Pradinė serverio sąranka ir konfigūracijos „CentOS 7“.

Šioje pamokoje bus paaiškinti pirmieji pagrindiniai žingsniai, kuriuos turite atlikti įdiegę minimalią CentOS 7 sistemą be grafinės aplinkos, kad gautumėte informacijos apie įdiegtą sistemą, kurios aparatinė įranga valdo sistemą. ir konfigūruoti kitas konkrečias sistemos užduotis, tokias kaip tinklų kūrimas, šakninės teisės, programinė įranga, paslaugos ir kt.

Reikalavimai

1. Minimalus CentOS 7 diegimas

Svarbu: RHEL 7 naudotojai gali vadovautis šiuo straipsniu, norėdami atlikti pradinę serverio sąranką RHEL 7.

Atnaujinkite CentOS 7 sistemą

Pirmas žingsnis, kurį turite atlikti naujai įdiegtoje CentOS sistemoje, yra įsitikinti, kad sistema yra atnaujinta naudojant naujausius branduolio ir sistemos saugos pataisymus, programinės įrangos saugyklas ir paketus.

Norėdami visiškai atnaujinti CentOS 7 sistemą, išduokite šias komandas su root teisėmis.

yum check-update
yum upgrade

Baigus atnaujinimo procesą, norėdami atlaisvinti vietos diske, galite pašalinti visus atsisiųstus paketus, kurie buvo naudojami naujinimo procese, kartu su visa talpyklos saugyklų informacija, vykdydami šią komandą.

yum clean all

Įdiekite sistemos paslaugų programas „CentOS 7“.

Šie paslaugų paketai gali būti naudingi kasdieniam sistemos administravimui: nano (teksto rengyklė, pakeičianti vi redaktorių), wget, curl (pasisiunčiant naudojamos priemonės paketai dažniausiai tinkle) net-tools, lsof (vietinio tinklo valdymo paslaugos) ir bash-completion (komandinės eilutės automatinis užbaigimas).

Įdiekite juos visus vienu metu, vykdydami toliau pateiktą komandą.

yum install nano wget curl net-tools lsof bash-completion

Nustatykite tinklą „CentOS 7“.

CentOS 7 turi daugybę įrankių, kuriuos galima naudoti konfigūruojant ir tvarkyti tinklus, pradedant rankiniu tinklo konfigūracijos failo redagavimu ir baigiant komandomis, pvz., ip, ifconfig, nmtui, nmcli arba maršrutas.

Paprasčiausias įrankis, kuriuo pradedantysis gali valdyti ir keisti tinklo konfigūracijas, yra nmtui grafinė komandų eilutė.

Norėdami pakeisti sistemos pagrindinio kompiuterio pavadinimą naudodami nmtui paslaugų programą, vykdykite komandą nmtui-hostname, nustatykite įrenginio pagrindinio kompiuterio pavadinimą ir paspauskite Gerai, kad užbaigtumėte, kaip parodyta paveikslėlyje. žemiau esančioje ekrano kopijoje.

nmtui-hostname

Norėdami valdyti tinklo sąsają, vykdykite komandą nmtui-edit, pasirinkite norimą redaguoti sąsają ir dešiniajame meniu pasirinkite redaguoti, kaip parodyta toliau esančioje ekrano kopijoje.

nmtui-edit

Kai esate grafinėje sąsajoje, kurią teikia nmtui paslaugų programa, galite nustatyti tinklo sąsajos IP nustatymus, kaip parodyta toliau esančioje ekrano kopijoje. Baigę eikite į Gerai naudodami klavišą [tab], kad išsaugotumėte konfigūraciją ir išeitumėte.

Norėdami pritaikyti naują tinklo sąsajos konfigūraciją, vykdykite komandą nmtui-connect, pasirinkite norimą tvarkyti sąsają ir paspauskite parinktį Išjungti/suaktyvinti, kad išjungtumėte ir padidintumėte. sąsaja su IP nustatymais, kaip parodyta toliau pateiktose ekrano kopijose.

nmtui-connect

Norėdami peržiūrėti tinklo sąsajos nustatymus, galite patikrinti sąsajos failo turinį arba galite duoti toliau pateiktas komandas.

ifconfig enp0s3
ip a
ping -c2 google.com

Kitos naudingos priemonės, kurias galima naudoti norint valdyti greitį, ryšio būseną arba gauti informaciją apie įrenginio tinklo sąsajas, yra ethtool ir mii-tool.

ethtool enp0s3
mii-tool enp0s3

Svarbus jūsų įrenginio tinklo aspektas yra visų atvirų tinklo lizdų sąrašas, kad pamatytumėte, kokios programos klausosi kokių prievadų ir kokia yra užmegztų tinklo jungčių būsena.

Norėdami išvardyti visus serverius, kurie klausymosi būsenoje atidarė TCP arba UDP lizdus, išduokite šias komandas. Tačiau UDP serveris nepateiks jokių lizdų būsenų, nes UDP yra be ryšio protokolas, kuris tik siunčia paketus per tinklą ir neužmezga ryšių.

netstat -tulpn
ss -tulpn
lsof -i4 -6

Tvarkykite paslaugas „CentOS 7“.

