Počiatočné nastavenie servera CentOS 7

Úvod

Novo aktivovaný server CentOS 7 musí byť prispôsobený predtým, ako môže byť uvedený do používania ako produkčný systém. V tomto článku sú ľahko zrozumiteľným spôsobom uvedené najdôležitejšie prispôsobenia, ktoré budete musieť vykonať.

Predpoklady

Novo aktivovaný server CentOS 7, najlepšie nastavený pomocou kľúčov SSH. Prihláste sa na server ako root.

ssh -l root server-ip-address

Krok 1: Vytvorte si štandardný používateľský účet

Z bezpečnostných dôvodov sa neodporúča vykonávať každodenné výpočtové úlohy pomocou účtu root. Namiesto toho sa odporúča vytvoriť štandardné používateľské konto, ktoré sa bude používať sudona získanie oprávnení správcu. Pre tento tutoriál predpokladajme, že vytvárame používateľa s názvom joe . Ak chcete vytvoriť používateľský účet, zadajte:

adduser joe

Nastavte heslo pre nového používateľa. Zobrazí sa výzva na zadanie a potvrdenie hesla.

passwd joe

Pridajte nového používateľa do skupiny kolies , aby mohol prevziať oprávnenia root pomocou sudo.

gpasswd -a joe wheel

Nakoniec otvorte ďalší terminál na svojom lokálnom počítači a pomocou nasledujúceho príkazu pridajte kľúč SSH do domovského adresára nového používateľa na vzdialenom serveri. Pred nainštalovaním kľúča SSH sa zobrazí výzva na overenie.

ssh-copy-id joe@server-ip-address

Po nainštalovaní kľúča sa prihláste na server pomocou nového používateľského účtu.

ssh -l joe server-ip-address

Ak je prihlásenie úspešné, môžete zatvoriť druhý terminál. Odteraz bude všetkým príkazom predchádzať sudo.

Krok 2: Zakážte prihlásenie používateľa root a overenie hesla

Keďže sa teraz môžete prihlásiť ako štandardný používateľ pomocou kľúčov SSH, dobrou bezpečnostnou praxou je nakonfigurovať SSH tak, aby bolo zakázané prihlasovacie meno root aj overenie hesla. Obe nastavenia musia byť nakonfigurované v konfiguračnom súbore démona SSH. Otvorte ho teda pomocou nano.

sudo nano /etc/ssh/sshd_config

Vyhľadajte riadok PermitRootLogin , odkomentujte ho a nastavte hodnotu na no .

PermitRootLogin     no

Urobte to isté pre PasswordAuthenticationriadok, ktorý by už mal byť odkomentovaný:

PasswordAuthentication      no

Uložte a zatvorte súbor. Ak chcete použiť nové nastavenia, znova načítajte SSH.

sudo systemctl reload sshd

Krok 3: Nakonfigurujte časové pásmo

Predvolene je čas na serveri uvedený v UTC. Najlepšie je nakonfigurovať ho tak, aby zobrazoval miestne časové pásmo. Aby ste to dosiahli, nájdite v adresári súbor zóny vašej krajiny/geografickej oblasti /usr/share/zoneinfoa vytvorte z neho symbolický odkaz na /etc/localtimeadresár. Ak sa napríklad nachádzate vo východnej časti USA, symbolický odkaz vytvoríte pomocou:

sudo ln -sf /usr/share/zoneinfo/US/Eastern /etc/localtime

Potom spustením datepríkazu overte, že čas je teraz daný v miestnom čase . Výstup by mal byť podobný:

Tue Jun 16 15:35:34 EDT 2015

EDT vo výstupných potvrdzuje, že je to localtime.

Krok 4: Povoľte bránu firewall IPTables

V predvolenom nastavení je aktívnou aplikáciou brány firewall na novo aktivovanom serveri CentOS 7 FirewallD. Hoci je to dobrá náhrada za IPTtables, mnohé bezpečnostné aplikácie pre ňu stále nemajú podporu. Ak teda budete používať niektorú z týchto aplikácií, napríklad OSSEC HIDS, je najlepšie vypnúť/odinštalovať FirewallD.

Začnime zakázaním/odinštalovaním FirewallD:

sudo yum remove -y firewalld

Teraz poďme nainštalovať/aktivovať IPTables.

sudo yum install -y iptables-services
sudo systemctl start iptables

Nakonfigurujte IPTables tak, aby sa automaticky spúšťali pri štarte.

sudo systemctl enable iptables

IPTables na CentOS 7 sa dodáva s predvolenou sadou pravidiel, ktoré si môžete zobraziť pomocou nasledujúceho príkazu.

sudo iptables -L -n

Výstup bude vyzerať takto:

Chain INPUT (policy ACCEPT)
target     prot opt source               destination         
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0            state RELATED,ESTABLISHED
ACCEPT     icmp --  0.0.0.0/0            0.0.0.0/0           
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            state NEW tcp dpt:22
REJECT     all  --  0.0.0.0/0            0.0.0.0/0            reject-with icmp-host-prohibited

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         
REJECT     all  --  0.0.0.0/0            0.0.0.0/0            reject-with icmp-host-prohibited

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

Môžete vidieť, že jedno z týchto pravidiel povoľuje prenos SSH, takže vaša relácia SSH je bezpečná.

Keďže tieto pravidlá sú pravidlá spustenia a pri reštarte sa stratia, je najlepšie ich uložiť do súboru pomocou:

sudo /usr/libexec/iptables/iptables.init save

Tento príkaz uloží pravidlá do /etc/sysconfig/iptablessúboru. Pravidlá môžete kedykoľvek upraviť zmenou tohto súboru pomocou vášho obľúbeného textového editora.

Krok 5: Povoľte ďalšiu prevádzku cez bránu firewall

Keďže v určitom okamihu budete s najväčšou pravdepodobnosťou používať svoj nový server na hosťovanie niektorých webových stránok, budete musieť do brány firewall pridať nové pravidlá, ktoré umožnia prenos HTTP a HTTPS. Aby ste to dosiahli, otvorte súbor IPTables:

sudo nano /etc/sysconfig/iptables

Hneď za alebo pred pravidlo SSH pridajte pravidlá pre prenos HTTP (port 80) a HTTPS (port 443), aby sa táto časť súboru zobrazila tak, ako je znázornené v bloku kódu nižšie.

-A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 80 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 443 -j ACCEPT
-A INPUT -j REJECT --reject-with icmp-host-prohibited

Uložte a zatvorte súbor a potom znova načítajte IPTables.

sudo systemctl reload iptables

Po dokončení vyššie uvedeného kroku by mal byť váš server CentOS 7 teraz primerane zabezpečený a pripravený na použitie vo výrobe.