Një server CentOS 7 i sapo aktivizuar duhet të personalizohet përpara se të vihet në përdorim si një sistem prodhimi. Në këtë artikull, personalizimet më të rëndësishme që do të duhet të bëni janë dhënë në një mënyrë të lehtë për t'u kuptuar.
Një server CentOS 7 i sapo aktivizuar, mundësisht i konfiguruar me çelësa SSH. Hyni në server si rrënjë.
ssh -l root server-ip-address
Për arsye sigurie, nuk këshillohet të kryeni detyra ditore llogaritëse duke përdorur llogarinë rrënjë. Në vend të kësaj, rekomandohet të krijoni një llogari standarde të përdoruesit që do të përdoret sudopër të fituar privilegje administrative. Për këtë tutorial, supozoni se po krijojmë një përdorues të quajtur joe . Për të krijuar llogarinë e përdoruesit, shkruani:
adduser joe
Vendosni një fjalëkalim për përdoruesin e ri. Do t'ju kërkohet të futni dhe konfirmoni një fjalëkalim.
passwd joe
Shtoni përdoruesin e ri në grupin e rrotave në mënyrë që ai të marrë privilegje rrënjësore duke përdorur sudo.
gpasswd -a joe wheel
Më në fund, hapni një terminal tjetër në kompjuterin tuaj lokal dhe përdorni komandën e mëposhtme për të shtuar çelësin tuaj SSH në drejtorinë kryesore të përdoruesit të ri në serverin e largët. Do t'ju kërkohet të vërtetoni përpara se të instalohet çelësi SSH.
ssh-copy-id joe@server-ip-address
Pasi të jetë instaluar çelësi, hyni në server duke përdorur llogarinë e re të përdoruesit.
ssh -l joe server-ip-address
Nëse identifikimi është i suksesshëm, mund të mbyllni terminalin tjetër. Që tani e tutje, të gjitha komandat do të paraprihen me sudo.
Meqenëse tani mund të identifikoheni si përdorues standard duke përdorur çelësat SSH, një praktikë e mirë sigurie është të konfiguroni SSH në mënyrë që identifikimi rrënjësor dhe vërtetimi i fjalëkalimit të mos lejohen të dyja. Të dy cilësimet duhet të konfigurohen në skedarin e konfigurimit të demonit SSH. Pra, hapeni duke përdorur nano.
sudo nano /etc/ssh/sshd_config
Kërkoni linjën PermitRootLogin , hiqni komentin dhe vendosni vlerën në nr .
PermitRootLogin no
Bëni të njëjtën gjë për PasswordAuthenticationrreshtin, i cili duhet të jetë i pakomentuar tashmë:
PasswordAuthentication no
Ruani dhe mbyllni skedarin. Për të aplikuar cilësimet e reja, ringarkoni SSH.
sudo systemctl reload sshd
Si parazgjedhje, koha në server jepet në UTC. Është më mirë ta konfiguroni atë për të treguar zonën lokale kohore. Për ta arritur këtë, gjeni skedarin e zonës së vendit/zonës tuaj gjeografike në /usr/share/zoneinfodrejtori dhe krijoni një lidhje simbolike prej saj në /etc/localtimedrejtori. Për shembull, nëse jeni në pjesën lindore të SHBA-së, do të krijoni lidhjen simbolike duke përdorur:
sudo ln -sf /usr/share/zoneinfo/US/Eastern /etc/localtime
Më pas, verifikoni që koha është dhënë tani në kohën lokale duke ekzekutuar datekomandën. Prodhimi duhet të jetë i ngjashëm me:
Tue Jun 16 15:35:34 EDT 2015
EDT në konfirmon prodhimit që është localtime.
Si parazgjedhje, aplikacioni aktiv i murit të zjarrit në një server CentOS 7 të sapo aktivizuar është FirewallD. Megjithëse është një zëvendësim i mirë për IPTables, shumë aplikacione sigurie ende nuk kanë mbështetje për të. Pra, nëse do të përdorni ndonjë nga ato aplikacione, si OSSEC HIDS, është më mirë të çaktivizoni/çinstaloni FirewallD.
