Esmane serveri seadistamine ja seadistamine RHEL 7-l
Selles õpetuses käsitleme esimesi seadistamisetappe, mille peate pärast Red Hat Enterprise Linux 7 värsket installimist paljasse metalliserverisse või virtuaalsesse privaatserverisse installima.
- RHEL 7 minimaalne installimine
Tähtis: CentOS 7 kasutajad saavad järgida seda artiklit, et teha esmane serveri seadistamine CentOS 7-s.
Uuendage süsteemi RHEL 7
Esimeses etapis logige sisse oma RHEL-i serverkonsoolile root-õigustega kontoga või otse juurkasutajana ja käivitage allolev käsk, et oma süsteemikomponente, näiteks installitud pakette, kernelit, või muid turvapaike rakendada.
# yum check-update # yum update
Kõigi kohapealt alla laaditud pakettide ja muude seotud YUM-i vahemälude eemaldamiseks käivitage järgmine käsk.
# yum clean all
Installige süsteemi utiliidid RHEL 7-le
Need järgmised utiliidid võivad osutuda kasulikuks süsteemi igapäevase haldamise jaoks: nano (tekstiredaktor lsofi asendamiseks (utiliidid kohaliku võrgu haldamiseks) ja bash-complete (käsurea automaatne täitmine).
Installige need kõik ühe võtmena, käivitades alloleva käsu.
# yum install nano wget curl net-tools lsof bash-completion
Võrgu seadistamine RHEL 7-s
RHEL 7-l on lai valik tööriistu, mida saab võrgu konfigureerimiseks ja haldamiseks kasutada, alates võrgu konfiguratsioonifaili käsitsi redigeerimisest kuni selliste käskude kasutamiseni nagu nmcli või marsruut.
Lihtsaim utiliit, mida algaja saab võrgukonfiguratsioonide haldamiseks ja muutmiseks kasutada, on nmtui graafiline käsurida.
Süsteemi hostinime muutmiseks nmtui utiliidi kaudu käivitage käsk nmtui-hostname, määrake oma masina hostinimi ja vajutage lõpetamiseks OK, nagu on näidatud alloleval ekraanipildil.
# nmtui-hostname
Võrguliidese käsitsemiseks käivitage käsk nmtui-edit, valige redigeeritav liides ja valige paremast menüüst redigeerimine, nagu on näidatud alloleval ekraanipildil.
Kui olete nmtui utiliidi pakutavas graafilises liideses, saate seadistada võrguliidese IP-sätted, nagu on näidatud alloleval ekraanipildil. Kui olete lõpetanud, navigeerige konfiguratsiooni salvestamiseks ja sulgemiseks klahviga [tab] klahvi OK.
Võrguliidese uue konfiguratsiooni rakendamiseks käivitage nmtui-connect käsk, valige liides, mida soovite hallata, ja vajutage nuppu Deaktiveeri/Aktiveeri, et IP-seadetega liides lõpetada ja tõsta liides, nagu on näidatud allpool olevates ekraanipiltides.
# nmtui-connect
Võrguliidese sätete kuvamiseks võite kontrollida liidese faili sisu või anda allpool olevad käsud.
# ifconfig enp0s3 # ip a # ping -c2 google.com
Muud kasulikud utiliidid, mida saab kasutada kiiruse haldamiseks, oleku linkimiseks või masinavõrgu liideste kohta teabe hankimiseks, on ethtool ja mii-tool.
# ethtool enp0s3 # mii-tool enp0s3
Loo uus kasutajakonto
Järgmisel sammul looge oma serverisse juurkasutajana sisse logides uus kasutaja alloleva käsuga. Seda kasutajat kasutatakse hiljem teie süsteemi sisselogimiseks ja haldusülesannete täitmiseks.
# adduser tecmint_user
Kui olete ülaltoodud käsu abil kasutaja lisanud, seadistage selle kasutaja jaoks tugev parool, väljastades alloleva käsu.
# passwd tecmint_user
Juhtudel, kui soovite sundida seda uut kasutajat parooli vahetama esimesel katsel proovimisel, käivitage järgmine käsk.
# chage -d0 tecmint_user
Sellel uuel kasutajakontol on praegu korrapärased kontoõigused ja see ei saa sudo käsu kaudu administraatori ülesandeid täita.
Juurkonto kasutamise vältimiseks administraatoriõiguste andmiseks andke sellele uuele kasutajale administraatoriõigused, lisades kasutaja süsteemirühma\"wheel \".
