Pradinė serverio sąranka naudojant CentOS/RHEL 8

Šiame straipsnyje apžvelgsime pirmuosius pagrindinius veiksmus, kuriuos turite atlikti įdiegę minimalų CentOS/RHEL 8 serverį be grafinės aplinkos, kad būtų galima gauti informaciją apie įdiegtą sistemą, aparatinę įrangą, ant kurios veikia serveris, ir sukonfigūruoti kitas konkrečias sistemos užduotis, tokias kaip sistemos naujinimas, tinklo kūrimas, šakninės teisės, konfigūruoti ssh, valdyti paslaugas ir kt.

Reikalavimai

  1. CentOS 8 diegimo vadovas
  2. RHEL 8 Minimalus montavimas
  3. Įgalinkite RHEL prenumeratą RHEL 8

Svarbu: RHEL 8 serveryje turi būti įjungta Red Hat prenumeratos paslauga, kad galėtumėte atnaujinti sistemą ir programinės įrangos diegimas.

1 veiksmas: atnaujinkite sistemos programinę įrangą

Pirmiausia prisijunkite prie savo serverio kaip root naudotojas ir paleiskite šias komandas, kad visiškai atnaujintumėte sistemą su naujausiais branduoliais, sistemos saugos pataisomis, programinės įrangos saugyklomis ir paketais.

dnf check-update
dnf update

Pasibaigus programinės įrangos naujinimo procesui, norėdami atlaisvinti vietos diske, galite ištrinti visus atsisiųstus programinės įrangos paketus su visa talpyklos saugyklų informacija, vykdydami šią komandą.

dnf clean all

2 veiksmas: įdiekite sistemos paslaugų programas

Šios sistemos paslaugų programos gali būti labai naudingos atliekant kasdienes sistemos administravimo užduotis: nano, vim redaktorius, wget & curl (įrankinės paslaugos, dažniausiai naudojamos paketams atsisiųsti per tinklą), net-tools (vietinio tinklo valdymo priemonės) lsof (naudingos atidarytų failų sąrašo radimas pagal procesą) ir bash-completion (komandinės eilutės automatinis užbaigimas).

dnf install nano vim wget curl net-tools lsof bash-completion

3 veiksmas: nustatykite pagrindinio kompiuterio pavadinimą ir tinklą

CentOS/RHEL 8 saugyklose yra daugybė įrankių, naudojamų tinklui konfigūruoti ir tvarkyti, nuo rankinio tinklo konfigūracijos failo keitimo iki komandų, pvz., ifconfig, ip, nmcli ir nmtui.

Paprasčiausias įrankis, kurį naujokas gali naudoti tinklo konfigūracijai konfigūruoti ir tvarkyti, pvz., tinklo prieglobos pavadinimo ir statinio IP adreso konfigūravimui, yra nmtui grafinė komandų eilutės priemonė.

Nustatykite pagrindinio kompiuterio pavadinimą „CentOS 8“.

Norėdami nustatyti arba pakeisti sistemos pagrindinio kompiuterio pavadinimą, paleiskite šią komandą nmtui-hostname, kuri paragins įvesti kompiuterio pagrindinio kompiuterio pavadinimą ir paspauskite OK, kad baigtumėte, kaip parodyta toliau esančioje ekrano kopijoje.

nmtui-hostname

Nustatykite statinį IP adresą „CentOS 8“.

Norėdami sukonfigūruoti tinklo sąsają, paleiskite šią komandą nmtui-edit, kuri paragins iš meniu pasirinkti sąsają, kurią norite konfigūruoti, kaip parodyta toliau esančioje ekrano kopijoje.

nmtui-edit

Kai spustelėsite mygtuką Redaguoti, būsite paraginti nustatyti tinklo sąsajos IP nustatymus, kaip parodyta toliau esančioje ekrano kopijoje. Baigę eikite į Gerai naudodami klavišą [tab], kad išsaugotumėte konfigūraciją ir išeitumėte.

