Заметки на полях по ходу подготовки work-станции к safe-серфингу

Дистр DVD1.iso текущей основной версии 6.4 (поддержка до 2020).

Подготовка SSD

Из-за особенностей дистра предварительная забивка SSD псевдорандомом с любого Live-CD:

dd if=/dev/urandom bs=8M of=/dev/sda

Размер блока в dd для оптимального быстродействия установлен равным размеру аппаратного кэша диска.

Особенности установки дистра

Из-за различий в реализации графического и текстового инстоллеров anaconda вендор рекомендует проводить установку в графическом режиме (больше опций).

Install system with basic video driver (со строки 2) из-за дискретной карты.

Запуск теста целостности установочного носителя – ОК

Нарезка пирога:

/sda1 под /boot /sda2 под / с полным дисковым шифрованием

При нарезке /sda2 установка чекбокса «Зашифровать».

Исключение ненужных пакетов на стадии установки (anaconda позволяет).

Отключение Kdump.

После завершения установки:

# yum update

Дрова

Последняя версия драйвера на сайте вендора NVIDIA-Linux-x86_64-310.40.run

Переход на многопользовательский консольный runlevel с поддержкой сети:

$ su - # telinit 3

Вход от рута на виртуальную консоль:

login: root Password: ******

Установка необходимых дополнительных пакетов:

# yum install gcc # yum install kernel-devel

Запуск установщика драйвера:

# cd /tmp # sh NVIDIA-Linux-x86_64-310.40.run

Разрешение установить 32-bit совместимые библиотеки OpenGL – ОК

Разрешение запустить утилиту самоконфигурирования nvidia-xconfig – ОК

Запуск Х-сервера:

# exit login: user Password: ****** $ startx

Настройка /etc/fstab для SSD

/dev/mapper/luks-xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx / ext4 defaults,noatime,nodiratime,discard 1 1

discard включает TRIM.

Отключение лишних служб

Просмотр параметров запуска служб.

Консоль:

$ chkconfig --list

GUI:

$ system-config-services # ntsysv

Остановка, запуск, перезапуск службы:

# /sbin/service <service-name> stop # /sbin/service <service-name> start # /sbin/service <service-name> restart

На дефолтном уровне исполнения (/etc/inittab = id:5:initdefault:) по умолчанию включены следующие службы (/etc/rc5.d).

Службы, необходимые для нормальной работы:

acpid
Демон усовершенствованного интерфейса конфигурации и управления питанием. Крайне рекомендуется оставлять его включенным, только когда это действительно нужно. Если вы запускаете современные графические среды (Gnome, KDE) то многие функции использующие ACPI будут доступны с демоном acpid. Попробуйте выключить его, если испытываете проблемы с управлением питанием (спящий режим, уход в спящий режим, пробуждение после него), либо перезапустите его. При работе в runlevel 3 некоторые функции использующие ACPI могут быть недоступны.

irqbalance
Занимается распределением прерываний между процессорами в многопроцессорных системах. Пользователи не имеющие многопроцессорных компьютеров/ноутбуков, могут выключить данный сервис. На новых компьютерах с более чем одним процессором (Intel Core 2 Duo, AMD X2) этот сервис должен быть включен. Включение этого сервиса на одно процессорном компьютере не даст никакого эффекта.

messagebus
Сервис межпроцессного взаимодействия для Linux. Критичный компонент поскольку связан с D-BUS. Крайне рекомендуется оставить его включенным.

iptables
Стандартный простой брандмауэр Linux, основанный на списках; имеет смысл только при должной настройке. Очень рекомендован при непосредственном соединении с сетью Интернет (по кабелю, DSL, T1). Не рекомендован при использовании аппаратного фаервола (D-Link, Netgear, Linksys, и прочих).

haldaemon
Hardware Abstraction Layer. Критичный сервис для сбора информации об оборудовании из разных источников. Рекомендуется оставить его включенным.

