2019-02-26 업데이트
실제로 여러 공급 업체의 우분투 VPS에서 실제로는 (아래) 원래 접근 방식이 매우 취약하다는 것을 알았습니다. 일부 시스템에서는 아래 방법으로 KVM 유형 가상화에서 커널을 제거하기 때문에 재부팅하지 않습니다 (openvz가 대부분 작동 함). 매번 해킹 당할 때마다 해킹을 패치하는 대신 다른 방법을 찾았습니다.
겉으로는 (지금까지) 더 나은 접근 방식은 다음과 같습니다.
# just in case we are retrying and apt is in a bad state
dpkg --configure -a
# DEBIAN_FRONTEND=noninteractive is useful for scripting.
# prevents getting prompts that will hang our script.
# ubuntu-minimal is a meta package that depends on the packages
# in ubuntu-minimal install.
# Need aptitude to autoremove everything we don't depend on.
DEBIAN_FRONTEND=noninteractive \
apt-get --assume-yes install aptitude ubuntu-minimal
# mark all packages as automatically installed except
# ubuntu-minimal, kernel, systemd and openssh.
# For some reason systemd isn't part of ubuntu-minimal.
# Any dependencies of these four packages will be kept.
# All others that aren't dependencies will be removed since
# we have told apt they are automatically installed
# (ie we don't care about them unless we need them as a dep)
DEBIAN_FRONTEND=noninteractive \
aptitude --assume-yes markauto \
'~i!?name(ubuntu-minimal~|linux-generic~|systemd~|openssh-server)'
# purge all removed packages that were not purged.
# removes leftover config/cruft.
DEBIAN_FRONTEND=noninteractive \
aptitude --assume-yes purge '~c'
지금까지 이것은 openvz 및 kvm 유형 가상화에 대한 테스트에서 잘 작동합니다. VPS를 원하는 방식으로 설정하기 위해 구성 관리를 실행하기 전에 이미지를 최소화하는 첫 번째 "부트 스트래핑"단계로 사용합니다. 나는 보통이 단계 이후와 설정 관리 전에 재부팅을하여 아무것도 끊지 않았는지 확인합니다.
구성 관리가 패키지를 설치하므로 apt-get update를 다시 실행해야하기 때문에 apt clean 또는 autoclean을 수행하지 않습니다. 디스크 공간 측면에서 최소한의 이미지를 만들려고한다면 물론 더 많은 것을 할 수 있습니다.
Ubuntu 16.04에서 최소화 후 DNS 확인이 손실되는 경우 한 가지 더 팁 , 어떤 이유로 전에 설치되지 않은 우분투 최소 설치 resolvconf 설치. 이 패키지 (설치 후)는 /etc/resolv.conf가 동적으로 빌드되도록 설정되어 있으며 심볼릭 링크로 변환하는 것을 포함합니다. VPS에 정적 네트워킹 구성 (예 : / etc / network / interfaces에 정적으로 구성된 인터페이스 / IP 및 /etc/resolv.conf에 정적으로 구성된 DNS)이 있으면 DNS 해상도가 손상됩니다. 즉, google.com (알 수없는 호스트)이 아닌 8.8.8.8을 핑 (ping) 할 수 있습니다. dhcp를 통해 IP / DNS를 제공하는 대신 VPS를 이러한 방식으로 프로비저닝하는 몇 개의 vps 제공 업체가 있습니다. 이 문제를 해결하기 위해 위의 최소화 전에 확인을 추가했습니다.
if [ ! -L "/etc/resolv.conf" ]; then
mkdir -p /etc/resolvconf/resolv.conf.d/
cp /etc/resolv.conf /etc/resolvconf/resolv.conf.d/tail
fi
기본적으로 현재 /etc/resolv.conf가 심볼릭 링크가 아닌 경우 VPS 공급자의 정적 구성이 있다고 가정합니다. resolvconf를 위해 파일을 특수한 "꼬리"파일로 복사하십시오. "꼬리"파일은 resolvconf가 빌드하는 /etc/resolv.conf에 추가 할 특수 파일입니다. 이렇게하면 VPS에 내장 된 정적 DNS 구성이 손실되지 않습니다.
