Начинаем затяжную борьбу с сервисами

Abdula аватар

Начинаем затяжную борьбу с сервисами в CentOS


Почему затяжную? Потому что компания RedHat с упорством, достойным самого упрямого ишака, втюхивает в каждую новую версию ОС новые сервисы, видимо, совершенно не задумываясь, какое влияние они оказывают на скорость, стабильность получаемой системы и ее безопасность (иными словами - взломоустойчивость).
Иногда возникает даже такой вопрос - а видели ли когда-либо разработчики Redhat современные дата-центры, где стоят серверы с установленными RHEL, CentOS и т.д.?
Похоже, что нет, иначе бы они не впихивали в свои ОС такие сервисы, как Bluetooth, CUPS или WiFi, часто тесно переплетенные с другими программными компонентами, которые там сто лет не нужны.
Таким образом, борьба будет перманентной, по мере выхода новых версий ОС.

Почему именно в CentOS? Потому что с таким глюкавым и глюкавеющим год от года экспериментальным поделием, как Fedora, которому радуются только любители адреналина, не работаю уже несколько лет, и рад этому несказанно.
RedHat Enterprise - другое дело. Но поскольку RHEL платный, из его клонов остается CentOS или Scientific Linux.
Будем из него готовить сервер с минимальным количеством сервисов.

Отметим общеизвестную истину, что чем меньше в системе работает сервисов, то тем меньше в ней всяческих ошибок и лазеек для взлома, что очень критично для серверов, работающих в открытой сети Internet, занимаемой памяти (а также ее утечек), конфликтов программ, а также выше скорость загрузки системы.
Из этого и будем исходить, и следовательно, мочить эти сервисы, где только можно.
Поскольку одному одолеть эти сервисы затруднительно, поэтому хорошо, если кто-то присоединится.

Примечание. Можно пойти по другому пути - установить систему из минимизированного дистрибутива netinstall, но тут, как говорится, о вкусах не спорят, заодно немного изучим сервисы.


