Servizi: come ottimizzare desktop minimale

Lun, 19/12/2011 - 18:34

Servizi: come ottimizzare desktop minimale

Inviato da Gollum 2 commenti

Come tutti ben sappiamo uno dei punti di forza dei sistemi unix-like (openSUSE è tra questi ) è l'essere pressochè invulnerabile ai virus, trojan, malware che solitamente girano per la rete.
Questo permette alla maggior parte degli utenti, esclusi alcuni casi particolari, di fare a meno di quei software antivirus avidi in termini di risorse economiche e hardware.
Naturalmente anche se ciò in parte è vero, non significa che l'utente non debba prendere comunque in considerazione l'importanza della sicurezza del suo sistema osservando almeno questi tre punti fondamentali sulla sicurezza:

  1. I servizi occupano risorse, quindi se non sono strettamente necessari è utile disabilitarli. La macchina ne guadagnerà in prestazioni.
  2. I servizi come quelli esposti al web, se non configurati in maniera appropriata, rappresentano una seria minaccia per la sicurezza del sistema.
  3. Alcuni servizi tendono creare dei strozzature che possono rallentare pesantemente il sistema.

Vediamo allora quali di questi servizi sono effetivamente necessari per una installazione desktop minimale gestita da un utente senza necessità particolare di applicazione e.
In ogni caso qualora consapevolmente lo ritenga necessario può procedere ad abilitare un qualsiasi servizio nei modi seguenti

Modalità console usando il comando di sistema in sequenza systemctl

Tenete presente che per disabilitare o abilitare i servizi in modo permanente dovrete procedere nell'ordine qui sotto indicato:
# systemctl stop | start  servizio.service

Le opzioni start | stop permetteno lo spegnimento o l'avvio temporaneo del servizio

# systemctl enable | disable  servizio.service

Le opzioni enable | disable abilitano o disabilitano permanentemente il caricamento del servizio al boot

oppure potete usare direttamente il tool grafico Yast.

Mi spiace ma raramente ne faccio uso per configurare i miei sistemi, per cui dovrete accontentarvi della modalità ncurses (gli allegati contengono immagini più dettagliate).

Attenzione! Alcune applicazioni non possono fare a meno di accedere ad un determinato servizio per funzionare. Consultate sempre i file di configurazione e le pagine man per approfondire le vostre conoscenze in termini di uso e sicurezza, non limitatevi solo ad utilizzare Yast.


È consigliato: abilitare solo uno dei due
Per esempio se avete bisogno di passare spesso da una rete a l'altra, come può accadere per i dispositivi mobili, NetworkManager è sicuramente quello che fa per voi.
D'altro canto se la vostra è una rete fissa, di certo Network ( gestito da ifup ) è più indicato.

Ricordate che openSUSE concede la possibilità di questa scelta già al termine della fase di installazione, nel passo che precede il primo aggiornamento del sistema.


È consigliato: abilitarlo
Specialmente se vi affacciate direttamente alla rete senza interfaccie hardware che fungono da filtro.

È consigliato: disabilitarlo
A meno che la vostra macchina non sia un portatile, questo servizio può risultare superfluo.

È consigliato: disabilitarlo
A meno che non non abbiate necessità di avviare applicazioni ad intervallo di tempo regolari.

È consigliato: abilitarlo

È consigliato: disabilitarlo

È consigliato: disabilitarlo

È consigliato: disabilitarli entrambi

È consigliato: disabilitarlo
Se non avete interfacce bluetooth da collegare, è un servizio completamente inutile.

È consigliato: disabilitarlo

È consigliato: disabilitarlo
A meno che la vostra CPU non sia in grado di gestire in tempo reale il cambio di frequenza e non abbiate bisogno di gestirne le risorse energetiche ( ad esempio su un portatile ).

È consigliato: disabilitarlo
Nel caso non possediate una stampante è un servizio superfluo.

