Az újonnan aktivált CentOS 7 szervert testre kell szabni, mielőtt éles rendszerként használható lenne. Ebben a cikkben a legfontosabb testreszabásokat, amelyeket végre kell hajtania, könnyen érthető módon ismertetjük.
Egy újonnan aktivált CentOS 7 szerver, lehetőleg SSH-kulcsokkal telepítve. Jelentkezzen be root felhasználóként a szerverre.
ssh -l root server-ip-address
Biztonsági okokból nem tanácsos a napi számítási feladatokat a root fiókkal végrehajtani. Ehelyett javasolt egy szabványos felhasználói fiók létrehozása, amely sudorendszergazdai jogosultságok megszerzésére szolgál. Ehhez az oktatóanyaghoz tegyük fel, hogy egy joe nevű felhasználót hozunk létre . Felhasználói fiók létrehozásához írja be:
adduser joe
Állítson be jelszót az új felhasználó számára. A rendszer felkéri a jelszó megadására és megerősítésére.
passwd joe
Adja hozzá az új felhasználót a kerékcsoporthoz , hogy root jogosultságokat vegyen fel a használatával sudo.
gpasswd -a joe wheel
Végül nyisson meg egy másik terminált a helyi gépen, és a következő paranccsal adja hozzá az SSH-kulcsot az új felhasználó saját könyvtárához a távoli kiszolgálón. Az SSH-kulcs telepítése előtt a rendszer felkéri a hitelesítést.
ssh-copy-id joe@server-ip-address
A kulcs telepítése után jelentkezzen be a szerverre az új felhasználói fiókkal.
ssh -l joe server-ip-address
Ha a bejelentkezés sikeres, bezárhatja a másik terminált. Mostantól minden parancsot megelőz a sudo.
Mivel mostantól normál felhasználóként is bejelentkezhet SSH-kulcsok használatával, a bevált biztonsági gyakorlat az SSH-t úgy konfigurálni, hogy a root bejelentkezés és a jelszó hitelesítés is tiltva legyen. Mindkét beállítást konfigurálni kell az SSH démon konfigurációs fájljában. Tehát nyissa meg a segítségével nano.
sudo nano /etc/ssh/sshd_config
Keresse meg a PermitRootLogin sort, törölje a megjegyzéseket, és állítsa az értéket no-ra .
PermitRootLogin no
Tegye meg ugyanezt a PasswordAuthenticationsorral, amelyhez már nem kell megjegyzést fűznie:
PasswordAuthentication no
Mentse és zárja be a fájlt. Az új beállítások alkalmazásához töltse be újra az SSH-t.
sudo systemctl reload sshd
Alapértelmezés szerint a szerveren töltött idő UTC-ben van megadva. A legjobb úgy beállítani, hogy a helyi időzónát mutassa. Ennek eléréséhez keresse meg országának/földrajzi területének zónafájlját a /usr/share/zoneinfokönyvtárban, és hozzon létre belőle egy szimbolikus hivatkozást a /etc/localtimekönyvtárra. Például, ha az Egyesült Államok keleti részén tartózkodik, a szimbolikus linket a következőképpen hozza létre:
sudo ln -sf /usr/share/zoneinfo/US/Eastern /etc/localtime
Ezt követően a dateparancs futtatásával ellenőrizze, hogy az idő helyi időben van-e megadva . A kimenetnek hasonlónak kell lennie:
Tue Jun 16 15:35:34 EDT 2015
Az EDT a kimenetben megerősíti, hogy helyi idő van.
Alapértelmezés szerint az újonnan aktivált CentOS 7 kiszolgáló aktív tűzfalalkalmazása a FirewallD. Bár jó helyettesítője az IPTables-nak, sok biztonsági alkalmazás még mindig nem támogatja. Tehát ha ezen alkalmazások bármelyikét használja, például az OSSEC HIDS-t, a legjobb, ha letiltja/eltávolítja a FirewallD-t.
