Apakah ini ide buruk untuk menghentikan layanan yang tidak perlu berjalan

8

Saya memiliki server khusus debian. Saya mencoba untuk mengamankannya dan satu cara saya pikir akan lebih baik adalah mematikan layanan yang tidak saya butuhkan, seperti FTP misalnya.

Saya menyarankan untuk menjalankan sesuatu seperti ini saat penerapan:

service ntp stop
update-rc.d -f ntp remove
service vsftpd stop
update-rc.d -f vsftpd remove
service xinetd stop
update-rc.d -f xinetd remove

Saya baru dalam hal ini. Apakah umumnya dianggap sebagai keamanan yang buruk untuk melakukan ini, dan mengunci layanan dengan iptables, atau menghapus layanan sepenuhnya disarankan dan pada akhirnya lebih aman?

linux  security  debian 
Jimmy
sumber
7
Jika Anda benar-benar tidak menggunakannya, penghapusan tentu saja lebih unggul. Saya agak ragu bahwa sistem Anda tidak perlu ntpatau secara xinetdinternal.
ceejayoz
1
Penghapusannya bagus tapi tidak cukup - Anda juga harus memblokir semua port yang sebenarnya tidak Anda gunakan. (Dan NTP adalah sesuatu yang harus Anda gunakan!)
Jenny D

Jawaban:

16

Secara umum itu bukan ide yang buruk. Saya bahkan akan menganggap itu direkomendasikan. Lagi pula, mengapa menggunakan sumber daya untuk layanan tidak diperlukan? Hanya alasan untuk memiliki beberapa layanan ini yang mungkin merupakan masalah ketergantungan.

Saya tidak akan menggunakan update-rd.dtetapi sudo apt-get remove application. Dengan begitu Anda dapat memiliki gambar dependensi dan dapat menghentikan proses jika itu juga akan menghapus sesuatu yang sebenarnya Anda butuhkan.

Semua dependensi tidak terlihat oleh sistem paket. Misalnya, Anda dapat memiliki sistem manajemen konten yang menggunakan ftp untuk mengunggah file alih-alih menulis file langsung. Dalam situasi seperti ini Anda hanya dapat mengikat perangkat lunak ke antarmuka localhost.

NTP di sisi lain meningkatkan keamanan dan Anda harus memperbarui jam server. Jika Anda tidak perlu menggunakan NTP sebagai server, Anda bisa mengonfigurasi ntpd untuk tidak menyediakan layanan itu kepada orang lain.

Esa Jokinen
sumber
Yang meningkatkan keamanan dan stabilitas bukanlah daemon NTP pada khususnya, tetapi memiliki jam sistem yang cukup tersinkronisasi. Tidak perlu menjadi daemon NTP, dalam banyak kasus cronjob melakukan ntpdatesetiap sekarang dan kemudian cukup baik, dan sebenarnya lebih mudah daripada mengunci ntpd.
Nils Toedtmann
4
Yah, itu solusi yang lumayan juga, tetapi ntpd melakukan lebih dari sekedar menyinkronkan jam dengan satu server. Ini juga menjaga jam di antara sinkronisasi. Saya lebih suka ntpd dalam situasi ini, ketika memiliki konfigurasi yang baik (Debian) menggunakan kumpulan server waktu terbuka yang cocok.
Esa Jokinen
Dengan menggunakan situs kami, Anda mengakui telah membaca dan memahami Kebijakan Cookie dan Kebijakan Privasi kami.
Licensed under cc by-sa 3.0 with attribution required.