Начинаем затяжную борьбу с сервисами
Начинаем затяжную борьбу с сервисами в CentOS
Почему затяжную? Потому что компания RedHat с упорством, достойным самого упрямого ишака, втюхивает в каждую новую версию ОС новые сервисы, видимо, совершенно не задумываясь, какое влияние они оказывают на скорость, стабильность получаемой системы и ее безопасность (иными словами - взломоустойчивость).
Иногда возникает даже такой вопрос - а видели ли когда-либо разработчики Redhat современные дата-центры, где стоят серверы с установленными RHEL, CentOS и т.д.?
Похоже, что нет, иначе бы они не впихивали в свои ОС такие сервисы, как Bluetooth, CUPS или WiFi, часто тесно переплетенные с другими программными компонентами, которые там сто лет не нужны.
Таким образом, борьба будет перманентной, по мере выхода новых версий ОС.
Почему именно в CentOS? Потому что с таким глюкавым и глюкавеющим год от года экспериментальным поделием, как Fedora, которому радуются только любители адреналина, не работаю уже несколько лет, и рад этому несказанно.
RedHat Enterprise - другое дело. Но поскольку RHEL платный, из его клонов остается CentOS или Scientific Linux.
Будем из него готовить сервер с минимальным количеством сервисов.
Отметим общеизвестную истину, что чем меньше в системе работает сервисов, то тем меньше в ней всяческих ошибок и лазеек для взлома, что очень критично для серверов, работающих в открытой сети Internet, занимаемой памяти (а также ее утечек), конфликтов программ, а также выше скорость загрузки системы.
Из этого и будем исходить, и следовательно, мочить эти сервисы, где только можно.
Поскольку одному одолеть эти сервисы затруднительно, поэтому хорошо, если кто-то присоединится.
Примечание. Можно пойти по другому пути - установить систему из минимизированного дистрибутива netinstall, но тут, как говорится, о вкусах не спорят, заодно немного изучим сервисы.
Сервис
|
Описание
|
Мочить
|
| abrtd | Это инструмент в CentOS для автоматического сбора информации о "падающих" приложений. Также имеется возможность отправки сообщений в Bugzilla, на почтовый ящик и т.д. Это поможет вам, если вы собираетесь сообщать об ошибках, но тем не менее будет не критичным оставить его выключенным. |
Да
|
| acpid | Демон усовершенствованного интерфейса конфигурации и управления питанием. Крайне рекомендуется оставлять его включенным, только когда это действительно нужно. Если вы запускаете современные графические среды (Gnome, KDE) то многие функции использующие ACPI будут доступны с демоном acpid. Попробуйте выключить его, если испытываете проблемы с управлением питанием (спящий режим, уход в спящий режим, пробуждение после него), либо перезапустите его. При работе в runlevel 3 некоторые функции использующие ACPI могут быть недоступны. |
Да
|
| anacron, atd, cron |
Это всё планировщики, но каждый из них имеет определённую цель. Рекомендуется оставить включенным cron, если ваш компьютер работает продолжительное время. Если вы работаете с сервером, изучите какие планировщики вам требуются. В большинстве случаев atd и anacron могут быть выключены на рабочих станциях (desktop) и ноутбуках. Помните, что некоторые планировщики могут требоваться для автоматической очистки содержимого /tmp и /var. Примечание: Для выключения anacron удалите его вручную: su -c "yum remove anacron" Примечание переводчика: anacron требуется для выполнения задач, которые по каким-либо причинам не были выполнены cron. Если у вас не запущен cron, то оставьте anacron включенным; atd требуется для выполнения разовых задач. Как пример - выполнить su -c "yum -y update в два часа ночи. |
Нет
|
| auditd | Демон, который сохраняет записи с генерированные ядром. Эта информация может быть использована для разных целей. SELinux использует auditd для записи событий. То есть этот демон рекомендуется оставить включенным для тех, кто использует SELinux. |
Нет
|
