PEBLOG

セキュリティ設定

～ntsysvを利用する～
”*”がついているデーモンがOS起動時に起動される
「スペース」で設定

 

NetworkManager．．．状況に応じて
ホスト機 の NIC 全般の設定を担う他、無線LANなどの複数の NIC を搭載しているとき、無線LANの暗号化キーなどの管理を行い、利用状況に応じてNICの自動切換えを行うデーモンです。

これを停止すると、デスクトップ環境からのネットワーク設定操作や、ネットワーク関係の設定ファイルの自動設定が行われなくなります  。

複雑なネットワークを設定しないのであればそのまま稼働させておいたほうが面倒がありませんが、自動設定に頼らず、  のすべてのパラメータを手作業で設定したい場合は停止しておくと良いでしょう。

abrt-ccpp abrt-oops abrtd．．．稼働
ホスト機の動作を監視し、スクリプトエラーなどをログファイルに記録するデーモンです。
稼働しておきます。

acpid．．．停止
ホスト機の動作と電源を管理し、省電力のための休止状態をサポートするデーモンです。
これはクライアント用途としての機能で、常時稼動が前提のサーバー用途では不要です。

atd．．．稼動 
一回きりの録画予約みたいな機能をサポートします。  単発的にスケジュール化した コマンド を実行させるデーモンです。

auditd．．．停止
カーネル の持つ監査システムの一部を補助し、適切なログデータを出力するためのデーモンです。
LinuxOSの先進的な セキュリティ 機能の一端を担いますが、自宅サーバーでは不要です。

autofs．．．稼動
フロッピーディスク や CD-ROM 、 DVD-ROM などのリムーバブル ストレージ や、 NFS などを自動的に接続、 マウント したり、マウントを解除したりするデーモンです。お世話になることがあるかもしれません。

avahi-daemon．．．停止
ローカルネットワーク上のIPネットワーク機器を、 DNSサーバー などの所在地情報サーバーに頼らずに検知し、自動的に動作させる仕組みを与えるデーモンです。
クライアント用途では LAN 内で時折お世話になることがありますが、自宅に設置するサーバーではまず利用することはありません。

bluetooth．．．停止
ホスト機と周辺機器を無線でつなぎ、データのやりとりを行う Bluetooth 機能を有効にするデーモンです。
ノートパソコンと携帯電話の連携などで利用されることはありますが、サーバー用途で利用することはまずないでしょう。
 
 certmonger．．．停止
公開鍵と証明書に関するデーモンです。自宅運用のサーバーには不要です。

cgrconfig cgred．．．停止
ハードウェアサブセットを階層、グループ管理するためのデーモンです。小規模サーバーでは不要です。

cpuspeed．．．停止
使用するホスト機の CPU が省電力機能(SpeedStep機能)に対応している場合に、動作負荷に応じてCPUの速度を変化させるデーモンです。これにより幾分の省電力効果が期待できます。
ただしその省電力効果は劇的なものではなく、あくまで ノートパソコンのバッテリー動作時間を少し延ばす ことが目的ですから、常にAC電源を接続して使用するサーバー機には不要なデーモンです。

crond ．．．稼動
コマンドや アプリケーション をスケジュール化して実行させるデーモンです。 単発で利用する atd と違い、一定時間ごとあるいは一定期間ごと、永続的にスケジュール化して実行させます。稼動は必須です。

cups ．．．目的に応じて
現在のUNIX系OS標準のプリンタデーモンです。CentOS6で直接プリンタサーバーとして使用する場合は必須です。「絶対にプリンタサーバーとしては使わない。」と断言できる方は停止してかまいません。

dnsmasq．．．停止
DHCPサーバーと連携して DNSキャッシュサーバー として動作し、 、DHCPクライアントに高速な 名前解決 環境を与えるデーモンです
通常は ルーター が同じ機能を担うことができますから、強いて稼動させる必要はないでしょう。停止しておきます。

