Come tutti ben sappiamo uno dei punti di forza dei sistemi unix-like (openSUSE è tra questi ) è l'essere pressochè invulnerabile ai virus, trojan, malware che solitamente girano per la rete.
Questo permette alla maggior parte degli utenti, esclusi alcuni casi particolari, di fare a meno di quei software antivirus avidi in termini di risorse economiche e hardware.
Naturalmente anche se ciò in parte è vero, non significa che l'utente non debba prendere comunque in considerazione l'importanza della sicurezza del suo sistema osservando almeno questi tre punti fondamentali sulla sicurezza:
- I servizi occupano risorse, quindi se non sono strettamente necessari è utile disabilitarli. La macchina ne guadagnerà in prestazioni.
- I servizi come quelli esposti al web, se non configurati in maniera appropriata, rappresentano una seria minaccia per la sicurezza del sistema.
- Alcuni servizi tendono creare dei strozzature che possono rallentare pesantemente il sistema.
Vediamo allora quali di questi servizi sono effetivamente necessari per una installazione desktop minimale gestita da un utente senza necessità particolare di applicazione e.
In ogni caso qualora consapevolmente lo ritenga necessario può procedere ad abilitare un qualsiasi servizio nei modi seguenti
Modalità console usando il comando di sistema in sequenza systemctl
# systemctl stop | start servizio.serviceLe opzioni start | stop permetteno lo spegnimento o l'avvio temporaneo del servizio
# systemctl enable | disable servizio.serviceLe opzioni enable | disable abilitano o disabilitano permanentemente il caricamento del servizio al boot
oppure potete usare direttamente il tool grafico Yast.
È consigliato: abilitare solo uno dei due
Per esempio se avete bisogno di passare spesso da una rete a l'altra, come può accadere per i dispositivi mobili, NetworkManager è sicuramente quello che fa per voi.
D'altro canto se la vostra è una rete fissa, di certo Network ( gestito da ifup ) è più indicato.
È consigliato: abilitarlo
Specialmente se vi affacciate direttamente alla rete senza interfaccie hardware che fungono da filtro.
È consigliato: disabilitarlo
A meno che la vostra macchina non sia un portatile, questo servizio può risultare superfluo.
È consigliato: disabilitarlo
A meno che non non abbiate necessità di avviare applicazioni ad intervallo di tempo regolari.
È consigliato: abilitarlo
È consigliato: disabilitarlo
È consigliato: disabilitarlo
È consigliato: disabilitarli entrambi
È consigliato: disabilitarlo
Se non avete interfacce bluetooth da collegare, è un servizio completamente inutile.
È consigliato: disabilitarlo
È consigliato: disabilitarlo
A meno che la vostra CPU non sia in grado di gestire in tempo reale il cambio di frequenza e non abbiate bisogno di gestirne le risorse energetiche ( ad esempio su un portatile ).
È consigliato: disabilitarlo
Nel caso non possediate una stampante è un servizio superfluo.
È consigliato: abilitarlo
È consigliato: disabilitarlo
È consigliato: abilitarlo
È consigliato: disabilitarlo
È consigliato: abilitarlo
È consigliato: disabilitarlo
È consigliato: abilitarlo
È consigliato: disabilitarlo
È consigliato: disabilitarlo
Utile su sitemi multiprocessore o multicore
È consigliato: disabilitarlo
È consigliato: abilitarlo
È consigliato: disabilitarlo
È consigliato: disabilitarlo
È consigliato: abilitarlo
È consigliato: disabilitarlo
Se non avete dischi parellalizzati con RAID
È consigliato: disabilitarlo
È consigliato: disabilitarlo
Vedi anche NetworkManager
È consigliato: disabilitarlo
È consigliato: disabilitarlo
È consigliato: disabilitarlo
È consigliato: disabilitarlo
È consigliato: disabilitarlo
È consigliato: disabilitarlo
È consigliato: disabilitarlo
È consigliato: disabilitarlo
È consigliato: disabilitarlo
Se non avete unità energetiche UPS compatibili
È consigliato: abilitarlo
Ripulisce il sistema dai vecchi kernel
È consigliato: abilitarlo
È consigliato: disabilitarlo
È consigliato: disabilitarlo
Se non vengono usati i servizi che si connettono a filesystem remoti come network-remotefs
È consigliato: disabilitarlo
È consigliato: disabilitarlo
È consigliato: abilitarlo
È consigliato: disabilitarlo
Vedi anche nmb
È consigliato: disabilitarlo
È consigliato: disabilitarlo
È consigliato: abilitarli entrambi
Se vogliamo che il sistema configuri le animazioni
È consigliato: disabilitarlo
È consigliato: abilitarlo
È consigliato: abilitarlo
È consigliato: disabilitarlo
È consigliato: disabilitarlo
È consigliato: disabilitarlo
| Allegato | Dimensione |
|---|---|
| yast2-runlevel.png | 130 KB |
| yast2-menu.png | 42.49 KB |
Commenti
Inviato da mauriziod il Lun, 14/10/2013 - 16:40.
