Início / unix / Perguntas / 480082
Accepted
ancient_polaroid
Asked: 2018-11-07 02:45:37 +0800 CST

Como desabilitar o serviço CUPS na reinicialização com o systemd?

  • 772

Costumo me conectar a uma rede, que tem muitas impressoras. Quando a descoberta de impressoras está em andamento, muitas mensagens de distração aparecem no GNOME. Eu uso a impressora apenas raramente, então prefiro manter o CUPS desativado na maior parte do tempo. Parar o CUPS funciona e elimina notificações irritantes:

systemctl stop cups

Eu gostaria de desativá-lo na inicialização. Surpreendentemente, depois de desativar

systemctl disable cups

O CUPS ainda é executado após a reinicialização. O comando de estado

systemctl status cups

produz

● cups.service - CUPS Scheduler
   Loaded: loaded (/lib/systemd/system/cups.service; disabled; vendor preset: enabled)
  Drop-In: /etc/systemd/system/cups.service.d
   Active: active (running) since Tue 2018-11-06 02:35:50 PST; 11s ago

Eu esperava que desabilitar um serviço impedisse sua execução após a reinicialização. A ativação acontece por causa da predefinição? Eu estava tentando predefinir o status "desativado" com --preset-mode, mas não funcionou.

Meu sistema operacional é o Debian Stretch.

systemctl --version
systemd 232
+PAM +AUDIT +SELINUX +IMA +APPARMOR +SMACK +SYSVINIT +UTMP +LIBCRYPTSETUP +GCRYPT +GNUTLS +ACL +XZ +LZ4 +SECCOMP +BLKID +ELFUTILS +KMOD +IDN
systemd cups

3 respostas

  1. Best Answer

    Não, a ativação não acontece por causa do preset.

    systemctl disable cupssó irá impedi-lo de iniciar automaticamente.

    É possível que tenha sido iniciado de qualquer maneira porque era necessário para outro serviço.

    Isso confirmaria;

    systemctl --reverse list-dependencies cups.service

    Se for esse o caso, você deve avaliar e desativar esses serviços também.

    Ou, se você não se importa com as repercussões e deseja impedir completamente que ele seja iniciado, mascare-o.

    systemctl mask cups

    • 19

  2. O pacote cups inclui três arquivos de unidade systemd: cups.service, cups.sockete cups.path.

    Os dois últimos são usados ​​para ativação de socket e ativação de caminho, que acabará acionando o serviço mesmo que não esteja habilitado.

    Você deve desabilitar todos os três para garantir que os cups não sejam ativados devido à ativação do soquete ou do caminho na reinicialização:

    systemctl disable cups.service cups.socket cups.path
    • 6

  3. Desabilitar serviços de rede não utilizados como vulnerabilidades e riscos de segurança

    Em 6 etapas, no caso geral, desabilite serviços ou serviços não autorizados que estão ativos ainda não utilizados e as portas LISTENING associadas geralmente são um risco de segurança! Observe que você pode substituir a remoção do serviço " cups " para a maioria dos outros serviços Linux systemd, por exemplo ssh na porta vulnerável 22 . Mesmo o dbus.service anteriormente inofensivo foi transformado em arma por criminosos de mineração de dados que capturam os dados dos usuários.

    Eu uso o firewall Linux extra simples ufw , mas usuários avançados podem usar filtros de segurança de porta e serviço SeLinux. Você é aconselhado a ver o link Ports Risks List .

    Cups e portas cupsd como 631 (e outras) estão associadas a riscos de segurança. Você pode detectar serviços ativos conectados à rede Linux com netstat .

    1) Detecte os serviços não autorizados ou não necessários e suas portas arriscadas

      $ sudo netstat -utpln      #  Activity     PID/Service
  tcp   127.0.0.1:631           LISTEN      9132/cupsd

    Se você não sabe o que cada serviço na lista é, por exemplo, cupsd, procure para ver se é necessário. A porta 631 está vinculada a uma vulnerabilidade.

    2) Firewall bloqueia portas e serviços Linux de alto risco

    Claro que os usuários avançados aplicam as regras do selinux, mas firewalls simples fazem um ótimo trabalho.

