A kiszolgáló kezdeti beállítása és konfigurációi a CentOS 7 rendszeren

Ez az oktatóanyag elmagyarázza az első alapvető lépéseket, amelyeket egy minimális CentOS 7 rendszer telepítése után kell végrehajtania, grafikus környezet nélkül, hogy információkat szerezzen a telepített rendszerről, amely hardver a rendszert futtatja. és konfigurálhat más speciális rendszerfeladatokat, például hálózatépítést, root jogosultságokat, szoftvereket, szolgáltatásokat és egyebeket.

Követelmények

1. CentOS 7 minimális telepítés

Fontos: Az RHEL 7-felhasználók ezt a cikket követve elvégezhetik a kiszolgáló kezdeti beállítását az RHEL 7-en.

Frissítse a CentOS 7 rendszert

Az első lépés, amit egy frissen telepített CentOS rendszeren meg kell tenni, az az, hogy megbizonyosodjon arról, hogy a rendszer naprakészen van a legújabb kernel- és rendszerbiztonsági javításokkal, szoftvertárolókkal és csomagokkal.

A CentOS 7 rendszer teljes frissítéséhez adja ki a következő parancsokat root jogosultságokkal.

yum check-update
yum upgrade

A frissítési folyamat befejezése után a lemezterület felszabadítása érdekében a következő parancs végrehajtásával eltávolíthatja az összes letöltött csomagot, amelyet a frissítés során használtak, valamint az összes gyorsítótárazott lerakatinformációt.

yum clean all

Telepítse a System Utilities programokat a CentOS 7 rendszeren

A következő segédprogram-csomagok bizonyulhatnak hasznosnak a napi rendszeradminisztrációhoz: nano (a vi szerkesztőt helyettesítő szövegszerkesztő), wget, curl (letöltésre használt segédprogramok csomagok többnyire hálózaton keresztül) net-tools, lsof (helyi hálózatkezelési segédprogramok) és bash-completion (parancssori automatikus kiegészítés).

Telepítse mindet egy mozdulattal az alábbi parancs végrehajtásával.

yum install nano wget curl net-tools lsof bash-completion

Állítsa be a hálózatot a CentOS 7-ben

A CentOS 7 az eszközök széles skáláját kínálja a hálózat konfigurálásához és kezeléséhez, a hálózati konfigurációs fájl kézi szerkesztésétől az olyan parancsokig, mint az ip, ifconfig, nmtui, nmcli vagy route.

A kezdők számára a legegyszerűbb segédprogram a hálózati konfigurációk kezelésére és módosítására az nmtui grafikus parancssor.

A rendszer gazdagépnevének megváltoztatásához az nmtui segédprogrammal, hajtsa végre az nmtui-hostname parancsot, állítsa be a gép állomásnevét, és nyomja meg az OK gombot a befejezéshez, az ábrán látható módon. az alábbi képernyőképen.

nmtui-hostname

A hálózati interfész manipulálásához hajtsa végre az nmtui-edit parancsot, válassza ki a szerkeszteni kívánt felületet, és válassza a szerkesztés lehetőséget a jobb oldali menüből, ahogy az alábbi képernyőképen látható.

nmtui-edit

Ha már az nmtui segédprogram által biztosított grafikus felületen van, beállíthatja a hálózati interfész IP-beállításait az alábbi képernyőképen látható módon. Ha végzett, navigáljon az OK elemre a [tab] billentyűvel a konfiguráció mentéséhez és a kilépéshez.

A hálózati interfész új konfigurációjának alkalmazásához hajtsa végre az nmtui-connect parancsot, válassza ki a kezelni kívánt interfészt, és nyomja meg a Deaktiválás/aktiválás lehetőséget a leállításhoz és a felemelkedéshez. az IP-beállításokkal rendelkező interfész, az alábbi képernyőképek szerint.

nmtui-connect

A hálózati interfész beállításainak megtekintéséhez megtekintheti az interfész fájl tartalmát, vagy kiadhatja az alábbi parancsokat.

ifconfig enp0s3
ip a
ping -c2 google.com

További hasznos segédprogramok, amelyek a sebesség, a kapcsolat állapotának kezelésére vagy a gépi hálózati interfészekkel kapcsolatos információk megszerzésére használhatók, az ethtool és a mii-tool.

ethtool enp0s3
mii-tool enp0s3

Géphálózatának fontos szempontja, hogy felsorolja az összes nyitott hálózati socketet, hogy lássa, milyen programok milyen portokon figyelnek, és milyen állapotban vannak a létrehozott hálózati kapcsolatok.

Az összes olyan szerver listázásához, amely hallási állapotban nyitott TCP vagy UDP socketet, adja ki a következő parancsokat. Az UDP szerver azonban nem jelenít meg egyetlen socket állapotot sem, mivel az UDP egy kapcsolat nélküli protokoll, amely csak hálózaton keresztül küld csomagokat, és nem hoz létre kapcsolatokat.

netstat -tulpn
ss -tulpn
lsof -i4 -6

Szolgáltatások kezelése a CentOS 7 rendszerben

A CentOS 7 a systemctl segédprogramon keresztül kezeli a démonokat vagy szolgáltatásokat. Az összes szolgáltatás állapotának listázásához adja ki a következő parancsot.

systemctl list-units

Annak ellenőrzéséhez, hogy egy démon vagy szolgáltatás engedélyezve van-e a rendszer indításakor automatikusan elindulva, adja ki a következő parancsot.

systemctl list-unit-files -t service

A rendszerben található régi SysV szolgáltatások felsorolásához és letiltásához adja ki a következő chkconfig parancsokat.

chkconfig --list
chkconfig service_name off

5. Tiltsa le a nem kívánt szolgáltatásokat a CentOS 7 rendszerben

Javasoljuk, hogy a CentOS 7 telepítése után felsorolja a rendszerben futó szolgáltatásokat a fenti parancsok futtatásával, majd tiltsa le és távolítsa el azokat a rendszere elleni támadási vektorok csökkentése érdekében.

