Linux服务器服务配置说明
Download as DOC, PDF0 likes233 views
本文件提供了关于 Linux 服务器服务配置的详细说明,针对 CentOS 5.4 系统中不同服务的默认状态及建议状态。它包括对各项服务的功能及适用性分析,提供了哪些服务可以关闭或开启的建议,以提高服务器的工作效率。具体配置应根据实际应用需求进行调整。
Linux服务器服务配置说明
- 1. Linux 服务器服务配置说明 Linux 服务器与普通的 Linux 工作站不同,一般我们是不用安装桌面等无关的组件的,为了提高服务器的工作效率,安装完成后, 还会将一些不必要的系统服务停止下来,以下服务是安装 CentOS5.4(32 位)系统时,只选择安装“基本”、“开发工具”和“开发包”时的服务 配置建议,供大家参考。 不同的服务会有不同的用处,此处只是一般的建议配置,使用时还要根据你的应用需求进行相关的配置。 序号 服务名称 默认状态 建议状态 服务说明 1. NetworkManager 关 关 一个后台服务程序,它构建于 HAL 之上,提供更专注于网络管理的功能。包括网络接口管理和 网络状态查询,支持普通网络、拨 号网络和无线网络,很多笔记本用户都需要启用该功能,它 让你能够在无线网络和有线网络之间切换。大多数台式机用户应该关闭该服务。另外还提供 VPN、 DHCP 和 DNS 等附加功能。 2. acpid 开 开 ACPI - Advanced Configuration and Power Interface,表示高级配置和电源管理接口。后面的 d 表 示 deamon 。acpid 也就是 the ACPI event daemon 。也就是 acpi 的消息进程。用来控制、获取、管理 acpi 的状态的服务程序。 建议所有的笔记本用户开启它。一些服务器可能不需要 acpi。支持的通用操作有:“电源开关 “,”电池监视“,”笔记本 Lid 开关“,“笔记本显示屏亮度“,“休眠”, “挂机”,等等。 3. anacron 开 开 这几个调度程序有很小的差别。建议开启 cron,如果你的电脑将长时间运行,那就更应该开启 它。对于服务器,应该更深入了解以确定应该开启哪个调度程序。大多数情况下,笔记本/台式 机应该关闭 atd 和 anacron。注意:一些任务的执行需要 anacron,比如:清理 /tmp 或 /var。 4. apmd 开 关 一些笔记本和旧的硬件使用 apmd。如果你的电脑支持 acpi,就应该关闭 apmd。如果支持 acpi, 1
- 2. 那么 apmd 的工作将会由 acpi 来完成。 5. atd 开 关 这几个调度程序有很小的差别。建议开启 cron,如果你的电脑将长时间运行,那就更应该开启 它。对于服务器,应该更深入了解以确定应该开启哪个调度程序。大多数情况下,笔记本/台式 机应该关闭 atd 和 anacron。注意:一些任务的执行需要 anacron,比如:清理 /tmp 或 /var。 6. auditd 开 开 审核子系统可以被系统管理员用来监测系统调用和那些符合 CAPP 或其它审核要求的文件系统 访问。它的主要内容包括: · 默认情况下,审核在内核中被禁用。但是,当安装了 auditd 软件后,运行这个软件将会启动审 核守护进程(auditd)。 · 当 auditd 运行的时候,审核信息会被发送到一个用户配置日志文件中(默认的文件是 /var/log/audit/audit.log)。如果 auditd 没有运行,审核信息会被发送到 syslog。这是通过默认的设 置来把信息放入 /var/log/messages。如果审核子系统没有被启用,没有审核信息会被产生。 · 这些审核信息包括了 SELinux AVC 信息。以前,AVC 信息会被发送到 syslog,但现在会被审 核守护进程发送到审核日志文件中。 · 要完全在内核中禁用审核,在启动的时候使用 audit=0 参数。您还需要使用 chkconfig auditd off 2345 来关闭 auditd。您可以在运行时使用 auditctl -e 0 来在内核中关闭审核。 审核守护进程(auditd)从内核的 audit netlink 接口获取审核事件数据。auditd 的配置会不尽相 同,如输出文件配置和日志文件磁盘使用参数可以在 /etc/auditd.conf 文件中配置。