Serveri esmane seadistamine ja seadistamine CentOS 7-s
Selles õpetuses selgitatakse esimesi peamisi samme, mis peate läbima pärast minimaalse graafilise keskkonnata CentOS 7 süsteemi installimist, et saada teavet installitud süsteemi kohta, mille peal olev riistvara töötab süsteemi ja konfigureerida muid konkreetseid süsteemi ülesandeid. nagu võrguühendus, juurõigused, tarkvara, teenused ja muud.
- CentOS 7 minimaalne installimine
Tähtis: RHEL 7 kasutajad saavad järgida seda artiklit, et teha RHEL 7-s esmane serveri seadistamine.
Värskendage CentOS 7 süsteemi
Esimene samm, mida peate värskelt installitud CentOS-süsteemis tegema, on veenduda, et süsteem oleks ajakohane uusimate kerneli- ja süsteemi turvapaikade, tarkvarahoidlate ja pakettidega.
CentOS 7 süsteemi täielikuks värskendamiseks väljastage järgmised juurõigustega käsud.
# yum check-update # yum upgrade
Pärast täiendamisprotsessi lõppu saate kettaruumi vabastamiseks järgmise käsu käivitades eemaldada kõik allalaaditud paketid, mida värskendamisel kasutati, koos kogu vahemällu salvestatud hoidlate teabega.
# yum clean all
Installige süsteemi utiliidid CentOS 7-le
Järgmised utiliidipaketid võivad osutuda süsteemi igapäevase haldamise jaoks kasulikuks: nano (tekstiredaktor lsofi asendamiseks (utiliidid kohaliku võrgu haldamiseks) ja bash-complete (käsurea automaatne täitmine).
Installige need kõik ühe võtmena, käivitades alloleva käsu.
# yum install nano wget curl net-tools lsof bash-completion
Võrgu seadistamine CentOS 7-s
CentOS 7-l on lai valik tööriistu, mida saab võrgu konfigureerimiseks ja haldamiseks kasutada, alates võrgu konfiguratsioonifaili käsitsi redigeerimisest kuni selliste käskude kasutamiseni nagu nmcli või marsruut.
Lihtsaim utiliit, mida algaja saab võrgukonfiguratsioonide haldamiseks ja muutmiseks kasutada, on nmtui graafiline käsurida.
Süsteemi hostinime muutmiseks nmtui utiliidi kaudu käivitage käsk nmtui-hostname, määrake oma masina hostinimi ja vajutage lõpetamiseks OK, nagu on näidatud alloleval ekraanipildil.
# nmtui-hostname
Võrguliidese käsitsemiseks käivitage käsk nmtui-edit, valige redigeeritav liides ja valige paremast menüüst redigeerimine, nagu on näidatud alloleval ekraanipildil.
# nmtui-edit
Kui olete nmtui utiliidi pakutavas graafilises liideses, saate seadistada võrguliidese IP-sätted, nagu on näidatud alloleval ekraanipildil. Kui olete lõpetanud, navigeerige konfiguratsiooni salvestamiseks ja sulgemiseks klahviga [tab] klahvi OK.
Võrguliidese uue konfiguratsiooni rakendamiseks käivitage nmtui-connect käsk, valige liides, mida soovite hallata, ja vajutage nuppu Deaktiveeri/Aktiveeri, et IP-seadetega liides lõpetada ja tõsta liides, nagu on näidatud allpool olevates ekraanipiltides.
# nmtui-connect
Võrguliidese sätete kuvamiseks võite kontrollida liidese faili sisu või anda allpool olevad käsud.
# ifconfig enp0s3 # ip a # ping -c2 google.com
Muud kasulikud utiliidid, mida saab kasutada kiiruse haldamiseks, oleku linkimiseks või masinavõrgu liideste kohta teabe hankimiseks, on ethtool ja mii-tool.
# ethtool enp0s3 # mii-tool enp0s3
Teie masina võrguühenduse oluline aspekt on loetleda kõik avatud võrgupesad, et näha, milliseid programme millistes sadamates kuulatakse ja milline on loodud võrguühenduste olek.
Kõigi serverite loendis, mis on kuulamisolekus avanud TCP- või UDP-pesad, väljastage järgmised käsud. UDP-server ei loe ühtegi pistikupesa olekut, kuna UDP on ühendusevaba protokoll, mis saadab pakette ainult võrgu kaudu ja ei loo ühendusi.
# netstat -tulpn # ss -tulpn # lsof -i4 -6
Teenuste haldamine CentOS 7-s
CentOS 7 haldab deemonit või teenust systemctl utiliidi kaudu. Kõigi teenuste oleku loetlemiseks väljastage järgmine käsk.
# systemctl list-units
Kui soovite kontrollida, kas deemon või teenus on süsteemi käivitamisel automaatselt käivitatud, väljastage järgmine käsk.
# systemctl list-unit-files -t service
Süsteemis olevate vanade SysV-teenuste loetlemiseks ja keelamiseks väljastage järgmised käsud chkconfig.