Például a Postfix démon telepítve van és alapértelmezés szerint engedélyezve van a CentOS 7 rendszerben. Ha a rendszernek nincs szüksége levelezőszerver futtatására, a legjobb, ha leállítja, letiltja és eltávolítja a postfix szolgáltatást az alábbi parancsok kiadásával. .

systemctl stop postfix
systemctl disable postfix
yum remove postfix

A netstat, ss, lsof vagy systemctl parancsokon kívül ps, top vagy pstree parancsokat is futtathat, hogy felfedezze és azonosítsa, milyen nem kívánt szolgáltatások futnak a rendszerben. és tiltsa le vagy távolítsa el őket.

Alapértelmezés szerint a pstree segédprogram nincs telepítve a CentOS 7 rendszerben. A telepítéshez hajtsa végre a következő parancsot.

yum install psmisc
pstree -p

Engedélyezze a tűzfalat a CentOs 7-ben

A Firewall a fő tűzfal-segédprogram, amely interakciókat használ az iptables szabályok kezelésére.
A tűzfal engedélyezéséhez, elindításához és ellenőrzéséhez a CentOS 7 rendszerben hajtsa végre a következő parancsokat.

systemctl enable firewalld
systemctl start firewalld
systemctl status firewalld

Ha egy adott szolgáltatást szeretne megnyitni a bejövő kapcsolatok számára, először ellenőrizze, hogy az alkalmazás már szerepel-e a tűzfal szabályokban, majd adja hozzá a szolgáltatáshoz tartozó szabályt az alábbi példában látható módon, amely lehetővé teszi, hogy >SSH bejövő kapcsolatokat. A szabály végleges hozzáadásához használja a --permanent kapcsolót.

firewall-cmd --add-service=[tab]  #List services
firewall-cmd --add-service=ssh
firewall-cmd --add-service=ssh --permanent

Ha a szolgáltatás már definiálva van a tűzfalszabályokban, manuálisan is hozzáadhatja a szolgáltatási portot az alábbi példában látható módon.

firewall-cmd --add-port=22/tcp --permanent
firewall-cmd --reload     #Apply the rule on-fly

Engedélyezze a Sudo engedélyeket a felhasználói fiókokban

Ha root jogosultságokat szeretne adni egy normál felhasználó számára, először hozza létre a felhasználót az adduser paranccsal, állítsa be a felhasználó jelszavát, és adjon root jogosultságot a felhasználónak az alábbi parancs végrehajtásával, amely hozzáadja az új felhasználót az adminisztrációs kerék csoporthoz.

adduser tecmint
passwd tecmint
usermod -aG wheel tecmint

Annak teszteléséhez, hogy az új felhasználó rendelkezik-e root jogosultságokkal, jelentkezzen be a rendszerbe a felhasználó hitelesítő adataival, és futtassa a yum parancsot sudo engedélyekkel, az alábbi kivonat szerint.

su - tecmint
sudo yum update

Állítsa be az SSH nyilvános kulcsú hitelesítést a CentOS 7 rendszeren

A szerver SSH védelméhez és a nyilvános kulcsú hitelesítés beállításához a szerver biztonságának növelése érdekében privát SSH-kulccsal a bejelentkezéshez, először hozzon létre egy SSH-kulcspárt a következő paranccsal.

Ne írjon be jelszót, ha automatizálni szeretné a szerverkezelést SSH-n keresztül.

ssh-keygen -t RSA

Az SSH-kulcspárok létrehozása után az alábbi parancs kiadásával másolja a kulcsot arra a szerverre, amelyhez csatlakozni kíván. Kezdetben adja meg távoli SSH felhasználói jelszavát a nyilvános kulcs másolásához.

ssh-copy-id remote_user@SSH_SERVER_IP

Miután a nyilvános SSH-kulcsot a távoli kiszolgálóra másolta, jelentkezzen be a távoli SSH-kiszolgálóra a következő paranccsal.

ssh remote_user@SSH_SERVER_IP

Végül az SSH-kiszolgáló biztonsága érdekében győződjön meg arról, hogy letiltja a távoli SSH-hozzáférést a root fiókhoz. Ehhez nyissa meg a /etc/ssh/sshd_config konfigurációs SSH-fájlt a szövegszerkesztővel rootként, és módosítsa a következőről: Igen - Nem.

PermitRootLogin no

A beállítás alkalmazásához újra kell indítania az SSH szolgáltatást, hogy az új konfigurációt használjon.

systemctl restart sshd

Ez minden! Ez csak néhány alapvető beállítás és parancs, amelyet minden rendszergazdának tudnia kell, és alkalmaznia kell egy frissen telepített CentOS rendszeren vagy a rendszer napi feladatainak elvégzéséhez.

A CentOS 7 szerver biztonságossá tételéhez és megerősítéséhez tekintse meg az alábbi cikkeket.

1. Mega Guide to harden and Secure CentOS 7 – 1. rész
2. Mega Guide to harden and Secure CentOS 7 – 2. rész

Ha webhelyeket szeretne telepíteni ezen a CentOS 7 rendszeren, ismerje meg a LAMP vagy LEMP verem beállítását és konfigurálását.