Re: Servizi: come ottimizzare desktop minimale
Spiegazione dei demoni (servizi):
acpid
Descrizione: demone per la gestione dell'alimentazione elettrica
acpid è anche un demone flessibile ed estensibile per la consegna degli eventi ACPI. Il demone resta in ascolto su /proc/acpi/event e appena si verifica un evento, esegue dei programmi per gestirlo. Questi eventi sono attivati da particolari azioni, quali:
Premendo il pulsante di accensione
Premendo il tasto Sleep/Suspend
Chiusura di un coperchio notebook
Collegando un adattatore di alimentazione CA ad un notebook
Premendo un tasto fn+Fx ovvero una ombinazioni di tasti per alzare/abassare il volume, disattivare il WiFi, ecc..
Stato: opzionale
Documentazione: /usr/share/doc/acpid-[versione]
anacron
Descrizione: una versione particolare del demone cron. cron avvia delle elaborazioni a orari programmati, ma li salta se il sistema non è in funzione all'orario prestabilito. anacron invece controlla in fase di avvio tutte le elaborazioni che sarebbero dovute essere eseguite da cron e le esegue. Può essere utile in caso di macchine che non rimangono accese perennemente.
Stato: opzionale
Documentazione: man anacron
apmd
Descrizione: controlla l'Advanced Power Management del BIOS. Utile solo se avete un portatile o un computer che supporti lo standrad ATX di alimentazione elettrica, permettendo di spegnerlo via software.
Stato: opzionale
Documentazione: man apmd
arpwatch
Descrizione: tiene traccia delle coppie di indirizzi ethernet/IP. Di solito non è abilitato.
Stato: opzionale
Documentazione: man arpsnmp
atd
Descrizione: il demone at, gestisce alcune elaborazioni a orari programmati. Correlato a cron. È deprecato utilizzarlo ma esiste solo per compatibilità verso vecchi programmmi.
Stato: essenziale
Documentazione: man atd, man at
autofs
Descrizione: gestisce il demone automount (che non ha niente a che fare con supermount!). Di solito è disabilitato. Utile se si vogliono montare in automatico dei volumi condivisi in rete o speciali FS.
Stato: opzionale
Documentazione: man autofs, man automount
bootparamd
Descrizione: serve a fornire le informazioni di boot a client senza disco. Di solito disabilitato.
Stato: opzionale
Documentazione: man bootparamd
crond
Descrizione: il demone cron gestisce compiti ripetitivi. Correlato a atd e lo sostituisce.
Stato: essenziale
Documentazione: man crond, man cron
cups
Descrizione: è un moderno sistema di stampa, essenziale se lo usate al posto di lpd
Stato: essenziale
Documentazione: man cups
drakfont
Descrizione: permette la gestione automatica dei font True-Type da parte del sistema, nei sistemi Linux.
Stato: opzionale
Documentazione: man drakfont
gpm
Descrizione: il demone General Purpose Mouse. Necessario solo se volete usare il mouse in console (non negli xterm). Se lavorate quasi sempre in X, è meglio disattivarlo, in quanto sono note incompatibilità con il sistema X-window.