Сервис


Описание


Мочить

abrtd Это инструмент в CentOS для автоматического сбора информации о "падающих" приложений. Также имеется возможность отправки сообщений в Bugzilla, на почтовый ящик и т.д. Это поможет вам, если вы собираетесь сообщать об ошибках, но тем не менее будет не критичным оставить его выключенным.
Да
acpid Демон усовершенствованного интерфейса конфигурации и управления питанием. Крайне рекомендуется оставлять его включенным, только когда это действительно нужно. Если вы запускаете современные графические среды (Gnome, KDE) то многие функции использующие ACPI будут доступны с демоном acpid. Попробуйте выключить его, если испытываете проблемы с управлением питанием (спящий режим, уход в спящий режим, пробуждение после него), либо перезапустите его. При работе в runlevel 3 некоторые функции использующие ACPI могут быть недоступны.
Да
anacron,
atd,
cron
Это всё планировщики, но каждый из них имеет определённую цель. Рекомендуется оставить включенным cron, если ваш компьютер работает продолжительное время. Если вы работаете с сервером, изучите какие планировщики вам требуются. В большинстве случаев atd и anacron могут быть выключены на рабочих станциях (desktop) и ноутбуках. Помните, что некоторые планировщики могут требоваться для автоматической очистки содержимого /tmp и /var.
Примечание: Для выключения anacron удалите его вручную: su -c "yum remove anacron"
Примечание переводчика: anacron требуется для выполнения задач, которые по каким-либо причинам не были выполнены cron. Если у вас не запущен cron, то оставьте anacron включенным; atd требуется для выполнения разовых задач. Как пример - выполнить su -c "yum -y update в два часа ночи.
Нет
auditd Демон, который сохраняет записи с генерированные ядром. Эта информация может быть использована для разных целей. SELinux использует auditd для записи событий. То есть этот демон рекомендуется оставить включенным для тех, кто использует SELinux.
Нет
avahi-daemon Avahi - свободная реализация Zeroconf, использующийся для обнаружения устройств и сервисов в локальной сети без DNS-сервера. Он базируется на реализации протокола mDNS. Большая часть пользователей может оставить его выключенным. Но для использования некоторых функций Pulse Audio по сети, он будет необходим, то есть демон должен быть включён.
bluetooth Bluetooth нужен для беспроводных переносных устройств (НЕ wifi, 802.11). Небольшое количество ноутбуков поставляется с поддержкой bluetooth. Например bluetooth мыши, наушники и сотовые телефоны. Большинство людей не имеет поддерживающих bluetooth устройств и могут выключить этот сервис.
Да
btseed,
bttrack
Эти сервисы обеспечивают автоматический отбор и трекинг для торрентов в пиринговых сетях, которые использует BitTorrent. Если вы специально не используете BitTorrent, выключите эти сервисы.
Да
cpuspeed Изменяет частоту ЦПУ с целью экономии энергии. Многие современные ноутбуки и настольные ПК поддерживают эту технологию. Его могут использовать пользователи с процессорами Pentium-M, Centrino, AMD PowerNow, Transmetta, Intel SpeedStep, Athlon-64, Athlon-X2, Intel Core 2. Пользователям ноутбуков рекомендуется оставить сервис включенным. Выключите его, если вы хотите, чтобы ваш CPU использовал фиксированную величину частот.
Нет
cron Смотрите выше описание anacron.
cups Используется для печати. Должен быть включен, если вы используете CUPS-совместимый принтер, который подсоединён непосредственно к вашему ПК под управлением CentOS или используется по сети.
Да
firstboot Сервис специфичный только для Fedora. Запускается всего один раз после установки для постинсталяционной настройки (прим. переводчика: добавление пользователей, задание пароля root и прочее). Может быть выключен сразу после установки системы.
Да
gpsd Интерфейс для связи с GPS оборудованием. Большая часть пользователей может выключить его. Да
haldaemon HAL расшифровывается как Hardware Abstraction Layer. Критичный сервис для сбора информации об оборудовании из разных источников. Рекомендуется оставить его включенным. Да
httpd Демон веб-сервера Apache. Если вы установили его и занимаетесь веб-разработкой, оставьте его включенным. В ином случае, большая часть пользователей и тех, кто не занимается разработкой, должны оставить его выключенным. /
iptables Да
ip6tables Сервис iptables работающий по IPv6 протоколу. Если вы выключили поддержку IPv6, то этот сервис должен быть отключен. В ином случае рекомендуется оставить его включенным. /
irda IrDA требуется для поддержки устройств работающих через инфракрасный порт (ноутбуки, PDA, мобильные телефоны, калькуляторы (прим. переводчика: калькуляторы? о_О), и т.д. Большинство пользователей может выключить его. Да
irqbalance Занимается распределением прерываний между процессорами в многопроцессорных системах. Пользователи не имеющие многопроцессорных компьютеров/ноутбуков, могут выключить данный сервис. На новых компьютерах с более чем одним процессором (Intel Core 2 Duo, AMD X2) этот сервис должен быть включен. Включение этого сервиса на одно процессорном компьютере не даст никакого эффекта. /
jexec Демон для мониторинга LVM (Logical Volume Management). Рекомендуется если вы используете LVM, иначе оставьте его выключенным. /
mdmonitor Используется для мониторинга программного RAID или LVM. Не критичен и может быть выключен. /
messagebus Сервис межпроцессного взаимодействия для Linux. Критичный компонент поскольку связан с D-BUS. Крайне рекомендуется оставить его включенным. Да
microcode_ctl Сервис позволяющий обновлять прошивку процессора Intel (Pentium Pro, PII, Celeron, PIII, Xeon, Pentium 4 и так далее). Обновления записываются каждый раз при загрузке. Должен быть включен только если у вас процессор Intel. /

А теперь вторая часть марлезонского балета. Поскольку мы отключили ненужные сервисы, и уверены, что часть их точно в ближайшем будущем не понадобится, сам собой возникает вопрос - а зачем нам софт, из которого стартуют эти сервисы? Самое время удалить и его.
Приступим:

RSS-материал