在基本 OpenBSD 伺服器上安裝哪些“文件集”以用作 Tor 中繼?
我想安裝一個最小的 OpenBSD 6.5 (x86_64) 伺服器來執行
Tor中繼。在 Debian 上,我會選擇ssh-server並通常standard system utilities在 tasksel 中進行基本伺服器安裝。與 OpenBSD 中的這種配置最接近的等價物是什麼?文件並不清楚這只是說明:“建議新使用者安裝所有這些。” 通常不建議在伺服器上安裝不需要的軟體包,我正在為 OpenBSD 尋找更具體的“最佳實踐”建議。
可用的選擇是:
$$ with my questions/comments in square brackets $$
通用文件集
- bsd - 核心(必需)$$ do I need this, if I install bsd.mp? $$
- bsd.mp - 多處理器核心$$ required for multi-core CPUs? $$
- bsd.rd - ramdisk 核心$$ required for upgrades? $$
- baseXX.tgz - 基本系統(必需)
- compXX.tgz - 編譯器集合、標頭檔和庫$$ not needed on a server, right? $$
- manXX.tgz - 手冊頁$$ not needed, as they’re available online $$
- gameXX.tgz - 基於文本的遊戲$$ definitely not needed ;-) $$
X11相關文件集
- xbaseXX.tgz - X11 的基礎庫和實用程序(需要 xshareXX.tgz)
- xshareXX.tgz - X11 的手冊頁、區域設置和包括
- xfontXX.tgz - X11 使用的字型
- xservXX.tgz - X11 的 X 伺服器(xservXX.tgz 集很少需要)
我的傾向是不在伺服器上安裝編譯器或任何與 X11 相關的軟體包,但常見問題解答提到,某些(非 X11)應用程序需要字型和 fontconfig,這將需要
xbase,xshare和xfont文件集。當不安裝這些應用程序時,許多應用程序會中斷嗎?我懷疑 Tor 中繼是否需要字型操作。設置 OpenBSD 伺服器時普遍接受的最佳實踐是什麼?
“普遍接受的最佳實踐”是安裝所有文件集(不應與“執行所有守護程序”混淆)。如果您出於安全考慮而傾向於保留一些設置,請記住,如果有人已經深入您的系統以便他們可以執行編譯器、啟動守護程序(如 X)或類似的東西,那麼您已經遇到了更大的問題。另外,請記住,即使 OpenBSD 在其基本安裝中附帶了(非常)大量的守護程序,它們也不會在預設情況下執行,除非您將它們配置為。簡而言之,那裡的“非核心”數據集上的文件只會帶來問題(安全方面),如果它們可以被惡意使用,並且如果有人有足夠的權限違背你的意願使用它們,那麼你已經搞砸了.
如果您因為磁碟空間限製而遺漏了一些集合,那就另當別論了。我有一些小型/舊機器執行 IPSec 和一些在小型 SD 卡上執行的路由,所以我傾向於忽略除核心(包括
bsd.rd.base**.tgz哦,man**.tgz因為我懶得切換終端只是為了查找一些man頁面。但這與安全無關。
php-gd常見問題解答中提到的情況與執行 Web 伺服器等情況有關,該伺服器託管一些 PHP 應用程序,這些應用程序使用 GD(通過模組)之類的東西進行圖像/字型操作。因此,我不得不xbase在無頭伺服器上安裝。我不認為你會需要它tor,但你總是可以留下 X 的東西,然後再添加它。簡而言之,您可以離開
comp*,離開x*,games*但請記住您確實將它們排除在外,請注意可能會出現問題並準備好在安裝後添加套件(如果需要)。另外,請記住,您需要知道在升級機器時安裝了哪些套件。很容易忘記您已添加xbase到您的(例如)6.4 系統,升級到 6.5 時取消選擇它,最終得到一個科學怪人。大多數時候,安裝所有東西更容易,而不必擔心任何這些。
更新:
sysupgrade,OpenBSD 附帶的自動升級工具會在升級系統時自動安裝所有套件。