Kezdjük a FirewallD letiltásával/eltávolításával:
sudo yum remove -y firewalld
Most telepítsük/aktiváljuk az IPTables-t.
sudo yum install -y iptables-services
sudo systemctl start iptables
Állítsa be az IPTables-t úgy, hogy rendszerindításkor automatikusan elinduljon.
sudo systemctl enable iptables
A CentOS 7 IPTables alapértelmezett szabálykészlettel rendelkezik, amelyet a következő paranccsal tekinthet meg.
sudo iptables -L -n
A kimenet a következőhöz fog hasonlítani:
Chain INPUT (policy ACCEPT)
target prot opt source destination
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:22
REJECT all -- 0.0.0.0/0 0.0.0.0/0 reject-with icmp-host-prohibited
Chain FORWARD (policy ACCEPT)
target prot opt source destination
REJECT all -- 0.0.0.0/0 0.0.0.0/0 reject-with icmp-host-prohibited
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
Láthatja, hogy az egyik szabály engedélyezi az SSH-forgalmat, így az SSH-munkamenet biztonságos.
Mivel ezek a szabályok futásidejű szabályok, és újraindításkor elvesznek, a legjobb, ha egy fájlba menti őket a következő használatával:
sudo /usr/libexec/iptables/iptables.init save
Ez a parancs menti a szabályokat a /etc/sysconfig/iptablesfájlba. A szabályokat bármikor szerkesztheti, ha módosítja ezt a fájlt kedvenc szövegszerkesztőjével.
Mivel valószínűleg egy bizonyos ponton az új szervert fogja használni bizonyos webhelyek tárolására, új szabályokat kell hozzáadnia a tűzfalhoz, hogy engedélyezze a HTTP- és HTTPS-forgalmat. Ennek eléréséhez nyissa meg az IPTables fájlt:
sudo nano /etc/sysconfig/iptables
Közvetlenül az SSH-szabály után vagy előtt adja hozzá a HTTP (80-as port) és a HTTPS (443-as port) forgalom szabályait, hogy a fájlnak ez a része az alábbi kódblokkban látható módon jelenjen meg.
-A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 80 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 443 -j ACCEPT
-A INPUT -j REJECT --reject-with icmp-host-prohibited
Mentse és zárja be a fájlt, majd töltse be újra az IPTables-t.
sudo systemctl reload iptables
A fenti lépés befejeztével a CentOS 7-szervernek megfelelő biztonságban kell lennie, és készen kell állnia az éles használatra.
Más rendszert használ? A Plesk egy szabadalmaztatott webtárhely-vezérlőpult, amely lehetővé teszi a felhasználók számára, hogy adminisztrálják személyes és/vagy ügyfeleik webhelyeit, adatbázisait
A Squid egy népszerű, ingyenes Linux-program, amely lehetővé teszi továbbítási webproxy létrehozását. Ebben az útmutatóban megtudhatja, hogyan telepítheti a Squid-et a CentOS rendszerre, hogy megfordítsa
Bevezetés A Lighttpd az Apache forkja, amely sokkal kevésbé erőforrás-igényes. Könnyű, innen kapta a nevét, és meglehetősen egyszerű a használata. Telepítés
A VULTR a közelmúltban változtatásokat hajtott végre a saját oldalukon, és most már mindennek jól kell működnie, ha a NetworkManager engedélyezve van. Ha szeretné letiltani
Az Icinga2 egy hatékony felügyeleti rendszer, és mester-kliens modellben használva helyettesítheti az NRPE-alapú felügyeleti ellenőrzések szükségességét. A mester-kliens
Más rendszert használ? Az Apache Cassandra egy ingyenes és nyílt forráskódú NoSQL adatbázis-kezelő rendszer, amelyet úgy terveztek, hogy biztosítsa a méretezhetőséget,
Más rendszert használ? A Microweber egy nyílt forráskódú drag and drop CMS és online bolt. A Microweber forráskódja a GitHubon található. Ez az útmutató megmutatja neked
Más rendszert használ? A Vanilla forum egy nyílt forráskódú, PHP-ben írt fórumalkalmazás. Ez egy teljesen testreszabható, könnyen használható, és támogatja a külsőt
Más rendszert használ? A Mattermost egy nyílt forráskódú, saját üzemeltetésű alternatívája a Slack SAAS üzenetküldő szolgáltatásnak. Más szóval, a Mattermost segítségével kb
Mire lesz szüksége Egy Vultr VPS legalább 1 GB RAM-mal. SSH hozzáférés (root/adminisztrátori jogosultságokkal). 1. lépés: A BungeeCord telepítése Először is
A Plesk vezérlőpult nagyon szép integrációt kínál a Lets Encrypt számára. A Lets Encrypt egyike az egyetlen SSL-szolgáltatónak, amely teljes tanúsítványt ad ki
A Lets Encrypt egy tanúsító hatóság, amely ingyenes SSL-tanúsítványokat biztosít. A cPanel ügyes integrációt épített ki, így Ön és ügyfele
Más rendszert használ? A Concrete5 egy nyílt forráskódú CMS, amely számos megkülönböztető és hasznos funkciót kínál, hogy segítse a szerkesztőket a tartalom egyszerű létrehozásában.
