---

Hej

Jeg har lavet den mest minimale installation af Red Hat 7.3.

Jeg vil gerne mindske ram-forbruget for min firewall som lige nu bruger 61
MB ud af 62.

Jeg har lavet en liste over de services der kører med med ide om hvad jeg
vil gøre med dem - Lade dem være ON eller slette dem med DEL.

Ser følgende liste fornuftig ud eller hvad?

network ON Activates/deactivates network interfaces
random ON High quality random number generation
keytable ON Loads keyboard map
syslog ON Logs messages to log files
iptables ON Firewall
rhnsd ON Connects to the Red Hat Network to check for updates
autofs ON Automounts filesystems on demand

atd DEL Runs commands scheduled by the AT command
gpm DEL Allows mouse acceleration
sendmail DEL Allows messages to be sent to one or more recipients
kudzu DEL Installs new hardware
ipchains DEL Firewall - Old
crond DEL Scheduler
anacron DEL Scheduler - Once
apmd DEL Advanced Power Management
nfs DEL Network File System - Off by default
identd DEL Returns the username of processes with open TCP/IP
connections
portmap DEL Manages RPC connections which are used by protocols
NFS and NIS
rawdevices DEL Assigns raw devices to block devices like hard drive
partitions netfs ? Mounts and unmounts Network File Systems
nfslock DEL NFS is a popular protocol for file sharing across
TCP/IP
radvd DEL Used to configure raw device bindings


Hilsen Peter

---

Peter wrote:


> Jeg vil gerne mindske ram-forbruget for min firewall som lige nu bruger 61
> MB ud af 62.

Øh, hvordan ser du at den bruger 61 MB RAM ? Med din listning af services
synes jeg, at 61MB lyder temmeligt voldsomt. Jeg ville skyde på, at du
højst ville bruge 20MB.

Du er sikker på, at du ikke inkluderer buffers/cache i tallet ? Prøv...

--------------------------------------------------------------------------
[clr@shiva prj]$ free
total used free shared buffers cached
Mem: 514384 492252 22132 0 72632 199108
-/+ buffers/cache: 220512 293872 <--- Det er disse tal, der gælder
Swap: 1060208 49928 1010280
--------------------------------------------------------------------------

Ellers ser det ok ud bortset fra...

> keytable ON Loads keyboard map

Tager næppe megen RAM, men hvis du kan lide at køre med amerikansk
tastatur, kan du prøve at slå den fra.

> rhnsd ON Connects to the Red Hat Network to check for updates

Ikke nødvendig men tager ingen RAM.

> autofs ON Automounts filesystems on demand

Ikke nødvendig og bør i øvrigt ikke køre på en firewall.

> crond DEL Scheduler

Ups. Den må du ikke slå fra. Alle ting, der kører med mellemrum
styres herfra. Bla. rotation af logs som ellers efter nogen tid
ville få din disk til at løbe fuld.

-Claus

---

"Claus Rasmussen" <clr@cc-consult.dk> wrote in message
news:aelmqs$i4v$1@sunsite.dk...

> Du er sikker på, at du ikke inkluderer buffers/cache i tallet ? Prøv...
>
> --------------------------------------------------------------------------
> [clr@shiva prj]$ free
> total used free shared buffers cached
> Mem: 514384 492252 22132 0 72632 199108
> -/+ buffers/cache: 220512 293872 <--- Det er disse tal, der gælder
> Swap: 1060208 49928 1010280
> --------------------------------------------------------------------------

Jeg kørte en "top" - min "free" giver:

--------------------------------------------------------------------------
total used free shared buffers cached
Mem: 62104 61076 1028 0 14128 23400
-/+ buffers/cache: 23548 38556
Swap: 102808 0 102808
--------------------------------------------------------------------------

Betyder dette resultat, at jeg kunne køre med 32 MB Ram i stedet for 64 uden
at miste performance?

Grunden til at jeg spørger er at jeg rent faktisk har brug for de 32 i en
anden computer.

Hilsen Peter

---

Peter wrote:

> Betyder dette resultat, at jeg kunne køre med 32 MB Ram i stedet for 64
> uden at miste performance?

