暁なIT備忘録

AKATSUKI Information Technology Memorandum.

Linux 導入後の初期設定:サービス関係

Tags: ,

ここで上げている停止サービスはあくまで一例です。
環境によって起動の要否は様々ですので、適宜調整していってください。

但し、Port を Bind する類のサービスについては、本当に必要最小限、としておくことがセキュアな環境構築にも繋がります。
乱暴なやり方としては、上流の FW で Port を閉じているので OK とする場合もありますが…

■■■■■ サービス関係 ■■■■■

■不要サービスの停止

# chkconfig --list
NetworkManager  0:off   1:off   2:off   3:off   4:off   5:off   6:off
abrtd           0:off   1:off   2:off   3:on    4:off   5:on    6:off
acpid           0:off   1:off   2:on    3:on    4:on    5:on    6:off
atd             0:off   1:off   2:off   3:on    4:on    5:on    6:off
auditd          0:off   1:off   2:on    3:on    4:on    5:off   6:off
autofs          0:off   1:off   2:off   3:on    4:on    5:on    6:off
avahi-daemon    0:off   1:off   2:off   3:on    4:on    5:on    6:off
cgconfig        0:off   1:off   2:off   3:off   4:off   5:off   6:off
cgred           0:off   1:off   2:off   3:off   4:off   5:off   6:off
cpuspeed        0:off   1:on    2:on    3:on    4:on    5:on    6:off
crond           0:off   1:off   2:on    3:on    4:on    5:on    6:off
dnsmasq         0:off   1:off   2:off   3:off   4:off   5:off   6:off
firstboot       0:off   1:off   2:off   3:off   4:off   5:off   6:off
haldaemon       0:off   1:off   2:off   3:on    4:on    5:on    6:off
ip6tables       0:off   1:off   2:off   3:off   4:off   5:off   6:off
iptables        0:off   1:off   2:on    3:on    4:on    5:on    6:off
irqbalance      0:off   1:off   2:off   3:on    4:on    5:on    6:off
kdump           0:off   1:off   2:off   3:off   4:off   5:off   6:off
ksm             0:off   1:off   2:off   3:on    4:on    5:on    6:off
ksmtuned        0:off   1:off   2:off   3:on    4:on    5:on    6:off
libvirt-guests  0:off   1:off   2:off   3:on    4:on    5:on    6:off
lvm2-monitor    0:off   1:on    2:on    3:on    4:on    5:on    6:off
mdmonitor       0:off   1:off   2:on    3:on    4:on    5:on    6:off
messagebus      0:off   1:off   2:on    3:on    4:on    5:on    6:off
microcode_ctl   0:off   1:off   2:on    3:on    4:on    5:on    6:off
netconsole      0:off   1:off   2:off   3:off   4:off   5:off   6:off
netfs           0:off   1:off   2:off   3:on    4:on    5:on    6:off
network         0:off   1:off   2:on    3:on    4:on    5:on    6:off
nfs             0:off   1:off   2:off   3:off   4:off   5:off   6:off
nfslock         0:off   1:off   2:off   3:on    4:on    5:on    6:off
ntpd            0:off   1:off   2:off   3:off   4:off   5:off   6:off
ntpdate         0:off   1:off   2:off   3:off   4:off   5:off   6:off
postfix         0:off   1:off   2:on    3:on    4:on    5:on    6:off
psacct          0:off   1:off   2:off   3:off   4:off   5:off   6:off
rdisc           0:off   1:off   2:off   3:off   4:off   5:off   6:off
restorecond     0:off   1:off   2:off   3:off   4:off   5:off   6:off
rpcbind         0:off   1:off   2:on    3:on    4:on    5:on    6:off
rpcgssd         0:off   1:off   2:off   3:on    4:on    5:on    6:off
rpcidmapd       0:off   1:off   2:off   3:on    4:on    5:on    6:off
rpcsvcgssd      0:off   1:off   2:off   3:off   4:off   5:off   6:off
rsyslog         0:off   1:off   2:on    3:on    4:on    5:on    6:off
saslauthd       0:off   1:off   2:off   3:off   4:off   5:off   6:off
smartd          0:off   1:off   2:off   3:off   4:off   5:off   6:off
sshd            0:off   1:off   2:on    3:on    4:on    5:on    6:off
sysstat         0:off   1:on    2:on    3:on    4:on    5:on    6:off
tgtd            0:off   1:off   2:off   3:off   4:off   5:off   6:off
udev-post       0:off   1:on    2:on    3:on    4:on    5:on    6:off
wpa_supplicant  0:off   1:off   2:off   3:off   4:off   5:off   6:off
xinetd          0:off   1:off   2:off   3:on    4:on    5:on    6:off

xinetd ベースのサービス:
        chargen-dgram:  off
        chargen-stream: off
        cvs:            off
        daytime-dgram:  off
        daytime-stream: off
        discard-dgram:  off
        discard-stream: off
        echo-dgram:     off
        echo-stream:    off
        rsync:          off
        tcpmux-server:  off
        time-dgram:     off
        time-stream:    off