원래 답변
@enzotib의 답변에 따라 ...
필수 / 중요 / 필수 패키지에 선택적 / 추가 종속성이있을 수 있습니다. 권장 사항이나 제안과 달리 어려운 종속성 인 경우 해당 종속성도 종속 패키지의 최우선 순위로 설정된다고 생각합니다.
우분투 16.04에서 @enzotib의 접근법을 시도 할 때 제거 패키지에 많은 중요한 패키지 (apt, sudo, passwd, adduser)가 나타났습니다. 더러운 해킹으로 인해 선택적 / 추가 패키지 목록을 스크립트로 하나씩 제거하여 필수 / 중요한 패키지 제거를 시작한 선택적 / 추가 패키지 제거를 확인했습니다.
예를 들어, 필자의 경우 libaudit1 옵션 패키지를 제거하면 많은 중요한 것들이 지워집니다.
root@ro01:~# apt-get purge libaudit1
Reading package lists...
Building dependency tree...
Reading state information...
The following additional packages will be installed:
anacron bind9-host build-essential cpp cpp-5 dpkg-dev fakeroot g++ g++-5 gcc
gcc-5 gcc-5-base initramfs-tools-bin libalgorithm-diff-perl
libalgorithm-diff-xs-perl libalgorithm-merge-perl libapt-pkg5.0 libasan2
libatomic1 libbind9-140 libc-dev-bin libc6 libc6-dev libcc1-0 libcilkrts5
libdns162 libdpkg-perl libfakeroot libfile-fcntllock-perl libgcc-5-dev
libgomp1 libisc160 libisccc140 libisccfg140 libisl15 libitm1 liblsan0
liblwres141 libmpc3 libmpx0 libquadmath0 libstdc++-5-dev libstdc++6 libtsan0
libubsan0 libudev1 linux-libc-dev logrotate manpages-dev samba-common
Suggested packages:
default-mta | mail-transport-agent powermgmt-base cpp-doc gcc-5-locales
debian-keyring g++-multilib g++-5-multilib gcc-5-doc libstdc++6-5-dbg
gcc-multilib autoconf automake libtool flex bison gdb gcc-doc gcc-5-multilib
libgcc1-dbg libgomp1-dbg libitm1-dbg libatomic1-dbg libasan2-dbg
liblsan0-dbg libtsan0-dbg libubsan0-dbg libcilkrts5-dbg libmpx0-dbg
libquadmath0-dbg glibc-doc libstdc++-5-doc mailx
Recommended packages:
cron | cron-daemon rsyslog | system-log-daemon apt samba-common-bin
The following packages will be REMOVED:
adduser* apache2* apache2-bin* apache2-utils* apt* apt-utils* aptitude*
bind9* bsd-mailx* cron* dbus* dmsetup* fetchmail* ifupdown* initramfs-tools*
initramfs-tools-core* initscripts* libapr1* libaprutil1*
libaprutil1-dbd-sqlite3* libaprutil1-ldap* libaudit1* libblkid1*
libcryptsetup4* libfdisk1* libmount1* libpam-modules* libpam-modules-bin*
libpam-runtime* libpam0g* libsemanage1* libuuid1* libxapian22v5* login*
mlocate* mount* mountall* openssh-client* openssh-server*
openssh-sftp-server* passwd* plymouth* postfix* procps* python-samba*
rpcbind* rsyslog* samba* samba-common-bin* samba-libs* sasl2-bin* screen*
ssl-cert* sudo* systemd* systemd-sysv* udev* util-linux* uuid-runtime* wget*
The following NEW packages will be installed:
anacron build-essential cpp cpp-5 dpkg-dev fakeroot g++ g++-5 gcc gcc-5
libalgorithm-diff-perl libalgorithm-diff-xs-perl libalgorithm-merge-perl
libasan2 libatomic1 libc-dev-bin libc6-dev libcc1-0 libcilkrts5 libdpkg-perl
libfakeroot libfile-fcntllock-perl libgcc-5-dev libisl15 libitm1 liblsan0
libmpc3 libmpx0 libquadmath0 libstdc++-5-dev libtsan0 libubsan0
linux-libc-dev manpages-dev
The following packages will be upgraded:
bind9-host gcc-5-base initramfs-tools-bin libapt-pkg5.0 libbind9-140 libc6
libdns162 libgomp1 libisc160 libisccc140 libisccfg140 liblwres141 libstdc++6
libudev1 logrotate samba-common
WARNING: The following essential packages will be removed.