dovecot．．．とりあえず停止
CentOS6標準の POP3 、 IMAP4サーバーのデーモンです。
メールサーバーに適切な設定を行ってから稼動させます。

firstboot．．．停止
CentOS6のインストール後の最初の起動時の設定 を実行します。
このデーモンは一度実行されると「初回起動時設定完了」が記録された “/etc/sysconfig/firstboot”を作成しますが、このファイルを削除しない限りfirstbootは再び実行されることはありません。
そのままにしておいても構いませんが、停止しておきましょう。

haldaemon．．．稼働(デスクトップを使わないなら停止)
比較的新しい ディストリビューション に採用されているデスクトップ間アプリケーション通信のプロトコル D-BUSをサポートをサポートするデーモンです。
一般的なサーバー用途では不要のはずですので、デスクトップ画面を使わないのであれば停止しておきましょう。

httpd ．．．とりあえず停止
Webサーバー Apache のデーモンです。公開サーバーの顔ともいうべきものですが、基本的な設定ができるまでは停止しておきます。

ip6tables．．．停止
IPv6でパケットフィルタリングを行うデーモンです。
IPv6は利用しませんので停止して構いません。

iptables．．．稼動
IPv4でパケットフィルタリングを行うデーモンです。ファイヤーウォールを設定しない場合  でも、これが稼動していなければ動作しないアプリケーションもありますので稼動しておきます。

irqbalance．．．環境に応じて(普通は停止)
マルチ CPU の ホスト機 を使用するとき、効率よく処理を分散させるデーモンです。該当するホスト機を使用している場合は稼動させてください。

kdump．．．停止
CentOS6のインストール時のステップで無効化したKdump  のデーモンです。もちろん稼動させる必要はありません。

lvm2-monitor．．．停止
LinuxOSに柔軟なディスク管理とバックアップのための有用な仕組みを与える 論理ボリュームマネージャー(LVM) 利用時の障害監視のためのデーモンです。
LVMは上手に使いこなせば非常に利用価値のある仕組みですが、初心者にはハードルが高いのでこのコンテンツでは扱いません。停止しておきます。

matahari-broker matahari-host matahari-network matahari-service matahari-sysconfig．．．停止

ホストやネットワーク、サービスなどを監視、制御するシステム “Matahari” のデーモンです。 比較的新しいシステムでまだ情報が少ないため、稼働させないほうが良いでしょう。

mdmonitor．．．環境に応じて
ホスト機の ハードディスク を、CentOS6の ソフトウェア RAID で使用する場合の監視デーモンです。RAIDに障害が起こったときに管理者宛にメールでレポートする機能を担います。
ソフトウェアRAIDを使用しているとき  は必ず稼動させますが、使用していないときは停止してかまいません。

memcached．．．停止(環境に応じて)
LAMP システムなどを構築して動的なWebサービスを公開するとき、 データベース の応答を キャッシュ するサービスです。これによりサーバーの動作負荷の軽減とリクエストに対する応答を良くすることが可能となります。
しかしながらこのサービスは大量のリクエストをこなさなければならないポータルサイト向けのもので、自宅サーバーで提供する程度のサービスではまず恩恵は受けられないでしょう。
通常は メインメモリ とプロセスの節約のために停止しておき、レスポンスの低下が懸念されるようになったときに稼働させれば良いでしょう。
 
 messagebus．．．稼働(デスクトップを使わないなら停止)
CentOS6システムのデスクトップ上で相互にメッセージを送るためのデーモンです。 D-BUS で利用します。サーバー用途には不要ですので停止してかまいません。

microcode_ctl．．．稼動
ホスト機のCPUのマイクロコード(CPUへの命令を効率よく行うためのコード)をアップデートできるようにするためのデーモンです。CPUの処理速度の改善が期待できますから、稼動させておくほうが良いようです(CPUの種類によってはインストールされません)。