Ratta rühma kuuluvatel kasutajatel on RHEL-is vaikimisi lubatud käivitada root-õigustega käske sudo utiliidi abil enne käivitamiseks vajaliku käsu kirjutamist.
Näiteks kasutaja\"tecmint_user"\rattarühma lisamiseks käivitage järgmine käsk.
# usermod -aG wheel tecmint_user
Seejärel logige uue kasutajaga süsteemi sisse ja proovige süsteemi 'sudo yum update' abil süsteemi värskendada, et kontrollida, kas kasutajal on juurvolitused antud.
# su - tecmint_user $ sudo yum update
Konfigureerige SSH avaliku võtme autentimine RHEL 7-l
Järgmisel sammul oma RHEL-teenuse turvalisuse suurendamiseks konfigureerige uue kasutaja SSH-i avaliku võtme autentimine. SSH-võtmepaari, avaliku ja privaatse võtme loomiseks, käivitage oma serverikonsoolis järgmine käsk. Veenduge, et oleksite süsteemi sisse loginud selle kasutajaga, kellega seadistate SSH-võtit.
# su - tecmint_user $ ssh-keygen -t RSA
Võtme loomise ajal palutakse teil võtme kindlustamiseks lisada parool. Kui soovite ülesandeid SSH-serveri kaudu automatiseerida, võite sisestada tugeva parooli või jätta parool tühjaks.
Kui SSH-võti on loodud, kopeerige avalik võti paar kaugserverisse, käivitades alltoodud käsu. Avaliku võtme SSH kaugserverisse installimiseks vajate sellesse serverisse sisselogimiseks kasutajakontot, millel on mandaadid.
$ ssh-copy-id [email
Nüüd peaksite proovima SSH kaudu kaugserverisse sisse logida, kasutades autentimismeetodina privaatvõtit. Peaksite saama sisse logida automaatselt, ilma et SSH-server parooli küsiks.
$ ssh [email
Avaliku SSH-võtme sisu nägemiseks, kui soovite võtme käsitsi installida kaugesse SSH-serverisse, väljastage järgmine käsk.
$ cat ~/.ssh/id_rsa
Turvaline SSH RHEL 7-l
SSH-deemoni kindlustamiseks ja SSH-i kaugjuurdepääsu keelamiseks juurkontole parooli või võtme kaudu avage SSH-serveri põhikonfiguratsioonifail ja tehke järgmised muudatused.
$ sudo vi /etc/ssh/sshd_config
Otsige rida #PermitRootLogin jah, tühjendage rida, eemaldades märgi # (räsimärk) rea algusest ja muutke rida nii, et see näeks välja selline, nagu on näidatud allpool olevas katkendis.
PermitRootLogin no
Seejärel taaskäivitage SSH-server uute sätete rakendamiseks ja testige konfiguratsiooni, proovides sellesse serverisse juurkontoga sisse logida. Juurdepääs juurkontole SSH kaudu peaks olema praeguseks piiratud.
$ sudo systemctl restart sshd
On olukordi, kus pärast mõnda tegevusetust võiksite kõik SSH-kaugserverid automaatselt oma serveriga katkestada.
Selle funktsiooni lubamiseks kogu süsteemis käivitage järgmine käsk, mis lisab muutuja TMOUT bash põhilisele bashrc-failile ja sunnib iga SSH-ühenduse pärast 5-minutist tegevusetust katkestama või katkestama.
$ su -c 'echo "TMOUT=300" >> /etc/bashrc'
Käivitage saba käsk, et kontrollida, kas muutuja on faili/etc/bashrc lõpus õigesti lisatud. Kõik järgnevad SSH-ühendused suletakse pärast 5-minutist tegevusetust automaatselt.
$ tail /etc/bashrc
Alloleval ekraanipildil on SSH kaugseanss drupali masinast RHEL-serverisse 5 minuti pärast automaatselt välja logitud.
RHEL 7 tulemüüri konfigureerimine
Järgmisel sammul konfigureerige tulemüür, et süsteemi võrgu tasemel veelgi turvalisemaks muuta. RHEL 7 tarnitakse koos rakendusega Firewalld, et serveris iptablesi reegleid hallata.
Esmalt veenduge, et tulemüür töötab teie süsteemis, väljastades alltoodud käsu. Kui tulemüüri deemon on peatatud, peaksite seda käivitama järgmise käsuga.
