Отключаем ненужные сервисы в системах Linux
Дистрибутивы Linux при загрузке запускают ряд сервисов, которые в той или иной степени могут пригодиться многим пользователям. Но ведь не все они нам нужны, во имя безопасности.
Вот и я в своем ноутбуке на борту с Linux Mandriv-ой нашел не нужные мне сервисы (службы), которые запускались при загрузке. Например, smb (Протокол SMB/CIFS дает возможность открыть общий доступ к файлам и принтерам) зачем он мне нужен? Попутно я еще отключил несколько сервисов в Linux, которые не связаны с безопасностью сети, ради сокращения времени загрузке ОС.
При отключении сервисов в Linux нужно быть осторожным.
Некоторые приложения не смогут работать, если заблокировать сервис, от которого они зависят. В настойках KDE; Параметры системы>Системное администрирование>Запуск и завершения>Управление службами я отключил BlueDevil (службу управления Bluetooth). Зачем он мне нужен, если у меня нет на компьютере адаптера Bluetooth.
Отключите сервис автомонтирования устройства в Linux
В некоторых дистрибутивах по умолчанию сами монтируются диски USB и CD-приводы. Конечно, это удобно, но, по – моему неправильно. Любой может подойти к вашему компьютеру, подключить внешний USB и скопировать все ваши данные.
Я долго не мог решить эту проблему в KDE, но в итоге нашел отличное решение через polkit. Я назову её отличной штукой, в которой можно создать свою политику через механизм паролей для различных действий пользователя. Другими словами мы можем запрещать пользователям, что-то производить в системе. В нашем случае подключать usb-flash (флешку) без пароля. Итак, приступим.
Первым делом я отправился по файловой системе в /etc/polkit-1/localauthority/, там я обнаружил ещё несколько каталогов под названиями:
10-vendor.d
20-org.d
30-site.d
50-local.d
90-mandatory.d
Я выбрал 20-org.d (вроде для организаций). На самом деле неважно, какой каталог вы выберете.
Далее создал файл внутри каталога /20-org.d под названием 10-flash-mounting-policy.pkla
touch /etc/polkit-1/localauthority/20-org.d/10-flash-mounting-policy.pkla
и наполнил его таким содержимым:
[Disable
mounting removable disks to all]
Identity=unix-group:*
Action=org.freedesktop.udisks.filesystem-mount
ResultAny=no
ResultInactive=no
ResultActive=no
[Enable
mounting removable disks to some users]
Identity=unix-useravel
Action=org.freedesktop.udisks.filesystem-mount
ResultAny=no
ResultInactive=no
ResultActive=auth_self
Теперь на моём компьютере может подключать флешки только пользователь pavel (то есть я) и то, только после ввода пользовательского пароля.
В Gnome 2 отключить автомонтирование usb флешки можно средствами рабочего стола. Для этого заходим в Система > Административные > Пользователи и группы и имя вашего пользователя. Переходим на вкладку Advanced Settings > User Privileges, убираем галочки напротив опции Access External Storage Devices Automatically, Mount Userspace Filesystems и Use CD-ROM Driver. При таких настройках в gnome 2, тоже не получится подключить устройство без ввода пароля.
P.S.: Ограничьте доступ от имени root.
Конечно, современные Linux не позволяют регистрироваться от имени root при загрузке системы. По умолчанию учетные записи новых пользователи ограничены в привилегиях, нельзя устанавливать ПО или менять настройки, влияющие на рабочие столы других пользователей, и это правильно. Для выполнения таких операций требуется права супер- пользователя. В Fedora, Mandriva и других подобных дистрибутивах требуется команда su. В Debian, Ubuntu, и.т.д. команда sudo.
Регулярно просматривайте журнал /var/log/auth.log, для выявления успешных и не удачных попыток регистрации обращения к пользователю root.
Я бы не советовал добавлять терминал от супер пользователя в автозагрузку, как делает один мой знакомый. А то получится, что при загрузке определенной учётной записи будет открыт терминал с правами root, что полностью противоречит идеологии Linux.
Также я советую создать одну учетную запись без требования пароля для входа в систему. В будущем, не дай бог, если украдут ваш компьютер, пусть будет возможность у нового владельца пользоваться вашей операционной системой, которую мы настроим от воровства.
