É uma má idéia interromper a execução de serviços desnecessários

8

Eu tenho um servidor dedicado debian. Estou tentando protegê-lo e uma maneira que pensei que seria bom é desligar os serviços de que não preciso, como o FTP, por exemplo.

Estou sugerindo executar algo parecido com isto na implantação:

service ntp stop
update-rc.d -f ntp remove
service vsftpd stop
update-rc.d -f vsftpd remove
service xinetd stop
update-rc.d -f xinetd remove

Eu sou novo nisso. É geralmente considerado como falta de segurança fazer isso e bloqueá-lo com os serviços iptablesou remover o serviço completamente aconselhável e, em última análise, mais seguro?

linux  security  debian 
Jimmy
fonte
7
Se você realmente não está usando, a remoção é certamente superior. Eu estou um pouco duvidoso que o sistema não precisa ntpou xinetdinternamente, no entanto.
precisa
1
A remoção é boa, mas não suficiente - você também deve bloquear todas as portas que não usa. (E NTP é algo que você deve estar usando!)
Jenny D

Respostas:

16

Em geral, não é uma má ideia. Eu consideraria recomendável. Por que usar recursos para serviços não necessários, afinal? O único motivo para ter alguns desses serviços pode ser algum tipo de problema de dependência.

Eu não usaria, update-rd.dmas sudo apt-get remove application. Dessa forma, você pode ter uma imagem das dependências e pode interromper o processo se ele também remover algo que você realmente precisa.

Todas as dependências não são visíveis para o sistema de pacotes. Você pode, por exemplo, ter um sistema de gerenciamento de conteúdo que use ftp para upload de arquivos em vez de gravação direta de arquivos. Nesse tipo de situação, você só pode vincular o software à interface do host local.

Por outro lado, o NTP aumenta a segurança e você deve atualizar o relógio do servidor. Se você não precisar usar o NTP como servidor, poderá configurar o ntpd para não fornecer esse serviço a outras pessoas.

Esa Jokinen
fonte
O que aprimora a segurança e a estabilidade não é tanto o daemon NTP em particular, mas o fato de ter um relógio do sistema razoavelmente bem sincronizado. Não precisa ser um daemon NTP; em muitos casos, um cronjob de ntpdatevez em quando é bom o suficiente e, na verdade, é mais fácil do que bloquear o ntpd.
Nils Toedtmann
4
Bem, isso também é uma solução aceitável, mas o ntpd faz mais do que apenas sincronizar o relógio com um servidor. Também mantém o relógio no tempo entre as sincronizações. Eu preferiria o ntpd nessa situação, quando houver uma boa pré-configuração (Debian) usando um pool adequado de servidores em horário aberto.
Esa Jokinen
Ao utilizar nosso site, você reconhece que leu e compreendeu nossa Política de Cookies e nossa Política de Privacidade.
Licensed under cc by-sa 3.0 with attribution required.