Topi merah

Persediaan dan konfigurasi pelayan awal di RHEL 7

Persediaan dan konfigurasi pelayan awal di RHEL 7

Dalam tutorial ini, kami akan membincangkan langkah -langkah konfigurasi pertama yang perlu anda jaga selepas pemasangan segar Red Hat Enterprise Linux 7 pada pelayan logam kosong atau di pelayan peribadi maya.

Keperluan

  1. RHEL 7 pemasangan minimum

Penting: Pengguna CentOS 7, boleh mengikuti artikel ini untuk melakukan persediaan pelayan awal pada CentOS 7.

Kemas kini sistem RHEL 7

Dalam langkah pertama log masuk ke anda RHEL Konsol pelayan dengan akaun dengan keistimewaan root atau secara langsung sebagai root dan jalankan arahan di bawah untuk mengemas kini komponen sistem anda sepenuhnya, seperti pakej yang dipasang, kernel atau memohon patch keselamatan lain.

# yum check-update # yum update

Untuk menghapuskan semua pakej yang dimuat turun secara tempatan dan cache yum lain yang berkaitan, laksanakan arahan di bawah.

# yum membersihkan semua

Pasang utiliti sistem di RHEL 7

Utiliti berikut ini boleh menjadi berguna untuk pentadbiran sistem sehari-hari: Nano (editor teks untuk menggantikan editor vi), wget, curl (Utiliti yang digunakan untuk memuat turun pakej melalui rangkaian kebanyakannya) alat bersih, LSOF (Utiliti untuk Mengurus Rangkaian Tempatan) dan Penyempurnaan Bash (Autocomplete baris arahan).

Pasang semuanya dalam satu tembakan dengan melaksanakan arahan di bawah.

# yum Pasang Nano Wget Curl Net-Tools LSOF Bash-Complete

Rangkaian Persediaan di RHEL 7

RHEL 7 mempunyai pelbagai alat yang boleh digunakan untuk mengkonfigurasi dan mengurus rangkaian, dari mengedit secara manual fail konfigurasi rangkaian untuk menggunakan arahan seperti IP, ifconfig, nmtui, nmcli atau laluan.

Utiliti paling mudah yang boleh digunakan pemula untuk mengurus dan mengubah konfigurasi rangkaian adalah nmtui baris arahan grafik.

Untuk menukar nama hos sistem melalui nmtui utiliti, laksanakan NMTUI-HOSTNAME perintah, tetapkan nama hos mesin anda dan tekan okey untuk menyelesaikan, seperti yang digambarkan dalam tangkapan skrin di bawah.

# nmtui-hostname
Tetapkan nama host di RHEL 7

Untuk memanipulasi antara muka rangkaian, laksanakan nmtui-edit Perintah, pilih antara muka yang ingin anda edit dan pilih Edit dari menu yang betul, seperti yang ditunjukkan dalam tangkapan skrin di bawah.

Konfigurasikan rangkaian di RHEL 7

Sebaik sahaja anda berada di antara muka grafik yang disediakan oleh nmtui Utiliti Anda boleh menyediakan tetapan IP antara muka rangkaian seperti yang digambarkan dalam tangkapan skrin di bawah. Apabila anda selesai, navigasi ke okey menggunakan [tab] kunci untuk menyimpan konfigurasi dan berhenti.

Alamat IP Rangkaian Persediaan

Untuk menggunakan konfigurasi baru antara muka rangkaian, laksanakan nmtui-connect perintah, pilih antara muka yang ingin anda uruskan dan tekan Nyahaktifkan/aktifkan Pilihan untuk menghancurkan dan meningkatkan antara muka dengan tetapan IP, seperti yang ditunjukkan dalam tangkapan skrin di bawah.

# nmtui-connect
Antara muka rangkaian aktif

Untuk melihat tetapan antara muka rangkaian, anda boleh memeriksa kandungan fail antara muka atau anda boleh mengeluarkan arahan di bawah.