CentOS 7 valdo demonus arba paslaugą per „systemctl“ priemonę. Norėdami išvardyti visas paslaugų būsenas, išduokite šią komandą.

systemctl list-units

Norėdami patikrinti, ar demonas arba paslauga įgalinta automatiškai paleisti, kai sistema paleidžiama, išduokite šią komandą.

systemctl list-unit-files -t service

Norėdami išvardyti senas sistemoje esančias SysV paslaugas ir jas išjungti, išduokite šias chkconfig komandas.

chkconfig --list
chkconfig service_name off

5. Išjunkite nepageidaujamas paslaugas „CentOS 7“.

Įdiegus CentOS 7, paleidžiant aukščiau pateiktas komandas, rekomenduojama nurodyti sistemoje veikiančias paslaugas ir jas išjungti bei pašalinti, kad sumažėtų atakų prieš jūsų sistemą vektoriai.

Pavyzdžiui, Postfix demonas yra įdiegtas ir įgalintas pagal numatytuosius nustatymus „CentOS 7“. Jei jūsų sistemai nereikia paleisti pašto serverio, geriausia sustabdyti, išjungti ir pašalinti „postfix“ paslaugą išduodant toliau pateiktas komandas. .

systemctl stop postfix
systemctl disable postfix
yum remove postfix

Be netstat, ss, lsof arba systemctl komandų, taip pat galite paleisti komandas ps, top arba pstree, kad aptiktumėte ir nustatytumėte, kokios nepageidaujamos paslaugos veikia jūsų sistemoje. ir juos išjungti arba pašalinti.

Pagal numatytuosius nustatymus pstree įrankis neįdiegtas CentOS 7. Norėdami ją įdiegti, vykdykite šią komandą.

yum install psmisc
pstree -p

Įgalinkite užkardą „CentOs 7“.

Ugniasienė yra pagrindinė ugniasienės programa, kuri sąveikauja su iptables taisyklėmis.
Norėdami įjungti ir paleisti bei patikrinti užkardą CentOS 7, vykdykite šias komandas.

systemctl enable firewalld
systemctl start firewalld
systemctl status firewalld

Norėdami atidaryti konkrečią paslaugą gaunamiems ryšiams, pirmiausia patikrinkite, ar programa jau yra ugniasienės taisyklėse, tada pridėkite paslaugos taisyklę, kaip parodyta toliau pateiktame pavyzdyje, leidžiančiame >SSH gaunamus ryšius. Norėdami pridėti taisyklę visam laikui, naudokite jungiklį --permanent.

firewall-cmd --add-service=[tab]  #List services
firewall-cmd --add-service=ssh
firewall-cmd --add-service=ssh --permanent

Jei paslauga jau apibrėžta ugniasienės taisyklėse, galite rankiniu būdu pridėti paslaugos prievadą, kaip parodyta toliau pateiktame pavyzdyje.

firewall-cmd --add-port=22/tcp --permanent
firewall-cmd --reload     #Apply the rule on-fly

Įgalinti Sudo leidimus vartotojų paskyrose

Norėdami įprastam vartotojui suteikti root teises, pirmiausia sukurkite vartotoją išleisdami komandą adduser, nustatykite vartotojo slaptažodį ir suteikite vartotojui root teises vykdydami toliau pateiktą komandą, kuri prideda naują vartotoją į administravimo rato grupę.

adduser tecmint
passwd tecmint
usermod -aG wheel tecmint

Norėdami patikrinti, ar naujasis vartotojas turi root teises, prisijunkite prie sistemos naudodami vartotojo kredencialus ir paleiskite komandą yum su sudo leidimais, kaip parodyta toliau pateiktoje ištraukoje.

su - tecmint
sudo yum update

Konfigūruokite SSH viešojo rakto autentifikavimą „CentOS 7“.

Norėdami apsaugoti SSH serverį ir nustatyti viešojo rakto autentifikavimą, kad padidintumėte serverio saugumą naudojant privatų SSH raktą, kad prisijungtumėte, pirmiausia sugeneruokite SSH raktų porą naudodami šią komandą.

Neįveskite slaptafrazės, jei norite automatizuoti serverio valdymą per SSH.

ssh-keygen -t RSA

Sukūrę SSH raktų poras, nukopijuokite raktą į serverį, prie kurio norite prisijungti, išduodami toliau pateiktą komandą. Iš pradžių įveskite nuotolinio SSH vartotojo slaptažodį, kad nukopijuotumėte viešąjį raktą.

ssh-copy-id remote_user@SSH_SERVER_IP

Nukopijavę viešąjį SSH raktą į nuotolinį serverį, prisijunkite prie nuotolinio SSH serverio naudodami šią komandą.

ssh remote_user@SSH_SERVER_IP

Galiausiai, norėdami apsaugoti SSH serverį, būtinai uždrauskite nuotolinę SSH prieigą prie šakninės paskyros atidarydami konfigūracijos SSH failą /etc/ssh/sshd_config naudodami teksto rengyklę kaip root ir pakeiskite ją iš Taip į Ne.

PermitRootLogin no

Norėdami pritaikyti nustatymą, turite iš naujo paleisti SSH paslaugą, kad ji naudotų naują konfigūraciją.

systemctl restart sshd

Tai viskas! Tai tik keli pagrindiniai nustatymai ir komandos, kurias kiekvienas sistemos administratorius turi žinoti ir taikyti naujai įdiegtoje CentOS sistemoje arba norint atlikti kasdienes sistemos užduotis.

Norėdami apsaugoti ir sustiprinti CentOS 7 serverį, peržiūrėkite šiuos straipsnius.

1. „Mega“ vadovas, kaip sustiprinti ir apsaugoti „CentOS 7“ – 1 dalis
2. „Mega“ vadovas, kaip sustiprinti ir apsaugoti „CentOS 7“ – 2 dalis

Jei planuojate įdiegti svetaines šioje „CentOS 7“ sistemoje, sužinokite, kaip nustatyti ir konfigūruoti LAMP arba LEMP krūvą.