作業:不要サービス停止前

ざっと調べた各サービスの意味は以下の通りです。
ここから自身の環境に不要なサービスを取り除きます。
取り除きすぎると色々と不都合が発生します…GNOME 立ち上がらねー(T∇T)とか(笑)

abrtd
	ホスト機の動作を監視し、スクリプトエラーなどをログファイルに記録するデーモン
acpid
	ACPIによる電源管理(省電力モードなど)
anacron
	ダウンタイム時に損失したジョブを自動実行する
atd
	所定した時刻にコマンドを実行する(cron で代用可能)
auditd
	SELinux の詳細なログを収集する
autofs
	CD-ROM 等のリムーバブル・デバイスの自動マウント(人によりけり)
avahi-daemon
	mDNS を通してネームレゾリューションを提供する(多分不要)
bluetooth
	ワイヤレス通信サービス(サーバ用途では絶対いらない)
cpuspeed
	システムのアイドル比率に応じて CPU の動作周波数を上下させる
crond
	コマンドを指定時刻に定期実行する
cups
	プリンタサービス(使わなければ不要 / ご家庭用途なので一応ON)
firstboot
	初回起動設定をする
gpm
	コンソールでのマウス入力を管理する(GNOME 入れたので必須)
haldaemon
	ハードウェア情報収集(前提で messagebus 必要)(USB マウス動かすのに必須)
hidd
	Bluetooth HID(サーバ用途では絶対いらない)
hplip
	HP 社用プリンタドライバ(いらない)
ip6tables
	FireWall(IPv6版)
iptables
	FireWall(IPv4版)
irqbalance
	マルチ CPU 環境でセカンド CPU 以降も割り込み処理を行える
iscsi
	iSCSI 管理(仮想化環境に必要?)
iscsid
	iSCSI 管理(仮想化環境に必要?)
isdn
	ISDN サービス(日本の ISDN とは規格が異なるので無用)
kudzu
	ハードウェア検出ツール
ksm
	仮想マシンのメモリ最適化(使い方不明なので、一応 off しとく)
ksmtuned
	KSMの動作を動的に変更するデーモン(使い方不明なので、一応 off しとく)
libvirt-guests
	仮想 OS の自動起動などなど。
libvirtd
	仮想化管理
lvm2-monitor
	LVM の状態監視(LVM 組んでいるなら必須)
mcstrans
	SELinux Translation Daemon(SELinux 使わないので)
mdmonitor
	RAID の状態監視(Software RAID 組んでいるなら必須)
messagebus
	アプリケーション間(サービス等)のメッセージを送る(X Window System に必要)
microcode_ctl
	Intel IA32 マイクロコードの更新をできるようにするためのドライバ(多分不要)
netfs
	NFS のマウント/アンマウントを実施する(停止しても手動で NFS 操作可能)
network
	ネットワーク管理(超必須)
nfslock
	NFS のファイル・ロック機能を提供する(NFS 使う予定無いので不要)
pcscd
	PC/SC Smart Card Daemon(装備してないので)
portmap
	RPC サービスが利用する通信ポートを割り当てる(古来より停止でデファクトスタンダード)
rawdevices
	RAW デバイス管理(Oracle などで利用かも?)
readahead_early
	前もってファイルをページ・キャッシュに読み込む
restorecond
	ファイルやパスに対して適切なラベルを付与する(SELinux 関連なので不要)
rpcbind
	RPC 関連
rpcgssd
	RPC においてセキュリティコンテキストを生成する
rpcidmapd
	NFS v4 の ID と名前をマッピングする
sendmail
	MTA(Postfix に入れ替えて RPM 消すべし…それまでは一応起動)
setroubleshoot
	SELinux 用ツール(不要)
smartd
	HDD の障害予測
sshd
	Secure Shell Daemon
syslog
	システムのログを記録
udev-post
	ハードウェア自動認識
xfs
	X 用フォントサーバ(GNOME 入れたので必須)
xinetd
	いわずもがな inetd の進化版
yum-updatesd
	yum自動アップデートサービス(サーバ用途なら停止が吉)
# chkconfig --list
NetworkManager  0:off   1:off   2:off   3:off   4:off   5:off   6:off
abrtd           0:off   1:off   2:off   3:on    4:off   5:on    6:off
acpid           0:off   1:off   2:off   3:off   4:off   5:off   6:off
atd             0:off   1:off   2:off   3:off   4:off   5:off   6:off
auditd          0:off   1:off   2:off   3:off   4:off   5:off   6:off
autofs          0:off   1:off   2:off   3:off   4:off   5:off   6:off
avahi-daemon    0:off   1:off   2:off   3:off   4:off   5:off   6:off
cgconfig        0:off   1:off   2:off   3:off   4:off   5:off   6:off
cgred           0:off   1:off   2:off   3:off   4:off   5:off   6:off
cpuspeed        0:off   1:on    2:off   3:off   4:off   5:off   6:off
crond           0:off   1:off   2:on    3:on    4:on    5:on    6:off
dnsmasq         0:off   1:off   2:off   3:off   4:off   5:off   6:off
firstboot       0:off   1:off   2:off   3:off   4:off   5:off   6:off
haldaemon       0:off   1:off   2:on    3:on    4:on    5:on    6:off
ip6tables       0:off   1:off   2:off   3:off   4:off   5:off   6:off
iptables        0:off   1:off   2:on    3:on    4:on    5:on    6:off
irqbalance      0:off   1:off   2:off   3:off   4:off   5:off   6:off
kdump           0:off   1:off   2:off   3:off   4:off   5:off   6:off
ksm             0:off   1:off   2:off   3:off   4:off   5:off   6:off
ksmtuned        0:off   1:off   2:off   3:off   4:off   5:off   6:off
libvirt-guests  0:off   1:off   2:off   3:on    4:on    5:on    6:off
lvm2-monitor    0:off   1:on    2:on    3:on    4:on    5:on    6:off
mdmonitor       0:off   1:off   2:on    3:on    4:on    5:on    6:off
messagebus      0:off   1:off   2:on    3:on    4:on    5:on    6:off
microcode_ctl   0:off   1:off   2:off   3:off   4:off   5:off   6:off
netconsole      0:off   1:off   2:off   3:off   4:off   5:off   6:off
netfs           0:off   1:off   2:off   3:off   4:off   5:off   6:off
network         0:off   1:off   2:on    3:on    4:on    5:on    6:off
nfs             0:off   1:off   2:off   3:off   4:off   5:off   6:off
nfslock         0:off   1:off   2:off   3:off   4:off   5:off   6:off
ntpd            0:off   1:off   2:off   3:off   4:off   5:off   6:off
ntpdate         0:off   1:off   2:off   3:off   4:off   5:off   6:off
postfix         0:off   1:off   2:on    3:on    4:on    5:on    6:off
psacct          0:off   1:off   2:off   3:off   4:off   5:off   6:off
rdisc           0:off   1:off   2:off   3:off   4:off   5:off   6:off
restorecond     0:off   1:off   2:off   3:off   4:off   5:off   6:off
rpcbind         0:off   1:off   2:off   3:off   4:off   5:off   6:off
rpcgssd         0:off   1:off   2:off   3:off   4:off   5:off   6:off
rpcidmapd       0:off   1:off   2:off   3:off   4:off   5:off   6:off
rpcsvcgssd      0:off   1:off   2:off   3:off   4:off   5:off   6:off
rsyslog         0:off   1:off   2:on    3:on    4:on    5:on    6:off
saslauthd       0:off   1:off   2:off   3:off   4:off   5:off   6:off
smartd          0:off   1:off   2:off   3:off   4:off   5:off   6:off
sshd            0:off   1:off   2:on    3:on    4:on    5:on    6:off
sysstat         0:off   1:on    2:on    3:on    4:on    5:on    6:off
tgtd            0:off   1:off   2:off   3:off   4:off   5:off   6:off
udev-post       0:off   1:on    2:off   3:off   4:off   5:off   6:off
wpa_supplicant  0:off   1:off   2:off   3:off   4:off   5:off   6:off
xinetd          0:off   1:off   2:off   3:on    4:on    5:on    6:off

