Pag-disable ug Pagtangtang sa Dili Gusto nga mga Serbisyo sa RHEL/CentOS 7 Minimal nga Pag-install

Ang RHEL/CentOS 7 dyutay nga pag-instalar alang sa mga server adunay pipila ka default nga pre-installed nga serbisyo, sama sa Postfix Mail Transfer Agent daemon, Avahi mdns daemon (multicast Domain Name System) ug Chrony serbisyo, nga responsable sa pagpadayon sa orasan sa sistema.

Karon moabut sa pangutana .. Nganong wed kinahanglan nga disable sa tanan niini nga mga serbisyo. kung pre-installed sila? Usa sa mga nag-unang hinungdan mao ang pagdugang sa lebel sa lebel sa seguridad sa sistema, ang ikaduha nga hinungdan mao ang katapusan nga destinasyon sa sistema ug ang ikatulo mao ang mga kapanguhaan sa sistema.

1. CentOS 7 Minimal nga Pag-instalar
2. RHEL 7 Minimal nga Pag-instalar

Kung nagplano ka nga gamiton ang imong bag-ong na-install nga RHEL/CentOS 7 aron mag-host, ingnon ta, usa ka gamay nga website nga nagdagan sa Apache o Nginx, o aron maghatag serbisyo sa network sama sa DNS .

Ang nag-unang mga serbisyo sa gawas nga gikinahanglan gayud sa imong server nga ipadagan human nimo mabuhat ang gamay nga pag-instalar kay usa lang ka SSH nga daemon, aron tugotan ang hilit nga mga login sa sistema, ug, sa pipila ka mga kaso, serbisyo sa NTP, sa tukma nga i-synchronize ang imong internal nga orasan sa server sa mga eksternal nga NTP server.

Pag-disable/Pagtangtang sa Postfix MTA, Avahi ug Chrony Services

1. Pagkahuman sa pag-install, pag-log in sa imong server gamit ang root account o usa ka user nga adunay mga pribilehiyo sa gamut ug paghimo usa ka update sa sistema, aron masiguro nga ang imong sistema labing bag-o sa tanan nga mga pakete ug seguridad mga patsa.

# yum upgrade

2. Ang sunod nga lakang mao ang pag-instalar sa pipila ka mapuslanong sistema nga mga utilities gamit ang YUM Package Manager, sama sa net-tools (kini nga package naghatag sa mas daan
pero maayo nga ifconfig command), nano text editor, wget ug curl para sa URL transfers, lsof (aron ilista ang imong bukas nga mga file) ug bash-completion, nga awtomatikong mokompleto sa gi-type nga mga sugo.

# yum install nano bash-completion net-tools wget curl lsof

3. Karon mahimo nimong sugdan ang pag-disable ug tangtangon ang na-pre-install nga dili gusto nga mga serbisyo. Una sa tanan pagkuha og lista sa tanan nimong gipagana ug gipadagan nga mga serbisyo pinaagi sa pagpadagan sa netstat nga sugo batok sa TCP, UDP ug Listen state network sockets.

# netstat -tulpn  	## To output numerical service sockets

# netstat -tulp      	## To output literal service sockets

4. Ingon sa imong makita ang Postfix gisugdan ug naminaw sa localhost sa port 25, Avahi daemon binds sa tanang network Interfaces ug Chronyd service binds on localhost ug tanan nga mga interface sa network sa lainlaing mga pantalan. Ipadayon ang pagtangtang sa serbisyo sa Postfix MTA pinaagi sa pag-isyu sa mosunod nga mga sugo.

# systemctl stop postfix
# yum remove postfix

5. Sunod kuhaa ang serbisyo sa Chronyd, nga pulihan sa NTP server, pinaagi sa pag-isyu sa mosunod nga mga sugo.

# systemctl stop chronyd
# yum remove chrony

6. Karon na ang panahon sa pagtangtang sa Avahi daemon. Morag sa RHEL/CentOS 7 ang Avahi daemon kusog kaayo ug nagdepende sa serbisyo sa Network Manager. Ang paghimo sa Avahi daemon nga pagtangtang mahimong mobiya sa imong sistema nga walay bisan unsang koneksyon sa network.

Busa, paghatag og dugang nga pagtagad niini nga lakang. Kung kinahanglan gyud nimo ang awtomatikong pag-configure sa network nga gihatag sa Network Manager o kinahanglan nimo nga usbon ang imong mga interface
pinaagi sa nmtui network ug interface utility, nan kinahanglan lang nga mohunong ka ug mag-disable sa Avahi daemon ug dili mobuhat sa bisan unsang pagtangtang.

Kung gusto nimo nga hingpit nga tangtangon kini nga serbisyo nan kinahanglan nimo nga mano-mano ang pag-edit sa mga file sa configuration sa network nga nahimutang sa /etc/sysconfig/network-scripts/ifcfg-interface_name, unya sugdi ug i-enable ang serbisyo sa networking.

Ipagawas ang mosunod nga mga sugo aron tangtangon ang Avahi mdns daemon. Pasidaan: Ayaw pagsulay sa pagtangtang sa Avahi daemon kung konektado ka pinaagi sa SSH.

# systemctl stop avahi-daemon.socket avahi-daemon.service
# systemctl disable avahi-daemon.socket avahi-daemon.service

--------- Stop here if you don't want removal --------- 

# yum remove avahi-autoipd avahi-libs avahi

7. Kini nga lakang gikinahanglan lamang kung imong gikuha ang Avahi daemon ug ang imong mga koneksyon sa network nahagsa ug kinahanglan nimo nga mano-mano ang pag-configure sa Network Interface Card pag-usab.

