CentOS 7 serveri esialgne seadistamine

Sissejuhatus

Äsja aktiveeritud CentOS 7 serverit tuleb enne tootmissüsteemina kasutuselevõttu kohandada. Selles artiklis on kõige olulisemad kohandused, mida peate tegema, lihtsalt arusaadaval viisil.

Eeltingimused

Äsja aktiveeritud CentOS 7 server, eelistatavalt SSH-võtmetega häälestus. Logige serverisse sisse administraatorina.

ssh -l root server-ip-address

1. samm: looge tavakasutajakonto

Turvakaalutlustel ei ole soovitatav teha igapäevaseid andmetöötlusülesandeid juurkonto abil. Selle asemel on soovitatav luua tavaline kasutajakonto, mida kasutatakse sudoadministraatoriõiguste saamiseks. Selle õpetuse jaoks eeldame, et loome kasutaja nimega joe . Kasutajakonto loomiseks tippige:

adduser joe

Seadke uuele kasutajale parool. Teil palutakse parool sisestada ja kinnitada.

passwd joe

Lisage uus kasutaja rataste rühma, et ta saaks kasutada administraatoriõigusi sudo.

gpasswd -a joe wheel

Lõpuks avage oma kohalikus masinas mõni muu terminal ja kasutage järgmist käsku, et lisada oma SSH-võti kaugserveris uue kasutaja kodukataloogi. Enne SSH-võtme installimist palutakse teil autentida.

ssh-copy-id joe@server-ip-address

Pärast võtme installimist logige uue kasutajakontoga serverisse sisse.

ssh -l joe server-ip-address

Kui sisselogimine õnnestub, võite teise terminali sulgeda. Edaspidi eelneb kõikidele käskudele sudo.

2. samm: keelake juursisselogimine ja parooli autentimine

Kuna nüüd saate SSH-võtmeid kasutades sisse logida tavakasutajana, on hea turvatava konfigureerida SSH nii, et nii juurkasutaja kui ka parooli autentimine on keelatud. Mõlemad sätted tuleb konfigureerida SSH-deemoni konfiguratsioonifailis. Niisiis, avage see kasutades nano.

sudo nano /etc/ssh/sshd_config

Otsige üles rida PermitRootLogin , tühjendage see ja määrake väärtuseks no .

PermitRootLogin     no

Tehke sama PasswordAuthenticationreaga, mis peaks olema juba kommenteerimata:

PasswordAuthentication      no

Salvestage ja sulgege fail. Uute sätete rakendamiseks laadige SSH uuesti.

sudo systemctl reload sshd

3. samm: konfigureerige ajavöönd

Vaikimisi on serveris olev aeg antud UTC-s. Parim on konfigureerida see kohaliku ajavööndi kuvamiseks. Selle saavutamiseks leidke kataloogist oma riigi/geograafilise piirkonna tsoonifail /usr/share/zoneinfoja looge sellest sümboolne link /etc/localtimekataloogi. Näiteks kui asute USA idaosas, loote sümboolse lingi, kasutades:

sudo ln -sf /usr/share/zoneinfo/US/Eastern /etc/localtime

Seejärel veenduge, et kellaaeg on nüüd antud kohaliku aja järgi, käivitades datekäsu. Väljund peaks olema sarnane:

Tue Jun 16 15:35:34 EDT 2015

Väljundis olev EDT kinnitab, et see on kohalik aeg.

4. toiming: lubage IPTablesi tulemüür

Vaikimisi on äsja aktiveeritud CentOS 7 serveri aktiivne tulemüürirakendus FirewallD. Kuigi see on IPTablesi hea asendus, pole paljudel turberakendustel selle jaoks siiski tuge. Nii et kui kasutate mõnda neist rakendustest, näiteks OSSEC HIDS, on kõige parem FirewallD keelata/desinstallida.

Alustame FirewallD keelamisest/desinstallimisest:

sudo yum remove -y firewalld

Nüüd installime/aktiveerime IPTables.

sudo yum install -y iptables-services
sudo systemctl start iptables

Seadistage IPTables nii, et need käivituvad alglaadimisel automaatselt.

sudo systemctl enable iptables

CentOS 7 IPTables on varustatud vaikereeglitega, mida saate vaadata järgmise käsuga.

sudo iptables -L -n

Väljund sarnaneb:

Chain INPUT (policy ACCEPT)
target     prot opt source               destination         
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0            state RELATED,ESTABLISHED
ACCEPT     icmp --  0.0.0.0/0            0.0.0.0/0           
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            state NEW tcp dpt:22
REJECT     all  --  0.0.0.0/0            0.0.0.0/0            reject-with icmp-host-prohibited

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         
REJECT     all  --  0.0.0.0/0            0.0.0.0/0            reject-with icmp-host-prohibited

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

Näete, et üks neist reeglitest lubab SSH-liiklust, nii et teie SSH-seanss on ohutu.

Kuna need reeglid on käitusreeglid ja lähevad taaskäivitamisel kaotsi, on parem salvestada need faili, kasutades:

sudo /usr/libexec/iptables/iptables.init save

See käsk salvestab reeglid /etc/sysconfig/iptablesfaili. Saate reegleid igal ajal muuta, muutes seda faili oma lemmiktekstiredaktoriga.

5. samm: lubage tulemüüri kaudu täiendav liiklus

Kuna tõenäoliselt kasutate mingil hetkel oma uut serverit mõne veebisaidi majutamiseks, peate HTTP- ja HTTPS-liikluse lubamiseks tulemüürile lisama uued reeglid. Selle saavutamiseks avage fail IPTables:

sudo nano /etc/sysconfig/iptables

Vahetult pärast või enne SSH-reeglit lisage HTTP (port 80) ja HTTPS (port 443) liikluse reeglid, nii et see failiosa kuvatakse allolevas koodiplokis näidatud viisil.

-A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 80 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 443 -j ACCEPT
-A INPUT -j REJECT --reject-with icmp-host-prohibited

Salvestage ja sulgege fail, seejärel laadige IPTables uuesti.

sudo systemctl reload iptables

Kui ülaltoodud samm on lõpule viidud, peaks teie CentOS 7 server nüüd olema piisavalt turvaline ja tootmises kasutamiseks valmis.