Отключаем ненужные сервисы в системах Linux

Подписка на LinuxFormat 2017 Инфофорум национальной безопасности

Дистрибутивы Linux при загрузке запускают ряд сервисов, которые в той или иной степени могут пригодиться многим пользователям. Но ведь не все они нам нужны, во имя безопасности.

Вот и я в своем ноутбуке на борту с Linux Mandriv-ой нашел не нужные мне сервисы (службы), которые запускались при загрузке. Например, smb (Протокол SMB/CIFS дает возможность открыть общий доступ к файлам и принтерам) зачем он мне нужен? Попутно я еще отключил несколько сервисов в Linux, которые не связаны с безопасностью сети, ради сокращения времени загрузке ОС.

При отключении сервисов в Linux нужно быть осторожным.

Удаляем с автозагрузки ненужные сервисы linuxНекоторые приложения не смогут работать, если заблокировать сервис, от которого они зависят. В настойках KDE; Параметры системы>Системное администрирование>Запуск и завершения>Управление службами я отключил BlueDevil (службу управления Bluetooth). Зачем он мне нужен, если у меня нет на компьютере адаптера Bluetooth.

отключаем ненужные сервисы linux Bluetooth

Отключите сервис автомонтирования устройства в Linux

В некоторых дистрибутивах по умолчанию сами монтируются диски USB и CD-приводы. Конечно, это удобно, но, по — моему неправильно. Любой может подойти к вашему компьютеру, подключить внешний USB и скопировать все ваши данные.

Я долго не мог решить эту проблему в KDE, но в итоге нашел отличное решение через polkit. Я назову её отличной штукой, в которой можно создать свою политику через механизм паролей для различных действий пользователя. Другими словами мы можем запрещать пользователям, что-то производить в системе. В нашем случае подключать usb-flash (флешку) без пароля. Итак, приступим.

Первым делом я отправился по файловой системе в /etc/polkit-1/localauthority/, там я обнаружил ещё несколько каталогов под названиями:

10-vendor.d
20-org.d
30-site.d
50-local.d
90-mandatory.d

Я выбрал 20-org.d (вроде для организаций). На самом деле неважно, какой каталог вы выберете.

Далее создал файл внутри каталога /20-org.d под названием 10-flash-mounting-policy.pkla

touch /etc/polkit-1/localauthority/20-org.d/10-flash-mounting-policy.pkla

и наполнил его таким содержимым:

[Disable
mounting removable disks to all]
Identity=unix-group:*
Action=org.freedesktop.udisks.filesystem-mount
ResultAny=no
ResultInactive=no
ResultActive=no
[Enable
mounting removable disks to some users]
Identity=unix-user:pavel
Action=org.freedesktop.udisks.filesystem-mount
ResultAny=no
ResultInactive=no
ResultActive=auth_self

Теперь на моём компьютере может подключать флешки только пользователь pavel (то есть я) и то, только после ввода пользовательского пароля.

В Gnome 2 отключить автомонтирование usb флешки можно средствами рабочего стола. Для этого заходим в Система > Административные > Пользователи и группы и имя вашего пользователя. Переходим на вкладку Advanced Settings > User Privileges, убираем галочки напротив опции Access External Storage Devices Automatically, Mount Userspace Filesystems и Use CD-ROM Driver. При таких настройках в gnome 2, тоже не получится подключить устройство без ввода пароля.

P.S.: Ограничьте доступ от имени root.

Конечно, современные Linux не позволяют регистрироваться от имени root при загрузке системы. По умолчанию учетные записи новых пользователи ограничены в привилегиях, нельзя устанавливать ПО или менять настройки, влияющие на рабочие столы других пользователей, и это правильно. Для выполнения таких операций требуется права супер- пользователя. В Fedora, Mandriva и других подобных дистрибутивах требуется команда su. В Debian, Ubuntu, и.т.д. команда sudo.

Регулярно просматривайте журнал /var/log/auth.log, для выявления успешных и не удачных попыток регистрации обращения к пользователю root.

Я бы не советовал добавлять терминал от супер пользователя в автозагрузку, как делает один мой знакомый. А то получится, что при загрузке определенной учётной записи будет открыт терминал с правами root, что полностью противоречит идеологии Linux.
Также я советую создать одну учетную запись без требования пароля для входа в систему. В будущем, не дай бог, если украдут ваш компьютер, пусть будет возможность у нового владельца пользоваться вашей операционной системой, которую мы настроим от воровства.

Комментарии:

2 комментарияОтключаем ненужные сервисы в системах Linux

  • Владимир

    А не подскажете как на домашнем компе с одним пользователем, ОС LM-14 mate, отключить автозапуск флешки, но подключать её без ввода пароля?
    Например: когда флешка чужая и из-под винды хочется проверить её антивирусом,(у меня ClamTk),если чтото найдёт — в карантин, а уж потом подключать флешку. Я понимаю что мне эти вирусы не страшны, но не хочется потом ещё чью нибудь флешку заразить, и выслушивать в свой адрес про безопасность Линукса.

    • Pavel

      Доброго Вам времени суток. Автомонтирование внешних носителей в Linux Mint 14 Mate можно отключить графическим способом. Для этого, открываем Меню->Администрирование->Пользователи и группы. Открывается окошко с настройками данного пользователя. Щелкаем по «Дополнительные параметры» и на вкладке «Привилегии пользователя» снимаем галочку с параметра «Автоматический доступ к внешним носителям данных».
      Таким способом ваши флеш-накопители не будут открываться автоматически, а только тогда, когда Вы откроете файловый менеджер и нажмете на ваше устройство.

Leave a Reply

You can use these HTML tags

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code class="" title="" data-url=""> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> <pre class="" title="" data-url=""> <span class="" title="" data-url="">