¿Es una mala idea detener la ejecución de servicios innecesarios?

8

Tengo un servidor dedicado de Debian. Estoy tratando de asegurarlo y una forma que pensé que sería bueno es cerrar los servicios que no necesito, como FTP, por ejemplo.

Estoy sugiriendo ejecutar algo como esto en la implementación:

service ntp stop
update-rc.d -f ntp remove
service vsftpd stop
update-rc.d -f vsftpd remove
service xinetd stop
update-rc.d -f xinetd remove

Soy nuevo en esto. ¿Se considera generalmente una seguridad deficiente hacer esto y bloquear los servicios con iptables, o eliminar el servicio es completamente aconsejable y, en última instancia, más seguro?

linux  security  debian 
Palanqueta
fuente
77
Si realmente no lo está utilizando, la eliminación es ciertamente superior. Sin embargo, estoy un poco dudoso de que su sistema no lo necesite ntpo xinetdinternamente.
ceejayoz
1
La eliminación es bueno, pero no suficiente - usted debe también bloquear todos los puertos que no utiliza realmente. (¡Y NTP es algo que deberías usar!)
Jenny D

Respuestas:

16

En general no es una mala idea. Incluso lo consideraría recomendable. ¿Por qué usar recursos para servicios no necesarios, de todos modos? La única razón para tener algunos de estos servicios podría ser algún tipo de problema de dependencia.

Aunque no lo usaría, update-rd.dpero sudo apt-get remove application. De esa manera, puede tener una imagen de las dependencias y podría detener el proceso si también elimina algo que realmente necesita.

Sin embargo, todas las dependencias no son visibles para el sistema de paquetes. Podría, por ejemplo, tener un sistema de administración de contenido que use ftp para cargar archivos en lugar de escribir archivos directamente. En este tipo de situaciones, solo puede vincular el software a la interfaz localhost.

NTP, por otro lado, aumenta la seguridad y debería actualizarlo en el reloj del servidor. Si no necesita usar NTP como servidor, puede configurar ntpd para que no brinde ese servicio a otros.

Esa Jokinen
fuente
Lo que mejora la seguridad y la estabilidad no es tanto el demonio NTP en particular, sino tener un reloj del sistema razonablemente bien sincronizado. No es necesario que sea un demonio NTP, en muchos casos un cronjob haciendo de ntpdatevez en cuando es lo suficientemente bueno, y en realidad más fácil que bloquear ntpd.
Nils Toedtmann
44
Bueno, esa también es una solución aceptable, pero ntpd hace más que sincronizar el reloj con un solo servidor. También mantiene el reloj en el tiempo entre las sincronizaciones. Prefiero ntpd en esta situación, cuando tiene una buena preconfiguración (Debian) utilizando un grupo adecuado de servidores de tiempo abierto.
Esa Jokinen
Al usar nuestro sitio, usted reconoce que ha leído y comprende nuestra Política de Cookies y Política de Privacidad.
Licensed under cc by-sa 3.0 with attribution required.