请注意,如 果您设置您的系统来进行 CAPP 风格的审核,您必须设置一个专用的磁盘分区来只供 audit 守 护进程使用。这个分区应该挂载在 /var/log/audit。 系统管理员还可以使用 auditctl 工具程序来修改 auditd 守护进程运行时的审核参数、syscall 规则 和文件系统的查看。它包括了一个 CAPP 配置样本,您可以把它拷贝到 /etc/audit.rules 来使它起 作用。 审核日志数据可以通过 ausearch 工具程序来查看和搜索。 7. autofs 开 关 该服务自动挂载可移动存储器(比如 USB 硬盘)。如果你使用移动介质(比如移动硬盘,U 盘),建议启用这个服务。 2
- 3. 8. avahi-daemon 开 关 Avahi 是 zeroconf 协议的实现。它可以在没有 DNS 服务的局域网里发现基于 zeroconf 协议的设 备和服务。它跟 mDNS 一样。除非你有兼容的设备或使用 zeroconf 协议的服务,否则应该关闭 它。 9. avahi-dnsconfd 关 关 Avahi 是 zeroconf 协议的实现。它可以在没有 DNS 服务的局域网里发现基于 zeroconf 协议的设 备和服务。它跟 mDNS 一样。除非你有兼容的设备或使用 zeroconf 协议的服务,否则应该关闭 它。 10. bluetooth 开 关 蓝牙(Bluetooth)是给无线便携设备使用的(非 wifi, 802.11)。很多笔记本提供蓝牙支持。有蓝 牙鼠标,蓝牙耳机和支持蓝牙的手机。很多人都没有蓝牙设备或蓝牙相关的服务,所以应该关 闭它。其他蓝牙相关 的服务有:hcid 管理所有可见的蓝牙设备,hidd 对输入设备(键盘,鼠 标)提供支持, dund 支持通过蓝牙拨号连接网络,pand 允许你通过蓝牙连接以太网。 11. conman 关 关 conman is a program for connecting to remote consoles being managed by conmand 12. cpuspeed 开 开 该服务可以在运行时动态调节 CPU 的频率来节约能源(省电)。许多笔记本的 CPU 支持该特 性,现在,越来越多的台式机也支持这个特性了。如果你的 CPU 是:Petium- M,Centrino,AMD PowerNow, Transmetta,Intel SpeedStep,Athlon-64,Athlon-X2,Intel Core 2 中的一款,就应该开启它。如果你想让你的 CPU 以固定频率运行的话就关闭它。 13. crond 开 开 这几个调度程序有很小的差别。建议开启 cron,如果你的电脑将长时间运行,那就更应该开启 它。对于服务器,应该更深入了解以确定应该开启哪个调度程序。大多数情况下,笔记本/台式 机应该关闭 atd 和 anacron。注意:一些任务的执行需要 anacron,比如:清理 /tmp 或 /var。 14. cpus 开 关 (Common UNIX Printing System)公共 UNIX 打印支持,为 Linux 提供打印功能。 安装打印机 时需要的服务 15. dnsmasq 关 关 DNSmasq 是一个轻巧的,容易使用的 DNS 服务工具,它可以应用在内部网和 Internet 连接的 时候的 IP 地址 NAT 转换,也可以用做小型网络的 DNS 服务 16. dund 关 关 dund 支持通过蓝牙拨号连接网络。(关联 bluetooth) 17. firstboot 开 关 该服务是 Fedora 安装过程特有的。它执行在安装之后的第一次启动时仅仅需要执行一次的特定 3
