RHEL/CentOS 7 Minimal Kurulumunda İstenmeyen Hizmetleri Devre Dışı Bırakın ve Kaldırın

Sunucular için RHEL/CentOS 7 minimum kurulumu, Postfix Mail Transfer Agent arka plan programı, Avahi gibi bazı varsayılan önceden yüklenmiş hizmetlerle birlikte gelir mdns daemon (çok noktaya yayın Etki Alanı Adı Sistemi) ve sistem saatinin bakımından sorumlu olan Chrony hizmeti.

Şimdi şu soruya geliyoruz. Neden tüm bu hizmetleri devre dışı bırakmamız gerekiyor? önceden yüklenmişlerse? Ana nedenlerden biri sistem güvenlik düzeyi derecesini arttırmak olabilir, ikinci neden sistemin nihai hedefi ve üçüncü neden ise sistem kaynaklarıdır.

Gereksinimler

  1. CentOS 7 Minimal Kurulum
  2. RHEL 7 Minimal Kurulum

Yeni yüklediğiniz RHEL/CentOS 7'nizi, örneğin Apache veya Nginx üzerinde çalışan küçük bir web sitesini barındırmak veya DNS gibi ağ hizmetleri sağlamak için kullanmayı planlıyorsanız , DHCP, PXE önyüklemesi, FTP sunucusu vb. veya Postifx MTA arka plan programını, Chrony veya Avahi arka plan programını çalıştırmayı gerektirmeyen diğer hizmetler, o zaman neden tüm bu gereksiz arka plan programlarını sunucunuzda yüklü ve hatta çalışır durumda tutmamız gerekiyor.

Minimum kurulum gerçekleştirdikten sonra sunucunuzun gerçekten çalışması için ihtiyaç duyduğu ana harici hizmetler, sistemde uzaktan oturum açmaya izin vermek için yalnızca bir SSH arka plan programı ve bazı durumlarda NTP hizmeti olacaktır. sunucunuzun dahili saatini harici NTP sunucularıyla doğru bir şekilde senkronize edin.

Postfix MTA, Avahi ve Chrony Hizmetlerini Devre Dışı Bırakma/Kaldırma

1. Kurulum tamamlandıktan sonra, sisteminizin güncel olduğundan emin olmak için root hesabınızla veya root ayrıcalıklarına sahip bir kullanıcıyla sunucunuza giriş yapın ve bir sistem güncellemesi gerçekleştirin. -tüm paketler ve güvenlik yamalarıyla güncelleyin.

yum upgrade

2. Bir sonraki adım, YUM Paket Yöneticisi'ni kullanarak net-tools gibi bazı yararlı sistem yardımcı programlarını yüklemek olacaktır (bu paket daha eski olanı sağlar
ancak iyi bir ifconfig komutu), nano metin düzenleyicisi, URL aktarımları için wget ve curl, lsof (açık dosyalarınızı listelemek için) ve yazılan komutları otomatik olarak tamamlayan bash-completion.

yum install nano bash-completion net-tools wget curl lsof

3. Artık önceden yüklenmiş istenmeyen hizmetleri devre dışı bırakmaya ve kaldırmaya başlayabilirsiniz. Öncelikle TCP, UDP ve Listen state ağ soketlerine karşı netstat komutunu çalıştırarak tüm etkin ve çalışan hizmetlerinizin bir listesini alın.

netstat -tulpn  	## To output numerical service sockets

netstat -tulp      	## To output literal service sockets

4. Gördüğünüz gibi Postfix başlatıldı ve 25 numaralı bağlantı noktasındaki localhost'u dinliyor, Avahi arka plan programı tüm ağ Arayüzlerine ve Chronyd'e bağlanıyor hizmeti localhost'a ve farklı bağlantı noktalarındaki tüm ağ arayüzlerine bağlanır. Aşağıdaki komutları vererek Postfix MTA hizmeti kaldırma işlemine devam edin.

systemctl stop postfix
yum remove postfix

5. Daha sonra aşağıdaki komutları vererek yerini NTP sunucusuna bırakacak olan Chronyd hizmetini kaldırın.

systemctl stop chronyd
yum remove chrony

6. Şimdi Avahi arka plan programını kaldırmanın zamanı geldi. Görünüşe göre RHEL/CentOS 7'de Avahi arka planı oldukça sıkı ve Ağ Yöneticisi hizmetine bağlı. Avahi arka plan programının kaldırılması, sisteminizin herhangi bir ağ bağlantısı olmadan kalmasına neden olabilir.

Bu nedenle bu adıma daha fazla dikkat edin. Gerçekten Ağ Yöneticisi tarafından sağlanan otomatik ağ yapılandırmasına ihtiyacınız varsa veya arayüzlerinizi düzenlemeniz gerekiyorsa
nmtui ağ ve arayüz yardımcı programını kullanarak, yalnızca Avahi arka plan programını durdurup devre dışı bırakmanız ve hiçbir kaldırma işlemi yapmamanız gerekir.

Bu hizmeti yine de tamamen kaldırmak istiyorsanız /etc/sysconfig/network-scripts/ifcfg-interface_name konumunda bulunan ağ yapılandırma dosyalarını manuel olarak düzenlemeniz, ardından ağ hizmetini başlatıp etkinleştirmeniz gerekir.

Avahi mdns arka plan programını kaldırmak için aşağıdaki komutları verin. Dikkat: SSH aracılığıyla bağlanıyorsanız Avahi arka plan programını kaldırmaya çalışmayın.

systemctl stop avahi-daemon.socket avahi-daemon.service
systemctl disable avahi-daemon.socket avahi-daemon.service

--------- Stop here if you don't want removal --------- 

yum remove avahi-autoipd avahi-libs avahi

7. Bu adım yalnızca Avahi arka plan programını kaldırdıysanız ve ağ bağlantılarınız kilitlendiyse ve Ağ Arayüz Kartını manuel olarak yeniden yapılandırmanız gerekiyorsa gereklidir.