# chkconfig --list # chkconfig service_name off
5. Keelake soovimatud teenused CentOS 7-s
Pärast CentOS 7 installimist on soovitatav loetleda, millised teenused süsteemis töötavad, käivitades ülaltoodud käsud, ja keelake ja eemaldage need, et vähendada rünnakuvektoreid teie süsteemi vastu.
Näiteks on PostFixi deemon vaikimisi installitud ja lubatud CentOS 7-s. Kui teie süsteem ei vaja meiliserveri käitamist, on kõige parem postfix-teenus peatada, keelata ja eemaldada, väljastades alltoodud käsud.
# systemctl stop postfix # systemctl disable postfix # yum remove postfix
Lisaks ülemistele või pstree käskudele, et avastada ja tuvastada soovimatuid teenuseid, mis teie süsteemis töötavad, ja keelata või eemaldada.
Vaikimisi pole pstree utiliiti CentOS 7-sse installitud. Selle installimiseks käivitage järgmine käsk.
# yum install psmisc # pstree -p
Luba tulemüür CentOs 7-s
Firewalld on peamine tulemüüri utiliit, mis kasutab interaktsioone iptables-reeglite haldamiseks.
CentOS 7 tulemüüri lubamiseks, käivitamiseks ja kontrollimiseks täitke järgmised käsud.
# systemctl enable firewalld # systemctl start firewalld # systemctl status firewalld
Konkreetse teenuse avamiseks sissetulevatele ühendustele kontrollige kõigepealt, kas rakendus on juba tulemüüri reeglites olemas, ja seejärel lisage teenuse reegel, nagu on näidatud allpool toodud näites, mis lubab SSH-i sissetulevaid ühendusi. Reegli jäädavaks lisamiseks kasutage lülitit --permanent
.
# firewall-cmd --add-service=[tab] #List services # firewall-cmd --add-service=ssh # firewall-cmd --add-service=ssh --permanent
Kui teenus on tulemüüri reeglites juba määratletud, saate teenusepordi käsitsi lisada, nagu on näidatud allpool toodud näites.
# firewall-cmd --add-port=22/tcp --permanent # firewall-cmd --reload #Apply the rule on-fly
Lubage Sudo load kasutajakontodel
Tavakasutajale juurõiguste andmiseks looge kasutaja esmalt käsu adduser abil, määrake kasutaja parool ja andke kasutajale juurõigused, käivitades alltoodud käsu, mis lisab uue kasutaja administraatorirühma rühma.
# adduser tecmint # passwd tecmint # usermod -aG wheel tecmint
Selleks, et kontrollida, kas uuel kasutajal on juurõigused, logige süsteemi sisse kasutaja mandaatidega ja käivitage yum-käsk sudo-lubadega, nagu on näidatud allpool olevas katkendis.
# su - tecmint # sudo yum update
SSH avaliku võtme autentimise seadistamine CentOS 7-s
Oma serveri SSH-i turvalisuse tagamiseks ja avaliku serveri turvalisuse suurendamiseks sisselogimiseks privaatse SSH-võtmega teie serveri turvalisuse suurendamiseks genereerige esmalt SSH-võtmepaar järgmise käsuga.
Ärge sisestage parooli, kui soovite serverihaldust SSH kaudu automatiseerida.
# ssh-keygen -t RSA
Pärast SSH-võtmepaaride loomist kopeerige võti serverisse, millega soovite ühenduse luua, väljastades alloleva käsu. Esmalt sisestage avaliku võtme kopeerimiseks SSH-i kaugkasutaja parool.
# ssh-copy-id [email _SERVER_IP
Kui SSH avalik võti on kaugserverisse kopeeritud, logige SSH kaugserverisse järgmise käsuga sisse.
# ssh [email _SERVER_IP
Lõpuks, SSH-serveri turvalisuse tagamiseks keelake SSH-i kaugjuurdepääs juurkontole, avades SSH-konfiguratsiooni faili/etc/ssh/sshd_config juurtekstina oma tekstiredaktoriga ja muutke seda väärtusest Yes
kuni
PermitRootLogin no
Selle sätte rakendamiseks peate taaskäivitama SSH-teenuse, et see kasutaks uut konfiguratsiooni.
# systemctl restart sshd
See on kõik! Need on vaid mõned põhiseaded ja käsklused, mida iga süsteemiadministraator peab teadma ja rakendama värskelt installitud CentOS-süsteemis või igapäevaste ülesannete täitmiseks süsteemis.
CentOS 7 serveri turvamiseks ja karastamiseks vaadake neid järgmisi artikleid.
- CentOS 7 karastamise ja turvalisuse megaprogramm - 1. osa
- CentOS 7 kõvenemise ja turvalisuse mega juhend - 2. osa
Kui kavatsete selles CentOS 7 süsteemis veebisaite juurutada, vaadake, kuidas LEMP-i pinu seadistada ja konfigureerida.