This should NOT be done unless you know exactly what you are doing!
apt adduser (due to apt) login libaudit1 (due to login)
libpam0g (due to login) libpam-runtime (due to login)
libpam-modules (due to login) mount libblkid1 (due to mount)
libmount1 (due to mount) util-linux libfdisk1 (due to util-linux)
libuuid1 (due to util-linux)
16 upgraded, 34 newly installed, 60 to remove and 124 not upgraded.
Need to get 41.1 MB of archives.
After this operation, 12.4 MB of additional disk space will be used.
You are about to do something potentially harmful.
To continue type in the phrase 'Yes, do as I say!'
?] Abort.
또한 흥미 aptitude why
와 apt-cache rdepends
서로 다른 결과를 보여줍니다.
root@ro01:~# dpkg-query -Wf '${Package;-40}${Priority}\n' | sort -b -k2,2 -k1,1 | grep 'libaudit1'
libaudit1 optional
root@ro01:~# aptitude why libaudit1
i sudo Depends libaudit1 (>= 1:2.2.1)
root@ro01:~# dpkg-query -Wf '${Package;-40}${Priority}\n' | sort -b -k2,2 -k1,1 | grep 'sudo '
sudo optional
root@ro01:~# aptitude why sudo
i mountall Depends plymouth
p plymouth Recommends plymouth-theme-ubuntu-text | plymouth-theme
p mythbuntu-default-settings Provides plymouth-theme
p mythbuntu-default-settings Recommends lightdm
p lightdm Recommends xserver-xorg
p xserver-xorg Recommends xserver-xorg-video-all | xorg-driver-video
p nvidia-384 Provides xorg-driver-video
p nvidia-384 Depends dkms
p dkms Recommends menu | sudo
apt-cache rdepends
더 많이 보여줍니다 ...
root@ro01:~# apt-cache rdepends libaudit1
libaudit1
Reverse Depends:
sudo
systemd
openssh-server
libaudit-dev
xwayland-hwe-16.04
xserver-xephyr-hwe-16.04
xmir-hwe-16.04
sudo-ldap
xserver-xorg-core-hwe-16.04
systemd
sudo
libvirt0
dbus-1-dbg
dbus
xwayland-hwe-16.04
xwayland
xvfb
xserver-xephyr-hwe-16.04
xserver-xephyr
xnest
xmir-hwe-16.04
xmir
xdmx
sudo-ldap
python3-audit
python-audit
nscd
linux-oem-tools-4.13.0-1024
linux-oem-tools-4.13.0-1022
linux-oem-tools-4.13.0-1021
linux-oem-tools-4.13.0-1020
linux-oem-tools-4.13.0-1019
linux-oem-tools-4.13.0-1017
linux-oem-tools-4.13.0-1015
linux-oem-tools-4.13.0-1012
linux-oem-tools-4.13.0-1010
linux-oem-tools-4.13.0-1008
linux-kvm-tools-4.4.0-1004
linux-gke-tools-4.4.0-1034
linux-gke-tools-4.4.0-1033
linux-gke-tools-4.4.0-1032
linux-gke-tools-4.4.0-1031
linux-gke-tools-4.4.0-1028
linux-gke-tools-4.4.0-1027
linux-gke-tools-4.4.0-1026
linux-gke-tools-4.4.0-1024
linux-gke-tools-4.4.0-1022
linux-gke-tools-4.4.0-1018
linux-gke-tools-4.4.0-1016
linux-gke-tools-4.4.0-1014
linux-gke-tools-4.4.0-1013
linux-gke-tools-4.4.0-1012
linux-gke-tools-4.4.0-1010
linux-gke-tools-4.4.0-1009
linux-gke-tools-4.4.0-1008
linux-gke-tools-4.4.0-1006
linux-gke-tools-4.4.0-1005