mysqld．．．とりあえず停止
データベース サーバー アプリケーション である、 MySQL のデーモンです。基本的な設定ができるまでは停止しておきます。

named ．．．とりあえず停止
DNSサーバー アプリケーション 、 BIND のデーモンです。基本的な設定ができるまでは停止しておきます。

netconsole．．．停止
CentOS6のカーネルが不具合を起こしたとき、ネットワーク接続されたほかのホスト機にダンプ(メインメモリ上のデータ)を保存するためのデーモンです。CentOS6は余程のことがなければ不具合は起こしませんし、多分保存されたダンプを見てもチンプンカンプンのはずです。そもそも他の LinuxOS のシステムを持っていなければ意味がありません。停止しておきます。

netfs．．．とりあえず停止
NFSクライアントデーモンです。NFSサーバーに接続してファイル共有するために必要になります。これを稼動させていなければ、 autofs デーモンが稼動していてもファイル共有できません。他にUNIX系のシステムを持っていなければ稼動させても意味がありませんが、場合によっては MacOSX や、NFSサーバーを実装した WindowsOS とファイル共有をすることがあるかもしれません。それまではとりあえず停止しておきましょう。

network．．．稼動
ネットワークシステムのデーモンです。これが稼動していないとネットワークは一切使用できません。必ず稼動させておきます。

nfs．．．とりあえず停止
NFSサーバーのデーモンです。いつか使われる日がくるかもしれませんが、とりあえず停止しておきます。

nfslock．．．とりあえず停止(nfsと一緒に)
NFSサーバーのデータを保護するための「ファイルロック機構」を提供するデーモンです。稼動しておいても邪魔にはなりませんが、NFSサーバーが稼動していなければ意味を持ちません。

nmb．．．とりあえず停止(smbdと一緒に稼働)
WindowsOS ファイル共有の プロトコル である NetBIOS over TCP/IP の利用時に、名前解決のサービスを担うデーモンです。 Samba を利用するときに、Sambaのデーモンである smbd と一緒に稼働させます。

ntpd ．．．とりあえず停止
NTP で上位のNTPサーバー  を参照して時刻を調整し、同時にサーバーとして時刻を配信するデーモンです。設定を行ってから稼動させます。

ntpdate．．．停止
ntpdを補助し、完結的にシステムクロックの補正を精密に実施するデーモンです。
自宅サーバー運用では、ntpdだけで充分ですので停止します。

oddjobd．．．停止
D-BUS を制御するデーモンです。不要です。

portreserve．．．稼動
システムの各サービスが利用する TCP の ポート番号 をプールしておき、特定のサービスに特定のポート番号が占拠されてしまうのを防止します。
稼働させておきます。

postgresql．．．とりあえず停止
データベース サーバー アプリケーション である、 PostgreSQLのデーモンです。基本的な設定ができるまでは停止しておきます。

psacct．．．停止
システム上でユーザーが使用したコマンドやそのコマンドによる負荷などを統計するデーモンです。利用する機会はないでしょう。

qpidd．．．停止
異なるプラットフォーム間、異なるアプリケーション間であってもメッセージのやり取りを一元化しスムーズに行うことを目的とした AMQP プロトコル を Apache に実装させるためのデーモンです。
複雑化して管理が難しくなりつつあるミドルウェア間のメッセージの一元化を目的として実装が進んでいますが、構成の簡単な自宅サーバーでは、現時点ではお世話になることはないでしょう。

quota_nld．．．停止
ディスクの使用量制限を設けるシステム”quota”を動作させる際、使用超過をD-BUS等に通知するデーモンです。使用しません。

rdisc．．．停止
CentOS6を ルーター として動作させるときの経路管理を行うデーモンです。
今回は市販のルーターでネットワークを構築しますので動作は不要です。

restorecond．．．停止
SELinuxと連動して、ファイルの作成などを監視して適当なラベルを付与する役目を担います。

rngd．．．停止
ハードウェア を元に乱数を発生させるためのデーモンです。乱数を使った認証の仕組みを頻繁に扱う、大量のユーザーを抱えた認証サーバーなどで使用するべきデーモンです。自宅サーバーレベルでは不要です。

