È una cattiva idea interrompere l'esecuzione di servizi non necessari

8

Ho un server dedicato debian. Sto cercando di proteggerlo e un modo che ho pensato sarebbe buono è quello di chiudere i servizi che non mi servono, come ad esempio FTP.

Sto suggerendo di eseguire qualcosa di simile al momento della distribuzione:

service ntp stop
update-rc.d -f ntp remove
service vsftpd stop
update-rc.d -f vsftpd remove
service xinetd stop
update-rc.d -f xinetd remove

Sono nuovo in questo. In genere è considerato come una scarsa sicurezza eseguire questa operazione e bloccarlo con i servizi iptablesoppure rimuovere il servizio è del tutto consigliabile e in definitiva più sicuro?

linux  security  debian 
piede di porco
fonte
7
Se non lo stai veramente usando, la rimozione è sicuramente superiore. Sono un po 'dubbioso che il tuo sistema non abbia bisogno ntpo xinetdinternamente, però.
Ceejayoz,
1
La rimozione è buona ma non sufficiente: dovresti anche bloccare tutte le porte che non usi effettivamente. (E NTP è qualcosa che dovresti usare!)
Jenny D

Risposte:

16

In generale non è una cattiva idea. Lo considero anche raccomandabile. Perché usare le risorse per servizi non necessari, comunque? L'unico motivo per avere alcuni di questi servizi potrebbe essere una sorta di problema di dipendenza.

Ma non lo update-rd.duserei sudo apt-get remove application. In questo modo puoi avere un quadro delle dipendenze e interrompere il processo se rimuoverà anche qualcosa di cui hai effettivamente bisogno.

Tuttavia, tutte le dipendenze non sono visibili al sistema di pacchetti. Ad esempio, potresti avere un sistema di gestione dei contenuti che utilizza ftp per i caricamenti dei file anziché la scrittura diretta dei file. In questo tipo di situazioni è possibile associare il software all'interfaccia localhost.

NTP invece aumenta la sicurezza e dovresti averlo aggiornando l'orologio del server. Se non è necessario utilizzare NTP come server, è possibile configurare ntpd in modo da non fornire tale servizio ad altri.

Esa Jokinen
fonte
Ciò che migliora la sicurezza e la stabilità non è tanto il demone NTP in particolare, ma un clock di sistema ragionevolmente ben sincronizzato. Non ha bisogno di essere un demone NTP, in molti casi un cronjob che fa di ntpdatetanto in tanto è abbastanza buono, e in realtà più facile che bloccare ntpd.
Nils Toedtmann,
4
Bene, anche questa è una soluzione accettabile, ma ntpd fa molto di più che sincronizzare l'orologio con un solo server. Mantiene anche l'orologio in tempo tra le sincronizzazioni. Preferirei ntpd in questa situazione, quando ha una buona preconfigurazione (Debian) usando un adeguato pool di server open time.
Esa Jokinen,
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.