Първоначална настройка на сървър CentOS 7

Въведение

Новоактивиран CentOS 7 сървър трябва да бъде персонализиран, преди да може да се използва като производствена система. В тази статия най-важните персонализации, които ще трябва да направите, са дадени по лесен за разбиране начин.

Предпоставки

Новоактивиран сървър CentOS 7, за предпочитане настроен със SSH ключове. Влезте в сървъра като root.

ssh -l root server-ip-address

Стъпка 1: Създайте стандартен потребителски акаунт

От съображения за сигурност не е препоръчително да изпълнявате ежедневни изчислителни задачи с помощта на root акаунта. Вместо това се препоръчва да създадете стандартен потребителски акаунт, който ще се използва sudoза получаване на административни привилегии. За този урок приемете, че създаваме потребител на име joe . За да създадете потребителски акаунт, въведете:

adduser joe

Задайте парола за новия потребител. Ще бъдете подканени да въведете и потвърдите парола.

passwd joe

Добавете новия потребител към групата на колелата , за да може да поеме root привилегии, използвайки sudo.

gpasswd -a joe wheel

Накрая отворете друг терминал на вашата локална машина и използвайте следната команда, за да добавите своя SSH ключ към домашната директория на новия потребител на отдалечения сървър. Ще бъдете подканени да се удостоверите, преди да бъде инсталиран SSH ключът.

ssh-copy-id joe@server-ip-address

След като ключът бъде инсталиран, влезте в сървъра с новия потребителски акаунт.

ssh -l joe server-ip-address

Ако влизането е успешно, можете да затворите другия терминал. Оттук нататък всички команди ще бъдат предшествани с sudo.

Стъпка 2: Забранете удостоверяването на root и паролата

Тъй като вече можете да влезете като стандартен потребител, използвайки SSH ключове, добра практика за сигурност е да конфигурирате SSH, така че удостоверяването на root и паролата да са забранени. И двете настройки трябва да бъдат конфигурирани в конфигурационния файл на SSH демона. Така че, отворете го с помощта на nano.

sudo nano /etc/ssh/sshd_config

Потърсете реда PermitRootLogin , разкоментирайте го и задайте стойността на no .

PermitRootLogin     no

Направете същото за PasswordAuthenticationреда, който вече трябва да бъде декомментиран:

PasswordAuthentication      no

Запазете и затворете файла. За да приложите новите настройки, презаредете SSH.

sudo systemctl reload sshd

Стъпка 3: Конфигурирайте часовата зона

По подразбиране времето на сървъра е дадено в UTC. Най-добре е да го конфигурирате да показва местната часова зона. За да постигнете това, намерете файла на зоната на вашата страна/географска област в /usr/share/zoneinfoдиректорията и създайте символна връзка от него към /etc/localtimeдиректорията. Например, ако сте в източната част на САЩ, ще създадете символната връзка, като използвате:

sudo ln -sf /usr/share/zoneinfo/US/Eastern /etc/localtime

След това проверете дали времето вече е дадено в местно време, като изпълните dateкомандата. Резултатът трябва да бъде подобен на:

Tue Jun 16 15:35:34 EDT 2015

В EDT в изходните потвърждава, че това е LOCALTIME.

Стъпка 4: Активирайте защитната стена на IPTables

По подразбиране активното приложение за защитна стена на новоактивиран сървър на CentOS 7 е FirewallD. Въпреки че е добър заместител на IPTables, много приложения за сигурност все още нямат поддръжка за него. Така че, ако ще използвате някое от тези приложения, като OSSEC HIDS, най-добре е да деактивирате/деинсталирате FirewallD.

Нека започнем с деактивиране/деинсталиране на FirewallD:

sudo yum remove -y firewalld

Сега нека инсталираме/активираме IPTables.

sudo yum install -y iptables-services
sudo systemctl start iptables

Конфигурирайте IPTables да стартират автоматично при стартиране.

sudo systemctl enable iptables

IPTables на CentOS 7 идва с набор от правила по подразбиране, които можете да видите със следната команда.

sudo iptables -L -n

Резултатът ще прилича на:

Chain INPUT (policy ACCEPT)
target     prot opt source               destination         
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0            state RELATED,ESTABLISHED
ACCEPT     icmp --  0.0.0.0/0            0.0.0.0/0           
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            state NEW tcp dpt:22
REJECT     all  --  0.0.0.0/0            0.0.0.0/0            reject-with icmp-host-prohibited

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         
REJECT     all  --  0.0.0.0/0            0.0.0.0/0            reject-with icmp-host-prohibited

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

Можете да видите, че едно от тези правила позволява SSH трафик, така че вашата SSH сесия е безопасна.

Тъй като тези правила са правила по време на изпълнение и ще бъдат загубени при рестартиране, най-добре е да ги запишете във файл, като използвате:

sudo /usr/libexec/iptables/iptables.init save

Тази команда ще запази правилата във /etc/sysconfig/iptablesфайла. Можете да редактирате правилата по всяко време, като промените този файл с любимия си текстов редактор.

Стъпка 5: Разрешете допълнителен трафик през защитната стена

Тъй като най-вероятно ще използвате новия си сървър за хостване на някои уебсайтове в даден момент, ще трябва да добавите нови правила към защитната стена, за да разрешите HTTP и HTTPS трафик. За да направите това, отворете файла IPTables:

sudo nano /etc/sysconfig/iptables

Точно след или преди правилото SSH, добавете правилата за HTTP (порт 80) и HTTPS (порт 443) трафик, така че тази част от файла да се появи, както е показано в кодовия блок по-долу.

-A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 80 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 443 -j ACCEPT
-A INPUT -j REJECT --reject-with icmp-host-prohibited

Запазете и затворете файла, сл��д което презаредете IPTables.

sudo systemctl reload iptables

След като горната стъпка е завършена, вашият CentOS 7 сървър вече трябва да е достатъчно защитен и готов за използване в производството.