NetworkManager
Сервис для управления устройствами сети и сетевыми соединениями. Он пришел на замену старому сервису network. Рекомендуется оставить его по умолчанию включенным, а network выключенным. Если вы испытываете какие-либо проблемы, либо предпочитаете предыдущий сервис network, то выключите NetworkManager и включите сервис network. Убедитесь, что ваши настройки сети были сделаны через system-config-network для сервиса network, и/или через nm-connection-editor для сервиса NetworkManager. При использовании новых беспроводных технологий как GPRS, Bluetooth и WiFi, NetworkManager является наиболее рекомендуемым средством.

udev-post
Системный менеджер устройств, использующийся udev. По умолчанию udev поддерживает множество правил, прав и поведений для устройств. Этот сервис позволяет безопасно управлять правилами простому пользователю. Очень рекомендуется оставить его включенным. Необходим для работы с подключаемыми устройства типа флэшек.

blk-availability
Availability of blok devices.

spice-vdagentd
Together with a per X-session agent process the spice agent daemon enhances the spice guest user experience with client mouse mode, guest <-> client copy and paste support and more.

Не нужные для серфинга службы, подлежащие фтопку:

network
Служба включения и отключения сетевых интерфейсов; в некоторых случаях может заменить NetworkManager, но последняя более универсальна, потому предпочтительнее использовать ее.

abrtd
Инструмент для автоматического сбора информации о "падающих" приложениях. Также имеется возможность отправки сообщений в Bugzilla, на почтовый ящик и т.д.

crond
Планировщик задач для сервера с аптаймом 24х7. Не запускает просроченную задачу. Для выполнения задач, которые не были выполнены cron, требуется anacron. Для выключения anacron надо удалить его вручную: su -c "yum remove anacron".

atd
Планировщик задач, требуется для выполнения разовых задач. Например, выполнить su -c "yum -y update" в два часа ночи.

lvm2-monitor
Демон для мониторинга LVM (Logical Volume Management). Нужен, если используется LVM.

ip6tables
Сервис iptables работающий по IPv6 протоколу. Если выключена поддержка IPv6, то этот сервис должен быть отключен.

cpuspeed
Изменяет частоту ЦПУ с целью экономии энергии. Многие современные ноутбуки и настольные ПК поддерживают эту технологию. Его могут использовать пользователи с процессорами Pentium-M, Centrino, AMD PowerNow, Transmetta, Intel SpeedStep, Athlon-64, Athlon-X2, Intel Core 2. Пользователям ноутбуков рекомендуется оставить сервис включенным. Выключите его, если вы хотите, чтобы ваш CPU использовал фиксированную величину частот.

mdmonitor
Используется для мониторинга программного RAID или LVM. Не критичен и может быть выключен.

cups
Используется для печати. Если нет CUPS совместимого принтера, который подсоединён непосредственно к ПК или используется по сети, то должен быть выключен.

bluetooth
Нужен для беспроводных переносных устройств (НЕ wifi,802.11). Небольшое количество ноутбуков поставляется с поддержкой bluetooth. Например bluetooth мыши, наушники и сотовые телефоны. В противном случае – фтопку.

netfs
Используется для автоматического монтирования во время загрузки файловых систем доступных по сети (NFS, Samba и прочих).

portreserve
Утилита предотвращающая доступ различных RPC служб к реальным портам и отдающая приоритет зарезервированным приложениям.

rsyslog
Служба ведения разнообразных логов.

sshd
Разрешает другим пользователям входить в систему по сети с другого компьютера и запускать приложения на вашем компьютере. Это может стать потенциальной угрозой для безопасности.

sysstat
Мониторинг активности системы и системных параметров, статистика потребления ресурсов системы.

postfix
Отвечает за запуск SMTP-сервера Postfix.

abrt-ccpp
Автоматизированый регистратор ошибок (ABRT). Проверяет и собирает информацию про ошибки в программах на языках С и С++.

Способы отключения лишних служб

Через GUI:

# system-config-services # ntsysv

Через симлинки:

Каталог /etc/rc5.d

Замена от рута для отключаемых служб в именах симлинков литеры S (от start) на литеру K (от kill).

S01sysstat > K01sysstat
S02lvm2-monitor > K02lvm2-monitor
S08ip6tables > K08ip6tables
S10network > K10network
S11portreserve > K11portreserve

Перезагрузка системы.

Проверка какие службы слушают сеть:

netstat -pan --inet

Полный список того, что само стартует при старте системы, выводится по команде:

netstat -lpn