È consigliato: abilitarlo

È consigliato: disabilitarlo

È consigliato: abilitarlo

È consigliato: disabilitarlo

È consigliato: abilitarlo

È consigliato: disabilitarlo

È consigliato: abilitarlo

È consigliato: disabilitarlo

È consigliato: disabilitarlo
Utile su sitemi multiprocessore o multicore

È consigliato: disabilitarlo

È consigliato: abilitarlo

È consigliato: disabilitarlo

È consigliato: disabilitarlo

È consigliato: abilitarlo

È consigliato: disabilitarlo
Se non avete dischi parellalizzati con RAID

È consigliato: disabilitarlo

È consigliato: disabilitarlo

Vedi anche NetworkManager

È consigliato: disabilitarlo

È consigliato: disabilitarlo

È consigliato: disabilitarlo

È consigliato: disabilitarlo

È consigliato: disabilitarlo

È consigliato: disabilitarlo

È consigliato: disabilitarlo

È consigliato: disabilitarlo

È consigliato: disabilitarlo
Se non avete unità energetiche UPS compatibili

È consigliato: abilitarlo
Ripulisce il sistema dai vecchi kernel

È consigliato: abilitarlo

È consigliato: disabilitarlo

È consigliato: disabilitarlo
Se non vengono usati i servizi che si connettono a filesystem remoti come network-remotefs

È consigliato: disabilitarlo

È consigliato: disabilitarlo

È consigliato: abilitarlo

È consigliato: disabilitarlo
Vedi anche nmb

È consigliato: disabilitarlo

È consigliato: disabilitarlo

È consigliato: abilitarli entrambi
Se vogliamo che il sistema configuri le animazioni

È consigliato: disabilitarlo

È consigliato: abilitarlo

È consigliato: abilitarlo

È consigliato: disabilitarlo

È consigliato: disabilitarlo

È consigliato: disabilitarlo

AllegatoDimensione
yast2-runlevel.png130 KB
yast2-menu.png42.49 KB




Commenti

Ritratto di mauriziod
#1

Inviato da mauriziod il Lun, 14/10/2013 - 16:40.

Re: Servizi: come ottimizzare desktop minimale

Spiegazione dei demoni (servizi):

acpid

Descrizione: demone per la gestione dell'alimentazione elettrica
acpid è anche un demone flessibile ed estensibile per la consegna degli eventi ACPI. Il demone resta in ascolto su /proc/acpi/event e appena si verifica un evento, esegue dei programmi per gestirlo. Questi eventi sono attivati ​​da particolari azioni, quali:

Premendo il pulsante di accensione
Premendo il tasto Sleep/Suspend
Chiusura di un coperchio notebook
Collegando un adattatore di alimentazione CA ad un notebook
Premendo un tasto fn+Fx ovvero una ombinazioni di tasti per alzare/abassare il volume, disattivare il WiFi, ecc..

Stato: opzionale

Documentazione: /usr/share/doc/acpid-[versione]

anacron

Descrizione: una versione particolare del demone cron. cron avvia delle elaborazioni a orari programmati, ma li salta se il sistema non è in funzione all'orario prestabilito. anacron invece controlla in fase di avvio tutte le elaborazioni che sarebbero dovute essere eseguite da cron e le esegue. Può essere utile in caso di macchine che non rimangono accese perennemente.

Stato: opzionale

Documentazione: man anacron
apmd

Descrizione: controlla l'Advanced Power Management del BIOS. Utile solo se avete un portatile o un computer che supporti lo standrad ATX di alimentazione elettrica, permettendo di spegnerlo via software.

Stato: opzionale

Documentazione: man apmd
arpwatch

Descrizione: tiene traccia delle coppie di indirizzi ethernet/IP. Di solito non è abilitato.

Stato: opzionale

Documentazione: man arpsnmp
atd

Descrizione: il demone at, gestisce alcune elaborazioni a orari programmati. Correlato a cron. È deprecato utilizzarlo ma esiste solo per compatibilità verso vecchi programmmi.

Stato: essenziale

Documentazione: man atd, man at

autofs

Descrizione: gestisce il demone automount (che non ha niente a che fare con supermount!). Di solito è disabilitato. Utile se si vogliono montare in automatico dei volumi condivisi in rete o speciali FS.

Stato: opzionale

Documentazione: man autofs, man automount

bootparamd

Descrizione: serve a fornire le informazioni di boot a client senza disco. Di solito disabilitato.

Stato: opzionale

Documentazione: man bootparamd

crond

Descrizione: il demone cron gestisce compiti ripetitivi. Correlato a atd e lo sostituisce.