Jah... altså du taber en smule i performance fordi du ikke kan have så
store buffere osv. Men du kan altså ikke få det HELE. Ikke på een gang
i hvert fald

-Claus

---

Den Tue, 18 Jun 2002 08:12:31 +0200 skrev Peter:
>"Claus Rasmussen" <clr@cc-consult.dk> wrote in message
>news:aelmqs$i4v$1@sunsite.dk...
>
>Betyder dette resultat, at jeg kunne køre med 32 MB Ram i stedet for 64 uden
>at miste performance?

Nej, først når buffers/cached ikke stiger mere, kan du pille resten ud
*helt* uden at miste performance. Så er din computer til gengæld også
ufatteligt hurtig, da hele harddisken er cachet. (Det kræver naturligvis
at platformen understøtter lige så meget RAM som der er brugt af
harddisken).

>Grunden til at jeg spørger er at jeg rent faktisk har brug for de 32 i en
>anden computer.

Prøv det... Det er faktisk utroligt så meget forskel diskcachen kan
gøre.

Mvh
Kent
--
.~. .~.
/V\ From Palm Pilot to S/390 /V\
// \\ Truly scalable operating system // \\
/( )\ Linux /( )\
^^-^^ ^^-^^

---

"Peter" <no_spam@no.where> writes:

> Jeg har lavet den mest minimale installation af Red Hat 7.3.
>
> Jeg vil gerne mindske ram-forbruget for min firewall som lige nu bruger 61
> MB ud af 62.

Send outputtet fra kommandoerne 'ps xau' og 'free', så tror jeg det er
nemmere for os at pege på de ting du kan slå fra.

Og da du skal lave en firewall vil du have fordel af at kigge på hvad
'netstat -tulp' viser kørt som root, det er den simple oversigt over
alle porte der lyttes på.

--
Kim Hansen | |\ _,,,---,,_ | Det er ikke
Dalslandsgade 8, A708 | /,`.-'`' -. ;-;;,_ | Jeopardy.
2300 København S | |,4- ) )-,_. ,\ ( `'-' | Svar _efter_
Phone: 32 88 60 86 | '---''(_/--' `-'\_) | spørgsmålet.

---

"Kim Hansen" <k-tahf.qvxh@oek.dk> wrote in message
news:x62ptypleoq.fsf@tyr.diku.dk...
> "Peter" <no_spam@no.where> writes:
>
> > Jeg har lavet den mest minimale installation af Red Hat 7.3.
> >
> > Jeg vil gerne mindske ram-forbruget for min firewall som lige nu bruger
61
> > MB ud af 62.
>
> Send outputtet fra kommandoerne 'ps xau' og 'free', så tror jeg det er
> nemmere for os at pege på de ting du kan slå fra.

Tak for svaret.
Her er output:

ps xau:
root$ ps xau
USER PID %CPU %MEM VSZ RSS TTY STAT START TIME COMMAND
root 1 0.0 0.7 1308 476 ? S 1980 0:07 init
root 2 0.0 0.0 0 0 ? SW 1980 0:00 [keventd]
root 3 0.0 0.0 0 0 ? SW 1980 0:00 [kapmd]
root 4 0.0 0.0 0 0 ? SWN 1980 0:06
[ksoftirqd_CPU0]
root 5 0.0 0.0 0 0 ? SW 1980 0:00 [kswapd]
root 6 0.0 0.0 0 0 ? SW 1980 0:00 [bdflush]
root 7 0.0 0.0 0 0 ? SW 1980 0:00 [kupdated]
root 8 0.0 0.0 0 0 ? SW 1980 0:00 [mdrecoveryd]
root 12 0.0 0.0 0 0 ? SW 1980 0:04 [kjournald]
root 407 0.0 0.0 0 0 ? SW 1980 0:00 [eth0]
root 494 0.0 0.0 0 0 ? SW 1980 0:00 [eth1]
root 589 0.0 0.7 1312 448 ? S 1980 1:22
/sbin/dhcpcd -n eth
root 684 0.0 0.9 1364 580 ? S 1980 0:00 syslogd -m 0
root 689 0.0 0.7 1300 440 ? S 1980 0:00 klogd -x
rpc 709 0.0 0.8 1440 548 ? S 1980 0:00 portmap
root 784 0.0 1.9 2568 1200 ? S 1980 0:12
/usr/sbin/sshd
root 827 0.0 2.8 4540 1776 ? S 1980 0:00 sendmail:
accepting
root 846 0.0 0.9 1464 616 ? S 1980 0:00 crond
daemon 864 0.0 0.8 1344 548 ? S 1980 0:00 /usr/sbin/atd
root 871 0.0 0.6 1280 408 tty1 S 1980 0:00
/sbin/mingetty tty1
root 872 0.0 0.6 1280 408 tty2 S 1980 0:00
/sbin/mingetty tty2
root 873 0.0 0.6 1280 408 tty3 S 1980 0:00
/sbin/mingetty tty3
root 874 0.0 0.6 1280 408 tty4 S 1980 0:00
/sbin/mingetty tty4
root 875 0.0 0.6 1280 408 tty5 S 1980 0:00
/sbin/mingetty tty5
root 876 0.0 0.6 1280 408 tty6 S 1980 0:00
/sbin/mingetty tty6
root 5020 0.1 2.9 3424 1852 ? S 20:32 0:00
/usr/sbin/sshd
root 5021 0.1 2.1 2428 1336 pts/0 S 20:32 0:00 -bash
root 5095 0.0 1.0 2524 676 pts/0 R 20:41 0:00 ps xau

