सवाल एक ताजा उबंटू सर्वर स्थापना अनुकूलित करें


ताजा उबंटू सर्वर स्थापित करने के बाद (मैं व्यक्तिगत रूप से 8.04 एलटीएस का उपयोग करता हूं) मेमोरी खपत, डिस्क उपयोग और गति के संदर्भ में इसे अनुकूलित करने के लिए आप क्या करते हैं? अपने सर्वर को बनाने शुरू करने से पहले अपनी प्रणाली को दुबला और यथासंभव यथासंभव बनाने के लिए आप कौन सी सेवाएं और पूर्व-स्थापित पैकेज निकालते हैं?


4
2018-06-22 11:20


मूल




जवाब:


यह इस बात पर निर्भर करेगा कि आप सर्वर का उपयोग किस प्रकार करना चाहते हैं, इसलिए जो भी विशिष्ट हम सुझाव देते हैं वह आपके लिए अप्रासंगिक हो सकता है ...

मेरी सामान्य सलाह है नहीं बेस इंस्टॉल से कम करने के बाद शुरू करें, फिर संकुल को हटा दें।

मैं सर्वर इंस्टॉल के लिए डेबियन स्थिर का उपयोग करता हूं, और मैं इसे सुनिश्चित करता हूं कुछ भी तो नहीं के अलावा अन्य पूर्ण अनिवार्य प्रारंभिक सेटअप में चला जाता है (इंस्टॉल प्रक्रिया के दौरान टास्कसेल द्वारा पूछे जाने पर डिफ़ॉल्ट "मानक सिस्टम" विकल्प को अचयनित करने सहित) और मैं उस बिंदु से आवश्यक संकुल और सेटिंग्स जोड़ता हूं। मुझे लगता है कि उबंटू सर्वर इंस्टॉलेशन के साथ भी ऐसा किया जा सकता है क्योंकि उबंटू कई मामलों में डेबियन के बहुत करीब है।


3
2018-06-22 12:26





सबसे पहले अपने सर्वर द्वारा प्रदान की जाने वाली सेवाओं (बंदरगाहों) की पहचान करें, फिर बाकी सब कुछ अक्षम करें, ऐसे कई टूल हैं जिनका उपयोग आप अपने सर्वर को बैस्टिल या ट्रिपवायर से सुरक्षित करने के लिए कर सकते हैं। आपके द्वारा चलाए जा रहे सेवाओं के आधार पर, आपको स्थापित सॉफ़्टवेयर के विशिष्ट ट्यूनिंग की तलाश करनी होगी।


2
2018-06-22 12:32





मैं इसे अनुकूलित करने के बारे में यहां बात करने वाला नहीं हूं, लेकिन क्योंकि आपने एक नया सर्वर स्थापित करने के बारे में पूछा है, तो मैं सुरक्षा के बारे में कुछ मुद्दों को सूचीबद्ध करूंगा ... लेकिन ओवरकिल से सावधान रहें

  1. यदि इसे "शत्रुतापूर्ण" नेटवर्क का सामना करना पड़ रहा है - तो फ़ायरवॉल को कसकर कॉन्फ़िगर करें
  2. यदि यह एक वेबसर्वर है - प्रॉक्सी को भी इंस्टॉल और कॉन्फ़िगर करें (स्क्विड एक अच्छा है)
  3. इसके बारे में सोचें जब यह अपडेट करने की बात आती है:
    • यदि यह एक सुरक्षा पैच है - इसे स्थापित करें
    • यदि यह कुछ कार्यक्षमता जोड़ता है - इसे पहले "लैब" वातावरण में जांचें
  4. कुछ कॉन्फ़िगरेशन फ़ाइलों की स्थिति की निगरानी करने के लिए "ट्रिपवायर" कॉन्फ़िगर करें, और इसे सेट करें जब भी कुछ होता है तो ई-मेल भेजने के लिए (रिमोट सर्वर पर ई-मेल भेजा जाना चाहिए)
  5. अगर आपको लगता है कि आपको इसकी आवश्यकता है - एक आईडीएस भी कॉन्फ़िगर करें (जैसे "स्नॉर्ट")
  6. "Sysv-rc-conf" इंस्टॉल करें और उन सभी सेवाओं को अचयनित करें जिनकी आपको आवश्यकता नहीं होगी।
  7. यदि नेटवर्क होना चाहिए तो नेटवर्क पर अधिक सेविस होने पर "netstat -tupan" से जांचें
  8. यदि आपको एसएसएच एक्सेस की आवश्यकता होगी, तो "ceritifcate- आधारित पहुंच" (सार्वजनिक / निजी कुंजी) या सेटअप करें पोर्ट-दस्तक।
  9. लॉग रखें ... उन्हें सत्यापित करें ... बैकअप अक्सर ... बैकअप सत्यापित करें
  10. सभ्य पासवर्ड का प्रयोग करें (एक ही पासवर्ड का प्रयोग न करें!) - आप उन्हें "एपीजी" के साथ उत्पन्न कर सकते हैं
  11. अपने सर्वर को तोड़ने का प्रयास करें, और फिर इसे और अधिक कठोर करें
  12. SELinux और AppArmor के लिए Google

2
2018-06-22 13:07





सबसे पहले: sudo apt-rcconf स्थापित करें

सुडो rcconf

... सभी अनावश्यक सेवाओं को अक्षम करें। और सिस्टम रीबूट करें

कृपया मेरी बुरी अंग्रेजी क्षमा करें ...


