题 停止不必要的服务运行是一个坏主意


我有一个debian专用服务器。我正在努力保护它,我认为好的一种方法是关闭我不需要的服务,例如FTP。

我建议在部署时运行类似的东西:

service ntp stop
update-rc.d -f ntp remove
service vsftpd stop
update-rc.d -f vsftpd remove
service xinetd stop
update-rc.d -f xinetd remove

我是新来的。通常认为这样做的安全性较差,并将其锁定在服务中 iptables,或正在删除服务完全可取,最终更安全?


8
2018-03-18 13:05




如果你真的没有使用它,删除肯定是优越的。我有点怀疑你的系统不需要 ntp 要么 xinetd 但是在内部。 - ceejayoz
去除很好但不够 - 你应该 也 阻止您实际不使用的所有端口。 (NTP是你应该使用的东西!) - Jenny D


答案:


一般来说,这不是一个坏主意。我甚至认为它值得推荐。无论如何,为什么要将资源用于不需要的服务?只有某些服务的原因可能是某种依赖性问题。

我不会用 update-rd.d 虽然但是 sudo apt-get remove application。通过这种方式,您可以获得依赖关系的图片,如果它还会删除您实际需要的内容,则可以停止该过程。

但是,包系统看不到所有依赖项。例如,您可以使用ftp进行文件上载而不是直接写入文件的内容管理系统。在这种情况下,您只能将软件绑定到localhost接口。

另一方面,NTP提高了安全性,您应该让它更新服务器的时钟。如果您不需要将NTP用作服务器,则可以将ntpd配置为不向其他人提供该服务。


16
2018-03-18 13:19



增强安全性和稳定性的不仅仅是NTP守护进程,而是具有相当好的同步系统时钟。不需要是NTP守护进程,在许多情况下是cronjob ntpdate 每时每刻都足够好,实际上比锁定ntpd更容易。 - Nils Toedtmann
嗯,这也是一个可以通过的解决方案,但是ntpd不仅仅是将时钟与一台服务器同步。它还可以在同步之间保持时钟。在这种情况下,当使用合适的开放时间服务器池进行良好的预配置(Debian)时,我更喜欢ntpd。 - Esa Jokinen