Palvelimen alkuasetukset ja määritykset RHEL 7:ssä
Tässä opetusohjelmassa keskustelemme ensimmäisistä määritysvaiheista, jotka sinun on suoritettava sen jälkeen, kun olet asentanut Red Hat Enterprise Linux 7 -palvelimen paljaalle metallipalvelimelle tai virtuaaliselle yksityiselle palvelimelle.
Vaatimukset
- RHEL 7 Minimiasennus
Tärkeää: CentOS 7 -käyttäjät voivat suorittaa palvelimen alkuasennuksen CentOS 7:ssä tämän artikkelin mukaisesti.
Päivitä RHEL 7 -järjestelmä
Ensimmäisessä vaiheessa kirjaudu sisään RHEL-palvelinkonsoliisi pääkäyttäjätilillä tai suoraan pääkäyttäjänä ja suorita alla oleva komento päivittääksesi järjestelmäkomponentit, kuten asennetut paketit, ydin. tai käytä muita suojauskorjauksia.
yum check-update
yum update
Poistaaksesi kaikki paikallisesti ladatut paketit ja muut niihin liittyvät YUM-välimuistit, suorita alla oleva komento.
yum clean all
Asenna System Utilities RHEL 7:ään
Seuraavat apuohjelmat voivat osoittautua hyödyllisiksi päivittäisessä järjestelmänhallinnassa: nano (vi-editorin korvaava tekstieditori), wget, curl (pakettien lataamiseen käytettävät apuohjelmat enimmäkseen verkon kautta) net-tools, lsof (paikallisen verkon hallintaan tarkoitettu apuohjelma) ja bash-completion (komentorivin automaattinen täydennys).
Asenna ne kaikki yhdellä kertaa suorittamalla alla oleva komento.
yum install nano wget curl net-tools lsof bash-completion
Määritä verkkoyhteys RHEL 7:ssä
RHEL 7 sisältää laajan valikoiman työkaluja, joita voidaan käyttää verkon määrittämiseen ja hallintaan verkkoasetustiedoston manuaalisesta muokkaamisesta komentojen, kuten ip, ifconfig, nmtui, nmcli tai reitti.
Helpoin apuohjelma, jolla aloittelija voi hallita ja muuttaa verkkoasetuksia, on nmtui graafinen komentorivi.
Jos haluat muuttaa järjestelmän isäntänimeä nmtui-apuohjelman avulla, suorita komento nmtui-hostname, aseta koneen isäntänimi ja lopeta painamalla OK kuvan mukaisesti. alla olevassa kuvakaappauksessa.
nmtui-hostname
Jos haluat muokata verkkoliitäntää, suorita komento nmtui-edit, valitse muokattava käyttöliittymä ja valitse oikeasta valikosta Muokkaa alla olevan kuvakaappauksen mukaisesti.
Kun olet nmtui-apuohjelman tarjoamassa graafisessa käyttöliittymässä, voit määrittää verkkoliitännän IP-asetukset alla olevan kuvakaappauksen mukaisesti. Kun olet valmis, siirry kohtaan OK [sarkain]-näppäimellä tallentaaksesi määritykset ja lopettaaksesi.
Jos haluat ottaa verkkoliitännän uuden kokoonpanon käyttöön, suorita komento nmtui-connect, valitse liitäntä, jota haluat hallita ja paina Deaktivoi/Aktivoi-vaihtoehtoa poistaaksesi käytöstä ja nostaaksesi. käyttöliittymä IP-asetuksien kanssa, kuten alla olevissa kuvakaappauksissa on esitetty.
nmtui-connect
Verkkoliitäntäasetusten tarkastelemiseksi voit tarkistaa liitäntätiedoston sisällön tai antaa alla olevat komennot.
ifconfig enp0s3
ip a
ping -c2 google.com
Muita hyödyllisiä apuohjelmia, joilla voidaan hallita nopeutta, linkin tilaa tai hankkia tietoja koneen verkkoliitännöistä, ovat ethtool ja mii-tool.
ethtool enp0s3
mii-tool enp0s3
Luo uusi käyttäjätili
Seuraavassa vaiheessa, kun olet kirjautunut sisään pääkäyttäjänä palvelimellesi, luo uusi käyttäjä alla olevalla komennolla. Tätä käyttäjää käytetään myöhemmin kirjautumaan järjestelmääsi ja suorittamaan hallinnollisia tehtäviä.
adduser tecmint_user
Kun olet lisännyt käyttäjän yllä olevalla komennolla, määritä tälle käyttäjälle vahva salasana antamalla alla oleva komento.
passwd tecmint_user
Jos haluat pakottaa tämän uuden käyttäjän vaihtamaan salasanansa ensimmäisellä kirjautumisyrityksellä, suorita alla oleva komento.
chage -d0 tecmint_user
Tällä uudella käyttäjätilillä on toistaiseksi normaalit tilioikeudet, eikä se voi suorittaa hallinnollisia tehtäviä sudo-komennon avulla.
