Pradinė CentOS 7 serverio sąranka

Įvadas

Naujai suaktyvintas CentOS 7 serveris turi būti pritaikytas prieš pradedant naudoti kaip gamybinę sistemą. Šiame straipsnyje svarbiausi tinkinimai, kuriuos turėsite atlikti, pateikiami lengvai suprantamu būdu.

Būtinos sąlygos

Naujai suaktyvintas CentOS 7 serveris, pageidautina sąranka naudojant SSH raktus. Prisijunkite prie serverio kaip root.

ssh -l root server-ip-address

1 veiksmas: sukurkite standartinę vartotojo paskyrą

Saugumo sumetimais nepatartina kasdienių skaičiavimo užduočių atlikti naudojant šakninę paskyrą. Vietoj to, rekomenduojama sukurti standartinę vartotojo abonementą, kuris bus naudojamas sudoadministratoriaus teisėms įgyti. Tarkime, kad šioje mokymo programoje kuriame vartotoją, vardu joe . Norėdami sukurti vartotojo abonementą, įveskite:

adduser joe

Nustatykite slaptažodį naujam vartotojui. Būsite paraginti įvesti ir patvirtinti slaptažodį.

passwd joe

Pridėkite naują vartotoją prie ratų grupės, kad jis galėtų įgyti root teises naudodamas sudo.

gpasswd -a joe wheel

Galiausiai atidarykite kitą terminalą vietiniame kompiuteryje ir naudokite šią komandą, kad pridėtumėte SSH raktą į naujo vartotojo namų katalogą nuotoliniame serveryje. Prieš įdiegiant SSH raktą, būsite paraginti autentifikuoti.

ssh-copy-id joe@server-ip-address

Įdiegę raktą, prisijunkite prie serverio naudodami naują vartotojo abonementą.

ssh -l joe server-ip-address

Jei prisijungimas sėkmingas, galite uždaryti kitą terminalą. Nuo šiol prieš visas komandas bus įrašyta sudo.

2 veiksmas: neleiskite root prisijungimo ir slaptažodžio autentifikavimo

Kadangi dabar galite prisijungti kaip standartinis vartotojas naudodami SSH raktus, gera saugumo praktika yra sukonfigūruoti SSH taip, kad būtų neleidžiamas tiek root prisijungimo, tiek slaptažodžio autentifikavimas. Abu parametrai turi būti sukonfigūruoti SSH demono konfigūracijos faile. Taigi atidarykite jį naudodami nano.

sudo nano /etc/ssh/sshd_config

Ieškokite eilutės PermitRootLogin , panaikinkite jos komentarą ir nustatykite reikšmę ne .

PermitRootLogin     no

Tą patį PasswordAuthenticationpadarykite su eilute, kuri jau turėtų būti nekomentuota:

PasswordAuthentication      no

Išsaugokite ir uždarykite failą. Norėdami pritaikyti naujus nustatymus, iš naujo įkelkite SSH.

sudo systemctl reload sshd

3 veiksmas: sukonfigūruokite laiko juostą

Pagal numatytuosius nustatymus laikas serveryje nurodomas UTC. Geriausia jį sukonfigūruoti taip, kad būtų rodoma vietinė laiko juosta. Norėdami tai padaryti, /usr/share/zoneinfokataloge suraskite savo šalies / geografinės srities zonos failą ir iš jo sukurkite simbolinę nuorodą į /etc/localtimekatalogą. Pavyzdžiui, jei esate rytinėje JAV dalyje, simbolinę nuorodą sukursite naudodami:

sudo ln -sf /usr/share/zoneinfo/US/Eastern /etc/localtime

Po to patikrinkite, ar laikas dabar nurodytas vietiniu laiku, vykdydami datekomandą. Išvestis turėtų būti panaši į:

Tue Jun 16 15:35:34 EDT 2015

EDT išvesties patvirtina, kad jis localtime.

4 veiksmas: įgalinkite IPTables ugniasienę

Pagal numatytuosius nustatymus aktyvi ugniasienės programa naujai suaktyvintame CentOS 7 serveryje yra FirewallD. Nors tai yra geras IPTables pakaitalas, daugelis saugos programų vis tiek nepalaiko jos. Taigi, jei naudosite bet kurią iš šių programų, pvz., OSSEC HIDS, geriausia išjungti / pašalinti FirewallD.

Pradėkime nuo FirewallD išjungimo / pašalinimo:

sudo yum remove -y firewalld

Dabar įdiegkime / suaktyvinkime IPTables.

sudo yum install -y iptables-services
sudo systemctl start iptables

Sukonfigūruokite IPTables, kad jie būtų pradėti automatiškai įkrovos metu.

sudo systemctl enable iptables

„IPTables“ „CentOS 7“ turi numatytąjį taisyklių rinkinį, kurį galite peržiūrėti naudodami šią komandą.

sudo iptables -L -n

Išvestis bus panaši į:

Chain INPUT (policy ACCEPT)
target     prot opt source               destination         
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0            state RELATED,ESTABLISHED
ACCEPT     icmp --  0.0.0.0/0            0.0.0.0/0           
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            state NEW tcp dpt:22
REJECT     all  --  0.0.0.0/0            0.0.0.0/0            reject-with icmp-host-prohibited

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         
REJECT     all  --  0.0.0.0/0            0.0.0.0/0            reject-with icmp-host-prohibited

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

Matote, kad viena iš šių taisyklių leidžia SSH srautą, todėl jūsų SSH sesija yra saugi.

Kadangi šios taisyklės yra vykdymo taisyklės ir jos bus prarastos paleidus iš naujo, geriausia jas išsaugoti faile naudojant:

sudo /usr/libexec/iptables/iptables.init save

Ši komanda išsaugos taisykles /etc/sysconfig/iptablesfaile. Taisykles galite bet kada redaguoti pakeisdami šį failą naudodami mėgstamą teksto rengyklę.

5 veiksmas: leiskite papildomą srautą per užkardą

Kadangi greičiausiai tam tikru momentu naudosite naująjį serverį kai kurioms svetainėms priglobti, turėsite pridėti naujų taisyklių prie užkardos, kad leistų HTTP ir HTTPS srautą. Norėdami tai padaryti, atidarykite IPTables failą:

sudo nano /etc/sysconfig/iptables

Iškart po arba prieš SSH taisyklę pridėkite HTTP (80 prievadas) ir HTTPS (443 prievadas) srauto taisykles, kad ta failo dalis būtų rodoma taip, kaip parodyta toliau pateiktame kodo bloke.

-A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 80 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 443 -j ACCEPT
-A INPUT -j REJECT --reject-with icmp-host-prohibited

Išsaugokite ir uždarykite failą, tada iš naujo įkelkite IPTables.

sudo systemctl reload iptables

Atlikus aukščiau nurodytą veiksmą, jūsų CentOS 7 serveris dabar turėtų būti pakankamai saugus ir paruoštas naudoti gamyboje.