Почетно подешавање сервера ЦентОС 7

Увод

Новоактивирани ЦентОС 7 сервер мора бити прилагођен пре него што се може ставити у употребу као производни систем. У овом чланку, најважнија прилагођавања која ћете морати да направите су дата на лако разумљив начин.

Предуслови

Новоактивирани ЦентОС 7 сервер, пожељно подешен са ССХ кључевима. Пријавите се на сервер као роот.

ssh -l root server-ip-address

Корак 1: Креирајте стандардни кориснички налог

Из безбедносних разлога, није препоручљиво да обављате свакодневне рачунарске задатке користећи роот налог. Уместо тога, препоручује се креирање стандардног корисничког налога који ће се користити sudoза стицање административних привилегија. За овај водич, претпоставите да креирамо корисника по имену јое . Да бисте креирали кориснички налог, откуцајте:

adduser joe

Поставите лозинку за новог корисника. Од вас ће бити затражено да унесете и потврдите лозинку.

passwd joe

Додајте новог корисника у групу точкова тако да може да преузме роот привилегије користећи sudo.

gpasswd -a joe wheel

На крају, отворите други терминал на вашој локалној машини и користите следећу команду да додате свој ССХ кључ у кућни директоријум новог корисника на удаљеном серверу. Од вас ће бити затражено да се аутентификујете пре инсталирања ССХ кључа.

ssh-copy-id joe@server-ip-address

Након што је кључ инсталиран, пријавите се на сервер користећи нови кориснички налог.

ssh -l joe server-ip-address

Ако је пријава успешна, можете затворити други терминал. Од сада, свим командама ће претходити sudo.

Корак 2: Онемогућите Роот пријаву и аутентификацију лозинке

Пошто сада можете да се пријавите као стандардни корисник користећи ССХ кључеве, добра безбедносна пракса је да конфигуришете ССХ тако да су и аутентикација роот-а и провера лозинке онемогућени. Обе поставке морају бити конфигурисане у конфигурационој датотеци ССХ демона. Дакле, отворите га помоћу nano.

sudo nano /etc/ssh/sshd_config

Потражите линију ПермитРоотЛогин , уклоните је из коментара и поставите вредност на не .

PermitRootLogin     no

Урадите исто за PasswordAuthenticationред, који би већ требало да буде уклоњен коментарима:

PasswordAuthentication      no

Сачувајте и затворите датотеку. Да бисте применили нова подешавања, поново учитајте ССХ.

sudo systemctl reload sshd

Корак 3: Конфигуришите временску зону

Подразумевано, време на серверу је дато у УТЦ. Најбоље је да га конфигуришете тако да приказује локалну временску зону. Да бисте то постигли, лоцирајте датотеку зоне ваше земље/географске области у /usr/share/zoneinfoдиректоријуму и креирајте симболичку везу од ње до /etc/localtimeдиректоријума. На пример, ако сте у источном делу САД, креираћете симболичку везу користећи:

sudo ln -sf /usr/share/zoneinfo/US/Eastern /etc/localtime

Након тога, проверите да ли је време сада дато у локалном времену тако што ћете покренути dateкоманду. Излаз би требао бити сличан:

Tue Jun 16 15:35:34 EDT 2015

ЦДТ на излазним потврђује да је Лоцалтиме.

Корак 4: Омогућите заштитни зид ИПТаблес

Подразумевано, активна апликација заштитног зида на новоактивираном ЦентОС 7 серверу је ФиреваллД. Иако је добра замена за ИПТаблес, многе безбедносне апликације још увек немају подршку за то. Дакле, ако ћете користити било коју од тих апликација, као што је ОССЕЦ ХИДС, најбоље је да онемогућите/деинсталирате ФиреваллД.

Почнимо тако што ћемо онемогућити/деинсталирати ФиреваллД:

sudo yum remove -y firewalld

Сада, хајде да инсталирамо/активирамо ИПТаблес.

sudo yum install -y iptables-services
sudo systemctl start iptables

Конфигуришите ИПТаблес да се аутоматски покрећу у време покретања.

sudo systemctl enable iptables

ИПТаблес на ЦентОС 7 долази са подразумеваним скупом правила, које можете погледати следећом командом.

sudo iptables -L -n

Излаз ће изгледати:

Chain INPUT (policy ACCEPT)
target     prot opt source               destination         
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0            state RELATED,ESTABLISHED
ACCEPT     icmp --  0.0.0.0/0            0.0.0.0/0           
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            state NEW tcp dpt:22
REJECT     all  --  0.0.0.0/0            0.0.0.0/0            reject-with icmp-host-prohibited

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         
REJECT     all  --  0.0.0.0/0            0.0.0.0/0            reject-with icmp-host-prohibited

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

Можете видети да једно од тих правила дозвољава ССХ саобраћај, тако да је ваша ССХ сесија безбедна.

Пошто су та правила правила за време извршавања и биће изгубљена при поновном покретању, најбоље је да их сачувате у датотеци користећи:

sudo /usr/libexec/iptables/iptables.init save

Та команда ће сачувати правила у /etc/sysconfig/iptablesдатотеци. Можете да измените правила у било ком тренутку тако што ћете променити ову датотеку помоћу свог омиљеног уређивача текста.

Корак 5: Дозволите додатни саобраћај кроз заштитни зид

Пошто ћете највероватније у неком тренутку користити свој нови сервер за хостовање неких веб локација, мораћете да додате нова правила у заштитни зид да бисте дозволили ХТТП и ХТТПС саобраћај. Да бисте то постигли, отворите датотеку ИПТаблес:

sudo nano /etc/sysconfig/iptables

Одмах после или пре ССХ правила, додајте правила за ХТТП (порт 80) и ХТТПС (порт 443) саобраћај, тако да се тај део датотеке појављује као што је приказано у блоку кода испод.

-A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 80 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 443 -j ACCEPT
-A INPUT -j REJECT --reject-with icmp-host-prohibited

Сачувајте и затворите датотеку, а затим поново учитајте ИПТаблес.

sudo systemctl reload iptables

Када је горњи корак завршен, ваш ЦентОС 7 сервер би сада требао бити прилично сигуран и спреман за употребу у производњи.