Indledende opsætning af en CentOS 7-server

Introduktion

En nyligt aktiveret CentOS 7-server skal tilpasses, før den kan tages i brug som produktionssystem. I denne artikel er de vigtigste tilpasninger, du skal foretage, givet på en letforståelig måde.

Forudsætninger

En nyligt aktiveret CentOS 7-server, helst opsætning med SSH-nøgler. Log ind på serveren som root.

ssh -l root server-ip-address

Trin 1: Opret en standardbrugerkonto

Af sikkerhedsmæssige årsager er det ikke tilrådeligt at udføre daglige computeropgaver ved hjælp af root-kontoen. I stedet anbefales det at oprette en standardbrugerkonto, der skal bruges sudotil at opnå administrative rettigheder. For denne øvelse skal du antage, at vi opretter en bruger ved navn joe . For at oprette brugerkontoen skal du skrive:

adduser joe

Indstil en adgangskode til den nye bruger. Du bliver bedt om at indtaste og bekræfte en adgangskode.

passwd joe

Tilføj den nye bruger til hjulgruppen , så den kan påtage sig root-privilegier ved hjælp af sudo.

gpasswd -a joe wheel

Til sidst skal du åbne en anden terminal på din lokale maskine og bruge følgende kommando til at tilføje din SSH-nøgle til den nye brugers hjemmemappe på fjernserveren. Du vil blive bedt om at godkende, før SSH-nøglen installeres.

ssh-copy-id joe@server-ip-address

Når nøglen er installeret, skal du logge ind på serveren med den nye brugerkonto.

ssh -l joe server-ip-address

Hvis login lykkes, kan du lukke den anden terminal. Fra nu af vil alle kommandoer blive indledt med sudo.

Trin 2: Tillad root-login og adgangskodegodkendelse

Da du nu kan logge ind som en standardbruger ved hjælp af SSH-nøgler, er en god sikkerhedspraksis at konfigurere SSH, så både root-login og adgangskodegodkendelse ikke er tilladt. Begge indstillinger skal konfigureres i SSH-dæmonens konfigurationsfil. Så åbn den ved hjælp af nano.

sudo nano /etc/ssh/sshd_config

Kig efter PermitRootLogin- linjen, fjern kommentering af den og indstil værdien til no .

PermitRootLogin     no

Gør det samme for PasswordAuthenticationlinjen, som allerede burde være ukommenteret:

PasswordAuthentication      no

Gem og luk filen. Genindlæs SSH for at anvende de nye indstillinger.

sudo systemctl reload sshd

Trin 3: Konfigurer tidszonen

Som standard er tiden på serveren angivet i UTC. Det er bedst at konfigurere det til at vise den lokale tidszone. For at opnå det skal du finde zonefilen for dit land/geografiske område i /usr/share/zoneinfobiblioteket og oprette et symbolsk link fra det til /etc/localtimebiblioteket. For eksempel, hvis du er i den østlige del af USA, vil du oprette det symbolske link ved at bruge:

sudo ln -sf /usr/share/zoneinfo/US/Eastern /etc/localtime

Bekræft derefter, at klokkeslættet nu er angivet i lokaltid ved at køre datekommandoen. Outputtet skal ligne:

Tue Jun 16 15:35:34 EDT 2015

Den EDT i output bekræfter, at det er localtime.

Trin 4: Aktiver IPTables Firewall

Som standard er den aktive firewallapplikation på en nyligt aktiveret CentOS 7-server FirewallD. Selvom det er en god erstatning for IPTables, har mange sikkerhedsapplikationer stadig ikke support til det. Så hvis du skal bruge nogen af ​​disse programmer, som OSSEC HIDS, er det bedst at deaktivere/afinstallere FirewallD.

Lad os starte med at deaktivere/afinstallere FirewallD:

sudo yum remove -y firewalld

Lad os nu installere/aktivere IPTables.

sudo yum install -y iptables-services
sudo systemctl start iptables

Konfigurer IPTables til at starte automatisk ved opstart.

sudo systemctl enable iptables

IPTables på CentOS 7 leveres med et standardsæt af regler, som du kan se med følgende kommando.

sudo iptables -L -n

Outputtet vil ligne:

Chain INPUT (policy ACCEPT)
target     prot opt source               destination         
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0            state RELATED,ESTABLISHED
ACCEPT     icmp --  0.0.0.0/0            0.0.0.0/0           
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            state NEW tcp dpt:22
REJECT     all  --  0.0.0.0/0            0.0.0.0/0            reject-with icmp-host-prohibited

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         
REJECT     all  --  0.0.0.0/0            0.0.0.0/0            reject-with icmp-host-prohibited

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

Du kan se, at en af ​​disse regler tillader SSH-trafik, så din SSH-session er sikker.

Fordi disse regler er runtime-regler og vil gå tabt ved genstart, er det bedst at gemme dem i en fil ved hjælp af:

sudo /usr/libexec/iptables/iptables.init save

Denne kommando gemmer reglerne i /etc/sysconfig/iptablesfilen. Du kan til enhver tid redigere reglerne ved at ændre denne fil med din foretrukne teksteditor.

Trin 5: Tillad yderligere trafik gennem firewallen

Da du højst sandsynligt kommer til at bruge din nye server til at hoste nogle websteder på et tidspunkt, bliver du nødt til at tilføje nye regler til firewallen for at tillade HTTP- og HTTPS-trafik. For at opnå det skal du åbne IPTables-filen:

sudo nano /etc/sysconfig/iptables

Lige efter eller før SSH-reglen skal du tilføje reglerne for HTTP (port 80) og HTTPS (port 443) trafik, så den del af filen vises som vist i kodeblokken nedenfor.

-A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 80 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 443 -j ACCEPT
-A INPUT -j REJECT --reject-with icmp-host-prohibited

Gem og luk filen, og genindlæs derefter IPTables.

sudo systemctl reload iptables

Når ovenstående trin er gennemført, skulle din CentOS 7-server nu være rimelig sikker og klar til brug i produktionen.