サーバーのセキュリティを確保する上で重要なことの1つに、不要なサービスを止めるというものがあります。
なぜ重要かというと、不要なサービスが動作することで CPU やメモリなどのリソースを余分に消費してしまうこともありますが、もっと重要なのは不要なサービスに脆弱性が発生したときに気がつかないということです。
もともと使用していないサービスですから、脆弱性情報のチェックもしていないし、脆弱性対策も行わないので、そこから攻撃されてしまう可能性が高くなります。
このような理由で、不要なサービスは停止する必要があります。
不要なサービスを停止するためには、現在、どのようなサービスが動作しているのか確認する必要があります。
以下のコマンドで、起動時に動作するサービスの一覧を表示することができます。
# chkconfig --list | grep 3:on auditd 0:off 1:off 2:on 3:on 4:on 5:on 6:off blk-availability 0:off 1:on 2:on 3:on 4:on 5:on 6:off clamd 0:off 1:off 2:on 3:on 4:on 5:on 6:off crond 0:off 1:off 2:on 3:on 4:on 5:on 6:off httpd 0:off 1:off 2:on 3:on 4:on 5:on 6:off ip6tables 0:off 1:off 2:on 3:on 4:on 5:on 6:off iptables 0:off 1:off 2:on 3:on 4:on 5:on 6:off lvm2-monitor 0:off 1:on 2:on 3:on 4:on 5:on 6:off netfs 0:off 1:off 2:off 3:on 4:on 5:on 6:off network 0:off 1:off 2:on 3:on 4:on 5:on 6:off postfix 0:off 1:off 2:on 3:on 4:on 5:on 6:off rsyslog 0:off 1:off 2:on 3:on 4:on 5:on 6:off sshd 0:off 1:off 2:on 3:on 4:on 5:on 6:off udev-post 0:off 1:on 2:on 3:on 4:on 5:on 6:off
インストールを限定しているので、あまり不要なサービスというのはないのですが、サーバーの機器構成が変わるということはあまりないので、udev-post を無効にしてみましょう。
まず、サービスを停止し、サーバー起動時に動作しないように設定し、設定内容を確認します。
# service udev-post stop # chkconfig udev-post off # chkconfig udev-post --list udev-post 0:off 1:on 2:off 3:off 4:off 5:off 6:off
udev-post が停止され、サーバー起動時の設定も 3:off になったので、自動起動しなくなりました。
このように不要なサービスを停止していきます。
最低限必要な CentOS セキュリティ設定
最低限必要な CentOS セキュリティ設定を以下の記事にまとめていますので、こちらもどうぞ。
コメント