     $ sudo apt install ufw  #  and **dnf** applies to Red-Hat/Fedora/Centos
 $ sudo ufw enable       #  ... Activate the ufw firewall.
 $ sudo ufw deny 631     #  ... block port using the ufw firewall.
 $ sudo ufw status numbered  # Show your ufw firewall rules.
 $ sudo ufw reload  # Reload the above rules that were changed.

    Infelizmente, as impressoras são conhecidas por sua encomenda de tinta deliberada de malware incorporado ganancioso, bem como malware de hacker. Dispositivos de escritório e domésticos que não precisam usar um serviço (como impressoras) devem ter essa 'negação' aplicada.

    • Os usuários do Selinux podem ajustar os riscos, mas ainda podem usar cupsd para impressão (ou mesmo suprimir todos os tipos _cups ). Siga este guia para cups com selinux .

    3) Expor os subserviços do serviço Linux a serem desabilitados

       $ systemctl --reverse list-dependencies cups.*  # Notice the .* is important.
    cups.service
    ● └─cups-browsed.service
    
    cups.socket
    ● ├─cups.service
    ● └─sockets.target
    ●   └─basic.target
    ●     └─multi-user.target
    ●       └─graphical.target
    
    cups.path
    ● ├─cups.service
    ● └─multi-user.target
    ●   └─graphical.target

    4) Desative o serviço que você expôs depois de interrompê-lo primeiro

    $ sudo systemctl stop cups cups.service cups.socket cups.path  # 'stop' is NOT enduring!
$ systemctl --reverse list-dependencies cups.*  # What else hangs onto the service?
$ sudo systemctl disable cups cups.service cups.socket cups.path  # long term setting.

    Então agora a barata está "inativa, (morta)", certo?
    ERRADO tem amigos de serviço que fazem com que ele fique "ativo (em execução)" horas depois quando você não está olhando! Suas pernas ainda estão se contorcendo e ele vai se levantar e correr, então você tem mais matança para fazer! Normalmente o systemd inicia os serviços e eles são executados automaticamente, você pode substituí-los manualmente >> acrescentando a palavra manual apenas uma vez.

    $ sudo echo "manual" >> /etc/init/cups.override
$ sudo echo "manual" >> /etc/init/cups-browsed.override

    5) Remova os pacotes de serviço Linux de malware malicioso

    Você ficará chocado ao descobrir que cups, mesmo quando configurado para "desativar" no passo 4, tem outros serviços baddie que automaticamente o revivem, especialmente em um servidor HP com o Debian padrão instalado. Neste caso "cups" tem muitos serviços pendurados que podem ser removidos. Note que apt ou apt-get se aplica ao Debian/Mint/Ubuntu e dnf é para Fedora/Red-Hat/Centos.

    $ dpkg -l | grep -i "cups\|print\|hp"   #  Shockingly lots.
$ sudo apt remove --auto-remove cups  # then repeat: dpkg -l as above
   OR purge the service package WITH all its config files:-
$ sudo apt-get purge --auto-remove cups

    Se você limpar, também perderá as configurações não padrão dos serviços. Configurações que de fato podem ter sido hackeadas. Faça isso com cautela. A vantagem é que, se sua configuração foi hackeada, esse hack também será 'expurgado'.

    6) Teste para mais serviços Linux desonestos após a reinicialização

    "cups" é um serviço de exemplo, procure outros usando as informações abaixo.

    $ sudo shutdown -r now  # just reboot
$ systemctl --reverse list-dependencies cups.*  # Not there?
$ sudo netstat -utpln  # No sign of rogue service?
$ sudo ps aux | grep -i "cups"  # Nothing there running?
$ dpkg -l | grep -i "cups"  # Is the service running removed?
$ sudo systemctl status cups  # should say "inactive (dead)"
  Or not be present in any way.
$ pstree  # cups gone, but there is so much that can be removed.
$ systemctl list-units --type=service --state=running
$ systemctl --type=service --state=running

    Remoção de serviços Desperado : systemd usa /etc/systemd/system/<service_name>, /etc/systemd/system/<some_directory>/<service_name> e /etc/init.d/<service_name> para ativá-los. Mover esses arquivos e links para longe de seus diretórios é uma força bruta, mas funciona.

    Se você usou isso para uma vulnerabilidade não-cups, compartilhe como você a interrompeu abaixo.

    • 2

relate perguntas