free:
root$ free
total used free shared buffers cached
Mem: 62104 61080 1024 0 14160 23372
-/+ buffers/cache: 23548 38556
Swap: 102808 0 102808



> Og da du skal lave en firewall vil du have fordel af at kigge på hvad
> 'netstat -tulp' viser kørt som root, det er den simple oversigt over
> alle porte der lyttes på.

OK - ser dette farligt ud:

root$ netstat -tulp
Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address Foreign Address State
PI
D/Program name
tcp 0 0 *:sunrpc *:* LISTEN
70
9/portmap
tcp 0 0 *:ssh *:* LISTEN
78
4/sshd
tcp 0 0 min_cpu:smtp *:* LISTEN
82
7/sendmail: accep
udp 59528 0 *:bootpc *:*
58
9/dhcpcd
udp 0 0 *:sunrpc *:*
70
9/portmap

Hilsen Peter

---

"Peter" <no_spam@no.where> writes:

> "Kim Hansen" <k-tahf.qvxh@oek.dk> wrote in message
> news:x62ptypleoq.fsf@tyr.diku.dk...
> > "Peter" <no_spam@no.where> writes:
> >
> > > Jeg har lavet den mest minimale installation af Red Hat 7.3.
> > >
> > > Jeg vil gerne mindske ram-forbruget for min firewall som lige nu bruger
> 61
> > > MB ud af 62.
> >
> > Send outputtet fra kommandoerne 'ps xau' og 'free', så tror jeg det er
> > nemmere for os at pege på de ting du kan slå fra.
>
> Tak for svaret.
> Her er output:
>
> ps xau:
> root$ ps xau
> USER PID %CPU %MEM VSZ RSS TTY STAT START TIME COMMAND
> root 589 0.0 0.7 1312 448 ? S 1980 1:22
> /sbin/dhcpcd -n eth

Hvis dhcp er et krav for at få et IP nummer hos din udbyder skal du
beholde den, men hvis du har fast IP ville jeg bare indkode det og
droppe dhcp.

> rpc 709 0.0 0.8 1440 548 ? S 1980 0:00 portmap

portmap er jeg ret sikker på at du ikke har brug for.

> root 827 0.0 2.8 4540 1776 ? S 1980 0:00 sendmail:
> accepting

Sendmail kan du muligvis køre inde fra inetd, eller helt lade være med
at køre hvis maskinen ikke skal modtage post uderfra. Unden sendmail
kørerne kan man stadig sende post lokalt og ud af maskinen.