Välttääksesi päätilin käyttämisen järjestelmänvalvojan oikeuksien suorittamiseen, anna tälle uudelle käyttäjälle järjestelmänvalvojan oikeudet lisäämällä käyttäjä "wheel" -järjestelmäryhmään.
Wheel-ryhmään kuuluvat käyttäjät saavat oletusarvoisesti RHEL:ssä suorittaa komentoja pääkäyttäjän oikeuksin sudo-apuohjelman avulla ennen suorittamiseen tarvittavan komennon kirjoittamista.
Jos esimerkiksi haluat lisätä käyttäjän "tecmint_user" "wheel" -ryhmään, suorita alla oleva komento.
usermod -aG wheel tecmint_user
Kirjaudu tämän jälkeen järjestelmään uudella käyttäjällä ja yritä päivittää järjestelmä sudo yum update -komennolla testataksesi, onko käyttäjälle myönnetty pääkäyttäjän oikeuksia.
su - tecmint_user
sudo yum update
Määritä julkisen SSH-avaimen todennus RHEL 7:ssä
Seuraavassa vaiheessa RHEL-palvelun turvallisuuden lisäämiseksi määritä SSH julkisen avaimen todennus uudelle käyttäjälle. Luodaksesi SSH-avainparin, julkisen ja yksityisen avaimen, suorita seuraava komento palvelinkonsolissasi. Varmista, että olet kirjautunut sisään järjestelmään sillä käyttäjällä, jolla määrität SSH-avainta.
su - tecmint_user
ssh-keygen -t RSA
Kun avainta luodaan, sinua pyydetään lisäämään salasana avaimen suojaamiseksi. Voit kirjoittaa vahvan salalauseen tai jättää sen tyhjäksi, jos haluat automatisoida tehtäviä SSH-palvelimen kautta.
Kun SSH-avain on luotu, kopioi julkinen avainpari etäpalvelimelle suorittamalla alla oleva komento. Julkisen avaimen asentamiseksi SSH-etäpalvelimeen tarvitset käyttäjätilin, jolla on kirjautumistiedot kyseiselle palvelimelle.
ssh-copy-id [email
Nyt sinun pitäisi yrittää kirjautua sisään SSH:n kautta etäpalvelimelle käyttämällä yksityistä avainta todennusmenetelmänä. Sinun pitäisi pystyä kirjautumaan sisään automaattisesti ilman, että SSH-palvelin kysyy salasanaa.
ssh [email
Nähdäksesi julkisen SSH-avaimesi sisällön, jos haluat asentaa avaimen manuaalisesti etäiseen SSH-palvelimeen, anna seuraava komento.
cat ~/.ssh/id_rsa
Suojattu SSH RHEL 7:ssä
Voit suojata SSH-demonin ja estää SSH-etäkäytön pääkäyttäjätilille salasanan tai avaimen kautta avaamalla SSH-palvelimen päämääritystiedoston ja tekemällä seuraavat muutokset.
sudo vi /etc/ssh/sshd_config
Hae riviä #PermitRootLogin kyllä, poista rivin kommentti poistamalla #-merkki (hashtag) rivin alusta ja muokkaa rivi näyttämään alla olevan kuvan mukaiselta. ote.
PermitRootLogin no
Tämän jälkeen käynnistä SSH-palvelin uudelleen ottaaksesi käyttöön uudet asetukset ja testaa kokoonpanoa yrittämällä kirjautua tälle palvelimelle juuritilillä. Pääsy root-tilille SSH:n kautta pitäisi olla rajoitettu tähän mennessä.
sudo systemctl restart sshd
Joissakin tilanteissa saatat haluta automaattisesti katkaista kaikki SSH-etäyhteydet palvelimeesi, kun olet ollut käyttämättömänä.
Ota tämä ominaisuus käyttöön koko järjestelmässä suorittamalla alla oleva komento, joka lisää TMOUT bash-muuttujan bashrc-päätiedostoon ja pakottaa jokaisen SSH-yhteyden katkaisemaan tai katkaisemaan - ulos 5 minuutin käyttämättömyyden jälkeen.
su -c 'echo "TMOUT=300" >> /etc/bashrc'
Suorita tail-komento tarkistaaksesi, onko muuttuja lisätty oikein tiedoston /etc/bashrc loppuun. Kaikki myöhemmät SSH-yhteydet suljetaan automaattisesti 5 minuutin käyttämättömyyden jälkeen.
tail /etc/bashrc
Alla olevassa kuvakaappauksessa SSH-etäistunto drupal-koneelta RHEL-palvelimelle on kirjautunut automaattisesti ulos 5 minuutin kuluttua.
Määritä palomuuri RHEL 7:ssä
Määritä seuraavassa vaiheessa palomuuri järjestelmän suojaamiseksi edelleen verkkotasolla. RHEL 7 toimitetaan Firewall-sovelluksen kanssa iptables-sääntöjen hallintaan palvelimella.
