最近、ヘッドレス環境でサーバーを使用するためにロックダウンしているCentOS 5.3マシンをインストールしました(マシンでGUIは使用されません)。サーバーは、Webサーバーとデータベースサーバーを組み合わせて使用されます。
Xfsとポートマップは明らかにマシン上で必要ないため、無効にしました。
以下は、マシンで実行されているサービスを示すchkconfigログです。
質問: Xfsとポートマップ以外に-以下のどのサービスを無効にすることを検討しますか?どうして?
chkconfig --list | grep 3:on
acpid 0:off 1:off 2:on 3:on 4:on 5:on 6:off
anacron 0:off 1:off 2:on 3:on 4:on 5:on 6:off
atd 0:off 1:off 2:off 3:on 4:on 5:on 6:off
auditd 0:off 1:off 2:on 3:on 4:on 5:on 6:off
autofs 0:off 1:off 2:off 3:on 4:on 5:on 6:off
crond 0:off 1:off 2:on 3:on 4:on 5:on 6:off
haldaemon 0:off 1:off 2:off 3:on 4:on 5:on 6:off
ip6tables 0:off 1:off 2:on 3:on 4:on 5:on 6:off
iptables 0:off 1:off 2:on 3:on 4:on 5:on 6:off
irqbalance 0:off 1:off 2:on 3:on 4:on 5:on 6:off
kudzu 0:off 1:off 2:off 3:on 4:on 5:on 6:off
mcstrans 0:off 1:off 2:on 3:on 4:on 5:on 6:off
messagebus 0:off 1:off 2:off 3:on 4:on 5:on 6:off
microcode_ctl 0:off 1:off 2:on 3:on 4:on 5:on 6:off
netfs 0:off 1:off 2:off 3:on 4:on 5:on 6:off
network 0:off 1:off 2:on 3:on 4:on 5:on 6:off
readahead_early 0:off 1:off 2:on 3:on 4:on 5:on 6:off
restorecond 0:off 1:off 2:on 3:on 4:on 5:on 6:off
sshd 0:off 1:off 2:on 3:on 4:on 5:on 6:off
syslog 0:off 1:off 2:on 3:on 4:on 5:on 6:off
yum-updatesd 0:off 1:off 2:on 3:on 4:on 5:on 6:off
Anacronやnetfsなど、通常は使用しないすべてのサービスを無効にします。サーバーがファイアウォールルールを必要としない場合、iptablesとip6tablesが無効にする候補になります。
無効にしたいのは、yum-updatesd(yum updateを必要なときに手動で実行し、おそらくcronでスクリプト化するため)、autofs、kudzu(ハードウェアが変更される可能性は低いと想定しているため)だけです。 )、およびnetfs(NFSなどを使用していないことを前提としています)。パフォーマンスが大きな問題である場合は、auditdを無効にする価値があるかもしれません。他のほとんどはcan無効になっていますが、管理者の生活を楽にするために、通常は実行したままにしておきます。
現実的には、そのリストにパフォーマンスの問題を引き起こす可能性のあるものは何もありません。オフにすると、オフになっているため、将来的に何かを有効にしてビットを取得しようとする傾向があります。 「それらすべてを調査し、必要なものだけをオンにする」という一般的な提案は良いものですが、正確に費用効果が高いわけではありません。
単にパフォーマンスやセキュリティだけに関心がある場合は、はるかに効果的な場所があります。
一般的な提案は、各サービスを調査し、各サービスが何をするかを「正確に」判断することです(hdparamを使用してパフォーマンスの向上、またはサービスを無効にする前にsyslogdが提供するものを調べます)。特定のサービスが特定のセットアップで役に立たないことが判明した場合は、それを無効にします。ただし、いくつかの機能を無効にすることを決定したサービスには注意が必要です。 ;-)
たぶん、この記事はあなたに役立つかもしれません-「起動時に不要なサービスを無効にする」 http://www.imminentweb.com/technologies/centos-disable-unneeded-services-boot-time