Začetna nastavitev strežnika CentOS 7

Uvod

Na novo aktiviran strežnik CentOS 7 je treba prilagoditi, preden ga lahko uporabite kot produkcijski sistem. V tem članku so najpomembnejše prilagoditve, ki jih boste morali narediti, podane na lahko razumljiv način.

Predpogoji

Na novo aktiviran strežnik CentOS 7, po možnosti nastavljen s ključi SSH. Prijavite se v strežnik kot root.

ssh -l root server-ip-address

1. korak: Ustvarite standardni uporabniški račun

Iz varnostnih razlogov ni priporočljivo izvajati dnevnih računalniških nalog z uporabo root računa. Namesto tega je priporočljivo ustvariti standardni uporabniški račun, ki bo uporabljen sudoza pridobitev skrbniških privilegijev. Za to vadnico predpostavimo, da ustvarjamo uporabnika z imenom joe . Če želite ustvariti uporabniški račun, vnesite:

adduser joe

Nastavite geslo za novega uporabnika. Pozvani boste, da vnesete in potrdite geslo.

passwd joe

Dodajte novega uporabnika v skupino koles, tako da lahko prevzame root privilegije z uporabo sudo.

gpasswd -a joe wheel

Na koncu odprite še en terminal na vašem lokalnem računalniku in uporabite naslednji ukaz, da dodate svoj ključ SSH v domači imenik novega uporabnika na oddaljenem strežniku. Pred namestitvijo ključa SSH boste pozvani k preverjanju pristnosti.

ssh-copy-id joe@server-ip-address

Ko je ključ nameščen, se prijavite v strežnik z novim uporabniškim računom.

ssh -l joe server-ip-address

Če je prijava uspešna, lahko zaprete drugi terminal. Od zdaj naprej bodo vsi ukazi označeni s sudo.

2. korak: onemogočite preverjanje pristnosti za root prijavo in geslo

Ker se zdaj lahko prijavite kot običajni uporabnik s ključi SSH, je dobra varnostna praksa, da konfigurirate SSH tako, da sta prepovedi pristnosti korenske prijave in gesla. Obe nastavitvi morata biti konfigurirani v konfiguracijski datoteki demona SSH. Torej, odprite ga z nano.

sudo nano /etc/ssh/sshd_config

Poiščite vrstico PermitRootLogin , jo odstranite iz komentarja in nastavite vrednost na ne .

PermitRootLogin     no

Enako storite za PasswordAuthenticationvrstico, ki naj že ne bo komentirana:

PasswordAuthentication      no

Shranite in zaprite datoteko. Če želite uporabiti nove nastavitve, znova naložite SSH.

sudo systemctl reload sshd

3. korak: Konfigurirajte časovni pas

Privzeto je čas na strežniku podan v UTC. Najbolje je, da ga konfigurirate tako, da prikazuje lokalni časovni pas. Če želite to narediti, poiščite consko datoteko vaše države/geografskega območja v /usr/share/zoneinfoimeniku in ustvarite simbolično povezavo iz nje do /etc/localtimeimenika. Na primer, če ste v vzhodnem delu ZDA, boste ustvarili simbolično povezavo z:

sudo ln -sf /usr/share/zoneinfo/US/Eastern /etc/localtime

Nato preverite, ali je čas zdaj podan v lokalnem času, tako da zaženete dateukaz. Izhod mora biti podoben:

Tue Jun 16 15:35:34 EDT 2015

EDT na izhodnih potrjuje, da je localtime.

4. korak: Omogočite požarni zid IPTables

Privzeto je aktivna aplikacija požarnega zidu na novo aktiviranem strežniku CentOS 7 FirewallD. Čeprav je dobra zamenjava za IPTables, številne varnostne aplikacije še vedno nimajo podpore zanj. Torej, če boste uporabljali katero od teh aplikacij, kot je OSSEC HIDS, je najbolje, da onemogočite/odstranite FirewallD.

Začnimo z onemogočanjem/odstranitvijo FirewallD:

sudo yum remove -y firewalld

Zdaj pa namestimo/aktiviramo IPTables.

sudo yum install -y iptables-services
sudo systemctl start iptables

Konfigurirajte IPTables, da se samodejno zaženejo ob zagonu.

sudo systemctl enable iptables

IPTables na CentOS 7 ima privzet nabor pravil, ki si jih lahko ogledate z naslednjim ukazom.

sudo iptables -L -n

Izhod bo podoben:

Chain INPUT (policy ACCEPT)
target     prot opt source               destination         
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0            state RELATED,ESTABLISHED
ACCEPT     icmp --  0.0.0.0/0            0.0.0.0/0           
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            state NEW tcp dpt:22
REJECT     all  --  0.0.0.0/0            0.0.0.0/0            reject-with icmp-host-prohibited

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         
REJECT     all  --  0.0.0.0/0            0.0.0.0/0            reject-with icmp-host-prohibited

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

Vidite lahko, da eno od teh pravil dovoljuje promet SSH, tako da je vaša seja SSH varna.

Ker so ta pravila pravila za izvajanje in se bodo ob ponovnem zagonu izgubila, jih je najbolje shraniti v datoteko z uporabo:

sudo /usr/libexec/iptables/iptables.init save

Ta ukaz bo shranil pravila v /etc/sysconfig/iptablesdatoteko. Pravila lahko kadar koli uredite tako, da spremenite to datoteko s svojim najljubšim urejevalnikom besedil.

5. korak: dovolite dodatni promet skozi požarni zid

Ker boste na neki točki najverjetneje uporabljali svoj novi strežnik za gostovanje nekaterih spletnih mest, boste morali požarnemu zidu dodati nova pravila, da boste omogočili promet HTTP in HTTPS. Če želite to narediti, odprite datoteko IPTables:

sudo nano /etc/sysconfig/iptables

Tik za ali pred pravilom SSH dodajte pravila za promet HTTP (vrata 80) in HTTPS (vrata 443), tako da se ta del datoteke prikaže, kot je prikazano v spodnjem bloku kode.

-A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 80 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 443 -j ACCEPT
-A INPUT -j REJECT --reject-with icmp-host-prohibited

Shranite in zaprite datoteko, nato znova naložite IPTables.

sudo systemctl reload iptables

Ko je zgornji korak zaključen, bi moral biti vaš strežnik CentOS 7 zdaj dokaj varen in pripravljen za uporabo v produkciji.