Zima na Ondoa Huduma Zisizotakikana kwenye Usakinishaji Mdogo wa RHEL/CentOS 7
Usakinishaji mdogo wa RHEL/CentOS 7 kwa seva huja na baadhi ya huduma chaguomsingi zilizosakinishwa awali, kama vile Postfix Daemon ya Wakala wa Uhawilishaji, Avahi mdns daemon (Mfumo wa Jina la Kikoa cha multicast) na Chrony. huduma, ambayo inawajibika kudumisha saa ya mfumo.
Sasa inakuja kwa swali .. Kwa nini wed haja ya afya ya huduma hizi zote. ikiwa zimewekwa mapema? Sababu moja kuu itakuwa kuongeza kiwango cha kiwango cha usalama wa mfumo, sababu ya pili ni marudio ya mwisho ya mfumo na ya tatu ni rasilimali za mfumo.
- Usakinishaji Ndogo wa CentOS 7
- RHEL 7 Usakinishaji Ndogo
Ikiwa unapanga kutumia RHEL/CentOS 7 yako mpya iliyosakinishwa kupangisha, tuseme, tovuti ndogo inayoendeshwa kwenye Apache au Nginx, au kutoa huduma za mtandao kama vile DNS. , DHCP, PXE boot, seva ya FTP, n.k au huduma zingine ambazo hazihitaji kuendesha daemon ya Postifx MTA, Chrony au Avahi daemon, basi kwa nini tunapaswa kuweka daemoni hizi zote zisizo za lazima kusakinishwa au hata kufanya kazi kwenye seva yako.
Huduma kuu za nje ambazo seva yako inahitaji kweli ili kuendeshwa baada ya kufanya usakinishaji mdogo zitakuwa tu SSH daemoni, ili kuruhusu kuingia kwa mbali kwenye mfumo, na, katika hali nyingine, huduma ya NTP, landanisha kwa usahihi saa yako ya ndani ya seva na seva za NTP za nje.
Zima/Ondoa Postfix MTA, Avahi na Huduma za Chrony
1. Baada ya usakinishaji kukamilika, ingia kwenye seva yako ukitumia root akaunti au mtumiaji aliye na haki za mizizi na usasishe mfumo, ili kuhakikisha kuwa mfumo wako umesasishwa na vifurushi vyote na usalama. mabaka.
# yum upgrade
2. Hatua inayofuata itakuwa kusakinisha baadhi ya huduma muhimu za mfumo kwa kutumia Kidhibiti Kifurushi cha YUM, kama vile zana za net (kifurushi hiki kinatoa ya zamani
lakini ifconfig amri nzuri), nano kihariri cha maandishi, wget na curl kwa uhamisho wa URL, lsof (kuorodhesha faili zako wazi) na ukamilishaji-bash, ambao hukamilisha otomatiki amri zilizochapwa.
# yum install nano bash-completion net-tools wget curl lsof
3. Sasa unaweza kuanza kuzima na kuondoa huduma zisizohitajika zilizosakinishwa awali. Kwanza kabisa pata orodha ya huduma zako zote zinazowezeshwa na zinazoendeshwa kwa kutekeleza amri ya netstat dhidi ya soketi za mtandao za TCP, UDP na Sikiliza.
# netstat -tulpn ## To output numerical service sockets # netstat -tulp ## To output literal service sockets
4. Kama unavyoona Postfix imeanzishwa na inasikilizwa kwenye localhost kwenye port 25, Avahi daemon hufunga kwenye Violesura vyote vya mtandao na Chronyd huduma huwashwa. localhost na miingiliano yote ya mtandao kwenye bandari tofauti. Endelea na uondoaji wa huduma ya Postfix MTA kwa kutoa amri zifuatazo.
# systemctl stop postfix # yum remove postfix
5. Kisha ondoa huduma ya Chronyd, ambayo itabadilishwa na seva ya NTP, kwa kutoa amri zifuatazo.
# systemctl stop chronyd # yum remove chrony
6. Sasa ni wakati wa kuondoa Avahi daemon. Inaonekana katika RHEL/CentOS 7 daemon ya Avahi inabanwa sana na inategemea huduma ya Kidhibiti cha Mtandao. Kutekeleza uondoaji wa daemon ya Avahi kunaweza kuacha mfumo wako bila miunganisho yoyote ya mtandao.
Kwa hiyo, makini zaidi na hatua hii. Ikiwa unahitaji usanidi otomatiki wa mtandao unaotolewa na Kidhibiti cha Mtandao au unahitaji kuhariri violesura vyako
kupitia nmtui mtandao na matumizi ya kiolesura, basi unapaswa tu kusimamisha na kuzima daemon ya Avahi na usiondoe kabisa.
Ikiwa bado ungependa kuondoa kabisa huduma hii basi lazima uhariri wewe mwenyewe faili za usanidi wa mtandao zilizo katika /etc/sysconfig/network-scripts/ifcfg-interface_name, kisha uanze na uwashe huduma ya mtandao.
Toa amri zifuatazo ili kuondoa Avahi mdns daemon. Tahadhari: Usijaribu kuondoa daemon ya Avahi ikiwa umeunganisha kupitia SSH.
# systemctl stop avahi-daemon.socket avahi-daemon.service # systemctl disable avahi-daemon.socket avahi-daemon.service
--------- Stop here if you don't want removal --------- # yum remove avahi-autoipd avahi-libs avahi
7. Hatua hii inahitajika tu ikiwa uliondoa Avahi daemon na miunganisho ya mtandao wako ikaanguka na unahitaji kusanidi mwenyewe Kadi ya Kiolesura cha Mtandao tena.
