作為一個(gè)運(yùn)維,你應(yīng)該將這些默認(rèn)且不必要的系統(tǒng)服務(wù)禁用
今天分享一下如何關(guān)閉一些不必要的系統(tǒng)服務(wù),這是運(yùn)維工程師必知優(yōu)化內(nèi)容。禁用和移除不必要的服務(wù),以達(dá)到節(jié)省系統(tǒng)資源、強(qiáng)化安全、優(yōu)化啟動(dòng)性能的目的。
本文主要以rockyLinux為例,同樣適用其他redhat其他發(fā)行版。
1. 查看服務(wù)狀態(tài)
(1) 查看所有服務(wù)狀態(tài)
systemctl list-unit-files --type=service(2) 查看當(dāng)前運(yùn)行服務(wù)
systemctl | grep running
(3) 查看高內(nèi)存/CPU消耗的進(jìn)程
ps aux --sort=-%mem | head -n 15
ps aux --sort=-%cpu | head -n 15以上操作主要排查哪些系統(tǒng)服務(wù)在啟動(dòng)并占用多少資源,具體可以要看你的系統(tǒng)版本,可能有略微差異
2. 常見可禁用服務(wù)列表
以下服務(wù)可根據(jù)具體用途安全禁用,尤其是在無圖形界面、無打印、無藍(lán)牙、無郵件功能的最小化服務(wù)器場景中。
服務(wù)名 | 默認(rèn)狀態(tài) | 是否可禁用 | 用途說明 |
| enabled | 可禁用 | 打印服務(wù)(大多數(shù)服務(wù)器不需要) |
| enabled | 可禁用 | 藍(lán)牙(通常服務(wù)器無此功能) |
| enabled | 可禁用 | Zeroconf(局域網(wǎng)服務(wù)發(fā)現(xiàn)) |
| enabled | 可禁用 | 適用于調(diào)制解調(diào)器設(shè)備 |
| enabled | 可禁用 | 本地郵件傳輸代理(如不發(fā)送系統(tǒng)郵件) |
| enabled | 按需保留 | 防火墻(如使用外部防火墻可關(guān)閉) |
tuned | enabled | 可禁用 | 動(dòng)態(tài)性能調(diào)優(yōu)服務(wù)(對于固定用途服務(wù)器可關(guān)閉) |
auditd | enabled | 視情況 | 安全審計(jì)服務(wù),用于記錄系統(tǒng)調(diào)用、日志(開發(fā)環(huán)境可以禁用) |
polkit | enabled | 小心禁用 | 控制非特權(quán)用戶訪問管理任務(wù)的權(quán)限(圖形界面或需用戶授權(quán)命令的系統(tǒng)保留,服務(wù)器可評估禁用) |
mclog | enabled | 可禁用 | 記錄 x86 CPU 硬件錯(cuò)誤(無特殊硬件需求時(shí)可禁) |
irqbalance | enabled | 可禁用 | 多核 CPU 中自動(dòng)均衡中斷負(fù)載的服務(wù)(對于單 CPU 或低負(fù)載服務(wù)器可禁) |
不一定每個(gè)服務(wù)器都有這些服務(wù),這個(gè)看你之前的具體操作系統(tǒng)和部署方式。
3. 禁用不必要服務(wù)
systemctl stop cups avahi-daemon bluetooth ModemManager postfix
systemctl disable cups avahi-daemon bluetooth ModemManager postfix4. 卸載服務(wù)軟件包
這個(gè)是可選,僅關(guān)閉也可以,將服務(wù)停止就不會(huì)被掃描到相應(yīng)的系統(tǒng),提高了安全性。
dnf cups avahi-daemon bluetooth ModemManager postfix -y5. 檢查是否禁用成功
systemctl is-enabled cups
systemctl status cups或者:
systemctl list-unit-files | grep enabled | grep cups禁用時(shí)應(yīng)該在測試環(huán)境先處理,避免出現(xiàn)異常操作導(dǎo)致無法登錄。