> root 871 0.0 0.6 1280 408 tty1 S 1980 0:00
> /sbin/mingetty tty1
> root 872 0.0 0.6 1280 408 tty2 S 1980 0:00
> /sbin/mingetty tty2
> root 873 0.0 0.6 1280 408 tty3 S 1980 0:00
> /sbin/mingetty tty3
> root 874 0.0 0.6 1280 408 tty4 S 1980 0:00
> /sbin/mingetty tty4
> root 875 0.0 0.6 1280 408 tty5 S 1980 0:00
> /sbin/mingetty tty5
> root 876 0.0 0.6 1280 408 tty6 S 1980 0:00
> /sbin/mingetty tty6

Du kan fjerne de sidste 5 af disse virtuelle konsoller ved at rette i
/etc/inittab

> free:
> root$ free
> total used free shared buffers cached
> Mem: 62104 61080 1024 0 14160 23372
> -/+ buffers/cache: 23548 38556
> Swap: 102808 0 102808

Du spørger i en anden besked om du kan nåjes med 32MB, det vil jeg
mene, men det vil koste en lille smugle da buffers og cache også er
vigtige for ydelsen.

> OK - ser dette farligt ud:
>
> root$ netstat -tulp
[ snip ]

rpc ser farlig ud, men den kan du bare fjerne. Ellers er det fint
barberet ned til kun det nødvendige.

--
Kim Hansen | |\ _,,,---,,_ | Det er ikke
Dalslandsgade 8, A708 | /,`.-'`' -. ;-;;,_ | Jeopardy.
2300 København S | |,4- ) )-,_. ,\ ( `'-' | Svar _efter_
Phone: 32 88 60 86 | '---''(_/--' `-'\_) | spørgsmålet.

---

Peter wrote:
> Hej
>
> Jeg har lavet den mest minimale installation af Red Hat 7.3.
>
> Jeg vil gerne mindske ram-forbruget for min firewall som lige nu bruger 61
> MB ud af 62.

Er det ikke ret uoptimalt at bruge Redhat til sin firewall.

Hvad skal den kunne?

Min firewall fylder en floppy.

# free
total used free shared buffers
Mem: 29336 10476 18860 0 3084
Swap: 0 0 0
Total: 29336 10476 18860

# ps ax
PID Uid Stat Command
1 root S [swapper]
2 root S [keventd]
3 root R [ksoftirqd_CPU0]
4 root S [kswapd]
5 root S [kreclaimd]
6 root S [bdflush]
7 root S [kupdated]
8 root S /bin/sh /floppyfw.ini
199 root S ash
245 root S dhcpcd eth2
249 root S sleep 86400
251 root R ps ax

---

"Christian E. Lysel" <chlyshoswmdatapunktumcom@example.net> skrev i en
meddelelse news:3D0EE659.9080104@example.net...

> Peter wrote:
> > Hej
> >
> > Jeg har lavet den mest minimale installation af Red Hat 7.3.
> >
> > Jeg vil gerne mindske ram-forbruget for min firewall som lige nu bruger
61
> > MB ud af 62.
>
> Er det ikke ret uoptimalt at bruge Redhat til sin firewall.

Muligvis - Jeg er ny på Linux og valgte Red Hat da det var den jeg havde ved
hånden.

> Hvad skal den kunne?

Port-forwarding, SNAT, DNAT, SSH, DHCP, tre netkort.

Der er sikker mere, men det er de ting jeg ved jeg bruger.

> Min firewall fylder en floppy.

OK - Linux er ikke så ressourcekrævende som andre OS

Hilsen Peter

---

Peter wrote:
>>Er det ikke ret uoptimalt at bruge Redhat til sin firewall.
> Muligvis - Jeg er ny på Linux og valgte Red Hat da det var den jeg havde ved
> hånden.


>>Hvad skal den kunne?
> Port-forwarding, SNAT, DNAT, SSH, DHCP, tre netkort.

Den understøtter ovenstående, dog ikke SSH. Istedet for SSH bruger jeg
seriel porten når jeg skal fejlsøge.

DHCP mener du som en dhcp klient ikk'?

>>Min firewall fylder en floppy.
> OK - Linux er ikke så ressourcekrævende som andre OS

Det fylder lidt, ja.