- 4. 任务。它可以被关闭 18. gpm 开 关 终端鼠标指针支持(无图形界面)。如果你不使用文本终端(CTRL-ALT-F1, F2..),那就关闭 它。不过,我在运行级别 3 开启它,在运行级别 5 关闭它 19. haldaemon 开 开 硬件监控系统。此服务监控硬件改变,为你更改过的硬件提供报告。(没有硬件更改就无需启动) 20. hidd 开 关 蓝牙(Bluetooth)是给无线便携设备使用的(非 wifi, 802.11)。很多笔记本提供蓝牙支持。有蓝 牙鼠标,蓝牙耳机和支持蓝牙的手机。很多人都没有蓝牙设备或蓝牙相关的服务,所以应该关 闭它。其他蓝牙相关 的服务有:hcid 管理所有可见的蓝牙设备,hidd 对输入设备(键盘,鼠 标)提供支持, dund 支持通过蓝牙拨号连接网络,pand 允许你通过蓝牙连接以太网。 21. ibmasm 关 关 Tools necessary to control the IBM Advanced System Management (ASM, also known as RSA(1)) device driver。 22. ip6tables 开 关 如果你不知道你是否在使用 IPv6,大部分情况下说明你没有使用。该服务是用于 IPv6 的软件防 火墙。大多数用户都应该关闭它 23. iptables 开 开 它是 Linux 标准的防火墙(软件防火墙)。如果你直接连接到互联网(如, cable,DSL,T1),建议开启它。如果你使用硬件防火墙(比如:D-Link,Netgear,Linksys 等等),可以关闭它。强烈建议开启它 24. irda 关 关 IrDA 提供红外线设备(笔记本,PDA’s,手机,计算器等等)间的通讯支持。大多数用户应该 关闭它 25. irqbalance 开 开 使系统支援多个 CPU 环境,统中断请求时进行负载平衡的程序,所以单 CPU 的机器就不需要 这项服务 26. kudzu 开 关 kudzu:硬件自动检测程序,会自动检测硬件是否发生变动,并相应进行硬件的添加、删除工作。 当系统启动时,kudzu 会对当前的硬件进行检测,并且和存储在 /etc/sysconfig/hwconf 中的硬件 信息进行一一对照,如果某个硬件从系统中被添加或者删除时,那么 kudzu 就会察觉到,并且 通知用户是否进行相关配置,然后修改/etc/sysconfig/hwconf,使硬件资料与系统保持同步。如 果/etc/sysconfig/hwconf 这个文件不存在,那么 kudzu 将会 4
- 5. 从/etc/modprobe.conf,/etc/sysconfig/network-scripts/和 /etc/X11/XF86Config 中探测已经存在的 硬件 27. lvm2-monitor 开 关 使系统支持 Logical Volume Manager 逻辑分区 28. mcstrans 开 关 主要用於配合 SELinux 服务 29. mdmonitor 开 关 该服务用来监测 Software,RAID 或 LVM 的信息。它不是一个关键性的服务,可以关闭它 30. mdmpd 关 关 该服务用来监测 Multi-Path 设备(该类型的存储设备能被一种以上的控制器或方法访问)。它 应该被关闭 31. messagebus 开 开 这是 Linux 的 IPC(Interprocess Communication,进程间通讯)服务。确切地说,它与 DBUS 交 互,是重要的系统服务。强烈建议开启它 32. microcode_ctl 开 关 可编码以及发送新的微代码到内核以更新 Intel IA32 系列处理器守护进程 33. multipathd 关 关 This daemon is in charge of checking for failed paths. When this happens, it will reconfigure the multipath map the path belongs to, so that this map regains its maximum performance and redundancy 34. netconsole 关 关 send kernel boot messages over ethernet 35. netfs 开 关 该服务用于在系统启动时自动挂载网络中的共享文件空间,比如:NFS,Samba 等等。如果你 连接到局域网中的其它服务器并进行文件共享,就开启它。大多数台式机和笔记本用户应该关 闭它 36. netplugd 关 关 Netplugd 用于监测网络接口并在接口状态改变时执行指定命令。建议保留它的默认关闭状态 37. network 开 开 激活/关闭启动时的各个网络接口守护进程 38. nfs 关 关 这是用于 Unix/Linux/BSD 系列操作系统的标准文件共享方式。除非你需要以这种方式共享数据, 否则关闭它 39. nfslock 开 关 这是用于 Unix/Linux/BSD 系列操作系统的标准文件共享方式。除非你需要以这种方式共享数据, 否则关闭它 40. nscd 关 关 服务名缓存进程,它为 NIS 和 LDAP 等服务提供更快的验证,如果你运行这些服务,那你应该 开启它 41. oddjobd 关 关 The oddjobd daemon provides the com.redhat.oddjob service on the system-wide message bus. Each 5