linux-gke-tools-4.4.0-1003
linux-gcp-tools-4.13.0-1013
linux-gcp-tools-4.13.0-1012
linux-gcp-tools-4.13.0-1011
linux-gcp-tools-4.13.0-1008
linux-gcp-tools-4.13.0-1007
linux-gcp-tools-4.13.0-1006
linux-gcp-tools-4.13.0-1002
linux-gcp-tools-4.10.0-1009
linux-gcp-tools-4.10.0-1008
linux-gcp-tools-4.10.0-1007
linux-gcp-tools-4.10.0-1006
linux-gcp-tools-4.10.0-1004
linux-euclid-tools-4.4.0-9026
linux-euclid-tools-4.4.0-9025
linux-euclid-tools-4.4.0-9023
linux-euclid-tools-4.4.0-9022
linux-euclid-tools-4.4.0-9021
linux-euclid-tools-4.4.0-9020
linux-euclid-tools-4.4.0-9019
linux-azure-edge-tools-4.15.0-1005
linux-azure-edge-tools-4.14.0-1003
linux-azure-edge-tools-4.13.0-1005
linux-azure-edge-tools-4.13.0-1003
linux-aws-tools-4.4.0-1012
linux-aws-tools-4.4.0-1011
linux-aws-tools-4.4.0-1009
linux-aws-tools-4.4.0-1007
linux-aws-tools-4.4.0-1004
linux-aws-tools-4.4.0-1003
linux-aws-tools-4.4.0-1001
gdm3
xserver-xorg-core-hwe-16.04
xserver-xorg-core
util-linux
systemd
sudo
passwd
openssh-server
login
linux-tools-4.4.0-98
linux-tools-4.4.0-97
linux-tools-4.4.0-96
linux-tools-4.4.0-93
linux-tools-4.4.0-92
linux-tools-4.4.0-91
linux-tools-4.4.0-89
linux-tools-4.4.0-87
linux-tools-4.4.0-83
linux-tools-4.4.0-81
linux-tools-4.4.0-79
linux-tools-4.4.0-78
linux-tools-4.4.0-77
linux-tools-4.4.0-75
linux-tools-4.4.0-72
linux-tools-4.4.0-71
linux-tools-4.4.0-70
linux-tools-4.4.0-67
linux-tools-4.4.0-66
linux-tools-4.4.0-64
linux-tools-4.4.0-63
linux-tools-4.4.0-62
linux-tools-4.4.0-59
linux-tools-4.4.0-57
linux-tools-4.4.0-53
linux-tools-4.4.0-51
linux-tools-4.4.0-47
linux-tools-4.4.0-45
linux-tools-4.4.0-43
linux-tools-4.4.0-42
linux-tools-4.4.0-38
linux-tools-4.4.0-36
linux-tools-4.4.0-34
linux-tools-4.4.0-31
linux-tools-4.4.0-28
linux-tools-4.4.0-24
linux-tools-4.4.0-22
linux-tools-4.4.0-122
linux-tools-4.4.0-121
linux-tools-4.4.0-119
linux-tools-4.4.0-116
linux-tools-4.4.0-112
linux-tools-4.4.0-109
linux-tools-4.4.0-108
linux-tools-4.4.0-104
linux-tools-4.4.0-103
linux-tools-4.4.0-101
linux-kvm-tools-4.4.0-1021
linux-kvm-tools-4.4.0-1020
linux-kvm-tools-4.4.0-1019
linux-kvm-tools-4.4.0-1017
linux-kvm-tools-4.4.0-1015
linux-kvm-tools-4.4.0-1013
linux-kvm-tools-4.4.0-1012
linux-kvm-tools-4.4.0-1010
linux-kvm-tools-4.4.0-1009
linux-kvm-tools-4.4.0-1008
linux-kvm-tools-4.4.0-1007
linux-hwe-tools-4.8.0-58
linux-hwe-tools-4.8.0-56
linux-hwe-tools-4.8.0-54
linux-hwe-tools-4.8.0-53
linux-hwe-tools-4.8.0-52
linux-hwe-tools-4.8.0-51
linux-hwe-tools-4.8.0-49
linux-hwe-tools-4.8.0-46
linux-hwe-tools-4.8.0-45
linux-hwe-tools-4.8.0-44
linux-hwe-tools-4.8.0-42
linux-hwe-tools-4.8.0-41
linux-hwe-tools-4.8.0-39