---

"Christian E. Lysel" <chlyshoswmdatapunktumcom@example.net> skrev i en
meddelelse news:3D0F19CF.1080606@example.net...
> Peter wrote:
> >>Er det ikke ret uoptimalt at bruge Redhat til sin firewall.
> > Muligvis - Jeg er ny på Linux og valgte Red Hat da det var den jeg havde
ved
> > hånden.
>
>
> >>Hvad skal den kunne?
> > Port-forwarding, SNAT, DNAT, SSH, DHCP, tre netkort.
>
> Den understøtter ovenstående, dog ikke SSH. Istedet for SSH bruger jeg
> seriel porten når jeg skal fejlsøge.

Hmm ja ok - jeg er nu ret glad for at kunne SSH til den udefra.

> DHCP mener du som en dhcp klient ikk'?

Sorry - det jeg mener er at den skal kunne modtage en IP fra min ISP vha
DHCP.
Helst også kunne uddele IP'er til mine klienter baseret på deres MAC-adresse
så de altid modtager den samme IP når de beder om en vha. DHCP på deres
opsætning.

Hvad er det ineffektive i at bruge Red Hat?
Jeg har indtil videre ikke haft nogle problemer med det.

Hilsen Peter

---

"Peter" <no_spam@no.where> writes:

> Sorry - det jeg mener er at den skal kunne modtage en IP fra min ISP vha
> DHCP.
> Helst også kunne uddele IP'er til mine klienter baseret på deres MAC-adresse
> så de altid modtager den samme IP når de beder om en vha. DHCP på deres
> opsætning.

Jeg går ud fra du har en grund til ikke bare sætte deres IP-adresse
statisk på klienterne.

> Hvad er det ineffektive i at bruge Red Hat?
> Jeg har indtil videre ikke haft nogle problemer med det.

RedHat installerer en masse ting som du ikke har noget at bruge til på
en firewall. Normalt anses det for fornuftigt, at køre med en totalt
skrabet maskine for at minimere antallet af sikkerhedshuller.

Med venlig hilsen
- Jacob

---

In article <FNsP8.1301$AY1.4176@news.get2net.dk>,
"Peter" <no_spam@no.where> wrote:

> Hej
>
> Jeg har lavet den mest minimale installation af Red Hat 7.3.
>
> Jeg vil gerne mindske ram-forbruget for min firewall som lige nu bruger 61
> MB ud af 62.
>
> Jeg har lavet en liste over de services der kører med med ide om hvad jeg
> vil gøre med dem - Lade dem være ON eller slette dem med DEL.
>
> Ser følgende liste fornuftig ud eller hvad?
>
> network ON Activates/deactivates network interfaces
> random ON High quality random number generation
> keytable ON Loads keyboard map
> syslog ON Logs messages to log files
> iptables ON Firewall
> rhnsd ON Connects to the Red Hat Network to check for updates

Dræb denne, og kom på deres mailingliste i stedet.

> autofs ON Automounts filesystems on demand

Denne kan du også dræbe.

> atd DEL Runs commands scheduled by the AT command
> gpm DEL Allows mouse acceleration

Æder ikke meget og tillader brug af mus i konsollen

> sendmail DEL Allows messages to be sent to one or more recipients
> kudzu DEL Installs new hardware
> ipchains DEL Firewall - Old
> crond DEL Scheduler

Cron bruges til mange automatiske opgaver. Lad den køre.

> anacron DEL Scheduler - Once
> apmd DEL Advanced Power Management
> nfs DEL Network File System - Off by default
> identd DEL Returns the username of processes with open TCP/IP
> connections
> portmap DEL Manages RPC connections which are used by protocols
> NFS and NIS
> rawdevices DEL Assigns raw devices to block devices like hard drive
> partitions netfs ? Mounts and unmounts Network File Systems
> nfslock DEL NFS is a popular protocol for file sharing across
> TCP/IP
> radvd DEL Used to configure raw device bindings

Derudover, hvis det er en firewall skal du ikke stoppe servicesne, men i
stedet fjerne pakkerne så den onde hacker ikke kan starte dem når han
kommer ind.

---

"Povl H. Pedersen" <nospam@home.terminal.dk> wrote in message
news:nospam-1B939C.19085718062002@news.cybercity.dk...
>
> Derudover, hvis det er en firewall skal du ikke stoppe servicesne, men i
> stedet fjerne pakkerne så den onde hacker ikke kan starte dem når han
> kommer ind.

