação de determinados softwares seja uma abordagem perfeitamente válida para fortalecer um sistema, em muitos casos é um exagero - especialmente quando, como você, não se tem certeza de quais serviços desativar.

A melhor abordagem seria usar uma instalação mínima combinada com um firewall restritivo. Como isso será um servidor da Web, o conjunto de regras deverá ser muito fácil de definir.

Para realizar uma instalação mínima, vá até o instalador do CentOS e, ao chegar na tela que lista as funções, desmarque todas elas. Em seguida, escolha "Personalizar agora".

Você verá uma tela com várias categorias à esquerda e grupos de pacotes à direita. Percorra cada categoria e desmarque todos os grupos de pacotes. Na categoria Base , clique no botão Pacotes opcionais . Eu costumo desmarcar tudo, exceto:

  • O anacron permite o agendamento de tarefas e garante que as tarefas agendadas sejam executadas mesmo se perdidas devido a tempo de inatividade.
  • O sudo permite-lhe executar comandos com privilégios elevados a partir de uma conta não privilegiada. Na minha opinião, este utilitário é vital para qualquer sistema Linux.

Após a instalação ser concluída e você ter reiniciado, você pode instalar o servidor web e quaisquer outros pacotes necessários para sua situação (httpd, PHP, MySQL, etc). O Yum irá automaticamente resolver dependências para você e só deve instalar os pacotes necessários para que os serviços escolhidos funcionem.

Quando isso for concluído, edite as regras do iptables para permitir apenas os serviços necessários: SSH, HTTP, HTTPS, saída SMTP, etc. Há muitos tutoriais disponíveis que explicam como fazer isso. Esta pergunta e sua resposta aceita são um bom ponto de partida.

DON'T BLOCK SSH! If you don't have console access to the server, be careful not to block SSH at any point or you'll be unable to access the system. When modifying firewall rules, I always open up a new SSH session without closing my existing (working) one just to verify that I can still connect. Once you exit that established session, if SSH is blocked then you're up the creek without a paddle.

    
por 23.10.2012 / 16:20
0

Você começou com a instalação mínima? Se não, eu recomendo começar por aí, já que coisas como anacron nem sequer estão instaladas para começar.

    
por 23.10.2012 / 14:56