Baigę tinklo konfigūraciją, turite paleisti šią komandą, kad pritaikytumėte naujus tinklo nustatymus, pasirinkdami sąsają, kurią norite tvarkyti, ir spustelėję parinktį Išjungti/suaktyvinti, kad nutrauktumėte eksploatavimą ir parodytumėte sąsają. su IP nustatymais, kaip parodyta toliau esančioje ekrano kopijoje.

nmtui-connect

Norėdami patikrinti tinklo konfigūracijos nustatymus, galite patikrinti sąsajos failo turinį arba galite duoti toliau pateiktas komandas.

ifconfig enp0s3
ip a
ping -c2 google.com

Taip pat galite naudoti kitas naudingas tinklo priemones, pvz., ethtool ir mii-tool, kad patikrintumėte tinklo sąsajos greitį, tinklo nuorodos būseną ir gautumėte informacijos apie įrenginio tinklo sąsajas.

ethtool enp0s3
mii-tool enp0s3

Svarbus jūsų įrenginio tinklo aspektas, svarbu išvardyti visus atidarytus tinklo lizdus, kad būtų galima patikrinti, kokios tarnybos klauso kokių prievadų ir kokia yra užmegztų tinklo jungčių būsena, ir išvardyti visus failus, kuriuos atidaro procesai.

netstat -tulpn
ss -tulpn
lsof -i4 -6

4 veiksmas: sukurkite naują vartotojo paskyrą

Visada patartina turėti įprastą vartotoją, turintį root teises, kad prireikus galėtų atlikti administravimo užduotis. Norėdami įprastam vartotojui priskirti root teises, pirmiausia sukurkite vartotoją naudodami komandą useradd, nustatykite slaptažodį ir pridėkite vartotoją prie administracinio rato grupės.

useradd ravisaive
passwd ravisaive
usermod -aG wheel ravisaive

Norėdami patikrinti, ar naujasis vartotojas turi root teises, prisijunkite prie sistemos naudodami vartotojo kredencialus ir paleiskite komandą dnf su Sudo leidimais, kaip parodyta.

su - ravisaive
sudo dnf update

5 veiksmas: „CentOS 8“ nustatykite SSH prisijungimą be slaptažodžio

Norėdami padidinti serverio saugumą, nustatykite SSH autentifikavimą be slaptažodžio naujam vartotojui sugeneruodami SSH raktų porą, kurioje yra viešasis ir privatus raktas, bet jūs turite sukurti vieną. Tai padidins jūsų serverio saugumą, nes norint prisijungti prie sistemos reikės privataus SSH rakto.

su - ravisaive
ssh-keygen -t RSA

Kai raktas bus sugeneruotas, jis paprašys įvesti slaptafrazę, kad būtų apsaugotas privatus raktas. Galite įvesti stiprią slaptafrazę arba palikti slaptafrazę tuščią, jei norite automatizuoti administravimo užduotis per SSH serverį.

Sugeneravę SSH raktą, turite nukopijuoti sugeneruotą viešųjų raktų porą į nuotolinį serverį vykdydami komandą ssh-copy-id su nuotolinio serverio naudotojo vardu ir IP adresu, kaip parodyta.

ssh-copy-id [email 

Kai SSH raktas bus nukopijuotas, dabar galite pabandyti prisijungti prie nuotolinio Linux serverio naudodami privatų raktą kaip autentifikavimo metodą. Turėtumėte turėti galimybę prisijungti automatiškai, SSH serveriui neprašant slaptažodžio.

[email 

6 veiksmas: SSH nuotolinio prisijungimo apsauga

Čia mes šiek tiek labiau apsaugosime savo serverį, išjungdami nuotolinę SSH prieigą prie šakninės paskyros SSH konfigūracijos faile.

vi /etc/ssh/sshd_config

Raskite eilutę, kurioje parašyta #PermitRootLogin taip, panaikinkite eilutės komentarą ištrindami # iš eilutės pradžios ir pakeiskite eilutę į.

