Optimizacija Fedore 15 i zatvaranje nepotrebnih otvorenih portova

Ovako sam optimizovao moju instalaciju Fedore 15 i prilagodio mojim potrebama.
O ostalim podesavanjima Fedore 15 mozete citati u prethodnim clancima.
Ako su Vam neki programi ili servisi potrebni ili ne znate cemu sluze, nemojte ih iskljucivati!!!

– Podesavanje fstab:

Dodao sam opciju noatime u stavke u fajlu fstab. O tome sam vec pisao, ali da podsetim. Da bi poboljsali performanse u Linuxu i (kazu ljudi) produzili vek hard diska, korisno je u fajlu etc/fstab postaviti za svaku stavku opciju noatime ili barem tamo gde to nije potrebno. Opcija noatime je posebna opcija za mountovanje fajl sistema koja sprecava upisivanje vremena pristupa odredjenom fajlu. Prilikom citanja fajla se vrsi upisivanje vremena pristupa fajlu, pa samim tim, ukljucivanjem opcije noatime, se dobija na performansama sistema. Da bi ste mogli menjati fstab fajl, morate koristiti root nalog. U terminalu ukucajte: su -, zatim ukucajte root sifru, pa ukucajte: gedit /etc/fstab

U mom primeru to izgleda ovako:

/dev/mapper/vg_disc-lv_root /                       ext4    defaults,noatime        1 1
UUID=d35169d8-578e-4d81-b7e3-743a6eccf3a9 /boot                   ext4    defaults,noatime        1 2
/dev/mapper/vg_disc-lv_home /home                   ext4    defaults,user_xattr,noatime        1 2
/dev/mapper/vg_disc-lv_swap swap                    swap    defaults,noatime        0 0
tmpfs                   /dev/shm                tmpfs   defaults,noatime        0 0
devpts                  /dev/pts                devpts  gid=5,mode=620  0 0
sysfs                   /sys                    sysfs   defaults,noatime        0 0
proc                    /proc                   proc    defaults,noatime        0

Dodato 27.1.2012:
Ako radite neke bekape podataka gde je potreban podatak o vremenu pristupa fajlu ili imate neke servere kojima je potreban podatak o vremenu pristupa fajlu, ili Vam je iz nekog razloga potreban podatak o vremenu pristupa fajlu, onda ne treba postavljeti noatime u fstab.

– Podesavanje firewalla

Firewall mi je podesen da blokira sve dolazne upite. Ako imate neki server, onda morate podesiti firewall da propusta podatke na portovima koji su potrebni serveru. Ja Fedoru koristim kao desktop sistem i nisu mi potrebni nikakvi serveri prema internetu.

Ovako mi izgleda iptables konfiguracioni fajl (/etc/sysconfig/iptables):

# Firewall configuration written by system-config-firewall
# Manual customization of this file is not recommended.
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type destination-unreachable -j DROP
-A INPUT -p icmp -m icmp --icmp-type echo-reply -j DROP
-A INPUT -p icmp -m icmp --icmp-type echo-request -j DROP
-A INPUT -p icmp -m icmp --icmp-type parameter-problem -j DROP
-A INPUT -p icmp -m icmp --icmp-type redirect -j DROP
-A INPUT -p icmp -m icmp --icmp-type router-advertisement -j DROP
-A INPUT -p icmp -m icmp --icmp-type router-solicitation -j DROP
-A INPUT -p icmp -m icmp --icmp-type source-quench -j DROP
-A INPUT -p icmp -m icmp --icmp-type time-exceeded -j DROP
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -j DROP
-A FORWARD -j DROP
COMMIT

Slicno izgleda i ip6tables (/etc/sysconfig/ip6tables). Evo primera:

# Firewall configuration written by system-config-firewall
# Manual customization of this file is not recommended.
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A INPUT -p ipv6-icmp -m icmp6 --icmpv6-type destination-unreachable -j DROP
-A INPUT -p ipv6-icmp -m icmp6 --icmpv6-type echo-reply -j DROP
-A INPUT -p ipv6-icmp -m icmp6 --icmpv6-type echo-request -j DROP
-A INPUT -p ipv6-icmp -m icmp6 --icmpv6-type parameter-problem -j DROP
-A INPUT -p ipv6-icmp -m icmp6 --icmpv6-type redirect -j DROP
-A INPUT -p ipv6-icmp -m icmp6 --icmpv6-type router-advertisement -j DROP
-A INPUT -p ipv6-icmp -m icmp6 --icmpv6-type router-solicitation -j DROP
-A INPUT -p ipv6-icmp -m icmp6 --icmpv6-type time-exceeded -j DROP
-A INPUT -p ipv6-icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -j DROP
-A FORWARD -j DROP
COMMIT

– Iskljucivanje nepotrebnih servisa i portova:

Otvoreni portovi posle instalacije Fedore 15:

22/tcp    open  ssh (koristi ga sshd)
25/tcp    open  smtp (koristi ga sendmail)
111/tcp   open  rpcbind (koristi ga rpcbind)
631/tcp   open  ipp (koristi ga cups)
50022/tcp open  rpc.statd (rpc.statd tcp port je promenljiv)

Da bi iskljucili nepotrebne servise i pozatvarali nepotrebne portove, otvoriti Terminal, ukucati su -, ukucati root sifru, zatim,

chkconfig mdmonitor off
chkconfig sendmail off
chkconfig sshd off
chkconfig pcscd off

CUPS
Servis za printer. Ako koristite printer ne iskljucivati cups servis.
chkconfig cups off

Servisi vezani za NFS
Ovde treba biti oprezan. Servisi nfs, nfslock i netfs zavise od rpc* servisa. Ako su rpc* servisi onesposobljeni, a nfs, nfslock i netfs ukljuceni, moze doci do toga da sistem nece moci da se podigne. U tom slucaju treba pritisnuti taster I (ineractive boot, odmah na pocetku podizanja sistema, pre toga pritisnuti ctrl alt backspace) prilikom podizanja sistema i rucno dozvoljavati ili ne dozvoljavati servisima da se pokrecu prilikom podizanja sistema i pri tome ne treba pokretati servise nfs, nfslock i netfs, jer zavise od rpc* servisa. To sam sve probao u Fedori 14. U Fedori 15 nisam testirao kako se ponasa kada se iskljuce rpc* servisi, a nfs, nfslock i netfs ostanu ukljuceni, vec sam ih sve iskljucio.
Samo rpcbind drzi otvoren port 111, ali ako deljenje fajlova preko mreze nije potrebno, iskljuciti i ostale servise.

chkconfig nfs off
chkconfig nfslock off
chkconfig netfs off
chkconfig rpcbind off
chkconfig rpcgssd off
chkconfig rpcidmapd off
chkconfig rpcsvcgssd off

– Isklucivanje stavki koje Vam nisu potrebne iz startupa (gnome-session-properties):

Caribou
Evolution Alarm Notify
Orca Screen Reader
Remote Desktop

About darthewok

Kompjuterski entuzijasta sa preko 30 godina iskustva.

Posted on 2011/06/11, in Fedora 15 and tagged , , . Bookmark the permalink. 1 Comment.

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

%d bloggers like this: