このドキュメントで説明するソフトウェアは、Extended SupportまたはSustaining Supportのいずれかにあります。 詳細は、https://www.oracle.com/us/support/library/enterprise-linux-support-policies-069172.pdfを参照してください。
Oracleでは、このドキュメントに記載されているソフトウェアをできるだけ早くアップグレードすることをお薦めします。
サービスを、サーバーで必要なサービスに制限します。 Oracle Linuxサーバーのデフォルト・インストールでは、次の最小サービス・セットが構成されます。
cupsd
およびlpd
(印刷サービス)
sendmail
(電子メール配信サービス)
sshd
(openSSHサービス)
可能な場合は、各物理マシン、仮想マシンまたはLinuxコンテナに1つのサービス・タイプを構成します。 この手法により、システムが危険にさらされた場合に、漏えいを限度内にとどめることができます。
サービスが使用されていない場合は、そのサービスに関連付けられているソフトウェア・パッケージを削除します。 ソフトウェアの依存関係によりサービスを削除できない場合は、chkconfigおよびserviceコマンドを使用してサービスを無効化します。
使用中のサービスには、最新のOracleサポート・パッチおよびセキュリティ・パッチを適用して、ソフトウェア・パッケージを最新の状態に保ちます。 不正な変更を防止するには、/etc/services
ファイルがroot
によって所有され、root
によってのみ書込み可能であることを確認します。
# ls -Z /etc/services
-rw-r--r--. root root system_u:object_r:etc_t:SystemLow /etc/services
特に指定されていないかぎり、システムで使用されていない場合は、次の表のサービスを無効化することを検討してください。
サービス |
説明 |
---|---|
|
コマンドを定期的に実行します。 主に、常時稼働ではないラップトップやユーザー・デスクトップ・マシンで使用されます。 |
|
(Advanced Power Managementデーモン)電源管理およびバッテリ・ステータスの情報を提供し、電源管理イベントへのプログラムされたレスポンスを可能にします。 主に、ラップトップ・マシンで使用されます。 |
|
自動ファイルシステム・マウンタのマウント・ポイントを管理します。 自動マウンタ機能が不要なサーバーでは、このサービスを無効にします。 |
|
Bluetoothデバイスの接続をサポートします。 主に、ラップトップおよびユーザー・デスクトップ・マシンで使用されます。 Bluetoothを使用すると、攻撃対象領域が追加されます。 Bluetooth機能が不要なサーバーでは、このサービスを無効にします。 |
|
インストール後の初回ログイン時に、システムを構成します。 |
|
(汎用マウス)テキスト・コンソールでマウス・ポインタをサポートします。 |
|
(Hardware Abstraction Layerデーモン)システムに接続されているデバイスのリアルタイム・データベースを管理します。 アプリケーションはHAL APIを使用して、新たに追加されたデバイスを検出し、相互作用できます。 主に、ラップトップおよびユーザー・デスクトップ・マシンでホットプラグ・デバイスをサポートするために使用されます。 警告 このサービスは、無効化しないでください。 多くのアプリケーションがこの機能に依拠しています。 |
|
(Bluetooth Human Interface Deviceデーモン)キーボードやマウスなどのBluetooth入力デバイスをサポートします。 主に、ラップトップおよびユーザー・デスクトップ・マシンで使用されます。 Bluetoothを使用すると、攻撃対象領域が追加されます。 Bluetooth機能が不要なサーバーでは、このサービスを無効にします。 |
|
マルチプロセッサ・システム上のプロセッサ間でハードウェア割込みを分散します。 この機能が不要なサーバーでは、このサービスを無効にします。 |
|
iSCSIターゲットへのログインおよびiSCSIデバイスのスキャンを制御します。 iSCSIデバイスにアクセスしないサーバーでは、このサービスを無効にします。 |
|
iSCSIプロトコルの制御および管理を実装します。 iSCSIデバイスにアクセスしないサーバーでは、このサービスを無効にします。 |
| ブート時に |
|
SELinux Context Translation Systemサービスを制御します。 |
|
システム上のすべてのソフトウェアRAIDアレイのステータスを確認します。 ソフトウェアRAIDを使用しないサーバーでは、このサービスを無効にします。 |
|
システム・イベントおよびハードウェア・イベントに関するその他のメッセージを、システム全体のD-BUSメッセージ・バスを介してブロードキャストします。 警告 このサービスは、無効化しないでください。 多くのアプリケーションがこの機能に依拠しています。 |
|
IA32プロセッサにのみ必要なマイクロコードを実行します。 このプロセッサのないサーバーでは、このサービスを無効にします。 |
|
(PC/SCスマート・カード・デーモン)スマートカード・リーダーとの通信をサポートします。 主に、ラップトップおよびユーザー・デスクトップ・マシンでスマートカード認証をサポートするために使用されます。 スマートカード認証を使用しないサーバーでは、このサービスを無効にします。 |
|
|
|
sealertツールへのSELinux Access Vector Cache (AVC)拒否についての情報を提供するSELinuxトラブルシューティング・サービスを制御します。 |
|
ATA-3以降の多くのSCSI-3ディスク・デバイスに統合されている、Self-Monitoring, Analysis and Reporting Technology (SMART)システムと通信します。 SMARTシステムはディスク・ドライブを監視して、信頼性を測定し、ディスクの劣化および障害を予測して、ドライブ・テストを実行します。 |
|
メモリーにフォントをキャッシュして、X Window Systemアプリケーションのパフォーマンスを向上させます。 |
システムで使用されていない場合は、次のネットワーク・サービスを無効化することを検討してください。
サービス |
説明 |
---|---|
|
Appleのゼロ構成ネットワーキング(RendezvousまたはBonjourとも呼ばれます)を実装します。 主に、ラップトップおよびユーザー・デスクトップ・マシンで音楽およびファイルの共有をサポートするために使用されます。 この機能が不要なサーバーでは、このサービスを無効にします。 |
|
一般的なUNIX印刷システムを実装します。 この機能を提供する必要がないサーバーでは、このサービスを無効にします。 |
|
HPのインクジェット・プリンタおよびレーザー・プリンタでFAX、印刷、スキャン操作をサポートする、HP Linux Imaging and Printingを実装します。 この機能が不要なサーバーでは、このサービスを無効にします。 |
|
(Integrated Services Digital Network) ISDNデバイス経由のネットワーク接続をサポートします。 ISDNデバイスを直接制御しないサーバーでは、このサービスを無効にします。 |
|
NCP、NFSおよびSMBなどのネットワーク・ファイル・システムをマウントおよびアンマウントします。 この機能が不要なサーバーでは、このサービスを無効にします。 |
|
ブート時に起動するよう構成されている、すべてのネットワーク・インタフェースをアクティブ化します。 |
|
利用可能な最適な接続を使用するように、ネットワーク接続を自動的に切り替えます。 |
| NFSで使用されるNetwork Status Monitor (NSM)を実装します。 この機能が不要なサーバーでは、このサービスを無効にします。 |
|
Sambaで使用されるNetBIOS名サービスを提供します。 システムがActive Directoryサーバー、ドメイン・コントローラまたはドメイン・メンバーとして機能していない場合、およびMicrosoft Windowsのファイルとプリンタ共有機能を提供していない場合は、このサービスを無効化して |
|
NFSに対するリモート・プロシージャ・コール(RPC)サポートを実装します。 この機能が不要なサーバーでは、このサービスを無効にします。 |
|
Unbreakable Linuxネットワーク(ULN)に更新および情報を問い合せます。 |
|
NFSで使用されます。 この機能が不要なサーバーでは、このサービスを無効にします。 |
|
NFSで使用されます。 この機能が不要なサーバーでは、このサービスを無効にします。 |
|
Sambaで使用されるSMBネットワーク・サービスを提供します。 システムがActive Directoryサーバー、ドメイン・コントローラまたはドメイン・メンバーとして機能していない場合、およびMicrosoft Windowsのファイルとプリンタ共有機能を提供していない場合は、このサービスを無効化して |
サービスを停止し、システムのリブート時に起動しないようにするには、次のコマンドを使用します。
#service
#service_name
stopchkconfig
service_name
off
サービス構成GUI (system-config-services)を使用してサービスを構成することもできます。