Est-ce une mauvaise idée d'arrêter l'exécution de services inutiles

8

J'ai un serveur dédié debian. J'essaye de le sécuriser et une façon que je pensais être bonne est de fermer les services dont je n'ai pas besoin, comme FTP par exemple.

Je propose d'exécuter quelque chose comme ça sur le déploiement:

service ntp stop
update-rc.d -f ntp remove
service vsftpd stop
update-rc.d -f vsftpd remove
service xinetd stop
update-rc.d -f xinetd remove

Je suis nouveau dans ce domaine. Est-il généralement considéré comme une sécurité médiocre de le faire et de verrouiller les services avec iptables, ou la suppression du service est-elle complètement recommandée et finalement plus sécurisée?

linux security debian Jimmy
la source
7
Si vous ne l'utilisez vraiment pas, la suppression est certainement supérieure. Je suis un peu douteux que votre système n'ait pas besoin ntpou en xinetdinterne, cependant.
ceejayoz
1
La suppression est bonne mais pas suffisante - vous devez également bloquer tous les ports que vous n'utilisez pas réellement. (Et NTP est quelque chose que vous devriez utiliser!)
Jenny D

Réponses:

16

En général, ce n'est pas une mauvaise idée. Je le considérerais même comme recommandable. Pourquoi utiliser des ressources pour des services non nécessaires de toute façon? La seule raison d'avoir certains de ces services pourrait être une sorte de problème de dépendance.

Je n'utiliserais update-rd.dcependant pas mais sudo apt-get remove application. De cette façon, vous pouvez avoir une image des dépendances et arrêter le processus s'il supprime également quelque chose dont vous avez réellement besoin.

Cependant, toutes les dépendances ne sont pas visibles pour le système de packages. Vous pourriez par exemple avoir un système de gestion de contenu qui utilise ftp pour les téléchargements de fichiers au lieu de l'écriture directe de fichiers. Dans ce genre de situations, vous ne pouvez lier le logiciel qu'à l'interface localhost.

NTP d'autre part augmente la sécurité et vous devriez l'avoir mise à jour de l'horloge du serveur. Si vous n'avez pas besoin d'utiliser NTP comme serveur, vous pouvez configurer ntpd pour ne pas fournir ce service à d'autres.

Esa Jokinen
la source
Ce qui améliore la sécurité et la stabilité n'est pas tant le démon NTP en particulier, mais le fait d'avoir une horloge système raisonnablement bien synchronisée. N'a pas besoin d'être un démon NTP, dans de nombreux cas, un cronjob de ntpdatetemps en temps est assez bon, et en fait plus facile que de verrouiller ntpd.
Nils Toedtmann
4
Eh bien, c'est aussi une solution passable, mais ntpd fait plus que simplement synchroniser l'horloge avec un serveur. Il conserve également l'horloge dans le temps entre les synchronisations. Je préfère ntpd dans cette situation, quand il a une bonne préconfiguration (Debian) en utilisant un pool approprié de serveurs ouverts.
Esa Jokinen