$ sudo systemctl status firewalld $ sudo systemctl start firewalld $ sudo systemctl enable firewalld
Kui tulemüür on teie süsteemis lubatud ja töötab, saate kasutada tulemüüri cmd käsurea utiliiti, et määrata tulemüüri poliitika teave ja lubada liiklust teatud spetsiifilistesse võrgupordidesse, näiteks SSH-deemon, sisemise veebiserveriga loodud ühendus või muu seotud võrguteenused.
Kuna praegu käivitasime oma serveris lihtsalt SSH-deemoni, saame tulemüüri poliitikat kohandada, lubades SSH-teenusepordi liikluse, väljastades järgmise käsu.
$ sudo firewall-cmd --add-service=ssh --permanent $ sudo firewall-cmd --reload
Tulemüürireegli lisamiseks lennult järgige reeglit serveri järgmisel käivitamisel järgmist käsu süntaksit.
$ sudo firewall-cmd --add-service=sshd
Kui installite oma serverisse muid võrguteenuseid, näiteks HTTP-serveri, meiliserveri või muud võrguteenused, saate konkreetsete ühenduste lubamiseks reegleid lisada järgmiselt.
$ sudo firewall-cmd --permanent --add-service=http $ sudo firewall-cmd --permanent --add-service=https $ sudo firewall-cmd --permanent --add-service=smtp
Kõigi tulemüüri reeglite loetlemiseks käivitage järgmine käsk.
$ sudo firewall-cmd --permanent --list-all
Eemaldage RHEL 7-st mittevajalikud teenused
Kõigi teie RHEL-serveris töötavate võrguteenuste (TCP ja UDP) loendi saamiseks väljastage ss käsk, nagu on näidatud allpool toodud näidises.
$ sudo ss -tulpn
Käsk ss paljastab mõned huvitavad teenused, mis on teie süsteemis vaikimisi käivitatud ja töötavad, näiteks Postfixi põhiteenus ja NTP-protokolli eest vastutav server.
Kui te ei kavatse seda serveri meiliserverit konfigureerida, peaksite Postfixi deemoni peatama, keelama ja eemaldama, väljastades järgmised käsud.
$ sudo systemctl stop postfix.service $ sudo yum remove postfix
Hiljuti on teatatud mõnest vastikust DDOS-i rünnakust NTP-protokolli üle. Kui te ei kavatse oma RHEL-serverit konfigureerida töötama NTP-serverina, et sisekliendid saaksid selle serveriga aega sünkroonida, peaksite Chrony-deemoni täielikult keelama ja eemaldama, väljastades järgmised käsud.
$ sudo systemctl stop chronyd.service $ sudo yum remove chrony
Jällegi käivitage ss käsk, et tuvastada, kas teie süsteemis töötavad muud võrguteenused, ja keelake ja eemaldage need.
$ sudo ss -tulpn
Oma serveri täpse aja tagamiseks ja aja sünkroniseerimiseks suurema ajaga peer-serveriga saate installida ntpdate utiliidi ja sünkroonida aja avaliku NTP-serveriga, käivitades järgmised käsud.
$ sudo yum install ntpdate $ sudo ntpdate 0.uk.pool.ntp.org
Ntpdate kellaaja sünkroniseerimise käsu automatiseerimiseks, mis tuleb käivitada iga päev ilma kasutaja sekkumiseta, ajastage uus crontabi töö keskööl järgmise sisuga.
$ sudo crontab -e
Crontabi faili väljavõte:
@daily /usr/sbin/ntpdate 0.uk.pool.ntp.org
See on kõik! Nüüd olete teie RHEL-server valmis lisatarkvara installimiseks, mis on vajalik kohandatud võrguteenuste või rakenduste jaoks, näiteks veebiserveri, andmebaasiserveri, failijagamisteenuse või muude konkreetsete rakenduste installimiseks ja konfigureerimiseks.
RHEL 7 serveri täiendavaks kindlustamiseks ja karastamiseks vaadake neid järgmisi artikleid.
- Mega juhend RHEL 7 karastamiseks ja kindlustamiseks - 1. osa
- Mega juhend RHEL 7 karastamiseks ja kindlustamiseks - 2. osa
Kui kavatsete selles RHEL 7 süsteemis veebisaite juurutada, vaadake, kuidas LEMP-i pinu seadistada ja konfigureerida.