Serveri esmane seadistamine ja seadistamine CentOS 7-s


Selles õpetuses selgitatakse esimesi peamisi samme, mis peate läbima pärast minimaalse graafilise keskkonnata CentOS 7 süsteemi installimist, et saada teavet installitud süsteemi kohta, mille peal olev riistvara töötab süsteemi ja konfigureerida muid konkreetseid süsteemi ülesandeid. nagu võrguühendus, juurõigused, tarkvara, teenused ja muud.

  1. CentOS 7 minimaalne installimine

Tähtis: RHEL 7 kasutajad saavad järgida seda artiklit, et teha RHEL 7-s esmane serveri seadistamine.

Värskendage CentOS 7 süsteemi

Esimene samm, mida peate värskelt installitud CentOS-süsteemis tegema, on veenduda, et süsteem oleks ajakohane uusimate kerneli- ja süsteemi turvapaikade, tarkvarahoidlate ja pakettidega.

CentOS 7 süsteemi täielikuks värskendamiseks väljastage järgmised juurõigustega käsud.

# yum check-update
# yum upgrade

Pärast täiendamisprotsessi lõppu saate kettaruumi vabastamiseks järgmise käsu käivitades eemaldada kõik allalaaditud paketid, mida värskendamisel kasutati, koos kogu vahemällu salvestatud hoidlate teabega.

# yum clean all

Installige süsteemi utiliidid CentOS 7-le

Järgmised utiliidipaketid võivad osutuda süsteemi igapäevase haldamise jaoks kasulikuks: nano (tekstiredaktor lsofi asendamiseks (utiliidid kohaliku võrgu haldamiseks) ja bash-complete (käsurea automaatne täitmine).

Installige need kõik ühe võtmena, käivitades alloleva käsu.

# yum install nano wget curl net-tools lsof bash-completion

Võrgu seadistamine CentOS 7-s

CentOS 7-l on lai valik tööriistu, mida saab võrgu konfigureerimiseks ja haldamiseks kasutada, alates võrgu konfiguratsioonifaili käsitsi redigeerimisest kuni selliste käskude kasutamiseni nagu nmcli või marsruut.

Lihtsaim utiliit, mida algaja saab võrgukonfiguratsioonide haldamiseks ja muutmiseks kasutada, on nmtui graafiline käsurida.

Süsteemi hostinime muutmiseks nmtui utiliidi kaudu käivitage käsk nmtui-hostname, määrake oma masina hostinimi ja vajutage lõpetamiseks OK, nagu on näidatud alloleval ekraanipildil.

# nmtui-hostname

Võrguliidese käsitsemiseks käivitage käsk nmtui-edit, valige redigeeritav liides ja valige paremast menüüst redigeerimine, nagu on näidatud alloleval ekraanipildil.

# nmtui-edit

Kui olete nmtui utiliidi pakutavas graafilises liideses, saate seadistada võrguliidese IP-sätted, nagu on näidatud alloleval ekraanipildil. Kui olete lõpetanud, navigeerige konfiguratsiooni salvestamiseks ja sulgemiseks klahviga [tab] klahvi OK.

Võrguliidese uue konfiguratsiooni rakendamiseks käivitage nmtui-connect käsk, valige liides, mida soovite hallata, ja vajutage nuppu Deaktiveeri/Aktiveeri, et IP-seadetega liides lõpetada ja tõsta liides, nagu on näidatud allpool olevates ekraanipiltides.

# nmtui-connect

Võrguliidese sätete kuvamiseks võite kontrollida liidese faili sisu või anda allpool olevad käsud.

# ifconfig enp0s3
# ip a
# ping -c2 google.com

Muud kasulikud utiliidid, mida saab kasutada kiiruse haldamiseks, oleku linkimiseks või masinavõrgu liideste kohta teabe hankimiseks, on ethtool ja mii-tool.

# ethtool enp0s3
# mii-tool enp0s3

Teie masina võrguühenduse oluline aspekt on loetleda kõik avatud võrgupesad, et näha, milliseid programme millistes sadamates kuulatakse ja milline on loodud võrguühenduste olek.

Kõigi serverite loendis, mis on kuulamisolekus avanud TCP- või UDP-pesad, väljastage järgmised käsud. UDP-server ei loe ühtegi pistikupesa olekut, kuna UDP on ühendusevaba protokoll, mis saadab pakette ainult võrgu kaudu ja ei loo ühendusi.

# netstat -tulpn
# ss -tulpn
# lsof -i4 -6

Teenuste haldamine CentOS 7-s

CentOS 7 haldab deemonit või teenust systemctl utiliidi kaudu. Kõigi teenuste oleku loetlemiseks väljastage järgmine käsk.

# systemctl list-units

Kui soovite kontrollida, kas deemon või teenus on süsteemi käivitamisel automaatselt käivitatud, väljastage järgmine käsk.

# systemctl list-unit-files -t service

Süsteemis olevate vanade SysV-teenuste loetlemiseks ja keelamiseks väljastage järgmised käsud chkconfig.