Ili kuhariri NIC yako kutumia IPv6 na Anwani ya IP tuli, nenda kwenye /etc/sysconfig/network-scripts/ njia, fungua faili ya kiolesura cha NIC (kawaida kadi ya kwanza inaitwa ifcfg-eno1677776 na tayari imesanidiwa na Kidhibiti cha Mtandao) na utumie dondoo lifuatalo kama mwongozo ikiwa
interface ya mtandao haina usanidi.
IPV6INIT=no
IPV6_AUTOCONF=yes
BOOTPROTO=none
DEVICE=eno16777736
ONBOOT=yes
UUID=c3f0dc21-d2eb-48eb-aadf-10a520b13df0
TYPE=Ethernet
#DEFROUTE=no
IPV4_FAILURE_FATAL=no
IPV6_DEFROUTE=no
IPV6_FAILURE_FATAL=no
NAME="System eno16777736"
IPV6_PEERDNS=yes
IPV6_PEERROUTES=yes
HWADDR=00:0C:29:E2:06:E9
IPADDR=192.168.1.25
NETMASK=255.255.255.0
GATEWAY=192.168.1.1
DNS1=192.168.1.1
DNS2=8.8.8.8
Mipangilio muhimu zaidi ambayo unapaswa kuzingatia hapa ni:
- BOOTPROTO - Imewekwa kuwa hakuna au tuli - kwa Anwani tuli ya IP.
- WASHA - Weka ndio - ili kuleta kiolesura chako baada ya kuwasha upya.
- DEFOUTE - Taarifa iliyotolewa maoni kwa # au kuondolewa kabisa - usitumie njia chaguo-msingi (Ukiitumia hapa unapaswa kuongeza DEFOUTE: hapana kwenye violesura vyote vya mtandao, visivyotumika kama njia chaguomsingi. njia).
8. Ikiwa miundombinu yako ina Seva ya DHCP ambayo huweka Anwani za IP kiotomatiki, tumia dondoo lifuatalo kwa Usanidi wa Violesura vya Mtandao.
IPV6INIT=no IPV6_AUTOCONF=yes BOOTPROTO=dhcp DEVICE=eno16777736 ONBOOT=yes UUID=c3f0dc21-d2eb-48eb-aadf-10a520b13df0 TYPE=Ethernet ##DEFROUTE=no IPV4_FAILURE_FATAL=no IPV6_DEFROUTE=no IPV6_FAILURE_FATAL=no NAME="System eno16777736" IPV6_PEERDNS=yes IPV6_PEERROUTES=yes HWADDR=00:0C:29:E2:06:E9
Sawa na usanidi wa Anwani ya IP isiyobadilika, hakikisha kwamba BOOTPROTO imewekwa kwa dhcp, kauli ya DEFOUTE imetolewa maoni au kuondolewa na kifaa kimesanidiwa kuwa. anza kiotomatiki kwenye buti. Ikiwa hutumii IPv6 ondoa au toa maoni kwa mistari yote iliyo na IPV6.
9. Ili kutumia usanidi mpya wa violesura vya mtandao wako lazima uanze upya huduma ya mtandao. Baada ya kuanzisha upya daemoni ya mtandao tumia ifconfig
au ip addr show amri ya kupata mipangilio ya kiolesura chako na ujaribu kubandika jina la kikoa ili kuona kama mtandao unafanya kazi.
# service network restart ## Use this command before systemctl # chkconfig network on # systemctl restart network # ifconfig # ping domain.tld
10. Kama mpangilio wa mwisho hakikisha kuwa umeweka jina la mfumo wa jina la mwenyeji kwa kutumia hostnamectl na ukague usanidi wako kwa amri ya hostname.
# hostnamectl set-hostname FQDN_system_name # hostnamectl status # hostname # hostname -s ## Short name # hostname -f ## FQDN name
11. Hiyo ndiyo yote! Kama jaribio la mwisho endesha netstat amri tena ili kuona ni huduma gani zinazofanya kazi kwenye mfumo wako.
# netstat -tulpn # netstat -tulp
12. Kando na seva ya SSH, ikiwa mtandao wako unatumia DHCP kuvuta usanidi thabiti wa IP, Kiteja cha DHCP kinapaswa kufanya kazi na kuwa hai kwenye milango ya UDP.
# netstat -tulpn
13. Kama mbadala wa huduma ya netstat unaweza kutoa soketi za mtandao unaoendesha kwa usaidizi wa amri ya Soketi Takwimu.
# ss -tulpn
14. Washa seva yako upya na uendeshe systemd-analize amri ili kubainisha utendakazi wa muda wa kuwasha mfumo wako na, pia, tumia bure na Diski
Amri isiyolipishwa ya kuonyesha takwimu za RAM na HDD na juu amri ili kuona sehemu ya juu ya rasilimali za mfumo zinazotumika zaidi.
# free -h # df -h # top
Hongera! Sasa una mazingira safi ya chini kabisa ya mfumo wa RHEL/CentOS 7 na huduma chache zilizosakinishwa na zinazoendeshwa na rasilimali zaidi zinazopatikana kwa usanidi wa siku zijazo.
Soma Pia: Simamisha na Lemaza Huduma Zisizotakikana kutoka kwa Linux