Er det ikke et rent teoretisk problem, som ikke har nogen effekt i praksis?
Hvis hackeren er inde kan han vel bare downloade og installerer pakkerne
alligevel?

Hilsen Peter

---

Peter wrote:
> "Povl H. Pedersen" <nospam@home.terminal.dk> wrote in message
> news:nospam-1B939C.19085718062002@news.cybercity.dk...
> >
> > Derudover, hvis det er en firewall skal du ikke stoppe servicesne, men i
> > stedet fjerne pakkerne så den onde hacker ikke kan starte dem når han
> > kommer ind.
>
> Er det ikke et rent teoretisk problem, som ikke har nogen effekt i praksis?
> Hvis hackeren er inde kan han vel bare downloade og installerer pakkerne
> alligevel?

Hvis nu /usr er monteret read-only kan han ikke.

Derudover - hvis det *ikke* er en firewall, er der formentlig en
firewall laengere ude, der laver egress-filtrering, og saa kan den onde
hacker ikke downloade pakkerne. Hvis det *er* en firewall, kan den onde
hacker selvfoelgelig blot deaktivere firewall-reglerne og hente
pakkerne...


--
Ole Michaelsen, Darmstadt, Germany
http://www.fys.ku.dk/~omic

---

Den Wed, 19 Jun 2002 06:56:18 +0000 (UTC) skrev Ole Michaelsen:
>Peter wrote:
>> "Povl H. Pedersen" <nospam@home.terminal.dk> wrote in message
>> news:nospam-1B939C.19085718062002@news.cybercity.dk...
>> >
>> > Derudover, hvis det er en firewall skal du ikke stoppe servicesne, men i
>> > stedet fjerne pakkerne så den onde hacker ikke kan starte dem når han
>> > kommer ind.
>>
>> Er det ikke et rent teoretisk problem, som ikke har nogen effekt i praksis?
>> Hvis hackeren er inde kan han vel bare downloade og installerer pakkerne
>> alligevel?
>
>Hvis nu /usr er monteret read-only kan han ikke.

Ting kan også installeres andre steder end /usr.

>Derudover - hvis det *ikke* er en firewall, er der formentlig en
>firewall laengere ude, der laver egress-filtrering, og saa kan den onde
>hacker ikke downloade pakkerne.

egress er da SVJV imod falske ip-numre. Det forhindrer da ikke i at man
overfører pakker.

>Hvis det *er* en firewall, kan den onde
>hacker selvfoelgelig blot deaktivere firewall-reglerne og hente
>pakkerne...

Hvis han allerede er kommet ind, behøver han i princippet ikke engang
deaktivere reglerne for at overføre data. Han har jo allerede mindst
en connection.

Mvh
Kent
--
Linux 0.12 is out
Windows XP is now obsolete!!!

---

In article <S6VP8.9$pG3.265@news.get2net.dk>,
"Peter" <no_spam@no.where> wrote:

> "Povl H. Pedersen" <nospam@home.terminal.dk> wrote in message
> news:nospam-1B939C.19085718062002@news.cybercity.dk...
> >
> > Derudover, hvis det er en firewall skal du ikke stoppe servicesne, men i
> > stedet fjerne pakkerne så den onde hacker ikke kan starte dem når han
> > kommer ind.
>
> Er det ikke et rent teoretisk problem, som ikke har nogen effekt i praksis?
> Hvis hackeren er inde kan han vel bare downloade og installerer pakkerne
> alligevel?

Hvordan skal han downloade dem hvis lynx, ftp og lignende ikke er på
maskinen ?

---

Povl H. Pedersen <nospam@home.terminal.dk> wrote:
> In article <S6VP8.9$pG3.265@news.get2net.dk>,
> "Peter" <no_spam@no.where> wrote:
>
>> Er det ikke et rent teoretisk problem, som ikke har nogen effekt i praksis?
>> Hvis hackeren er inde kan han vel bare downloade og installerer pakkerne
>> alligevel?
>
> Hvordan skal han downloade dem hvis lynx, ftp og lignende ikke er på
> maskinen ?

Det er intet problem at pipe data igennem en ssh forbindelse -- jeg
bruger blandt andet tar til det ret ofte.

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.area51.dk/