# chkconfig --list
# chkconfig service_name off

5. Keelake soovimatud teenused CentOS 7-s

Pärast CentOS 7 installimist on soovitatav loetleda, millised teenused süsteemis töötavad, käivitades ülaltoodud käsud, ja keelake ja eemaldage need, et vähendada rünnakuvektoreid teie süsteemi vastu.

Näiteks on PostFixi deemon vaikimisi installitud ja lubatud CentOS 7-s. Kui teie süsteem ei vaja meiliserveri käitamist, on kõige parem postfix-teenus peatada, keelata ja eemaldada, väljastades alltoodud käsud.

# systemctl stop postfix
# systemctl disable postfix
# yum remove postfix

Lisaks ülemistele või pstree käskudele, et avastada ja tuvastada soovimatuid teenuseid, mis teie süsteemis töötavad, ja keelata või eemaldada.

Vaikimisi pole pstree utiliiti CentOS 7-sse installitud. Selle installimiseks käivitage järgmine käsk.

# yum install psmisc
# pstree -p

Luba tulemüür CentOs 7-s

Firewalld on peamine tulemüüri utiliit, mis kasutab interaktsioone iptables-reeglite haldamiseks.
CentOS 7 tulemüüri lubamiseks, käivitamiseks ja kontrollimiseks täitke järgmised käsud.

# systemctl enable firewalld
# systemctl start firewalld
# systemctl status firewalld

Konkreetse teenuse avamiseks sissetulevatele ühendustele kontrollige kõigepealt, kas rakendus on juba tulemüüri reeglites olemas, ja seejärel lisage teenuse reegel, nagu on näidatud allpool toodud näites, mis lubab SSH-i sissetulevaid ühendusi. Reegli jäädavaks lisamiseks kasutage lülitit --permanent .

# firewall-cmd --add-service=[tab]  #List services
# firewall-cmd --add-service=ssh
# firewall-cmd --add-service=ssh --permanent

Kui teenus on tulemüüri reeglites juba määratletud, saate teenusepordi käsitsi lisada, nagu on näidatud allpool toodud näites.

# firewall-cmd --add-port=22/tcp --permanent
# firewall-cmd --reload     #Apply the rule on-fly

Lubage Sudo load kasutajakontodel

Tavakasutajale juurõiguste andmiseks looge kasutaja esmalt käsu adduser abil, määrake kasutaja parool ja andke kasutajale juurõigused, käivitades alltoodud käsu, mis lisab uue kasutaja administraatorirühma rühma.

# adduser tecmint
# passwd tecmint
# usermod -aG wheel tecmint

Selleks, et kontrollida, kas uuel kasutajal on juurõigused, logige süsteemi sisse kasutaja mandaatidega ja käivitage yum-käsk sudo-lubadega, nagu on näidatud allpool olevas katkendis.

# su - tecmint
# sudo yum update

SSH avaliku võtme autentimise seadistamine CentOS 7-s

Oma serveri SSH-i turvalisuse tagamiseks ja avaliku serveri turvalisuse suurendamiseks sisselogimiseks privaatse SSH-võtmega teie serveri turvalisuse suurendamiseks genereerige esmalt SSH-võtmepaar järgmise käsuga.

Ärge sisestage parooli, kui soovite serverihaldust SSH kaudu automatiseerida.

# ssh-keygen -t RSA

Pärast SSH-võtmepaaride loomist kopeerige võti serverisse, millega soovite ühenduse luua, väljastades alloleva käsu. Esmalt sisestage avaliku võtme kopeerimiseks SSH-i kaugkasutaja parool.

# ssh-copy-id [email protected]_SERVER_IP

Kui SSH avalik võti on kaugserverisse kopeeritud, logige SSH kaugserverisse järgmise käsuga sisse.

# ssh [email protected]_SERVER_IP

Lõpuks, SSH-serveri turvalisuse tagamiseks keelake SSH-i kaugjuurdepääs juurkontole, avades SSH-konfiguratsiooni faili/etc/ssh/sshd_config juurtekstina oma tekstiredaktoriga ja muutke seda väärtusest Yes kuni Ei .

PermitRootLogin no

Selle sätte rakendamiseks peate taaskäivitama SSH-teenuse, et see kasutaks uut konfiguratsiooni.

# systemctl restart sshd

See on kõik! Need on vaid mõned põhiseaded ja käsklused, mida iga süsteemiadministraator peab teadma ja rakendama värskelt installitud CentOS-süsteemis või igapäevaste ülesannete täitmiseks süsteemis.

CentOS 7 serveri turvamiseks ja karastamiseks vaadake neid järgmisi artikleid.

  1. CentOS 7 karastamise ja turvalisuse megaprogramm - 1. osa
  2. CentOS 7 kõvenemise ja turvalisuse mega juhend - 2. osa

Kui kavatsete selles CentOS 7 süsteemis veebisaite juurutada, vaadake, kuidas LEMP-i pinu seadistada ja konfigureerida.