Minimale Installation des Red Hat-Servers

8

In einer Farm virtualisierter Red Hat-Server muss aus Sicherheitsgründen ein minimales System installiert werden. Minimale Installationen haben mehrere Vorteile (auch ohne Sicherheitsaspekte):

  1. Geringere Gefährdung durch Sicherheitslücken (wenn Sie es nicht benötigen, installieren Sie es nicht)
  2. Besserer Aktualisierungsprozess (weniger zu aktualisierende Pakete, geringere Wahrscheinlichkeit, das System zu beschädigen)
  3. Bessere Leistung (keine unnötigen Daemons oder Prozesse)
  4. Je weniger Software Sie haben, desto einfacher ist es, das System zu härten

Leider ist dies nicht einfach, da die "Minimale Installation" auf Red Hat viele unnötige Pakete enthält.

Es gibt eine zusätzliche Herausforderung, da auf der Farm Oracle iAS ausgeführt wird. Mir wurde gesagt, dass iAS Abhängigkeiten von der lokalen grafischen Umgebung aufweist. Schließlich hat jeder Server in der Farm Gnome, X usw.

Ich habe im Web gesucht und eine Lösung scheint darin zu bestehen, ein Kickstart-Skript zu erstellen, das nur die erforderlichen Pakete installiert. Aber ich finde das schwierig und habe einige Zweifel, wie ich die Systemabhängigkeiten danach aufrechterhalten kann.

Wie installiere ich minimale Red Hat-Server? Ist es in Ordnung, Kickstart zu verwenden, oder habe ich Abhängigkeitsprobleme bei der Installation oder bei Updates? Gibt es eine Möglichkeit, die Installation der grafischen Umgebung für iAS zu vermeiden?

redhat  installation  kickstart  hardening 
chmeee
quelle
1
Diese Frage hat mich zunächst wirklich als komisch empfunden. Ich meine, X auf einer minimal_server_installation ? Aber dann verstehe ich, dass dies die Red Hat-Welt ist und was für eine andere Welt es ist! Wir führen fast ausschließlich Debian-Systeme aus und eine minimale Debian-Installation ist wirklich minimal - Sie erhalten nur genug Material, um sshd auszuführen, und das ist alles (haben Sie jemals einen Prozessbaum gesehen, in dem Sie die Prozesse mit den Fingern einer Hand zählen können?).
Shylent
2
Die minimale Installation von Red Hat hat kein X. Er hat X wegen Oracle, nicht wegen Red Hat.
wzzrd

Antworten:

9

Ich habe im Web gesucht und eine Lösung scheint darin zu bestehen, ein Kickstart-Skript zu erstellen, das nur die erforderlichen Pakete enthält. Aber ich finde das schwierig und habe einige Zweifel, wie ich die Systemabhängigkeiten danach aufrechterhalten kann.

Das Erstellen einer Kickstart-Datei ist nicht so schwierig: Suchen Sie in / root eines Ihrer installierten Server nach einer Datei namens anaconda-ks.cfg. Dies ist eine Kickstart-Datei, mit der ein neuer Server wie der vorhandene aussieht. Jeder RH-, Fedora- oder CentOS-Server verfügt über diese Datei.

Sie können die Datei in system-config-kickstart bearbeiten, wenn Sie mit dem Schreiben von Kickstart-Dateien nicht vertraut sind. Dafür brauchst du allerdings X.

Wie installiere ich minimale Red Hat-Server? Ist es in Ordnung, Kickstart zu verwenden, oder habe ich Abhängigkeitsprobleme bei der Installation oder bei Updates? Gibt es eine Möglichkeit, die Installation der grafischen Umgebung für iAS zu vermeiden?

Mit einer Kickstart-Datei geht es Ihnen gut. Kickstart wirkt sich auf die Art und Weise aus, wie Sie nach der Installation aktualisieren. Während der Installation werden Abhängigkeiten automatisch berechnet. Von Ihnen entfernte Pakete (falls dies überhaupt möglich ist), die ohnehin benötigt werden, werden hinzugefügt. Sie können kein System mit fehlerhaften Abhängigkeiten für das System installieren . Abhängigkeiten für Oracle sind jedoch eine ganz andere Sache.

Wenn Oracle eine grafische Umgebung benötigt (und ich weiß, dass es scheiße ist, aber es tut es), haben Sie keine andere Wahl, als X zu installieren. Allerdings benötigt Oracle X, da es ein grafisches Installationsprogramm hat. Sie brauchen danach kein X. Nach der Installation können Sie X entfernen.

In meinem Shop installieren wir übrigens nur einen sehr geringen Satz von X-Bibliotheken. Gerade genug, um xclock (und damit das Installationsprogramm) mit X-Weiterleitung remote auszuführen . Das ist genug.

Oracle hat mehr verrückte Abhängigkeiten. Es gibt einige alte C-Bibliotheks-Kompatibilitätspakete, die das Oracle-Installationsprogramm benötigt. Nicht weil es sie tatsächlich braucht, sondern weil die von ihnen gelieferte Zip-Implementierung sie braucht. Warum versenden sie diese Zip-Implementierung? Gerüchten zufolge hat die sehr alte Zip-Implementierung, die Oracle liefert, günstigere Lizenzbedingungen (wie in: Es ist nicht GPL-zertifiziert), weshalb sie sich weigern, eine neuere Implementierung zu verwenden. Nur Gerüchte, noch nie eine Bestätigung gehört ...

