Nonaktifkan dan Hapus Layanan yang Tidak Diinginkan pada Instalasi Minimal RHEL/CentOS 7


Instalasi minimal RHEL/CentOS 7 untuk server dilengkapi dengan beberapa layanan pra-instal default, seperti daemon Agen Transfer Surat Postfix, Avahi Daemon mdns (Sistem Nama Domain multicast) dan layanan Chrony, yang bertanggung jawab untuk menjaga jam sistem.

Sekarang sampai pada pertanyaan.. Mengapa kita perlu menonaktifkan semua layanan ini. jika sudah diinstal sebelumnya? Salah satu alasan utamanya adalah untuk meningkatkan tingkat keamanan sistem, alasan kedua adalah tujuan akhir sistem dan yang ketiga adalah sumber daya sistem.

Persyaratan

  1. Instalasi Minimal CentOS 7
  2. Instalasi Minimal RHEL 7

Jika Anda berencana menggunakan RHEL/CentOS 7 yang baru diinstal untuk menghosting, katakanlah, situs web kecil yang berjalan di Apache atau Nginx, atau untuk menyediakan layanan jaringan seperti DNS , DHCP, boot PXE, server FTP, dll atau layanan lain yang tidak memerlukan daemon Postifx MTA, daemon Chrony atau Avahi, lalu mengapa kami harus tetap menginstal atau bahkan menjalankan semua daemon yang tidak perlu ini di server Anda.

Layanan eksternal utama yang benar-benar diperlukan oleh server Anda untuk dijalankan setelah Anda melakukan instalasi minimal hanyalah daemon SSH, untuk memungkinkan login jarak jauh pada sistem, dan, dalam beberapa kasus, layanan NTP, untuk secara akurat menyinkronkan jam internal server Anda dengan server NTP eksternal.

Nonaktifkan/Hapus Layanan MTA, Avahi, dan Chrony Postfix

1. Setelah instalasi selesai, login ke server Anda dengan akun root atau pengguna dengan hak akses root dan lakukan pembaruan sistem, untuk memastikan bahwa sistem Anda mutakhir. -tanggal dengan semua paket dan patch keamanan.

yum upgrade

2. Langkah selanjutnya adalah menginstal beberapa utilitas sistem yang berguna menggunakan YUM Package Manager, seperti net-tools (paket ini menyediakan
yang lebih lama tapi perintah ifconfig yang bagus), editor teks nano, wget dan curl untuk transfer URL, lsof (untuk membuat daftar file yang terbuka) dan bash-completion, yang secara otomatis menyelesaikan perintah yang diketik.

yum install nano bash-completion net-tools wget curl lsof

3. Sekarang Anda dapat mulai menonaktifkan dan menghapus layanan pra-instal yang tidak diinginkan. Pertama-tama, dapatkan daftar semua layanan Anda yang aktif dan berjalan dengan menjalankan perintah netstat pada soket jaringan status TCP, UDP, dan Listen.

netstat -tulpn  	## To output numerical service sockets

netstat -tulp      	## To output literal service sockets

4. Seperti yang Anda lihat Postfix dimulai dan mendengarkan di localhost pada port 25, daemon Avahi mengikat semua Antarmuka jaringan dan Chronyd layanan mengikat localhost dan semua antarmuka jaringan pada port yang berbeda. Lanjutkan penghapusan layanan MTA Postfix dengan mengeluarkan perintah berikut.

systemctl stop postfix
yum remove postfix

5. Selanjutnya hapus layanan Chronyd, yang akan digantikan oleh server NTP, dengan mengeluarkan perintah berikut.

systemctl stop chronyd
yum remove chrony

6. Sekarang saatnya menghapus daemon Avahi. Sepertinya daemon Avahi di RHEL/CentOS 7 sangat ketat dan bergantung pada layanan Manajer Jaringan. Melakukan penghapusan daemon Avahi dapat meninggalkan sistem Anda tanpa koneksi jaringan apa pun.

Jadi, berikan perhatian ekstra pada langkah ini. Jika Anda benar-benar memerlukan konfigurasi jaringan otomatis yang disediakan oleh Manajer Jaringan atau Anda perlu mengedit antarmuka Anda
melalui jaringan nmtui dan utilitas antarmuka, maka Anda sebaiknya hanya menghentikan dan menonaktifkan daemon Avahi dan tidak melakukan penghapusan sama sekali.

Jika Anda masih ingin menghapus layanan ini sepenuhnya maka Anda harus mengedit file konfigurasi jaringan secara manual yang terletak di /etc/sysconfig/network-scripts/ifcfg-interface_name, lalu memulai dan mengaktifkan layanan jaringan.

Keluarkan perintah berikut untuk menghapus daemon Avahi mdns. Perhatian: Jangan mencoba menghapus daemon Avahi jika Anda terhubung melalui SSH.

systemctl stop avahi-daemon.socket avahi-daemon.service
systemctl disable avahi-daemon.socket avahi-daemon.service
--------- Stop here if you don't want removal --------- 

yum remove avahi-autoipd avahi-libs avahi

7. Langkah ini diperlukan hanya jika Anda menghapus daemon Avahi dan koneksi jaringan Anda terputus dan Anda perlu mengonfigurasi ulang Kartu Antarmuka Jaringan secara manual.

