CentOS 7 -palvelimen alkuasennus

Johdanto

Äskettäin aktivoitu CentOS 7 -palvelin on mukautettava ennen kuin se voidaan ottaa käyttöön tuotantojärjestelmänä. Tässä artikkelissa tärkeimmät mukautukset, jotka sinun on tehtävä, on esitetty helposti ymmärrettävällä tavalla.

Edellytykset

Äskettäin aktivoitu CentOS 7 -palvelin, mieluiten SSH-avaimilla. Kirjaudu palvelimelle pääkäyttäjänä.

ssh -l root server-ip-address

Vaihe 1: Luo tavallinen käyttäjätili

Turvallisuussyistä ei ole suositeltavaa suorittaa päivittäisiä tietojenkäsittelytehtäviä juuritilin avulla. Sen sijaan on suositeltavaa luoda tavallinen käyttäjätili, jota käytetään sudojärjestelmänvalvojan oikeuksien hankkimiseen. Tässä opetusohjelmassa oletetaan, että luomme käyttäjän joe . Luo käyttäjätili kirjoittamalla:

adduser joe

Aseta salasana uudelle käyttäjälle. Sinua pyydetään syöttämään ja vahvistamaan salasana.

passwd joe

Lisää uusi käyttäjä pyöräryhmään , jotta se voi ottaa pääkäyttäjän oikeudet käyttämällä sudo.

gpasswd -a joe wheel

Avaa lopuksi toinen pääte paikallisella koneellasi ja käytä seuraavaa komentoa lisätäksesi SSH-avaimesi uuden käyttäjän kotihakemistoon etäpalvelimella. Sinua pyydetään todentamaan ennen SSH-avaimen asentamista.

ssh-copy-id joe@server-ip-address

Kun avain on asennettu, kirjaudu sisään palvelimelle uudella käyttäjätilillä.

ssh -l joe server-ip-address

Jos kirjautuminen onnistuu, voit sulkea toisen terminaalin. Tästä eteenpäin kaikkia komentoja edeltää sudo.

Vaihe 2: Estä pääkäyttäjän kirjautuminen ja salasanatodennus

Koska voit nyt kirjautua sisään tavallisena käyttäjänä SSH-avaimilla, hyvä turvallisuuskäytäntö on määrittää SSH niin, että pääkäyttäjätunnus ja salasanatodennus eivät ole sallittuja. Molemmat asetukset on määritettävä SSH-demonin asetustiedostossa. Joten avaa se käyttämällä nano.

sudo nano /etc/ssh/sshd_config

Etsi PermitRootLogin- rivi, poista sen kommentit ja aseta arvoksi no .

PermitRootLogin     no

Tee sama PasswordAuthenticationriville, jota ei pitäisi jo kommentoida:

PasswordAuthentication      no

Tallenna ja sulje tiedosto. Ota uudet asetukset käyttöön lataamalla SSH uudelleen.

sudo systemctl reload sshd

Vaihe 3: Määritä aikavyöhyke

Oletuksena palvelimen aika ilmoitetaan UTC:ssä. On parasta määrittää se näyttämään paikallinen aikavyöhyke. Suorittaaksesi tämän etsimällä maasi/maantieteellisen alueesi vyöhyketiedosto /usr/share/zoneinfohakemistosta ja luomalla siitä symbolinen linkki /etc/localtimehakemistoon. Jos olet esimerkiksi Yhdysvaltojen itäosassa, luot symbolisen linkin käyttämällä:

sudo ln -sf /usr/share/zoneinfo/US/Eastern /etc/localtime

Varmista sen jälkeen, että aika on nyt annettu paikallisessa ajassa suorittamalla datekomento. Tulosteen tulee olla samanlainen kuin:

Tue Jun 16 15:35:34 EDT 2015

Tulosteessa oleva EDT vahvistaa, että se on paikallista aikaa.

Vaihe 4: Ota IPTables-palomuuri käyttöön

Oletuksena juuri aktivoidun CentOS 7 -palvelimen aktiivinen palomuurisovellus on FirewallD. Vaikka se on hyvä korvike IPTablesille, monet tietoturvasovellukset eivät silti tue sitä. Joten jos käytät jotakin näistä sovelluksista, kuten OSSEC HIDS, on parasta poistaa FirewallD käytöstä tai poistaa sen asennus.

Aloitetaan poistamalla FirewallD käytöstä/poistamalla:

sudo yum remove -y firewalld

Nyt asennetaan/aktivoidaan IPTables.

sudo yum install -y iptables-services
sudo systemctl start iptables

Määritä IPTables käynnistymään automaattisesti käynnistyksen yhteydessä.

sudo systemctl enable iptables

CentOS 7:n IPTables sisältää oletussääntöjoukon, jota voit tarkastella seuraavalla komennolla.

sudo iptables -L -n

Tulos näyttää seuraavanlaiselta:

Chain INPUT (policy ACCEPT)
target     prot opt source               destination         
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0            state RELATED,ESTABLISHED
ACCEPT     icmp --  0.0.0.0/0            0.0.0.0/0           
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            state NEW tcp dpt:22
REJECT     all  --  0.0.0.0/0            0.0.0.0/0            reject-with icmp-host-prohibited

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         
REJECT     all  --  0.0.0.0/0            0.0.0.0/0            reject-with icmp-host-prohibited

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

Voit nähdä, että yksi näistä säännöistä sallii SSH-liikenteen, joten SSH-istuntosi on turvallinen.

Koska nämä säännöt ovat ajonaikaisia ​​sääntöjä ja ne menetetään uudelleenkäynnistyksen yhteydessä, on parasta tallentaa ne tiedostoon käyttämällä:

sudo /usr/libexec/iptables/iptables.init save

Tämä komento tallentaa säännöt /etc/sysconfig/iptablestiedostoon. Voit muokata sääntöjä milloin tahansa muuttamalla tätä tiedostoa suosikkitekstieditorillasi.

Vaihe 5: Salli lisäliikenne palomuurin kautta

Koska aiot todennäköisesti jossain vaiheessa käyttää uutta palvelinta joidenkin verkkosivustojen isännöimiseen, sinun on lisättävä palomuuriin uusia sääntöjä HTTP- ja HTTPS-liikenteen sallimiseksi. Suorita tämä avaamalla IPTables-tiedosto:

sudo nano /etc/sysconfig/iptables

Lisää SSH-säännön jälkeen tai ennen sitä HTTP- (portti 80) ja HTTPS (portti 443) -liikenteen säännöt, jotta tiedoston osa näkyy alla olevassa koodilohkossa esitetyllä tavalla.

-A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 80 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 443 -j ACCEPT
-A INPUT -j REJECT --reject-with icmp-host-prohibited

Tallenna ja sulje tiedosto ja lataa sitten IPTables uudelleen.

sudo systemctl reload iptables

Kun yllä oleva vaihe on suoritettu, CentOS 7 -palvelimesi pitäisi nyt olla kohtuullisen suojattu ja valmis käytettäväksi tuotannossa.