Stato: essenziale

Documentazione: man crond, man cron

cups

Descrizione: è un moderno sistema di stampa, essenziale se lo usate al posto di lpd

Stato: essenziale

Documentazione: man cups

drakfont

Descrizione: permette la gestione automatica dei font True-Type da parte del sistema, nei sistemi Linux.

Stato: opzionale

Documentazione: man drakfont

gpm

Descrizione: il demone General Purpose Mouse. Necessario solo se volete usare il mouse in console (non negli xterm). Se lavorate quasi sempre in X, è meglio disattivarlo, in quanto sono note incompatibilità con il sistema X-window.

Stato: opzionale

Documentazione: man gpm

harddrake

Descrizione: riconosce e configura hardware nuovo/cambiato, nei sistemi Linux.

Stato: opzionale

Documentazione: /usr/share/doc/harddrake-[versione]

httpd

Descrizione: questo demone è necessario per il funzionamento del server web Apache. Se non intendete tenere in funzione un server web, disattivatelo: usa infatti una considerevole quantità di risorse di sistema e rende il sistema vulnerabile a possibili attacchi esterni se non configurato adeguatamente.

Stato: opzionale

Documentazione: man httpd

identd

Descrizione: fornisce informazioni su utenti/processi (di solito è avviato da inetd - è il processo auth). Gestisce anche eventi di LOG.

Stato: opzionale

Documentazione: man identd

inetd - xinetd

Descrizione: gestiscono i servizi dial-in, tipo imap, nntp, finger, ftp, pop3 e telnet (gli ultimi tre di solito sono attivi). inetd è la versione precedente del demone, ultimamente in via di sostituzione con inetd, che gestisce in modo migliore il controllo delle connessioni (anche se ha ancora qualche difficoltà con UDP e RPC), rispetto all'accoppiata inetd+tcpd. Se non dovete offrire questo tipi di servizi, o usate solo collegamenti in dial-out, disattivateli! Con le impostazioni di default, infatti, permettono a chiunque conosca il vostro IP di sferrare attacchi ai vostri danni. Se volete comunque usarli, controllate e impostate i file: /etc/inetd.conf, /etc/hosts.allow, /etc/hosts.deny e installate i tcp-wrappers (tcpd).

Stato: opzionale

Documentazione: man inetd, man xinetd, man hosts_access and man tcpd

ipchains

Descrizione: gestisce il firewall-masquerading di sistema del firewall. Può essere sostituito con uno script apposito se necessario.

Stato: opzionale

Documentazione: man ipchains

keytable

Descrizione: carica la mappa di tastiera selezionata, in base all'impostazione del file /etc/sysconfig/keyboard. Di solito è abilitato. Essenziale per tastiere diverse da quelle americane.

Stato: essenziale

Documentazione: man loadkeys

kheader

Descrizione: rigenera il file /boot/kernel.h. Essenziale in installazione/modifica Kernel.

Stato: opzionale

Documentazione: /etc/rc.d/init.d/kheader

kudzu

Descrizione: rileva e configura in fase di avvio l'hardware nuovo o che è cambiato. Conviene disattivarlo per velocizzare il processo d'avvio e nel caso usarlo direttamente da linea di comando. Di solito è abilitato.

Stato: opzionale

Documentazione: man kudzu

ldap

Descrizione: usato per accedere a servizi gateway X.500. In genere non è necessario.

Stato: opzionale

Documentazione: man ldapd

linuxconf

Descrizione: serve al programma di configurazione LinuxConf. Di solito è abilitato. Utile se non si vogliono modificare a mano i vari file di configurazione di sistema.

Stato: opzionale

Documentazione: /usr/lib/linuxconf/help

lpd

Descrizione: il demone Line Printer Spooler. Necessario per la stampa (al suo posto meglio usare cups). Di solito è abilitato.

Stato: opzionale

Documentazione: man lpd

mysql

Descrizione: sistema di database relazionale avanzato. Ora è sostituito da MariaDB.

Stato: opzionale se non usate un Desktop KDE/GNOME.

Documentazione: man mysql

netfs

Descrizione: Network Filesystem Mounter. Serve solo se in fase d'avvio si vogliono montare condivisioni di tipo NFS, SMB (Samba) e NCP.

Stato: opzionale

Documentazione: man mount

network

Descrizione: attiva le interfacce di rete durante la fare di avvio, richiamando gli script presenti in /etc/sysconfig/network-scripts. Di solito è abilitato.