PermitRootLogin no

Po to iš naujo paleiskite SSH serverį, kad pritaikytumėte naujausius naujus pakeitimus.

systemctl restart sshd

Dabar patikrinkite konfigūraciją bandydami prisijungti kaip root paskyra, gausite SSH leidimų atsisakymo klaidą, kaip parodyta.

ssh [email 

Yra atvejų, kai po tam tikro neveiklumo laikotarpio galite automatiškai atjungti visus nuotolinius SSH ryšius su serveriu.

7 veiksmas: sukonfigūruokite ugniasienę „CentOS 8“.

CentOS/RHEL 8 numatytoji ugniasienė yra Ugniasienė, kuri naudojama iptables taisyklėms tvarkyti serveryje. Norėdami įjungti ir paleisti ugniasienės paslaugą serveryje, vykdykite šias komandas.

systemctl enable firewalld
systemctl start firewalld
systemctl status firewalld

Norėdami atidaryti gaunamą ryšį su konkrečia paslauga (SSH), pirmiausia turite patvirtinti, kad paslauga įtraukta į ugniasienės taisykles ir tada pridėti taisyklę paslaugą pridedant --permanent jungiklį prie komandų, kaip parodyta.

firewall-cmd --add-service=[tab]  #List services
firewall-cmd --add-service=ssh
firewall-cmd --add-service=ssh --permanent

Jei norite atidaryti gaunamus ryšius su kitomis tinklo paslaugomis, pvz., HTTP arba SMTP, tiesiog pridėkite taisykles, kaip parodyta, nurodydami paslaugos pavadinimą.

firewall-cmd --permanent --add-service=http
firewall-cmd --permanent --add-service=https
firewall-cmd --permanent --add-service=smtp

Norėdami peržiūrėti visas serverio ugniasienės taisykles, paleiskite šią komandą.

firewall-cmd --permanent --list-all

8 veiksmas: pašalinkite nepageidaujamas paslaugas iš „CentOS 8“.

Primygtinai rekomenduojama įdiegus naują CentOS/RHEL 8 serverį, turite pašalinti ir išjungti nepageidaujamas paslaugas, kurios pagal numatytuosius nustatymus veikia serveryje, kad sumažintumėte atakas prieš serverį.

Norėdami išvardyti visas serveryje veikiančias tinklo paslaugas, įskaitant TCP ir UDP, paleiskite komandą ss arba netstat, kaip parodyta toliau pateiktame pavyzdyje.

ss -tulpn
OR
netstat -tulpn

Aukščiau pateiktose komandose bus išvardytos kai kurios įdomios paslaugos, kurios pagal numatytuosius nustatymus veikia serveryje, pvz., pašto serveris Postfix. Jei neplanuojate talpinti pašto sistemos serveryje, turite ją sustabdyti ir pašalinti iš sistemos, kaip parodyta.

systemctl stop postfix
systemctl disable postfix
dnf remove postfix

Be komandų ss ir netstat, taip pat galite paleisti ps, top arba pstree komandas, kad surastumėte ir identifikuotumėte visas nepageidaujamas paslaugas ir pašalintumėte jas iš sistemos.

dnf install psmisc
pstree -p

9 veiksmas: tvarkykite paslaugas „CentOS 8“.

CentOS/RHEL 8 visos paslaugos ir demonai valdomi naudojant komandą systemctl, o šią komandą galite naudoti norėdami išvardyti visas aktyvias, veikiančias, išjungtas ar nepavykusias paslaugas.

systemctl list-units

Norėdami patikrinti, ar demonas arba paslauga automatiškai įjungiama paleidžiant sistemą, išduokite šią komandą.

systemctl list-unit-files -t service

Norėdami sužinoti daugiau apie komandą systemctl, perskaitykite mūsų straipsnį, kuriame paaiškinama – Kaip valdyti paslaugas naudojant „Systemctl“ sistemoje „Linux“.

Tai viskas! Šiame straipsnyje paaiškinome keletą pagrindinių nustatymų ir komandų, kurias kiekvienas „Linux“ sistemos administratorius turi žinoti ir taikyti naujai įdiegtoje CentOS/RHEL 8 sistemoje arba norint atlikti kasdienes užduotis sistemoje. .