Varmista ensin, että palomuuri on käynnissä järjestelmässäsi antamalla alla oleva komento. Jos Firewalld-daemon pysäytetään, sinun tulee käynnistää se seuraavalla komennolla.
sudo systemctl status firewalld
sudo systemctl start firewalld
sudo systemctl enable firewalld
Kun palomuuri on otettu käyttöön ja käynnissä järjestelmässäsi, voit käyttää firewall-cmd-komentorivityökalua asettaaksesi palomuurin käytäntötiedot ja salliaksesi liikenteen tiettyihin verkkoportteihin, kuten SSH-daemoniin, yhteys muodostettu. sisäiseen verkkopalvelimeen tai muihin siihen liittyviin verkkopalveluihin.
Koska tällä hetkellä käytämme vain SSH-demonia palvelimellamme, voimme säätää palomuurikäytäntöä sallimaan liikenteen SSH-palveluportille antamalla seuraavan komennon.
sudo firewall-cmd --add-service=ssh --permanent
sudo firewall-cmd --reload
Jos haluat lisätä palomuurisäännön lennossa, käyttämättä sääntöä seuraavan kerran, kun palvelin käynnistetään, käytä alla olevaa komentosyntaksia.
sudo firewall-cmd --add-service=sshd
Jos asennat palvelimellesi muita verkkopalveluita, kuten HTTP-palvelimen, sähköpostipalvelimen tai muita verkkopalveluita, voit lisätä sääntöjä tiettyjen yhteyksien sallimiseksi seuraavasti.
sudo firewall-cmd --permanent --add-service=http
sudo firewall-cmd --permanent --add-service=https
sudo firewall-cmd --permanent --add-service=smtp
Luettele kaikki palomuurisäännöt suorittamalla alla oleva komento.
sudo firewall-cmd --permanent --list-all
Poista tarpeettomat palvelut RHEL 7:stä
Saadaksesi luettelon kaikista RHEL-palvelimella oletusarvoisesti käynnissä olevista verkkopalveluista (TCP ja UDP), anna ss-komento alla olevan esimerkin mukaisesti.
sudo ss -tulpn
ss-komento paljastaa mielenkiintoisia palveluita, jotka käynnistyvät ja ovat käynnissä oletuksena järjestelmässäsi, kuten Postfix-pääpalvelun ja NTP-protokollasta vastaavan palvelimen.
Jos et aio määrittää tätä palvelinta sähköpostipalvelimeksi, sinun tulee pysäyttää, poistaa käytöstä ja poistaa Postfix-daemon antamalla alla olevat komennot.
sudo systemctl stop postfix.service
sudo yum remove postfix
Viime aikoina on raportoitu ikävistä DDOS-hyökkäyksistä NTP-protokollan kautta. Jos et aio määrittää RHEL-palvelintasi toimimaan NTP-palvelimena, jotta sisäiset asiakkaat voivat synkronoida ajan tämän palvelimen kanssa, sinun tulee poistaa Chrony-daemon kokonaan käytöstä ja poistaa antamalla alla olevat komennot.
sudo systemctl stop chronyd.service
sudo yum remove chrony
Suorita uudelleen ss-komento selvittääksesi, ovatko järjestelmässäsi käynnissä muita verkkopalveluita, ja poista ne käytöstä ja poista ne.
sudo ss -tulpn
Antaaksesi tarkan ajan palvelimellesi ja synkronoidaksesi ajan ylemmän ajan vertaispalvelimen kanssa, voit asentaa ntpdate-apuohjelman ja synkronoida ajan julkisen NTP-palvelimen kanssa suorittamalla alla olevat komennot.
sudo yum install ntpdate
sudo ntpdate 0.uk.pool.ntp.org
Jos haluat automatisoida ntpdate time synchronize -komennon suoritettavaksi joka päivä ilman käyttäjän toimia, ajoita uusi crontab-työ, joka suoritetaan keskiyöllä seuraavan sisällön kanssa.
sudo crontab -e
Ote Crontab-tiedostosta:
@daily /usr/sbin/ntpdate 0.uk.pool.ntp.org
Siinä kaikki! Nyt RHEL-palvelimesi on valmis asentamaan lisäohjelmistoja, joita tarvitaan räätälöityihin verkkopalveluihin tai sovelluksiin, kuten verkkopalvelimen, tietokantapalvelimen, tiedostonjakopalvelun tai muiden erityisten sovellusten asentamiseen ja konfigurointiin.
Voit suojata ja vahvistaa RHEL 7 -palvelinta edelleen tutustumalla seuraaviin artikkeleihin.
- The Mega Guide to Harden and Secure RHEL 7 – Osa 1
- The Mega Guide to Harden and Secure RHEL 7 – Osa 2
Jos aiot ottaa käyttöön verkkosivustoja tässä RHEL 7 -järjestelmässä, opi asentamaan ja määrittämään LAMP-pino tai LEMP-pino.