Počáteční nastavení serveru CentOS 7

Úvod

Nově aktivovaný server CentOS 7 musí být před uvedením do provozu jako produkční systém upraven. V tomto článku jsou snadno srozumitelným způsobem uvedeny nejdůležitější úpravy, které budete muset provést.

Předpoklady

Nově aktivovaný server CentOS 7, nejlépe nastavený pomocí klíčů SSH. Přihlaste se k serveru jako root.

ssh -l root server-ip-address

Krok 1: Vytvořte standardní uživatelský účet

Z bezpečnostních důvodů se nedoporučuje provádět každodenní výpočetní úlohy pomocí účtu root. Místo toho se doporučuje vytvořit standardní uživatelský účet, který budete používat sudok získání oprávnění správce. V tomto kurzu předpokládejme, že vytváříme uživatele s názvem joe . Chcete-li vytvořit uživatelský účet, zadejte:

adduser joe

Nastavte heslo pro nového uživatele. Budete vyzváni k zadání a potvrzení hesla.

passwd joe

Přidejte nového uživatele do skupiny wheel , aby mohl převzít práva root pomocí sudo.

gpasswd -a joe wheel

Nakonec otevřete další terminál na svém místním počítači a pomocí následujícího příkazu přidejte svůj klíč SSH do domovského adresáře nového uživatele na vzdáleném serveru. Před instalací klíče SSH budete vyzváni k ověření.

ssh-copy-id joe@server-ip-address

Po instalaci klíče se přihlaste k serveru pomocí nového uživatelského účtu.

ssh -l joe server-ip-address

Pokud je přihlášení úspěšné, můžete zavřít druhý terminál. Od této chvíle bude všem příkazům předcházet sudo.

Krok 2: Zakažte přihlášení uživatele root a ověření hesla

Vzhledem k tomu, že se nyní můžete přihlásit jako standardní uživatel pomocí klíčů SSH, je dobrou bezpečnostní praxí nakonfigurovat SSH tak, aby bylo zakázáno přihlášení uživatele root a ověření heslem. Obě nastavení je třeba nakonfigurovat v konfiguračním souboru démona SSH. Otevřete jej tedy pomocí nano.

sudo nano /etc/ssh/sshd_config

Vyhledejte řádek PermitRootLogin , odkomentujte jej a nastavte hodnotu na no .

PermitRootLogin     no

Udělejte totéž pro PasswordAuthenticationřádek, který by již měl být bez komentáře:

PasswordAuthentication      no

Uložte a zavřete soubor. Chcete-li použít nová nastavení, znovu načtěte SSH.

sudo systemctl reload sshd

Krok 3: Nakonfigurujte časové pásmo

Ve výchozím nastavení je čas na serveru uveden v UTC. Nejlepší je nakonfigurovat jej tak, aby zobrazoval místní časové pásmo. Chcete-li toho dosáhnout, vyhledejte soubor zóny vaší země/geografické oblasti v /usr/share/zoneinfoadresáři a vytvořte z něj symbolický odkaz na /etc/localtimeadresář. Pokud se například nacházíte ve východní části USA, vytvoříte symbolický odkaz pomocí:

sudo ln -sf /usr/share/zoneinfo/US/Eastern /etc/localtime

Poté ověřte, že čas je nyní uveden v místním čase spuštěním datepříkazu. Výstup by měl být podobný:

Tue Jun 16 15:35:34 EDT 2015

EDT ve výstupních potvrzuje, že je to localtime.

Krok 4: Povolte bránu IPTables Firewall

Ve výchozím nastavení je aktivní aplikací brány firewall na nově aktivovaném serveru CentOS 7 FirewallD. Ačkoli je to dobrá náhrada za IPTables, mnoho bezpečnostních aplikací pro ni stále nemá podporu. Pokud tedy budete používat některou z těchto aplikací, jako je OSSEC HIDS, je nejlepší zakázat/odinstalovat FirewallD.

Začněme deaktivací/odinstalací FirewallD:

sudo yum remove -y firewalld

Nyní pojďme nainstalovat/aktivovat IPTables.

sudo yum install -y iptables-services
sudo systemctl start iptables

Nakonfigurujte IPTables tak, aby se automaticky spouštěly při spouštění.

sudo systemctl enable iptables

IPTables na CentOS 7 se dodává s výchozí sadou pravidel, která si můžete prohlédnout pomocí následujícího příkazu.

sudo iptables -L -n

Výstup bude vypadat takto:

Chain INPUT (policy ACCEPT)
target     prot opt source               destination         
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0            state RELATED,ESTABLISHED
ACCEPT     icmp --  0.0.0.0/0            0.0.0.0/0           
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            state NEW tcp dpt:22
REJECT     all  --  0.0.0.0/0            0.0.0.0/0            reject-with icmp-host-prohibited

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         
REJECT     all  --  0.0.0.0/0            0.0.0.0/0            reject-with icmp-host-prohibited

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

Můžete vidět, že jedno z těchto pravidel povoluje provoz SSH, takže vaše relace SSH je bezpečná.

Protože tato pravidla jsou pravidla běhu a při restartu se ztratí, je nejlepší je uložit do souboru pomocí:

sudo /usr/libexec/iptables/iptables.init save

Tento příkaz uloží pravidla do /etc/sysconfig/iptablessouboru. Pravidla můžete kdykoli upravit změnou tohoto souboru ve vašem oblíbeném textovém editoru.

Krok 5: Povolte další provoz přes bránu firewall

Vzhledem k tomu, že v určitém okamžiku budete s největší pravděpodobností používat svůj nový server k hostování některých webových stránek, budete muset do brány firewall přidat nová pravidla, která umožní provoz HTTP a HTTPS. Chcete-li to provést, otevřete soubor IPTables:

sudo nano /etc/sysconfig/iptables

Těsně za nebo před pravidlo SSH přidejte pravidla pro provoz HTTP (port 80) a HTTPS (port 443), aby se tato část souboru zobrazila tak, jak je znázorněno v bloku kódu níže.

-A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 80 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 443 -j ACCEPT
-A INPUT -j REJECT --reject-with icmp-host-prohibited

Uložte a zavřete soubor a znovu načtěte IPTables.

sudo systemctl reload iptables

Po dokončení výše uvedeného kroku by měl být váš server CentOS 7 přiměřeně zabezpečený a připravený k použití v produkci.