Stato: essenziale

Documentazione: man ifconfig e la documentazione relativa a ciascun tipo di interfaccia usata.

nfslock

Descrizione: avvia e arresta il servizio di blocco dei file NFS. Se non sapete cosa sia, disabilitatelo. Di solito è abilitato. Serve se avete una partizione Windows.

Stato: opzionale

Documentazione: man nfs

numlock

Descrizione: attiva il tasto NumLock al cambio di runlevel. Di solito è abilitato.

Stato: opzionale

Documentazione: nulla.

pcmcia

Descrizione: attiva l'interfaccia PCMCIA. Utile solo agli utenti di sistemi portatili.

Stato: opzionale

Documentazione: lo script stesso.

portmap

Descrizione: necessario per le Remote Procedure Calls. Lasciatelo abilitato se usate GNOME/KDE o avete bisogno di RPC per qualche altro motivo. Di solito è abilitato.

Stato: opzionale

Documentazione: man portmap

postfix

Descrizione: è un MTA (Mail Transport Agent), simile a sendmail ma molto più sicuro. Se usate Netscape Mail o Kmail o altri programmi che contattano direttamente un SMTP esterno (o un server email), non ne avete bisogno. Di solito è abilitato.

Stato: opzionale

Documentazione: man postfix, '/usr/doc/postfix-[version]/html/index.html'

random

Descrizione: genera numeri casuali, fornendoli a vari programmi anche al Kernel. Necessario per la sicurezza.

Stato: essenziale se non sostituito dalla distro.

Documentazione: man 4 random

rawdevices

Descrizione: permette accesso diretto ai dischi (usato da Oracle e altri RDBMS)

Stato: opzionale

Documentazione: /etc/rc.d/init.d/rawdevices

routed

Descrizione: si occupa dell'instradamento di rete. Non ne avete bisogno se usate connessioni dial-up.

Stato: opzionale

Documentazione: man routed

rstatd

Descrizione: genera statistiche sul kernel (utile per gestioni avanzate di rete). Di solito non è abilitato.

Stato: opzionale

Documentazione: man rpc.rstatd

rusersd - rwalld - rwhod

Descrizione: fornisce diversi servizi utili quando si gestisce un server. Di solito non è abilitato.

Stato: opzionale

Documentazione: le loro man-pages

smb

Descrizione: necessario per far funzionare SAMBA, il server per il Server Message Block Protocol. Permette di fornire servizi di rete a client Windows e di accedere ad essi da GNU/Linux. Di solito non è abilitato.

Stato: opzionale

Documentazione: man samba, il libro "Using Samba" della O'Reilly, disponibile in rete

sshd

Descrizione: è un demone che permette di gestire connessioni protette verso il server, da usare preferibilmente al posto di telnet. Può essere disabilitato se si usano solo connessioni dial-up.

Stato: opzionale

Documentazione: man sshd

syslog

Descrizione: si occupa dei log si sistema.

Stato: essenziale per sicurezza se si blocca può dare malfunzionamenti.

Documentazione: man sysklogd

usb

Descrizione: serve per le periferiche su Universal Serial Bus. Se non avete periferiche di questo tipo, potete disabilitarlo. Di solito è abilitato.

Stato: opzionale

Documentazione: /usr/src/linux/drivers/usb

xfs

Descrizione: è l'X Font Server. Se non lo caricate, dovrete impostare a mano i percorsi dei font nel file /etc/X11/XF86Config e usare un font server esterno, come xfstt. Di solito è abilitato.

Stato: essenziale su usate X

Documentazione: man xfs

Ciaoooooooooo

SO: Linux desktop Sistema: OpenSUSE Leap 15.1 (64bit) KDEE 5.12
SO: Linux desktop Sistema: OpenSUSE Tumbleweed (64bit) KDE 5
Miao



Ritratto di dragoncello
#2

Inviato da dragoncello il Mar, 15/10/2013 - 12:52.

Re: Servizi: come ottimizzare desktop minimale

ottimo Mauriziod,il tutto stampato subito. Wink

SUSE Tumbleweed- kernel-5.9.8-2.4- kde-plasma-5.20.3- Intel Core i7 Asus P9x79 pro GeForce GTX 560-driver Nvidia-390.132.14- SSD samsung 850 pro 512 gb http://opensuse-community.org/