linux-hwe-tools-4.8.0-36
linux-hwe-tools-4.13.0-39
linux-hwe-tools-4.13.0-38
linux-hwe-tools-4.13.0-37
linux-hwe-tools-4.13.0-36
linux-hwe-tools-4.13.0-32
linux-hwe-tools-4.13.0-31
linux-hwe-tools-4.13.0-26
linux-hwe-tools-4.10.0-42
linux-hwe-tools-4.10.0-40
linux-hwe-tools-4.10.0-38
linux-hwe-tools-4.10.0-37
linux-hwe-tools-4.10.0-35
linux-hwe-tools-4.10.0-33
linux-hwe-tools-4.10.0-32
linux-hwe-tools-4.10.0-30
linux-hwe-tools-4.10.0-28
linux-hwe-tools-4.10.0-27
linux-hwe-edge-tools-4.8.0-34
linux-hwe-edge-tools-4.15.0-15
linux-hwe-edge-tools-4.15.0-13
linux-hwe-edge-tools-4.13.0-25
linux-hwe-edge-tools-4.13.0-21
linux-hwe-edge-tools-4.13.0-19
linux-hwe-edge-tools-4.13.0-17
linux-hwe-edge-tools-4.13.0-16
linux-hwe-edge-tools-4.11.0-14
linux-hwe-edge-tools-4.11.0-13
linux-hwe-edge-tools-4.10.0-26
linux-hwe-edge-tools-4.10.0-24
linux-hwe-edge-tools-4.10.0-22
linux-hwe-edge-tools-4.10.0-21
linux-hwe-edge-tools-4.10.0-20
linux-hwe-edge-tools-4.10.0-19
linux-hwe-edge-tools-4.10.0-14
linux-azure-tools-4.13.0-1014
linux-azure-tools-4.13.0-1012
linux-azure-tools-4.13.0-1011
linux-azure-tools-4.13.0-1009
linux-azure-tools-4.13.0-1007
linux-azure-tools-4.13.0-1006
linux-azure-tools-4.13.0-1005
linux-azure-tools-4.11.0-1016
linux-azure-tools-4.11.0-1015
linux-azure-tools-4.11.0-1014
linux-azure-tools-4.11.0-1013
linux-azure-tools-4.11.0-1011
linux-azure-tools-4.11.0-1009
linux-aws-tools-4.4.0-1055
linux-aws-tools-4.4.0-1054
linux-aws-tools-4.4.0-1052
linux-aws-tools-4.4.0-1050
linux-aws-tools-4.4.0-1049
linux-aws-tools-4.4.0-1048
linux-aws-tools-4.4.0-1047
linux-aws-tools-4.4.0-1044
linux-aws-tools-4.4.0-1043
linux-aws-tools-4.4.0-1041
linux-aws-tools-4.4.0-1039
linux-aws-tools-4.4.0-1038
linux-aws-tools-4.4.0-1037
linux-aws-tools-4.4.0-1035
linux-aws-tools-4.4.0-1032
linux-aws-tools-4.4.0-1031
linux-aws-tools-4.4.0-1030
linux-aws-tools-4.4.0-1028
linux-aws-tools-4.4.0-1026
linux-aws-tools-4.4.0-1022
linux-aws-tools-4.4.0-1020
linux-aws-tools-4.4.0-1018
linux-aws-tools-4.4.0-1017
linux-aws-tools-4.4.0-1016
linux-aws-tools-4.4.0-1013
libvirt0
libpam0g
libpam-modules-bin
libpam-modules
libauparse0
libauparse0
libauparse0
libaudit-common
libaudit-common
libaudit-common
dbus-1-dbg
dbus
auditd
xwayland
xvfb
xserver-xephyr
xnest
xmir
xdmx
ubuntu-core-libs
sudo-ldap
python3-audit
python-audit
policycoreutils
nscd
gdm3
aide-dynamic
xserver-xorg-core
systemd
sudo
passwd
openssh-server
login
linux-tools-4.4.0-21
libvirt0
libsemanage1
libpam0g
libpam-modules-bin
libpam-modules
libauparse0
libauparse0
libauparse0
libaudit-dev
libaudit-common
dbus
dbus-1-dbg
auditd
root@ro01:~#
더 문제가있는 패키지를 찾았습니다 ...