- 6. facility which oddjobd provides is provided as a separate D-Bus method.Any method can be invoked by name by any user, subject to access controls enforced by both D-Bus and oddjobd.Most methods are implemented as helper programs 42. pand 关 关 允许你通过蓝牙连接以太网。(关联 bluetooth) 43. pcscd 开 关 该服务提供智能卡(和嵌入在信用卡,识别卡里的小芯片一样大小)和智能卡读卡器支持。如 果你没有读卡器设备,就关闭它 44. portmap 开 关 该服务是 NFS(文件共享)和 NIS(验证)的补充。除非你使用 NFS 或 NIS 服务,否则关闭它 45. psacct 关 关 该守护进程包括几个工具用来监控进程活动的工具,包括 ac,lastcomm, accton 和 sa 46. rawdevices 开 关 在使用集群文件系统时用于加载 raw 设备的守护进程 47. rdisc 关 关 实现客户端的 ICMP 路由器发现协议。 rdisc 援引在开机时填入网络路由表的默认路由 48. readahead_early 开 关 该服务通过预先加载特定的应用程序到内存中以提供性能。如果你想程序启动更快,就开启它 49. readahead_later 关 关 该服务通过预先加载特定的应用程序到内存中以提供性能。如果你想程序启动更快,就开启它 50. restorecond 开 开 用于给 SELinux 监测和重新加载正确的文件上下文(file contexts)。它不是必须的,但如果你 使用 SELinux 的话强烈建议开启它 51. rpcgssd 开 关 用于 NFS v4。除非你需要或使用 NFS v4,否则关闭它 52. rpcidmapd 开 关 用于 NFS v4。除非你需要或使用 NFS v4,否则关闭它 53. rpcsvcgssd 关 关 用于 NFS v4。除非你需要或使用 NFS v4,否则关闭它 54. saslauthd 关 关 使用 SASL 的认证守护进程 55. sendmail 开 关 除非你管理一个邮件服务器或你想 在局域网内传递或支持一个共享的 IMAP 或 POP3 服务。大 多数人不需要一个邮件传输代理。如果你通过网页(hotmail/yahoo/gmail)或使用邮件收发程序 (比如:Thunderbird, Kmail,Evolution 等等)收发邮件。你应该关闭它 56. smartd 开 开 SMART Disk Monitoring 服务用于监测并预测磁盘失败或磁盘问题(前提:磁盘必须支持 SMART)。大多数的桌面用户不需要该服务,但建议开启它,特别是服务器 57. sshd 开 开 SSH 允许其他用户登录到你的系统并执行程序,该用户可以和你同一网络,也可以是远程用户。 开启它存在潜在的安全隐患。如果你不需要从其它机器或不需要从远程登录,就应该关闭它 6
- 7. 58. syslog 开 开 系统登录。一项必要的服务,控制整个系统上的所有登录 59. tcsd 关 关 60. wpa_supplicant 关 关 无线网卡上网服务 61. xfs 开 关 X Window 字型服务器守护进程,为本地和远程 X 服务器提供字型集 62. ypbind 关 关 为 NIS(网络信息系统)客户机激活 ypbind 服务进程 63. yum-updatesd 开 开 RPM 操作系统自动升级和软件包管理守护进程 7