Stato: opzionale
Documentazione: man gpm
harddrake
Descrizione: riconosce e configura hardware nuovo/cambiato, nei sistemi Linux.
Stato: opzionale
Documentazione: /usr/share/doc/harddrake-[versione]
httpd
Descrizione: questo demone è necessario per il funzionamento del server web Apache. Se non intendete tenere in funzione un server web, disattivatelo: usa infatti una considerevole quantità di risorse di sistema e rende il sistema vulnerabile a possibili attacchi esterni se non configurato adeguatamente.
Stato: opzionale
Documentazione: man httpd
identd
Descrizione: fornisce informazioni su utenti/processi (di solito è avviato da inetd - è il processo auth). Gestisce anche eventi di LOG.
Stato: opzionale
Documentazione: man identd
inetd - xinetd
Descrizione: gestiscono i servizi dial-in, tipo imap, nntp, finger, ftp, pop3 e telnet (gli ultimi tre di solito sono attivi). inetd è la versione precedente del demone, ultimamente in via di sostituzione con inetd, che gestisce in modo migliore il controllo delle connessioni (anche se ha ancora qualche difficoltà con UDP e RPC), rispetto all'accoppiata inetd+tcpd. Se non dovete offrire questo tipi di servizi, o usate solo collegamenti in dial-out, disattivateli! Con le impostazioni di default, infatti, permettono a chiunque conosca il vostro IP di sferrare attacchi ai vostri danni. Se volete comunque usarli, controllate e impostate i file: /etc/inetd.conf, /etc/hosts.allow, /etc/hosts.deny e installate i tcp-wrappers (tcpd).
Stato: opzionale
Documentazione: man inetd, man xinetd, man hosts_access and man tcpd
ipchains
Descrizione: gestisce il firewall-masquerading di sistema del firewall. Può essere sostituito con uno script apposito se necessario.
Stato: opzionale
Documentazione: man ipchains
keytable
Descrizione: carica la mappa di tastiera selezionata, in base all'impostazione del file /etc/sysconfig/keyboard. Di solito è abilitato. Essenziale per tastiere diverse da quelle americane.
Stato: essenziale
Documentazione: man loadkeys
kheader
Descrizione: rigenera il file /boot/kernel.h. Essenziale in installazione/modifica Kernel.
Stato: opzionale
Documentazione: /etc/rc.d/init.d/kheader
kudzu
Descrizione: rileva e configura in fase di avvio l'hardware nuovo o che è cambiato. Conviene disattivarlo per velocizzare il processo d'avvio e nel caso usarlo direttamente da linea di comando. Di solito è abilitato.
Stato: opzionale
Documentazione: man kudzu
ldap
Descrizione: usato per accedere a servizi gateway X.500. In genere non è necessario.
Stato: opzionale
Documentazione: man ldapd
linuxconf
Descrizione: serve al programma di configurazione LinuxConf. Di solito è abilitato. Utile se non si vogliono modificare a mano i vari file di configurazione di sistema.
Stato: opzionale
Documentazione: /usr/lib/linuxconf/help
lpd
Descrizione: il demone Line Printer Spooler. Necessario per la stampa (al suo posto meglio usare cups). Di solito è abilitato.
Stato: opzionale
Documentazione: man lpd
mysql
Descrizione: sistema di database relazionale avanzato. Ora è sostituito da MariaDB.
Stato: opzionale se non usate un Desktop KDE/GNOME.
Documentazione: man mysql
netfs
Descrizione: Network Filesystem Mounter. Serve solo se in fase d'avvio si vogliono montare condivisioni di tipo NFS, SMB (Samba) e NCP.
Stato: opzionale
Documentazione: man mount
network
Descrizione: attiva le interfacce di rete durante la fare di avvio, richiamando gli script presenti in /etc/sysconfig/network-scripts. Di solito è abilitato.
Stato: essenziale
Documentazione: man ifconfig e la documentazione relativa a ciascun tipo di interfaccia usata.
nfslock
Descrizione: avvia e arresta il servizio di blocco dei file NFS. Se non sapete cosa sia, disabilitatelo. Di solito è abilitato. Serve se avete una partizione Windows.