Le të fillojmë duke çaktivizuar/çinstaluar FirewallD:
sudo yum remove -y firewalld
Tani, le të instalojmë/aktivizojmë IPTables.
sudo yum install -y iptables-services
sudo systemctl start iptables
Konfiguro IPTables për të filluar automatikisht në kohën e nisjes.
sudo systemctl enable iptables
IPTables në CentOS 7 vjen me një grup rregullash të paracaktuar, të cilat mund t'i shikoni me komandën e mëposhtme.
sudo iptables -L -n
Prodhimi do të jetë i ngjashëm me:
Chain INPUT (policy ACCEPT)
target prot opt source destination
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:22
REJECT all -- 0.0.0.0/0 0.0.0.0/0 reject-with icmp-host-prohibited
Chain FORWARD (policy ACCEPT)
target prot opt source destination
REJECT all -- 0.0.0.0/0 0.0.0.0/0 reject-with icmp-host-prohibited
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
Ju mund të shihni se një nga ato rregulla lejon trafikun SSH, kështu që sesioni juaj SSH është i sigurt.
Për shkak se ato rregulla janë rregulla të kohës së ekzekutimit dhe do të humbasin gjatë rindezjes, është më mirë t'i ruani ato në një skedar duke përdorur:
sudo /usr/libexec/iptables/iptables.init save
Kjo komandë do të ruajë rregullat në /etc/sysconfig/iptablesskedar. Ju mund t'i modifikoni rregullat në çdo kohë duke ndryshuar këtë skedar me redaktuesin tuaj të preferuar të tekstit.
Meqenëse ka shumë të ngjarë të përdorni serverin tuaj të ri për të pritur disa faqe interneti në një moment, do t'ju duhet të shtoni rregulla të reja në murin e zjarrit për të lejuar trafikun HTTP dhe HTTPS. Për ta arritur këtë, hapni skedarin IPTables:
sudo nano /etc/sysconfig/iptables
Vetëm pas ose përpara rregullit SSH, shtoni rregullat për trafikun HTTP (port 80) dhe HTTPS (port 443), në mënyrë që ajo pjesë e skedarit të shfaqet siç tregohet në bllokun e kodit më poshtë.
-A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 80 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 443 -j ACCEPT
-A INPUT -j REJECT --reject-with icmp-host-prohibited
Ruani dhe mbyllni skedarin, pastaj ringarkoni IPTables.
sudo systemctl reload iptables
Me përfundimin e hapit të mësipërm, serveri juaj CentOS 7 tani duhet të jetë mjaft i sigurt dhe i gatshëm për përdorim në prodhim.
Inteligjenca Artificiale nuk është në të ardhmen, është këtu në të tashmen Në këtë blog Lexoni se si aplikacionet e inteligjencës artificiale kanë ndikuar në sektorë të ndryshëm.
A jeni edhe ju viktimë e Sulmeve DDOS dhe jeni konfuz në lidhje me metodat e parandalimit? Lexoni këtë artikull për të zgjidhur pyetjet tuaja.
Ju mund të keni dëgjuar se hakerët fitojnë shumë para, por a keni menduar ndonjëherë se si i fitojnë ato para? Le te diskutojme.
Dëshironi të shihni shpikjet revolucionare nga Google dhe se si këto shpikje ndryshuan jetën e çdo njeriu sot? Më pas lexoni në blog për të parë shpikjet nga Google.
Koncepti i makinave vetë-drejtuese për të dalë në rrugë me ndihmën e inteligjencës artificiale është një ëndërr që e kemi prej kohësh. Por, pavarësisht nga disa premtime, ato nuk shihen askund. Lexoni këtë blog për të mësuar më shumë…
Ndërsa Shkenca evoluon me një ritëm të shpejtë, duke marrë përsipër shumë nga përpjekjet tona, rriten edhe rreziqet për t'iu nënshtruar një Singulariteti të pashpjegueshëm. Lexoni, çfarë mund të thotë singulariteti për ne.
Lexoni blogun për të njohur shtresat e ndryshme në arkitekturën e të dhënave të mëdha dhe funksionalitetet e tyre në mënyrën më të thjeshtë.
Metodat e ruajtjes së të dhënave kanë evoluar mund të jenë që nga lindja e të dhënave. Ky blog mbulon evolucionin e ruajtjes së të dhënave në bazë të një infografike.
Në këtë botë të drejtuar nga dixhitali, pajisjet inteligjente të shtëpisë janë bërë një pjesë thelbësore e jetës. Këtu janë disa përfitime të mahnitshme të pajisjeve shtëpiake inteligjente se si ato e bëjnë jetën tonë të vlefshme dhe më të thjeshtë.
Së fundmi Apple lëshoi macOS Catalina 10.15.4 një përditësim shtesë për të rregulluar problemet, por duket se përditësimi po shkakton më shumë probleme që çojnë në bricking të makinerive mac. Lexoni këtë artikull për të mësuar më shumë
