引导时启用的Linux默认服务
时间:2020-01-09 10:41:25 来源:igfitidea点击:
在CentOS/Fedora/RHEL/Redhat企业Linux中,哪些服务在默认情况下在引导时已启用?
您可以为所有默认服务提供一套建议,并为性能和安全性提供哪些建议,并关闭哪些建议?
您需要最小化软件以最小化漏洞。
这提供了针对漏洞软件的最佳保护。
请注意,本教程适用于非基于系统的系统,例如CentOS/RHEL 5.x/6.x,Debian 8.x或更高版本,Ubuntu 15.04或更高版本等。
确定在引导时启用了哪些服务
执行以下命令:
# service --status-all # chkconfig --list | grep '3:on'
输出示例:
acpid 0:off 1:off 2:on 3:on 4:on 5:on 6:off anacron 0:off 1:off 2:on 3:on 4:on 5:on 6:off atd 0:off 1:off 2:off 3:on 4:on 5:on 6:off auditd 0:off 1:off 2:on 3:on 4:on 5:on 6:off cpuspeed 0:off 1:on 2:on 3:on 4:on 5:on 6:off crond 0:off 1:off 2:on 3:on 4:on 5:on 6:off dkms_autoinstaller 0:off 1:off 2:on 3:on 4:on 5:on 6:off haldaemon 0:off 1:off 2:off 3:on 4:on 5:on 6:off ip6tables 0:off 1:off 2:on 3:on 4:on 5:on 6:off irqbalance 0:off 1:off 2:on 3:on 4:on 5:on 6:off kudzu 0:off 1:off 2:off 3:on 4:on 5:on 6:off lm_sensors 0:off 1:off 2:on 3:on 4:on 5:on 6:off mcstrans 0:off 1:off 2:on 3:on 4:on 5:on 6:off messagebus 0:off 1:off 2:off 3:on 4:on 5:on 6:off microcode_ctl 0:off 1:off 2:on 3:on 4:on 5:on 6:off netfs 0:off 1:off 2:off 3:on 4:on 5:on 6:off network 0:off 1:off 2:on 3:on 4:on 5:on 6:off ntpd 0:off 1:off 2:on 3:on 4:on 5:on 6:off rawdevices 0:off 1:off 2:off 3:on 4:on 5:on 6:off readahead_early 0:off 1:off 2:on 3:on 4:on 5:on 6:off restorecond 0:off 1:off 2:on 3:on 4:on 5:on 6:off sendmail 0:off 1:off 2:on 3:on 4:on 5:on 6:off setroubleshoot 0:off 1:off 2:off 3:on 4:on 5:on 6:off smartd 0:off 1:off 2:on 3:on 4:on 5:on 6:off snmpd 0:off 1:off 2:on 3:on 4:on 5:on 6:off sshd 0:off 1:off 2:on 3:on 4:on 5:on 6:off syslog 0:off 1:off 2:on 3:on 4:on 5:on 6:off sysstat 0:off 1:off 2:on 3:on 4:on 5:on 6:off yum-updatesd 0:off 1:off 2:on 3:on 4:on 5:on 6:off
第一列是在引导时启用的服务的名称。
可以使用chkconfig命令或ntsysv命令禁用它:
chkconfig serviceName off service serviceName stop
或者
ntsysv
服务状态
所有服务一次可以处于以下任一状态:
Disabled:如果可能,禁用服务(例如NFS和portmap)。Enabled:保持服务启用状态(例如电源管理和联网等)。Configure:这是一项必不可少的服务,您需要进行配置以使服务器正常工作。必须为安全性和性能正确配置服务(例如,各种服务器,Iptables,SELinux和IP6tables等)。Remove:这不是状态,但是您可以删除服务(例如,rsh,vsftpd,X Server或任何其他不需要的不安全服务)。
建议对默认服务采取的措施
| 服务 | 描述 | 操作 |
|---|---|---|
| acpid | 高级配置和电源接口事件守护程序 | 启用 |
| anacron | Anacron就像cron一样,但是它不假定机器正在连续运行。因此,它可以用于每天24小时不运行的机器上,以控制通常由cron控制的每日,每周和每月的工作。 | 在服务器上禁用 |
| apmd | 高级电源管理子系统(旧系统)。如果服务器具有ACPI支持,请禁用此服务 | 如果可能,请禁用 |
| auditd | Linux审核系统 | 启用和配置 |
| atd | atd运行由at | 启用并配置 |
| autofs | automount(8)程序用于管理内联Linux自动安装程序autofs的安装点。您可以通过/etc/fstab挂载NFS,USB,DVD/CD和CIFS。 | 禁用 |
| avahi daemon和avahi dnsconfd | avahi mDNS/DNS-SD daemon实现了苹果的ZeroConf架构(也称为Rendezvous或Bonjour)。 | 禁用 |
| 蓝牙和hidd | 用于服务发现、身份验证、人机界面设备(hidd)等的蓝牙服务 | 禁用 |
| cpuspeed | 此服务监视系统空闲百分比,并相应地降低或提高cpu时钟速度和电压,以在空闲时最小化功耗,并在需要时最大限度地提高性能 | 启用 |
| crond | 服务通过crond守护程序执行预定命令。 | 启用和配置 |
| cups | 通用unix打印系统服务 | 尽可能禁用 |