xinetd ベースのサービス:
        chargen-dgram:  off
        chargen-stream: off
        cvs:            off
        daytime-dgram:  off
        daytime-stream: off
        discard-dgram:  off
        discard-stream: off
        echo-dgram:     off
        echo-stream:    off
        rsync:          off
        tcpmux-server:  off
        time-dgram:     off
        time-stream:    off

作業:不要サービス停止後

# chkconfig --list | egrep "3:on|5:on"
abrtd           0:off   1:off   2:off   3:on    4:off   5:on    6:off
crond           0:off   1:off   2:on    3:on    4:on    5:on    6:off
haldaemon       0:off   1:off   2:on    3:on    4:on    5:on    6:off
iptables        0:off   1:off   2:on    3:on    4:on    5:on    6:off
libvirt-guests  0:off   1:off   2:off   3:on    4:on    5:on    6:off
lvm2-monitor    0:off   1:on    2:on    3:on    4:on    5:on    6:off
mdmonitor       0:off   1:off   2:on    3:on    4:on    5:on    6:off
messagebus      0:off   1:off   2:on    3:on    4:on    5:on    6:off
network         0:off   1:off   2:on    3:on    4:on    5:on    6:off
postfix         0:off   1:off   2:on    3:on    4:on    5:on    6:off
rsyslog         0:off   1:off   2:on    3:on    4:on    5:on    6:off
sshd            0:off   1:off   2:on    3:on    4:on    5:on    6:off
sysstat         0:off   1:on    2:on    3:on    4:on    5:on    6:off
xinetd          0:off   1:off   2:off   3:on    4:on    5:on    6:off

まとめ:現時点で必要最小限と思われる構成

# netstat -lntup
Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address               Foreign Address             State       PID/Program name
tcp        0      0 0.0.0.0:22                  0.0.0.0:*                   LISTEN      1625/sshd
tcp        0      0 127.0.0.1:25                0.0.0.0:*                   LISTEN      1722/master

結果:netstat -lntup

Tags: ,

Leave a Reply

© 2009 暁なIT備忘録. All Rights Reserved.

This blog is powered by the Wordpress platform and beach rentals.