Initial installation av en CentOS 7-server

Introduktion

En nyligen aktiverad CentOS 7-server måste anpassas innan den kan tas i bruk som ett produktionssystem. I den här artikeln ges de viktigaste anpassningarna som du måste göra på ett lättförståeligt sätt.

Förutsättningar

En nyligen aktiverad CentOS 7-server, helst setup med SSH-nycklar. Logga in på servern som root.

ssh -l root server-ip-address

Steg 1: Skapa ett standardanvändarkonto

Av säkerhetsskäl är det inte tillrådligt att utföra dagliga datoruppgifter med root-kontot. Istället rekommenderas det att skapa ett standardanvändarkonto som kommer att användas för sudoatt få administrativa rättigheter. För denna handledning, anta att vi skapar en användare som heter joe . För att skapa användarkontot, skriv:

adduser joe

Ange ett lösenord för den nya användaren. Du kommer att uppmanas att ange och bekräfta ett lösenord.

passwd joe

Lägg till den nya användaren i hjulgruppen så att den kan anta root-privilegier med sudo.

gpasswd -a joe wheel

Öppna slutligen en annan terminal på din lokala dator och använd följande kommando för att lägga till din SSH-nyckel till den nya användarens hemkatalog på fjärrservern. Du kommer att uppmanas att autentisera innan SSH-nyckeln installeras.

ssh-copy-id joe@server-ip-address

Efter att nyckeln har installerats loggar du in på servern med det nya användarkontot.

ssh -l joe server-ip-address

Om inloggningen lyckas kan du stänga den andra terminalen. Från och med nu kommer alla kommandon att föregås av sudo.

Steg 2: Tillåt inte rotinloggning och lösenordsautentisering

Eftersom du nu kan logga in som en standardanvändare med hjälp av SSH-nycklar är en bra säkerhetspraxis att konfigurera SSH så att både rotinloggning och lösenordsautentisering är otillåtna. Båda inställningarna måste konfigureras i SSH-demonens konfigurationsfil. Så öppna den med nano.

sudo nano /etc/ssh/sshd_config

Leta efter PermitRootLogin- raden, avkommentera den och ställ in värdet till no .

PermitRootLogin     no

Gör samma sak för PasswordAuthenticationraden, som redan borde vara okommenterad:

PasswordAuthentication      no

Spara och stäng filen. För att tillämpa de nya inställningarna, ladda om SSH.

sudo systemctl reload sshd

Steg 3: Konfigurera tidszonen

Som standard anges tiden på servern i UTC. Det är bäst att konfigurera den för att visa den lokala tidszonen. För att åstadkomma det, leta upp zonfilen för ditt land/geografiska område i /usr/share/zoneinfokatalogen och skapa en symbolisk länk från den till /etc/localtimekatalogen. Om du till exempel är i den östra delen av USA skapar du den symboliska länken med:

sudo ln -sf /usr/share/zoneinfo/US/Eastern /etc/localtime

Efteråt, verifiera att tiden nu är angiven i lokal tid genom att köra datekommandot. Utdata ska likna:

Tue Jun 16 15:35:34 EDT 2015

Den EDT i utgångs bekräftar att det är localtime.

Steg 4: Aktivera IPTables-brandväggen

Som standard är den aktiva brandväggsapplikationen på en nyligen aktiverad CentOS 7-server FirewallD. Även om det är en bra ersättning för IPTables, har många säkerhetsapplikationer fortfarande inte stöd för det. Så om du kommer att använda något av dessa program, som OSSEC HIDS, är det bäst att inaktivera/avinstallera FirewallD.

Låt oss börja med att inaktivera/avinstallera FirewallD:

sudo yum remove -y firewalld

Låt oss nu installera/aktivera IPTables.

sudo yum install -y iptables-services
sudo systemctl start iptables

Konfigurera IPTables att starta automatiskt vid uppstart.

sudo systemctl enable iptables

IPTables på CentOS 7 kommer med en standarduppsättning regler, som du kan se med följande kommando.

sudo iptables -L -n

Utgången kommer att likna:

Chain INPUT (policy ACCEPT)
target     prot opt source               destination         
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0            state RELATED,ESTABLISHED
ACCEPT     icmp --  0.0.0.0/0            0.0.0.0/0           
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            state NEW tcp dpt:22
REJECT     all  --  0.0.0.0/0            0.0.0.0/0            reject-with icmp-host-prohibited

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         
REJECT     all  --  0.0.0.0/0            0.0.0.0/0            reject-with icmp-host-prohibited

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

Du kan se att en av dessa regler tillåter SSH-trafik, så din SSH-session är säker.

Eftersom dessa regler är körtidsregler och kommer att gå förlorade vid omstart, är det bäst att spara dem i en fil med:

sudo /usr/libexec/iptables/iptables.init save

Det kommandot kommer att spara reglerna i /etc/sysconfig/iptablesfilen. Du kan redigera reglerna när som helst genom att ändra den här filen med din favorittextredigerare.

Steg 5: Tillåt ytterligare trafik genom brandväggen

Eftersom du med största sannolikhet kommer att använda din nya server för att vara värd för vissa webbplatser någon gång, måste du lägga till nya regler i brandväggen för att tillåta HTTP- och HTTPS-trafik. För att göra det, öppna IPTables-filen:

sudo nano /etc/sysconfig/iptables

Precis efter eller före SSH-regeln, lägg till reglerna för HTTP (port 80) och HTTPS (port 443) trafik, så att den delen av filen visas som visas i kodblocket nedan.

-A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 80 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 443 -j ACCEPT
-A INPUT -j REJECT --reject-with icmp-host-prohibited

Spara och stäng filen och ladda sedan om IPTables.

sudo systemctl reload iptables

När steget ovan har slutförts bör din CentOS 7-server nu vara någorlunda säker och redo att användas i produktionen.