- libdebconfclient0
- liblz4-1
- libsemanage1
- libsemanage-common
- libsystemd0
- libbsd0
- libexpat1
- libhcrypto4-heimdal
- libheimntlm0- 하이달
- libhx509-5-heimdal
apt-get purge
패키지를 하나씩 실행할 때 더 이상 중요한 패키지를 제거하고 제거 된 항목 목록을 스캔하는 것에 대한 경고가 표시되지 않습니다. adduser 및 apt와 같은 중요한 항목이 더 이상 제거되지 않는 것을 보았습니다. 그러나 apt-get purge
모든 패키지에 대해 한 번에 실행할 때 ... 경고는 여전히 있었고 적절하게 패키지를 개별적으로 제거 할 때 거기에 없었음에도 불구하고 제거 목록에 다른 것들이 다시있었습니다. 몰라요.
결국, 나는 내가 관심있는 것을 제거하지 않기 위해 모든 라이브러리와 다른 패키지를 제외했습니다.
root@ro01:~# apt-get purge $(dpkg-query -Wf \
'${Package;-40}${Priority}\n' | \
awk '$2 ~ /optional|extra/ { print $1 }' | \
grep -vE 'lib|gawk|openssh|insserv|quota|sudo')
Reading package lists... Done
Building dependency tree... Done
The following packages will be REMOVED:
apache2* apache2-bin* apache2-data* apache2-doc* apache2-utils* bind9* bind9utils* binutils* bsd-mailx* busybox-initramfs* ca-certificates* cifs-utils* console-data* db-util* db5.3-util* debconf-utils* dh-python*
dialog* distro-info-data* dmsetup* dselect* ed* expat* fetchmail* finger* fontconfig* fontconfig-config* fonts-dejavu* fonts-dejavu-core* fonts-dejavu-extra* fonts-freefont-ttf* gettext* initramfs-tools*
initramfs-tools-bin* initramfs-tools-core* iputils-arping* iputils-tracepath* ldap-utils* libfontconfig1* linux-base* lsb-release* lynx* lynx-common* make* makedev* memtester* mktemp* module-init-tools* mountall*
mtools* odbcinst* odbcinst1debian2* openssl* openssl-blacklist* plymouth* postfix* procinfo* psmisc* psutils* pwgen* python-crypto* python-dnspython* python-ldb* python-samba* python-talloc* python-tdb* python3*
python3-minimal* python3.5* python3.5-minimal* rsync* samba* samba-common* samba-common-bin* samba-libs* sasl2-bin* sharutils* snmp* ssl-cert* syslinux* tcpdump* tcsh* tdb-tools* tofrodos* ttf-dejavu* ttf-dejavu-core*
ttf-dejavu-extra* ttf-freefont* unixodbc* unzip* update-inetd* uuid-runtime* vim* vim-runtime* wide-dhcpv6-client* xinetd*
0 upgraded, 0 newly installed, 96 to remove and 0 not upgraded.
After this operation, 195 MB disk space will be freed.
Do you want to continue? [Y/n] Y