NIC'nizi IPv6 ve statik IP Adresi kullanacak şekilde düzenlemek için /etc/sysconfig/network-scripts/ yoluna gidin, NIC arayüz dosyasını açın (genellikle ilk kart ifcfg-eno1677776 olarak adlandırılır ve zaten Ağ Yöneticisi tarafından yapılandırılmıştır) ve
durumunda aşağıdaki alıntıyı kılavuz olarak kullanın. ağ arayüzünün konfigürasyonu yok.

IPV6INIT=no
IPV6_AUTOCONF=yes
BOOTPROTO=none
DEVICE=eno16777736
ONBOOT=yes
UUID=c3f0dc21-d2eb-48eb-aadf-10a520b13df0
TYPE=Ethernet
#DEFROUTE=no
IPV4_FAILURE_FATAL=no
IPV6_DEFROUTE=no
IPV6_FAILURE_FATAL=no
NAME="System eno16777736"
IPV6_PEERDNS=yes
IPV6_PEERROUTES=yes
HWADDR=00:0C:29:E2:06:E9
                IPADDR=192.168.1.25
                NETMASK=255.255.255.0
                GATEWAY=192.168.1.1
                DNS1=192.168.1.1
                DNS2=8.8.8.8

Burada dikkate almanız gereken en önemli ayarlar şunlardır:

  1. BOOTPROTO – Statik IP Adresi için yok veya statik olarak ayarlayın.
  2. ONBOOT – Evet olarak ayarlayın – yeniden başlatmanın ardından arayüzünüzü açmak için.
  3. DEFROUTE – Açıklama # ile yorumlandı veya tamamen kaldırıldı – varsayılan rotayı kullanmayın (Eğer burada kullanırsanız, tüm ağ arayüzlerine “DEFROUTE: no”yu, varsayılan rota olarak kullanılmayan) eklemelisiniz.

8. Altyapınızda IP Adreslerini otomatik olarak atayan bir DHCP Sunucusu varsa, Ağ Arayüzleri Yapılandırması için aşağıdaki alıntıyı kullanın.

IPV6INIT=no
IPV6_AUTOCONF=yes
BOOTPROTO=dhcp
DEVICE=eno16777736
ONBOOT=yes
UUID=c3f0dc21-d2eb-48eb-aadf-10a520b13df0
TYPE=Ethernet
##DEFROUTE=no
IPV4_FAILURE_FATAL=no
IPV6_DEFROUTE=no
IPV6_FAILURE_FATAL=no
NAME="System eno16777736"
IPV6_PEERDNS=yes
IPV6_PEERROUTES=yes
HWADDR=00:0C:29:E2:06:E9

Statik IP Adresi yapılandırmasıyla aynı şekilde, BOOTPROTO'nun dhcp olarak ayarlandığından, DEFROUTE ifadesine yorum yapıldığından veya kaldırıldığından ve cihazın açılışta otomatik olarak başlar. IPv6 kullanmıyorsanız, IPV6 içeren tüm satırları kaldırın veya yorum yapın.

9. Yeni yapılandırmaları ağ arayüzlerinize uygulamak için ağ hizmetini yeniden başlatmanız gerekir. Ağ arka plan programını yeniden başlattıktan sonra ifconfig
kullanın veya arayüz ayarlarınızı almak için ip addr show komutunu kullanın ve ağın işlevsel olup olmadığını görmek için bir alan adına ping atmayı deneyin.

service network restart	## Use this command before systemctl
chkconfig network on
systemctl restart network
ifconfig
ping domain.tld

10. Son ayar olarak, hostnamectl yardımcı programını kullanarak sistem ana bilgisayar adı için bir ad ayarladığınızdan emin olun ve ana bilgisayar adı< ile yapılandırmanızı gözden geçirin. komutu.

hostnamectl set-hostname FQDN_system_name
hostnamectl status
hostname
hostname -s   	## Short name
hostname -f   	## FQDN name

11. Bu kadar! Son bir test olarak, sisteminizde hangi hizmetlerin çalıştığına bir göz atmak için netstat komutunu yeniden çalıştırın.

netstat -tulpn
netstat -tulp

12. SSH sunucusunun yanı sıra, ağınız dinamik IP yapılandırmalarını almak için DHCP kullanıyorsa, bir DHCP İstemcisi UDP bağlantı noktalarında çalışmalı ve etkin olmalıdır.

netstat -tulpn

13. netstat yardımcı programına alternatif olarak Soket İstatistikleri komutunun yardımıyla çalışan ağ soketlerinizin çıktısını alabilirsiniz.

ss -tulpn

14. Sunucunuzu yeniden başlatın ve sisteminizin açılış süresi performansını belirlemek için systemd-analize komutunu çalıştırın ve ayrıca ücretsiz ve Disk
RAM ve HDD istatistiklerini görüntülemek için ücretsiz komut ve en çok kullanılan sistem kaynaklarının üst kısmını görmek için top komutu.

free -h
df -h
top

Tebrikler! Artık daha az hizmetin kurulu ve çalışır durumda olduğu ve gelecekteki yapılandırmalar için daha fazla kaynağın mevcut olduğu temiz, minimal bir RHEL/CentOS 7 sistem ortamına sahipsiniz.

Ayrıca Okuyun: Linux'ta İstenmeyen Hizmetleri Durdurun ve Devre Dışı Bırakın