Para i-edit ang imong NIC para magamit ang IPv6 ug static IP Address, adto sa /etc/sysconfig/network-scripts/ nga dalan, ablihi ang NIC interface file (kasagaran ang unang kard ginganlan og ifcfg-eno1677776 ug gi-configure na sa Network Manager) ug gamita ang mosunod nga kinutlo isip giya kon ang imong
network interface walay configuration.

IPV6INIT=no
IPV6_AUTOCONF=yes
BOOTPROTO=none
DEVICE=eno16777736
ONBOOT=yes
UUID=c3f0dc21-d2eb-48eb-aadf-10a520b13df0
TYPE=Ethernet
#DEFROUTE=no
IPV4_FAILURE_FATAL=no
IPV6_DEFROUTE=no
IPV6_FAILURE_FATAL=no
NAME="System eno16777736"
IPV6_PEERDNS=yes
IPV6_PEERROUTES=yes
HWADDR=00:0C:29:E2:06:E9
                IPADDR=192.168.1.25
                NETMASK=255.255.255.0
                GATEWAY=192.168.1.1
                DNS1=192.168.1.1
                DNS2=8.8.8.8

Ang labing hinungdanon nga mga setting dinhi nga kinahanglan nimong tagdon mao ang:

1. BOOTPROTO – Itakda sa wala o static – para sa static nga IP Address.
2. ONBOOT – Itakda sa oo – aron ipataas ang imong interface human sa reboot.
3. DEFROUTE – Ang pahayag nga gikomentohan og # o hingpit nga gitangtang – ayaw gamita ang default nga ruta (Kung imo kining gamiton dinhi kinahanglan nimong idugang ang “DEFROUTE: dili” sa tanang network interface, dili gamiton isip default rota).

8. Kung ang imong imprastraktura adunay DHCP Server nga awtomatik nga nag-assign sa mga IP Address, gamita ang mosunod nga kinutlo alang sa Network Interfaces Configuration.

IPV6INIT=no
IPV6_AUTOCONF=yes
BOOTPROTO=dhcp
DEVICE=eno16777736
ONBOOT=yes
UUID=c3f0dc21-d2eb-48eb-aadf-10a520b13df0
TYPE=Ethernet
##DEFROUTE=no
IPV4_FAILURE_FATAL=no
IPV6_DEFROUTE=no
IPV6_FAILURE_FATAL=no
NAME="System eno16777736"
IPV6_PEERDNS=yes
IPV6_PEERROUTES=yes
HWADDR=00:0C:29:E2:06:E9

Sama sa configuration nga adunay Static IP Address, siguroha nga ang BOOTPROTO gitakda sa dhcp, ang DEFROUTE nga pahayag gikomento o gitangtang ug ang device gi-configure sa awtomatikong magsugod sa boot. Kung dili nimo gamiton ang IPv6 kuhaa lang o ikomento ang tanan nga linya nga adunay IPV6.

9. Aron magamit ang bag-ong mga pag-configure alang sa imong mga interface sa network kinahanglan nimo nga i-restart ang serbisyo sa network. Human nimo i-restart ang network daemon gamita ang ifconfig
o ip addr show nga sugo aron makuha ang imong mga setting sa interface ug sulayi ang pag-ping sa usa ka domain name aron makita kung ang network magamit.

# service network restart	## Use this command before systemctl
# chkconfig network on
# systemctl restart network
# ifconfig
# ping domain.tld

10. Isip usa ka katapusang setting siguroha nga nag-set up ka ug ngalan para sa system hostname gamit ang hostnamectl utility ug ribyuha ang imong configuration gamit ang hostname command.

# hostnamectl set-hostname FQDN_system_name
# hostnamectl status
# hostname
# hostname -s   	## Short name
# hostname -f   	## FQDN name

11. Kana lang! Isip kataposang pagsulay ipadagan pag-usab ang netstat nga sugo aron makita kung unsa nga mga serbisyo ang nagdagan sa imong sistema.

# netstat -tulpn
# netstat -tulp

12. Gawas sa SSH server, kung ang imong network naggamit sa DHCP sa pagbitad sa dinamikong IP configurations, usa ka DHCP Client kinahanglan nga modagan ug aktibo sa UDP ports.

# netstat -tulpn

13. Isip alternatibo sa netstat utility mahimo nimong i-output ang imong running network sockets sa tabang sa Sockets Statistics command.

# ss -tulpn 

14. I-reboot ang imong server ug padagana ang systemd-analize command aron matino ang performance sa imong system boot-up ug, usab, gamita ang libre ug Disk
Libre nga sugo aron ipakita ang mga estadistika sa RAM ug HDD ug ibabaw nga sugo aron makita ang tumoy sa labing gigamit nga mga kapanguhaan sa sistema.

# free -h
# df -h
# top 

Mga pahalipay! Karon ikaw adunay usa ka limpyo nga gamay nga RHEL/CentOS 7 nga sistema sa palibot nga adunay gamay nga serbisyo nga na-install ug nagdagan ug daghang mga kapanguhaan nga magamit alang sa umaabot nga mga pag-configure.

Basaha Usab: Hunong ug I-disable ang Dili Gusto nga mga Serbisyo gikan sa Linux