Untuk mengedit NIC Anda agar menggunakan IPv6 dan Alamat IP statis, buka jalur /etc/sysconfig/network-scripts/, buka file antarmuka NIC (biasanya kartu pertama diberi nama ifcfg-eno1677776 dan sudah dikonfigurasi oleh Manajer Jaringan) dan gunakan kutipan berikut sebagai panduan jika
Anda antarmuka jaringan tidak memiliki konfigurasi.

IPV6INIT=no
IPV6_AUTOCONF=yes
BOOTPROTO=none
DEVICE=eno16777736
ONBOOT=yes
UUID=c3f0dc21-d2eb-48eb-aadf-10a520b13df0
TYPE=Ethernet
#DEFROUTE=no
IPV4_FAILURE_FATAL=no
IPV6_DEFROUTE=no
IPV6_FAILURE_FATAL=no
NAME="System eno16777736"
IPV6_PEERDNS=yes
IPV6_PEERROUTES=yes
HWADDR=00:0C:29:E2:06:E9
                IPADDR=192.168.1.25
                NETMASK=255.255.255.0
                GATEWAY=192.168.1.1
                DNS1=192.168.1.1
                DNS2=8.8.8.8

Pengaturan terpenting di sini yang harus Anda pertimbangkan adalah:

  1. BOOTPROTO – Setel ke tidak ada atau statis – untuk Alamat IP statis.
  2. ONBOOT – Setel ke ya – untuk menampilkan antarmuka Anda setelah reboot.
  3. DEFROUTE – Pernyataan yang dikomentari dengan # atau dihapus sepenuhnya – tidak menggunakan rute default (Jika Anda menggunakannya di sini, Anda harus menambahkan “DEFROUTE: no” ke semua antarmuka jaringan, tidak digunakan sebagai rute default).

8. Jika infrastruktur Anda memiliki Server DHCP yang secara otomatis menetapkan Alamat IP, gunakan kutipan berikut untuk Konfigurasi Antarmuka Jaringan.

IPV6INIT=no
IPV6_AUTOCONF=yes
BOOTPROTO=dhcp
DEVICE=eno16777736
ONBOOT=yes
UUID=c3f0dc21-d2eb-48eb-aadf-10a520b13df0
TYPE=Ethernet
##DEFROUTE=no
IPV4_FAILURE_FATAL=no
IPV6_DEFROUTE=no
IPV6_FAILURE_FATAL=no
NAME="System eno16777736"
IPV6_PEERDNS=yes
IPV6_PEERROUTES=yes
HWADDR=00:0C:29:E2:06:E9

Sama seperti konfigurasi dengan Alamat IP Statis, pastikan bahwa BOOTPROTO disetel ke dhcp, pernyataan DEFROUTE dikomentari atau dihapus dan perangkat dikonfigurasikan ke secara otomatis mulai saat boot. Jika Anda tidak menggunakan IPv6 hapus saja atau beri komentar pada semua baris yang berisi IPV6.

9. Untuk menerapkan konfigurasi baru pada antarmuka jaringan, Anda harus memulai ulang layanan jaringan. Setelah Anda me-restart daemon jaringan, gunakan ifconfig
atau perintah ip addr show untuk mendapatkan pengaturan antarmuka Anda dan mencoba melakukan ping ke nama domain untuk melihat apakah jaringan berfungsi.

service network restart	## Use this command before systemctl
chkconfig network on
systemctl restart network
ifconfig
ping domain.tld

10. Sebagai pengaturan terakhir, pastikan Anda menyiapkan nama untuk nama host sistem menggunakan utilitas hostnamectl dan meninjau konfigurasi Anda dengan nama host perintah.

hostnamectl set-hostname FQDN_system_name
hostnamectl status
hostname
hostname -s   	## Short name
hostname -f   	## FQDN name

11. Itu saja! Sebagai pengujian terakhir, jalankan kembali perintah netstat untuk melihat layanan apa yang berjalan di sistem Anda.

netstat -tulpn
netstat -tulp

12. Selain server SSH, jika jaringan Anda menggunakan DHCP untuk melakukan konfigurasi IP dinamis, Klien DHCP harus berjalan dan aktif pada port UDP.

netstat -tulpn

13. Sebagai alternatif dari utilitas netstat Anda dapat mengeluarkan soket jaringan yang sedang berjalan dengan bantuan perintah Sockets Statistics.

ss -tulpn 

14. Nyalakan ulang server Anda dan jalankan perintah systemd-analize untuk menentukan kinerja waktu boot-up sistem Anda dan, juga, gunakan gratis dan Disk
Perintah gratis
untuk menampilkan statistik RAM dan HDD dan perintah top untuk melihat sumber daya sistem yang paling sering digunakan.

free -h
df -h
top 

Selamat! Sekarang Anda memiliki lingkungan sistem RHEL/CentOS 7 minimal yang bersih dengan lebih sedikit layanan yang diinstal dan dijalankan serta lebih banyak sumber daya yang tersedia untuk konfigurasi di masa mendatang.

Baca Juga: Hentikan dan Nonaktifkan Layanan yang Tidak Diinginkan dari Linux