CentOS 7 servera sākotnējā iestatīšana

Ievads

Tikko aktivizēts CentOS 7 serveris ir jāpielāgo, pirms to var izmantot kā ražošanas sistēmu. Šajā rakstā svarīgākie pielāgojumi, kas jums būs jāveic, ir sniegti viegli saprotamā veidā.

Priekšnoteikumi

Tikko aktivizēts CentOS 7 serveris, vēlams iestatīt ar SSH atslēgām. Piesakieties serverī kā root.

ssh -l root server-ip-address

1. darbība. Izveidojiet standarta lietotāja kontu

Drošības apsvērumu dēļ nav ieteicams veikt ikdienas skaitļošanas uzdevumus, izmantojot saknes kontu. Tā vietā ieteicams izveidot standarta lietotāja kontu, kas tiks izmantots, sudolai iegūtu administratīvās privilēģijas. Šajā apmācībā pieņemsim, ka mēs veidojam lietotāju Džo . Lai izveidotu lietotāja kontu, ierakstiet:

adduser joe

Iestatiet paroli jaunajam lietotājam. Jums tiks piedāvāts ievadīt un apstiprināt paroli.

passwd joe

Pievienojiet jauno lietotāju riteņu grupai, lai tas varētu pieņemt root tiesības, izmantojot sudo.

gpasswd -a joe wheel

Visbeidzot atveriet citu termināli savā lokālajā datorā un izmantojiet šo komandu, lai pievienotu SSH atslēgu jaunā lietotāja mājas direktorijam attālajā serverī. Pirms SSH atslēgas instalēšanas jums tiks piedāvāts autentificēt.

ssh-copy-id joe@server-ip-address

Kad atslēga ir instalēta, piesakieties serverī, izmantojot jauno lietotāja kontu.

ssh -l joe server-ip-address

Ja pieteikšanās ir veiksmīga, varat aizvērt otru termināli. Turpmāk visu komandu priekšā būs sudo.

2. darbība: atspējojiet saknes pieteikšanos un paroles autentifikāciju

Tā kā tagad varat pieteikties kā standarta lietotājs, izmantojot SSH atslēgas, laba drošības prakse ir konfigurēt SSH tā, lai gan saknes pieteikšanās, gan paroles autentifikācija būtu aizliegta. Abi iestatījumi ir jākonfigurē SSH dēmona konfigurācijas failā. Tātad, atveriet to, izmantojot nano.

sudo nano /etc/ssh/sshd_config

Atrodiet rindu PermitRootLogin, izņemiet to komentārus un iestatiet vērtību uz nē .

PermitRootLogin     no

Dariet to pašu ar PasswordAuthenticationrindu, kurai jau vajadzētu būt bez komentāriem:

PasswordAuthentication      no

Saglabājiet un aizveriet failu. Lai lietotu jaunos iestatījumus, atkārtoti ielādējiet SSH.

sudo systemctl reload sshd

3. darbība: konfigurējiet laika joslu

Pēc noklusējuma laiks serverī tiek norādīts UTC. Vislabāk to konfigurēt, lai parādītu vietējo laika joslu. Lai to paveiktu, /usr/share/zoneinfodirektorijā atrodiet savas valsts/ģeogrāfiskā apgabala zonas failu un izveidojiet no tā simbolisku saiti uz /etc/localtimedirektoriju. Piemēram, ja atrodaties ASV austrumu daļā, simbolisko saiti izveidosit, izmantojot:

sudo ln -sf /usr/share/zoneinfo/US/Eastern /etc/localtime

Pēc tam pārbaudiet, vai laiks tagad ir norādīts vietējā laikā, izpildot datekomandu. Izvadei jābūt līdzīgai:

Tue Jun 16 15:35:34 EDT 2015

EDT izvades apstiprina, ka tā ir localtime.

4. darbība: iespējojiet IPTables ugunsmūri

Pēc noklusējuma aktīvā ugunsmūra lietojumprogramma tikko aktivizētā CentOS 7 serverī ir FirewallD. Lai gan tas ir labs IPTables aizstājējs, daudzām drošības lietojumprogrammām tas joprojām netiek atbalstīts. Tātad, ja izmantosit kādu no šīm lietojumprogrammām, piemēram, OSSEC HIDS, vislabāk ir atspējot/atinstalēt FirewallD.

Sāksim ar FirewallD atspējošanu/atinstalēšanu:

sudo yum remove -y firewalld

Tagad instalēsim/aktivizēsim IPTables.

sudo yum install -y iptables-services
sudo systemctl start iptables

Konfigurējiet IPTables, lai tās palaistu automātiski sāknēšanas laikā.

sudo systemctl enable iptables

IPTables operētājsistēmā CentOS 7 ir aprīkots ar noklusējuma kārtulu kopu, kuru varat skatīt, izmantojot šo komandu.

sudo iptables -L -n

Izvade būs līdzīga:

Chain INPUT (policy ACCEPT)
target     prot opt source               destination         
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0            state RELATED,ESTABLISHED
ACCEPT     icmp --  0.0.0.0/0            0.0.0.0/0           
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            state NEW tcp dpt:22
REJECT     all  --  0.0.0.0/0            0.0.0.0/0            reject-with icmp-host-prohibited

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         
REJECT     all  --  0.0.0.0/0            0.0.0.0/0            reject-with icmp-host-prohibited

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

Varat redzēt, ka viens no šiem noteikumiem atļauj SSH trafiku, tāpēc jūsu SSH sesija ir droša.

Tā kā šīs kārtulas ir izpildlaika kārtulas un tiks zaudētas atsāknēšanas laikā, vislabāk tos saglabāt failā, izmantojot:

sudo /usr/libexec/iptables/iptables.init save

Šī komanda saglabās noteikumus /etc/sysconfig/iptablesfailā. Varat jebkurā laikā rediģēt noteikumus, mainot šo failu ar savu iecienītāko teksta redaktoru.

5. darbība. Atļaujiet papildu trafiku, izmantojot ugunsmūri

Tā kā jūs, visticamāk, kādreiz izmantosit savu jauno serveri, lai mitinātu dažas vietnes, jums būs jāpievieno jauni noteikumi ugunsmūrim, lai atļautu HTTP un HTTPS trafiku. Lai to paveiktu, atveriet failu IPTables:

sudo nano /etc/sysconfig/iptables

Tieši pēc vai pirms SSH kārtulas pievienojiet HTTP (80. ports) un HTTPS (443. ports) trafika noteikumus, lai šī faila daļa tiktu parādīta, kā parādīts tālāk esošajā koda blokā.

-A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 80 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 443 -j ACCEPT
-A INPUT -j REJECT --reject-with icmp-host-prohibited

Saglabājiet un aizveriet failu, pēc tam atkārtoti ielādējiet IPTables.

sudo systemctl reload iptables

Kad iepriekš minētā darbība ir pabeigta, jūsu CentOS 7 serverim tagad jābūt pietiekami drošam un gatavam lietošanai ražošanā.