Upphafleg uppsetning CentOS 7 netþjóns

Kynning

Nývirkjaðan CentOS 7 miðlara þarf að aðlaga áður en hægt er að taka hann í notkun sem framleiðslukerfi. Í þessari grein eru mikilvægustu sérstillingarnar sem þú þarft að gera gefnar á auðskiljanlegan hátt.

Forkröfur

Nývirkur CentOS 7 þjónn, helst uppsetning með SSH lyklum. Skráðu þig inn á netþjóninn sem rót.

ssh -l root server-ip-address

Skref 1: Búðu til staðlaðan notandareikning

Af öryggisástæðum er ekki ráðlegt að sinna daglegum tölvuverkefnum með því að nota rótarreikninginn. Þess í stað er mælt með því að búa til staðlaðan notendareikning sem mun nota sudotil að fá stjórnunarréttindi. Fyrir þessa kennslu, gerðu ráð fyrir að við séum að búa til notanda sem heitir joe . Til að búa til notandareikning skaltu slá inn:

adduser joe

Stilltu lykilorð fyrir nýja notandann. Þú verður beðinn um að slá inn og staðfesta lykilorð.

passwd joe

Bættu nýja notandanum við hjólahópinn svo hann geti tekið rótarréttindi með því að nota sudo.

gpasswd -a joe wheel

Að lokum skaltu opna aðra flugstöð á staðbundinni vél og nota eftirfarandi skipun til að bæta SSH lyklinum þínum við heimaskrá nýja notandans á ytri netþjóninum. Þú verður beðinn um að auðkenna áður en SSH lykillinn er settur upp.

ssh-copy-id joe@server-ip-address

Eftir að lykillinn hefur verið settur upp skaltu skrá þig inn á netþjóninn með nýja notandareikningnum.

ssh -l joe server-ip-address

Ef innskráningin heppnast geturðu lokað hinni flugstöðinni. Héðan í frá verða allar skipanir á undan sudo.

Skref 2: Ekki leyfa rótarinnskráningu og auðkenningu lykilorðs

Þar sem þú getur nú skráð þig inn sem venjulegur notandi með því að nota SSH lykla, þá er góð öryggisvenja að stilla SSH þannig að rótarinnskráning og auðkenning lykilorðs séu bæði óheimil. Báðar stillingarnar verða að vera stilltar í stillingarskrá SSH púkans. Svo opnaðu það með nano.

sudo nano /etc/ssh/sshd_config

Leitaðu að PermitRootLogin línunni, afskrifaðu hana og stilltu gildið á no .

PermitRootLogin     no

Gerðu það sama fyrir PasswordAuthenticationlínuna, sem ætti að vera án athugasemda nú þegar:

PasswordAuthentication      no

Vistaðu og lokaðu skránni. Til að nota nýju stillingarnar skaltu endurhlaða SSH.

sudo systemctl reload sshd

Skref 3: Stilltu tímabeltið

Sjálfgefið er að tíminn á þjóninum sé gefinn upp í UTC. Það er best að stilla það til að sýna staðbundið tímabelti. Til að ná því, finndu svæðisskrána fyrir þitt land/landsvæði í /usr/share/zoneinfomöppunni og búðu til táknrænan hlekk frá henni í /etc/localtimemöppuna. Til dæmis, ef þú ert í austurhluta Bandaríkjanna, býrðu til táknræna hlekkinn með því að nota:

sudo ln -sf /usr/share/zoneinfo/US/Eastern /etc/localtime

Síðan skaltu ganga úr skugga um að tíminn sé nú gefinn upp á staðartíma með því að keyra dateskipunina. Úttakið ætti að vera svipað og:

Tue Jun 16 15:35:34 EDT 2015

The EDT í framleiðslu staðfestir að það er LOCALTIME.

Skref 4: Virkjaðu IPTables eldvegginn

Sjálfgefið er að virka eldveggsforritið á nývirkum CentOS 7 netþjóni er FirewallD. Þó að það sé góður staðgengill fyrir IPTables, hafa mörg öryggisforrit enn ekki stuðning fyrir það. Svo ef þú ætlar að nota eitthvað af þessum forritum, eins og OSSEC HIDS, þá er best að slökkva á/fjarlægja FirewallD.

Byrjum á því að slökkva/fjarlægja FirewallD:

sudo yum remove -y firewalld

Nú skulum við setja upp/virkja IPTables.

sudo yum install -y iptables-services
sudo systemctl start iptables

Stilltu IPTables þannig að þær ræsist sjálfkrafa við ræsingu.

sudo systemctl enable iptables

IPTables á CentOS 7 koma með sjálfgefið sett af reglum, sem þú getur skoðað með eftirfarandi skipun.

sudo iptables -L -n

Úttakið mun líkjast:

Chain INPUT (policy ACCEPT)
target     prot opt source               destination         
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0            state RELATED,ESTABLISHED
ACCEPT     icmp --  0.0.0.0/0            0.0.0.0/0           
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            state NEW tcp dpt:22
REJECT     all  --  0.0.0.0/0            0.0.0.0/0            reject-with icmp-host-prohibited

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         
REJECT     all  --  0.0.0.0/0            0.0.0.0/0            reject-with icmp-host-prohibited

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

Þú getur séð að ein af þessum reglum leyfir SSH umferð, svo SSH fundur þinn er öruggur.

Þar sem þessar reglur eru keyrslutímareglur og munu glatast við endurræsingu, er best að vista þær í skrá með því að nota:

sudo /usr/libexec/iptables/iptables.init save

Sú skipun mun vista reglurnar í /etc/sysconfig/iptablesskránni. Þú getur breytt reglunum hvenær sem er með því að breyta þessari skrá með uppáhalds textaritlinum þínum.

Skref 5: Leyfðu frekari umferð í gegnum eldvegginn

Þar sem þú munt líklegast nota nýja netþjóninn þinn til að hýsa nokkrar vefsíður á einhverjum tímapunkti, þá þarftu að bæta nýjum reglum við eldvegginn til að leyfa HTTP og HTTPS umferð. Til að ná því, opnaðu IPTables skrána:

sudo nano /etc/sysconfig/iptables

Rétt á eftir eða á undan SSH reglunni skaltu bæta við reglunum fyrir HTTP (gátt 80) og HTTPS (gátt 443) umferð, þannig að sá hluti skráarinnar birtist eins og sýnt er í kóðablokkinni hér að neðan.

-A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 80 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 443 -j ACCEPT
-A INPUT -j REJECT --reject-with icmp-host-prohibited

Vistaðu og lokaðu skránni og endurhlaðaðu síðan IPTables.

sudo systemctl reload iptables

Þegar ofangreindu skrefi er lokið ætti CentOS 7 þjónninn þinn nú að vera sæmilega öruggur og tilbúinn til notkunar í framleiðslu.