wzzrd
quelle
1
Das Installationsprogramm von Oracle benötigt kein X, wenn Sie eine unbeaufsichtigte
pokstad
Ich bin jetzt auch mit der gleichen Situation konfrontiert und habe festgestellt, dass auf RHEL5.8 die minimalen Pakete für die Ausführung von xclock mit X-Weiterleitung xorg-x11-appsund sind xorg-x11-xauth. Dies führt zu mehreren Abhängigkeiten, sollte jedoch hoffentlich für eine grafische Remote-Installation ausreichen.
Bram
7

KIckstart ist in Ordnung. Wenn Sie sicherstellen möchten, dass bestimmte Pakete NICHT installiert sind, können Sie sie in der Liste der zu installierenden Pakete / Gruppen auflisten, gefolgt von einem Minuszeichen ('-').

z.B

%packages
@base
core-utils
-httpd

um sicherzustellen, dass Apache nicht installiert wird

Dann können Sie im Abschnitt% post Befehle ausführen, um beispielsweise chkconfignicht gewünschte Dienste auszuschalten - und alles andere tun, um Ihre Installation zu optimieren.

Jason Tan
quelle
3

Ihr Problem ist in der Tat nicht RedHat, sondern die Oracle-Abhängigkeit.

Wie bereits in einem früheren Poster erwähnt, sind Oracle-Abhängigkeiten verrückt und hängen hauptsächlich mit dem beschissenen Installationsprogramm zusammen, nicht mit dem Produkt selbst.

Sie müssen Ihr Problem in zwei Teile teilen:

  • Erstellen Sie eine minimale RedHat-Installation mit einer Kickstart-Datei, die auf Ihrer Hardware ausgeführt wird, und generieren Sie das Dateisystem gemäß den Oracle IAS-Voraussetzungen.
  • Erstellen Sie ein Skript / Paket, das die erforderlichen Pakete für das Oracle-Installationsprogramm installiert, Oracle mit einer Antwortdatei installiert und die nicht benötigten Pakete deinstalliert.

Der zweite Teil ist der schwierigste. Sie müssen einige Zeit damit verbringen, anhand der Orakelvoranforderung zu bestimmen, was wirklich benötigt wird und was nur eine dumme Abhängigkeit ist.

Wenn dies erledigt ist, können Sie Ihre Installation automatisieren und alle Systeme auf ein Minimum warten.

Fleole
quelle
2

Sie können einmal installieren, ein Backup erstellen und auf anderen Systemen verwenden. Um ein minimales System überhaupt erst zu verwenden, können Sie entweder:

  • Führen Sie eine normale "minimale" Installation durch und entfernen Sie dann die nicht benötigten Pakete. oder
  • Bitten Sie den Installer, Sie einzelne Pakete auswählen zu lassen.

Ich würde sagen, letzteres ist einfacher zu erreichen. Es kann eine Weile dauern, dies zu tun, aber es spielt keine Rolle, da Sie es nur einmal tun werden.

Wenn die Farm über homogene virtuelle "Hardware" verfügt, umso besser. Wenn nicht, müssen Sie im Allgemeinen nur den Speicherplatz voll ausnutzen. Stellen Sie einfach sicher, dass die "Master" -Kopie dem kleinsten Nenner in Bezug auf die Größe entspricht und siehe unten.

Der letzte Teil ist unter bestimmten Bedingungen relativ einfach zu erreichen. Wenn sich am Ende der (virtuellen) Festplatte eine größte Partition befindet, löschen Sie sie in 'fdisk' und erstellen sie neu, um die Festplatte zu füllen. Dann führen Sie resize2fs aus und sind fertig. Eine andere Idee könnte die Verwendung von LVM sein, das eine einfachere Volumenvergrößerung mit 'lvextend' ermöglicht. (In LVM ist es ziemlich mühelos, dies zu skripten / zu automatisieren.)

Eduard - Gabriel Munteanu
quelle
-1 Es hat nichts mit der Frage zu tun.
Chmeee
Um Sie dazu zu zitieren: "Wie installieren Sie minimale Red Hat-Server?". So geht's: Einmal installieren, anpassen (Pakete hinzufügen / entfernen), speichern und wiederverwenden. Wie kommt es, dass es nicht verwandt ist? oO
Eduard - Gabriel Munteanu
Es könnte sogar einfacher sein, als mit Anaconda-Sachen und Kickstart herumzuspielen.
Eduard - Gabriel Munteanu
Entschuldigung, aber Ihre Antwort gibt keinen Hinweis darauf, wie Sie ein "minimales" System erhalten.
Chmeee
Oh, ich verstehe, ich habe meine Antwort entsprechend bearbeitet.
Eduard - Gabriel Munteanu
1

Ich antworte einem anderen alten, weil ich gestern eine Weile damit verbracht habe. Ich wollte, dass Red Hat mit der absolut minimalen Anzahl von Paketen für einen Spezialserver installiert wird.

Es scheint, dass in den neuesten Versionen %packagesdie Gruppe @basestandardmäßig installiert ist , auch wenn Sie im Abschnitt kein einzelnes Paket angeben .

Dadurch werden weit mehr Pakete und Services installiert, als ich auf einigen Systemen warten möchte.

Dann habe ich %packages --nobaseim CentOS Kickstart / Anaconda Wiki gefunden . Dies ist wirklich die minimalste Installation für Red Hat-basierte Distributionen. Sie werden viele Befehle finden, an die Sie gewöhnt sind und die von fehlenden abhängig sind. Aber wenn Sie einen minimalen Ausgangspunkt wollen, ist dies der richtige.

Aaron Copley
quelle
Durch die Nutzung unserer Website bestätigen Sie, dass Sie unsere Cookie-Richtlinie und Datenschutzrichtlinie gelesen und verstanden haben.
Licensed under cc by-sa 3.0 with attribution required.