| avahi-daemon | Avahi - свободная реализация Zeroconf, использующийся для обнаружения устройств и сервисов в локальной сети без DNS-сервера. Он базируется на реализации протокола mDNS. Большая часть пользователей может оставить его выключенным. Но для использования некоторых функций Pulse Audio по сети, он будет необходим, то есть демон должен быть включён. | |
| bluetooth | Bluetooth нужен для беспроводных переносных устройств (НЕ wifi, 802.11). Небольшое количество ноутбуков поставляется с поддержкой bluetooth. Например bluetooth мыши, наушники и сотовые телефоны. Большинство людей не имеет поддерживающих bluetooth устройств и могут выключить этот сервис. |
Да
|
| btseed, bttrack |
Эти сервисы обеспечивают автоматический отбор и трекинг для торрентов в пиринговых сетях, которые использует BitTorrent. Если вы специально не используете BitTorrent, выключите эти сервисы. |
Да
|
| cpuspeed | Изменяет частоту ЦПУ с целью экономии энергии. Многие современные ноутбуки и настольные ПК поддерживают эту технологию. Его могут использовать пользователи с процессорами Pentium-M, Centrino, AMD PowerNow, Transmetta, Intel SpeedStep, Athlon-64, Athlon-X2, Intel Core 2. Пользователям ноутбуков рекомендуется оставить сервис включенным. Выключите его, если вы хотите, чтобы ваш CPU использовал фиксированную величину частот. |
Нет
|
| cron | Смотрите выше описание anacron. | |
| cups | Используется для печати. Должен быть включен, если вы используете CUPS-совместимый принтер, который подсоединён непосредственно к вашему ПК под управлением CentOS или используется по сети. |
Да
|
| firstboot | Сервис специфичный только для Fedora. Запускается всего один раз после установки для постинсталяционной настройки (прим. переводчика: добавление пользователей, задание пароля root и прочее). Может быть выключен сразу после установки системы. |
Да
|
| gpsd | Интерфейс для связи с GPS оборудованием. Большая часть пользователей может выключить его. | Да |
| haldaemon | HAL расшифровывается как Hardware Abstraction Layer. Критичный сервис для сбора информации об оборудовании из разных источников. Рекомендуется оставить его включенным. | Да |
| httpd | Демон веб-сервера Apache. Если вы установили его и занимаетесь веб-разработкой, оставьте его включенным. В ином случае, большая часть пользователей и тех, кто не занимается разработкой, должны оставить его выключенным. | / |
| iptables | Да | |
| ip6tables | Сервис iptables работающий по IPv6 протоколу. Если вы выключили поддержку IPv6, то этот сервис должен быть отключен. В ином случае рекомендуется оставить его включенным. | / |
| irda | IrDA требуется для поддержки устройств работающих через инфракрасный порт (ноутбуки, PDA, мобильные телефоны, калькуляторы (прим. переводчика: калькуляторы? о_О), и т.д. Большинство пользователей может выключить его. | Да |
| irqbalance | Занимается распределением прерываний между процессорами в многопроцессорных системах. Пользователи не имеющие многопроцессорных компьютеров/ноутбуков, могут выключить данный сервис. На новых компьютерах с более чем одним процессором (Intel Core 2 Duo, AMD X2) этот сервис должен быть включен. Включение этого сервиса на одно процессорном компьютере не даст никакого эффекта. | / |
| jexec | Демон для мониторинга LVM (Logical Volume Management). Рекомендуется если вы используете LVM, иначе оставьте его выключенным. | / |
| mdmonitor | Используется для мониторинга программного RAID или LVM. Не критичен и может быть выключен. | / |
| messagebus | Сервис межпроцессного взаимодействия для Linux. Критичный компонент поскольку связан с D-BUS. Крайне рекомендуется оставить его включенным. | Да |
| microcode_ctl | Сервис позволяющий обновлять прошивку процессора Intel (Pentium Pro, PII, Celeron, PIII, Xeon, Pentium 4 и так далее). Обновления записываются каждый раз при загрузке. Должен быть включен только если у вас процессор Intel. | / |
А теперь вторая часть марлезонского балета. Поскольку мы отключили ненужные сервисы, и уверены, что часть их точно в ближайшем будущем не понадобится, сам собой возникает вопрос - а зачем нам софт, из которого стартуют эти сервисы? Самое время удалить и его.
Приступим:
Подписка на RSS
Последние комментарии