Дистрибутивы Linux при загрузке запускают ряд сервисов, которые в той или иной степени могут пригодиться многим пользователям. Но ведь не все они нам нужны, во имя безопасности.
Вот и я в своем ноутбуке на борту с Linux Mandriv-ой нашел не нужные мне сервисы (службы), которые запускались при загрузке. Например, smb (Протокол SMB/CIFS дает возможность открыть общий доступ к файлам и принтерам) зачем он мне нужен? Попутно я еще отключил несколько сервисов в Linux, которые не связаны с безопасностью сети, ради сокращения времени загрузке ОС.
При отключении сервисов в Linux нужно быть осторожным.
Некоторые приложения не смогут работать, если заблокировать сервис, от которого они зависят. В настойках KDE; Параметры системы>Системное администрирование>Запуск и завершения>Управление службами я отключил BlueDevil (службу управления Bluetooth). Зачем он мне нужен, если у меня нет на компьютере адаптера Bluetooth.
Отключите сервис автомонтирования устройства в Linux
В некоторых дистрибутивах по умолчанию сами монтируются диски USB и CD-приводы. Конечно, это удобно, но, по – моему неправильно. Любой может подойти к вашему компьютеру, подключить внешний USB и скопировать все ваши данные.
Я долго не мог решить эту проблему в KDE, но в итоге нашел отличное решение через polkit. Я назову её отличной штукой, в которой можно создать свою политику через механизм паролей для различных действий пользователя. Другими словами мы можем запрещать пользователям, что-то производить в системе. В нашем случае подключать usb-flash (флешку) без пароля. Итак, приступим.
Первым делом я отправился по файловой системе в /etc/polkit-1/localauthority/, там я обнаружил ещё несколько каталогов под названиями:
10-vendor.d
20-org.d
30-site.d
50-local.d
90-mandatory.d
Я выбрал 20-org.d (вроде для организаций). На самом деле неважно, какой каталог вы выберете.
Далее создал файл внутри каталога /20-org.d под названием 10-flash-mounting-policy.pkla
touch /etc/polkit-1/localauthority/20-org.d/10-flash-mounting-policy.pkla
и наполнил его таким содержимым:
[Disable
mounting removable disks to all]
Identity=unix-group:*
Action=org.freedesktop.udisks.filesystem-mount
ResultAny=no
ResultInactive=no
ResultActive=no
[Enable
mounting removable disks to some users]
Identity=unix-useravel
Action=org.freedesktop.udisks.filesystem-mount
ResultAny=no
ResultInactive=no
ResultActive=auth_self
Теперь на моём компьютере может подключать флешки только пользователь pavel (то есть я) и то, только после ввода пользовательского пароля.
В Gnome 2 отключить автомонтирование usb флешки можно средствами рабочего стола. Для этого заходим в Система > Административные > Пользователи и группы и имя вашего пользователя. Переходим на вкладку Advanced Settings > User Privileges, убираем галочки напротив опции Access External Storage Devices Automatically, Mount Userspace Filesystems и Use CD-ROM Driver. При таких настройках в gnome 2, тоже не получится подключить устройство без ввода пароля.
P.S.: Ограничьте доступ от имени root.
Конечно, современные Linux не позволяют регистрироваться от имени root при загрузке системы. По умолчанию учетные записи новых пользователи ограничены в привилегиях, нельзя устанавливать ПО или менять настройки, влияющие на рабочие столы других пользователей, и это правильно. Для выполнения таких операций требуется права супер- пользователя. В Fedora, Mandriva и других подобных дистрибутивах требуется команда su. В Debian, Ubuntu, и.т.д. команда sudo.
Регулярно просматривайте журнал /var/log/auth.log, для выявления успешных и не удачных попыток регистрации обращения к пользователю root.
Я бы не советовал добавлять терминал от супер пользователя в автозагрузку, как делает один мой знакомый. А то получится, что при загрузке определенной учётной записи будет открыт терминал с правами root, что полностью противоречит идеологии Linux.
Также я советую создать одну учетную запись без требования пароля для входа в систему. В будущем, не дай бог, если украдут ваш компьютер, пусть будет возможность у нового владельца пользоваться вашей операционной системой, которую мы настроим от воровства.