1
2018-06-22 13:34





ऐसा लगता है कि आप सुरक्षा के बारे में चिंतित हैं।

यदि ऐसा है, तो यह एक अच्छा विचार है md5sumऔर शायद ए महत्वपूर्ण निम्न-स्तरीय सिस्टम टूल्स की प्रति इससे पहले कि आप सिस्टम को इंटरनेट से कनेक्ट करने से पहले अपने पुराने राज्य में सिस्टम समझौता (जैसे एलएस, पीएस, नेटस्टैट, आदि और एमडी 5 एसयूएम) के मामले में इस्तेमाल किया जाएगा।

फिर उन फ़ाइलों की निगरानी करने के लिए एक प्रक्रिया स्थापित करें और md5sums कभी भी बदलते हैं तो आपको सूचित करें। सबसे पहले चीजों में से एक रूटकिट्स इन उपकरणों को अपने सिस्टम पर अपनी उपस्थिति को छिपाने के लिए प्रतिस्थापित करना है।


1
2018-06-22 13:38



या बस apt-get rkhunter स्थापित करें, जो आपके लिए यह सब कुछ करता है। - TRS-80
खैर, यह md5sums करता है - लेकिन आपातकाल में उपयोग के लिए अच्छी फ़ाइलों की एक वास्तविक प्रति होना अच्छा लगता है। - Brent


एक पैकेज कहा जाता है Bastille जिसका उपयोग किया जा सकता है सर्वर-सख्त

यह आपको कुछ प्रश्न पूछता है कि सर्वर का उपयोग कैसे किया जाएगा, और कुछ डिफ़ॉल्ट सुरक्षा सेटिंग्स को मजबूत करता है।

देखने लायक हो सकता है।


1
2018-06-22 16:44





कुछ मत करो। जब तक आप जानते हैं कि आपको कोई समस्या नहीं है, तब तक कोई बात नहीं है। अधिकांश बार लिनक्स बॉक्स से ठीक हो जाएगा। यदि आप 32 बिट चला रहे हैं तो आप यह सुनिश्चित करने के लिए अपने कर्नेल को जांचना चाहेंगे कि यह आपके द्वारा इंस्टॉल की गई सभी मेमोरी का उपयोग कर सके।

इसके अलावा प्रदर्शन के संदर्भ में आप जो कुछ भी करते हैं वह सिस्टम और आपके ऐप्स की निगरानी करता है। फिर यदि आपको कोई समस्या दिखाई देती है तो आप इसे संबोधित करते हैं।

हालांकि कुछ चीजें जिन्हें आप अग्रिम में संबोधित करना चाहते हैं।

जैसे यदि आप अचानक निर्णय लेते हैं कि आपको अधिक आईओ की आवश्यकता है और इसे पाने का सबसे अच्छा तरीका 10 है तो आपका एसओएल अगर आपने पहले इसके बारे में नहीं सोचा था।


1
2018-06-23 10:16





मैं जो भी मशीन चलाता हूं वह मूल ट्यूनिंग मैं करता हूं

  1. प्रत्येक कर्नेल stanza में निम्नलिखित जोड़ें /etc/grub.conf, फिर रीबूट करें

    लिफ्ट = समय सीमा selinux = 0

  2. संपादित करें /etc/fstab और सभी स्थानीय विभाजनों में निम्नलिखित जोड़ें, फिर चलाएं mount -o remount $PARTITION 

    noatime

  3. स्लोकेट निकालें, mlocate (जब तक आवश्यक हो)

अद्यतन करें: विकल्पों के लिए स्पष्टीकरण

  1. elevator=deadline, यहां और पढ़ेंselinux=0, मैंने पाया है कि SELinux इसे हल करने की तुलना में अधिक समस्याओं का कारण बनता है (उदाहरण के लिए लूपबैक के माध्यम से कनेक्ट नहीं किया जा रहा है) और इसलिए इसे अक्षम करने और पारंपरिक सुरक्षा पैटर्न पर भरोसा करना चुनते हैं।

  2. noatime, इस विकल्प के बिना, जब भी कोई फ़ाइल या निर्देशिका छूती है, जिसमें पढ़ा जा रहा है find या ls, द atime इनोड की विशेषता अद्यतन है। थोक आईओ संचालन करते समय यह आवश्यक आईओ फाइल सिस्टम एक्सेस को काफी धीमा कर सकता है और इसे सुरक्षित रूप से अक्षम किया जा सकता है। इस विकल्प के साथ लिनक्स पर काम न करने वाला एकमात्र एप्लिकेशन अक्षम है। यहां और पढ़ें

  3. slocate और मित्र समय-समय पर आपकी फ़ाइलों की पृष्ठभूमि अनुक्रमणिका बनाते हैं, इस आवधिक प्रसंस्करण डेटाबेस जैसे आईओ गहन अनुप्रयोगों के लिए प्रसंस्करण के समय में अपेक्षित स्पाइक्स का कारण बन सकता है। जब तक आपको इन उपयोगिताओं की कार्यक्षमता की आवश्यकता न हो, मैं उन्हें हटाना पसंद करता हूं।


1



अच्छा होगा अगर आप इनमें से प्रत्येक "क्यों" के लिए यह समझा सकते हैं। धन्यवाद। - Luke
@ ल्यूक, मैंने एक स्पष्टीकरण जोड़ा है - Dave Cheney