불필요한 서비스 실행을 중지하는 것은 나쁜 생각입니까?

8

데비안 전용 서버가 있습니다. 나는 그것을 보호하려고 노력하고 있으며 내가 좋을 것이라고 생각한 한 가지 방법은 FTP와 같이 필요하지 않은 서비스를 종료하는 것입니다.

배포시 다음과 같은 것을 실행하는 것이 좋습니다.

service ntp stop
update-rc.d -f ntp remove
service vsftpd stop
update-rc.d -f vsftpd remove
service xinetd stop
update-rc.d -f xinetd remove

나는 이것에 익숙하지 않다. 이 작업을 수행하는 데 일반적으로 보안 수준이 낮은 것으로 간주 iptables됩니까? 또는로 서비스를 잠 그거나 완전히 권장되고 궁극적으로 더 안전한 서비스를 제거하고 있습니까?

linux  security  debian 
조립식 쇠지레
소스
7
당신이 그것을 정말로 사용하지 않는다면, 제거는 확실히 우수합니다. 그래도 시스템이 필요하지 ntp않거나 xinetd내부적으로 필요하지 않다는 것은 조금 모호합니다 .
ceejayoz
1
제거는 좋지만 충분 하지는 않습니다. 실제로 사용하지 않는 모든 포트 차단 해야 합니다. (그리고 NTP는 반드시 사용해야합니다!)
Jenny D

답변:

16

일반적으로 나쁜 생각은 아닙니다. 나는 그것을 추천하는 것으로 간주합니다. 어쨌든 서비스에 리소스를 사용하지 않는 이유는 무엇입니까? 이러한 서비스 중 일부를 사용해야하는 이유는 일종의 종속성 문제 일 수 있습니다.

update-rd.d그래도 사용 하지는 않습니다 sudo apt-get remove application. 이렇게하면 종속성에 대한 그림을 볼 수 있으며 실제로 필요한 것을 제거 할 경우 프로세스를 중지 할 수 있습니다.

그러나 모든 종속성은 패키지 시스템에 표시되지 않습니다. 예를 들어 직접 파일 쓰기 대신 파일 업로드에 ftp를 사용하는 컨텐츠 관리 시스템이있을 수 있습니다. 이러한 상황에서는 소프트웨어를 로컬 호스트 인터페이스에만 바인딩 할 수 있습니다.

반면 NTP는 보안을 강화하므로 서버 시계를 업데이트해야합니다. NTP를 서버로 사용할 필요가없는 경우 다른 사용자에게 해당 서비스를 제공하지 않도록 ntpd를 구성 할 수 있습니다.

에사 조키 넨
소스
보안과 안정성을 향상시키는 것은 특히 NTP 데몬이 아니라 시스템 클록이 합리적으로 동기화 된 것입니다. NTP 데몬 일 필요는 없습니다. 많은 경우에 cronjob은 ntpdate항상 지금은 충분히 잘하고 실제로 ntpd를 잠그는 것보다 쉽습니다.
Nils Toedtmann
4
글쎄, 그것은 훌륭한 솔루션이기도하지만 ntpd는 시계를 하나의 서버와 동기화하는 것 이상을 수행합니다. 또한 동기화 사이에 시간을 유지합니다. 적절한 오픈 타임 서버 풀을 사용하여 좋은 사전 구성 (데비안)이있는 경우이 상황에서 ntpd를 선호합니다.
Esa Jokinen
당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.