rpsbind rpcgssd rpcidmapd rpcsvcgssd．．．とりあえず停止
いずれも NFS を利用するときに利用する セキュリティ 関係のユーティリティです。
NFSを利用しない場合は不要です。

rsyslog．．．稼動
ログファイル を書き出すのデーモンです。多くのアプリケーションがログを残すために利用します。ログファイルの解析はサーバー運用の定石ですので、必ず稼動させておきます。

saslauthd．．．とりあえず停止
SASL という認証のメカニズムを提供するデーモンです。MTAと組み合わせて SMTP AUTH の構築に使用します。必要なときに稼動させます。

sendmail．．．とりあえず停止
UNIX系OSの伝統的な メールサーバー “sendmail”のデーモンです。設定を行ってから稼動します。
 
 smartd．．．とりあえず停止
ハードディスクの内蔵の自己診断機能(S.M.A.R.T.)を利用し、異常が発生したときにレポートするデーモンです。設定してから稼動します。

smb．．．とりあえず停止
CentOS6上でWindowsOSのファイルサーバーを稼動させるアプリケーション sambaのデーモンです。設定してから稼動します。

snmpd snmptrapd．．．とりあえず停止
通信機器をネットワーク経由で監視する SNMP“Simple Network Management Protocol “のサーバーデーモンです。設定してから稼動します。

spamassassin．．．とりあえず停止
スパムメール判別プログラムのデーモンです。設定してから稼動します。

spice-vgagentd．．．とりあえず停止
仮想サーバー運用の際にリモート操作環境を提供するシステムの一つです。VNCに変わる手段として注目されていますが、仮想サーバーを使用しない場合は不要です。

squid ．．．とりあえず停止
Proxyサーバーのデーモンです。設定してから稼動します。

sshd ．．．稼動

サーバーをパソコンなどからリモート操作するために必要なSSHサーバーのデーモンです。

このコンテンツではパソコンからSSHでサーバーを操作することを基本に解説していますので、必ず稼動させておいてください。

sssd．．．停止
ユーザーアカウント やホスト名などを統合的に管理するディレクトリサービス”LDAP”のセキュアな認証を担うデーモンです。
使用しません。

sysstat．．．停止(興味があれば稼働)
サーバーシステムの稼働状態を監視し、コマンド操作によりレポートを返すためのデーモンです。
本コンテンツでは触れませんが、CPU、メモリ、プロセス、割込み、ネットワーク、接続ホストの状態などを詳しく調べることができますので、興味のある方はご利用ください。

tomcat6．．．停止(必要であれば稼働)
Webサーバーに、Javaサーブレット、JSPによる処理を行わせるためのアプリケーションサーバーです。
該当するWebサービスを構築するときは稼働させます。

udev-post．．．稼働
ホスト機に接続されたハードウェアの自動認識を行います。稼働させておきます。

vsftpd．．．とりあえず停止
現在の標準的なFTPサーバーデーモンです。設定を行ってから稼動します。

wdaemon．．．とりあえず停止
ワコム社製のタブレットを自動認識させるためのデーモンです。サーバではデザイン用のタブレットを使うことはまずないでしょう。停止します。

wpa_supplicant．．．停止
無線LANの暗号化及び認証の規格であるWPA(Wi-Fi Protected Access)をサポートします。利用しませんので停止します。

ypbind．．．停止
UNIX系のOSで利用される、 NIS と呼ばれるユーザー情報の共有システムに参加するためのデーモンです。数台以上のUNIX系OSのホスト機を運用するのでなければ不要です。

以上です。

これらのデーモンは、CentOS6インストール時のパッケージの選択  によって異なりますし、アップデート時の依存関係によって自動的に追加されたり、後から自分でパッケージをインストールしたりすると新たに追加されることがあります。

デーモンは数が多いうえに内容がわかりにくいものが多いので、自分の望む稼動／停止の組み合わせができたら、その状態を記録しておくことをお勧めします。