Más rendszert használ? A Review Board egy ingyenes és nyílt forráskódú eszköz a forráskód, a dokumentáció, a képek és még sok más áttekintésére. Ez egy web alapú szoftver
Ebből az útmutatóból megtudhatja, hogyan állíthat be HTTP-hitelesítést egy CentOS 7 rendszeren futó Nginx webszerverhez. Követelmények A kezdéshez szüksége lesz a következőre:
Más rendszert használ? A GoAccess egy nyílt forráskódú webnapló-elemző. Használhatja naplók valós idejű elemzésére akár a terminálon, akár a
A YOURLS (Your Own URL Shortener) egy nyílt forráskódú URL-rövidítő és adatelemző alkalmazás. Ebben a cikkben a telepítés folyamatával foglalkozunk
Más rendszert használ? Bevezetés Az ArangoDB egy nyílt forráskódú NoSQL adatbázis, amely rugalmas adatmodellt kínál dokumentumokhoz, grafikonokhoz és kulcsértékekhez. Ez
Bevezetés Az /etc/ könyvtár kritikus szerepet játszik a Linux rendszer működésében. Ennek az az oka, hogy szinte minden rendszerkonfiguráció
Sok rendszergazda nagy mennyiségű kiszolgálót kezel. Ha a fájlokhoz különböző szervereken keresztül kell hozzáférni, mindegyikbe külön-külön kell bejelentkezni kb
Ez az oktatóanyag végigvezeti Önt a Vultrs rendszerekkel kompatibilis Windows ISO létrehozásának folyamatán. Itt megtanulhatja az <<strong>>Windows ISO<<strong>> előállításának lépéseit az NTLite segítségével.
A mesterséges intelligencia nem a jövőben, hanem itt a jelenben. Ebben a blogban Olvassa el, hogyan hatott a mesterséges intelligencia alkalmazások különböző ágazatokra.
Ön is DDOS támadások áldozata, és tanácstalan a megelőzési módszereket illetően? Olvassa el ezt a cikket a kérdések megoldásához.
Talán hallottál már arról, hogy a hackerek sok pénzt keresnek, de elgondolkodtál már azon, hogyan kereshetnek ennyi pénzt? beszéljük meg.
Szeretné látni a Google forradalmi találmányait, és azt, hogy ezek a találmányok hogyan változtatták meg minden mai ember életét? Ezután olvassa el a blogot, és nézze meg a Google találmányait.
Az önvezető autók koncepciója, hogy mesterséges intelligencia segítségével kerüljenek az utakra, már egy ideje álmunk. De számos ígéret ellenére sehol sem látszanak. Olvassa el ezt a blogot, hogy többet megtudjon…
Ahogy a tudomány gyors ütemben fejlődik, átveszi erőfeszítéseink nagy részét, megnő annak a kockázata is, hogy alávetjük magunkat egy megmagyarázhatatlan szingularitásnak. Olvassa el, mit jelenthet számunkra a szingularitás.
Az adatok tárolási módjai az Adatok születése óta alakulhatnak. Ez a blog egy infografika alapján mutatja be az adattárolás fejlődését.
Olvassa el a blogot, hogy a legegyszerűbb módon ismerje meg a Big Data Architecture különböző rétegeit és azok funkcióit.
Ebben a digitálisan vezérelt világban az intelligens otthoni eszközök az élet döntő részévé váltak. Íme az intelligens otthoni eszközök néhány elképesztő előnye, hogyan teszik életünket érdemessé és egyszerűbbé.
