Ist es eine schlechte Idee, unnötige Dienste nicht mehr auszuführen?

8

Ich habe einen dedizierten Debian-Server. Ich versuche es zu sichern und eine Möglichkeit, die ich für gut hielt, besteht darin, Dienste herunterzufahren, die ich nicht benötige, wie zum Beispiel FTP.

Ich schlage vor, bei der Bereitstellung Folgendes auszuführen:

service ntp stop
update-rc.d -f ntp remove
service vsftpd stop
update-rc.d -f vsftpd remove
service xinetd stop
update-rc.d -f xinetd remove

Ich bin neu in diesem Bereich. Wird es allgemein als schlechte Sicherheit angesehen, dies zu tun und die Dienste zu sperren iptables, oder ist das Entfernen des Dienstes vollständig ratsam und letztendlich sicherer?

linux  security  debian 
Jimmy
quelle
7
Wenn Sie es wirklich nicht verwenden, ist das Entfernen sicherlich überlegen. Ich bin ein wenig zweifelhaft, dass Ihr System dies nicht benötigt ntpoder xinetdintern.
Ceejayoz
1
Das Entfernen ist gut, aber nicht ausreichend. Sie sollten auch alle Ports blockieren, die Sie nicht verwenden. (Und NTP ist etwas, das Sie verwenden sollten!)
Jenny D

Antworten:

16

Im Allgemeinen ist es keine schlechte Idee. Ich würde es sogar als empfehlenswert betrachten. Warum sollten Ressourcen für Dienste verwendet werden, die überhaupt nicht benötigt werden? Der einzige Grund, einige dieser Dienste zu nutzen, könnte ein Abhängigkeitsproblem sein.

Ich würde nicht verwenden , update-rd.dobwohl doch sudo apt-get remove application. Auf diese Weise können Sie sich ein Bild von den Abhängigkeiten machen und den Prozess stoppen, wenn dadurch auch etwas entfernt wird, das Sie tatsächlich benötigen.

Für das Paketsystem sind jedoch nicht alle Abhängigkeiten sichtbar. Sie könnten beispielsweise ein Content-Management-System haben, das FTP für das Hochladen von Dateien anstelle des direkten Schreibens von Dateien verwendet. In solchen Situationen können Sie die Software nur an die localhost-Schnittstelle binden.

NTP hingegen erhöht die Sicherheit und sollte die Uhr des Servers aktualisieren. Wenn Sie NTP nicht als Server verwenden müssen, können Sie ntpd so konfigurieren, dass dieser Dienst nicht für andere bereitgestellt wird.

Esa Jokinen
quelle
Was die Sicherheit und Stabilität erhöht, ist nicht so sehr der NTP-Daemon, sondern eine einigermaßen gut synchronisierte Systemuhr. Muss kein NTP-Daemon sein, in vielen Fällen ist ein gelegentlicher Cronjob ntpdategut genug und tatsächlich einfacher, als ntpd zu sperren.
Nils Toedtmann
4
Nun, das ist auch eine passable Lösung, aber ntpd synchronisiert nicht nur die Uhr mit einem Server. Es hält auch die Uhr in der Zeit zwischen den Synchronisationen. Ich würde ntpd in dieser Situation bevorzugen, wenn es eine gute Vorkonfiguration (Debian) mit einem geeigneten Pool von Open-Time-Servern hat.
Esa Jokinen
Durch die Nutzung unserer Website bestätigen Sie, dass Sie unsere Cookie-Richtlinie und Datenschutzrichtlinie gelesen und verstanden haben.
Licensed under cc by-sa 3.0 with attribution required.