Stato: opzionale
Documentazione: man nfs
numlock
Descrizione: attiva il tasto NumLock al cambio di runlevel. Di solito è abilitato.
Stato: opzionale
Documentazione: nulla.
pcmcia
Descrizione: attiva l'interfaccia PCMCIA. Utile solo agli utenti di sistemi portatili.
Stato: opzionale
Documentazione: lo script stesso.
portmap
Descrizione: necessario per le Remote Procedure Calls. Lasciatelo abilitato se usate GNOME/KDE o avete bisogno di RPC per qualche altro motivo. Di solito è abilitato.
Stato: opzionale
Documentazione: man portmap
postfix
Descrizione: è un MTA (Mail Transport Agent), simile a sendmail ma molto più sicuro. Se usate Netscape Mail o Kmail o altri programmi che contattano direttamente un SMTP esterno (o un server email), non ne avete bisogno. Di solito è abilitato.
Stato: opzionale
Documentazione: man postfix, '/usr/doc/postfix-[version]/html/index.html'
random
Descrizione: genera numeri casuali, fornendoli a vari programmi anche al Kernel. Necessario per la sicurezza.
Stato: essenziale se non sostituito dalla distro.
Documentazione: man 4 random
rawdevices
Descrizione: permette accesso diretto ai dischi (usato da Oracle e altri RDBMS)
Stato: opzionale
Documentazione: /etc/rc.d/init.d/rawdevices
routed
Descrizione: si occupa dell'instradamento di rete. Non ne avete bisogno se usate connessioni dial-up.
Stato: opzionale
Documentazione: man routed
rstatd
Descrizione: genera statistiche sul kernel (utile per gestioni avanzate di rete). Di solito non è abilitato.
Stato: opzionale
Documentazione: man rpc.rstatd
rusersd - rwalld - rwhod
Descrizione: fornisce diversi servizi utili quando si gestisce un server. Di solito non è abilitato.
Stato: opzionale
Documentazione: le loro man-pages
smb
Descrizione: necessario per far funzionare SAMBA, il server per il Server Message Block Protocol. Permette di fornire servizi di rete a client Windows e di accedere ad essi da GNU/Linux. Di solito non è abilitato.
Stato: opzionale
Documentazione: man samba, il libro "Using Samba" della O'Reilly, disponibile in rete
sshd
Descrizione: è un demone che permette di gestire connessioni protette verso il server, da usare preferibilmente al posto di telnet. Può essere disabilitato se si usano solo connessioni dial-up.
Stato: opzionale
Documentazione: man sshd
syslog
Descrizione: si occupa dei log si sistema.
Stato: essenziale per sicurezza se si blocca può dare malfunzionamenti.
Documentazione: man sysklogd
usb
Descrizione: serve per le periferiche su Universal Serial Bus. Se non avete periferiche di questo tipo, potete disabilitarlo. Di solito è abilitato.
Stato: opzionale
Documentazione: /usr/src/linux/drivers/usb
xfs
Descrizione: è l'X Font Server. Se non lo caricate, dovrete impostare a mano i percorsi dei font nel file /etc/X11/XF86Config e usare un font server esterno, come xfstt. Di solito è abilitato.
Stato: essenziale su usate X
Documentazione: man xfs
Ciaoooooooooo
SO: Linux desktop Sistema: OpenSUSE Leap 15.1 (64bit) KDEE 5.12
SO: Linux desktop Sistema: OpenSUSE Tumbleweed (64bit) KDE 5
Miao
Inviato da dragoncello il Mar, 15/10/2013 - 12:52.
Re: Servizi: come ottimizzare desktop minimale
ottimo Mauriziod,il tutto stampato subito.
SUSE Tumbleweed- kernel-5.9.8-2.4- kde-plasma-5.20.3- Intel Core i7 Asus P9x79 pro GeForce GTX 560-driver Nvidia-390.132.14- SSD samsung 850 pro 512 gb http://opensuse-community.org/