| dc_client&dc_client | Distcache SSL会话高速缓存客户机和服务器代理的启动脚本。 如果不需要缓存代理,请禁用。 | 如果可能,请禁用 |
| dnsmasq | DNS缓存服务器。如果您的ISP或远程DNS缓存服务器非常慢,请启用。 | 启用 |
| dkmds_autoinstallers | dkms是一个框架,它允许以简化和有组织的方式为系统上的每个内核动态构建内核模块。 | 如果可能,请禁用 |
| firstboot | RHLE特定服务。在成功安装操作系统后,它会进行一些配置。 | 禁用 |
| gpm | 用于虚拟控制台的剪切粘贴实用程序和鼠标服务器服务。 | 禁用 |
| haldaemon | 此服务用于从多个来源收集和维护有关硬件的信息。这只用于X和桌面应用程序。在服务器上禁用它。 | 禁用 |
| hplip | 针对非PostScript HP打印机的服务。在服务器上禁用它。 | 禁用 |
| irda | irda(TM)(红外数据协会)是设备间无线、红外通信的行业标准。IrDA的速度范围从9600 bps到4 Mbps,许多现代设备都可以使用IrDA,包括笔记本电脑、LAN适配器、PDA、打印机和移动电话。 | 如果可能,请禁用 |
| iscsi&iscsid | iscsi服务登录到系统启动时所需的iscsi目标(即iscsi客户端)。iscsid将启动和停止iSCSI守护程序。如果您有基于iscsi的存储,请使用此选项。 | 如果可能,请禁用 |
| iptables&ip6tables | IPv4和IPv6防火墙服务。 | 启用和配置 |
| irqbalance | irqbalance服务将中断分布在多处理器系统的CPU上,以分散负载。 | 启用 |
| isdn | 使用isdn调制解调器提供Internet连接。 | 如果不使用isdn调制解调器,则禁用 |
| kdump | 内核崩溃转储分析器。此服务对于内核黑客和设备驱动程序开发或测试新的内核功能非常有用。对生产箱启用服务。 | 禁用 |
| kudzu | RHEL特定的硬件检测服务。 在最终用户可以在其中添加新硬件的台式机或笔记本电脑上需要此功能,而在服务器上则不需要。 | 禁用 |
| lm_sensors | lm_sensors用于监视主板传感器值。 | 禁用 |
| lvm2-monitor | 启动和停止lvm2的dmeventd监视。如果您不使用基于LVM2(Linux卷管理器)的存储,请禁用它。 | 禁用 |
| mcstrans | 启动SELinux上下文翻译系统守护进程。这是特定于站点的SELinux要求。 | 如果可能,请禁用 |
| mdmonitor | 软件RAID监控和管理服务。如果您不使用RAID软件,请禁用它。这不是硬件RAID设置所必需的,因为它们有自己的程序。 | 如果可能,请禁用 |
| messagebus | 此服务广播系统事件和其他消息的通知(D-bus)。为蓝牙、X Windows和桌面系统打开它。 | 禁用 |
| 微码ctl | 为英特尔IA32处理器应用cpu微码的脚本。如果您不使用Intel IA32处理器,请将其禁用。 | 禁用 |
| netfs、nfslock、rpcgsd、rpcidmapd和portmap | 装载和配置Linux网络文件系统(NFS)。如果您不使用NFS客户机/服务器技术,请禁用它。 | 如果可能,请禁用 |
| 网络 | 激活/停用配置为在启动时启动的所有网络接口的服务。 | 启用 |
| pcscd | PC/SC智能卡服务是PC/SC lite和Musclecard框架的资源管理器。它协调与智能卡读卡器、智能卡和连接到服务器的加密令牌的通信系统。如果系统上未使用智能卡,请禁用此服务: | 禁用 |
| readahead | early和readahead | later |
| restorecond | 此服务为SELinux还原正确的安全上下文。 | 启用 |
| rhnsd | 此服务处理定期连接到RHN服务器的任务,以检查更新、通知,并根据服务器订阅的服务级别执行系统监视任务。禁用此服务并使用yum updates服务。 | 禁用 |
| sendmail | 用于启动sendmail服务器。 | 启用和配置 |
| smartd | 硬盘的自我监控和报告技术(SMART)守护程序。 | 启用和配置 |
| setroubleshoot | 此服务启动SELinux疑难解答守护程序。它将以用户友好的方式向桌面用户发送SELinux拒绝访问消息的通知。 | 禁用 |
| sshd | openssh服务器。如果需要远程登录,请启用它。必须在所有服务器上启用此功能,以便登录和配置所有内容。 | 启用 |
| syslog | syslog是许多其他Linux守护进程用来将消息记录到各种系统日志文件的工具。最好始终运行syslog。 | 启用 |
| xfs | X Windows字体服务器。在服务器上禁用它。 | 禁用 |
| yum updatesd | 更新系统包的通知守护程序。 | 启用 |
删除过时的不安全服务
用户是否有通过"不安全协议"(例如ftp,NIS和telnet)访问系统的关键任务原因?
以下服务是过时的服务,为安全起见必须将其删除:
inetd and xinetd:默认情况下未安装。但是,它已安装,只需将其删除即可。考虑提供所需功能的"切换到更安全的服务"。telnet-server:删除不安全的telnet远程登录,使用OpenSSH服务器和ssh客户端返回服务器。rsh-server:删除不安全的rlogin,rsh或rcp命令。使用OpenSSH中的scp和ssh命令。ypserv&ypbind:远程过时的NIS,请考虑使用OpenLDAP或Fedora/Redhat目录服务器。tftp-server:删除过时且不安全的TFTP服务器软件。
配置所需的服务
需要时,需要安装和配置其他服务:
httpd:Apache Web服务器。php-cgi:php服务器。bind9(named):DNS服务器。ntpd:基于时间网络的时间客户端/服务器。snmpd:网络snmp服务器。squid:Squid代理和Web缓存服务器。
如何开启或关闭服务?
使用ntsysv应用程序,它是用于配置运行级别服务的简单界面,这些服务也可以通过chkconfig命令进行配置:
# ntsysv
或者
# chkconfig serviceName off