# ifconfig enp0s3 # ip a # ping -c2 google.com
Sahkan konfigurasi rangkaian

Utiliti berguna lain yang boleh digunakan untuk menguruskan kelajuan, menghubungkan keadaan atau mendapatkan maklumat mengenai antara muka rangkaian mesin adalah ethtool dan Mii-Tool.

# ETHTOOL ENP0S3 # MII-TOOL ENP0S3
Periksa sambungan rangkaian

Buat Akaun Pengguna Baru

Pada langkah seterusnya, semasa log masuk sebagai akar ke pelayan anda, buat pengguna baru dengan arahan di bawah. Pengguna ini akan digunakan kemudian untuk log masuk ke sistem anda dan melaksanakan tugas pentadbiran.

# adduser tecmint_user

Setelah anda menambah pengguna menggunakan arahan di atas, sediakan kata laluan yang kuat untuk pengguna ini dengan mengeluarkan arahan di bawah.

# passwd tecmint_user

Dalam kes di mana anda ingin memaksa pengguna baru ini menukar kata laluannya pada percubaan log pertama, laksanakan arahan di bawah.

# chage -d0 tecmint_user

Akaun pengguna baru ini mempunyai keistimewaan akaun biasa sekarang dan tidak dapat melaksanakan tugas pentadbiran melalui arahan sudo.

Untuk mengelakkan penggunaan akaun root untuk melaksanakan keistimewaan pentadbiran, berikan pengguna baru ini dengan keistimewaan pentadbiran dengan menambahkan pengguna untuk "roda"Kumpulan Sistem.

Pengguna milik "roda"Kumpulan dibenarkan, secara lalai dalam RHEL, untuk menjalankan arahan dengan keistimewaan akar dengan menggunakan sudo utiliti sebelum menulis arahan yang diperlukan untuk pelaksanaan.

Contohnya, untuk menambah pengguna "tecmint_user"Untuk"roda"Kumpulan, laksanakan arahan di bawah.

# usermod -ag roda tecmint_user

Selepas itu, log masuk ke sistem dengan pengguna baru dan cuba mengemas kini sistem melalui 'Kemas kini sudo yum'Perintah untuk menguji jika pengguna mempunyai kuasa root yang diberikan.

# Su - TECMINT_USER $ sudo yum update

Konfigurasikan Pengesahan Utama Awam SSH pada RHEL 7

Pada langkah seterusnya untuk meningkatkan keselamatan RHEL anda, konfigurasikan pengesahan kunci awam SSH untuk pengguna baru. Untuk menghasilkan pasangan kunci SSH, kunci awam dan swasta, laksanakan arahan berikut di konsol pelayan anda. Pastikan anda log masuk ke sistem dengan pengguna yang anda tetapkan kunci SSH.

# su -tecmint_user $ ssh -keygen -t rsa

Walaupun kunci dijana, anda akan diminta untuk menambah laluan belakang Untuk menjamin kunci. Anda boleh memasuki yang kuat laluan belakang atau pilih untuk meninggalkan kosong laluan kosong jika anda ingin mengautomasikan tugas melalui pelayan SSH.

Selepas kunci SSH telah dijana, salin pasangan kunci awam ke pelayan jauh dengan melaksanakan arahan di bawah. Untuk memasang kunci awam ke pelayan SSH jauh, anda memerlukan akaun pengguna yang mempunyai kelayakan untuk log masuk ke pelayan tersebut.

$ ssh-copy-id [dilindungi e-mel]

Sekarang anda harus cuba log masuk melalui SSH ke pelayan jauh menggunakan kunci peribadi sebagai kaedah pengesahan. Anda sepatutnya dapat log masuk secara automatik tanpa pelayan SSH meminta kata laluan.

$ ssh [dilindungi e -mel]

Untuk melihat kandungan kunci SSH awam anda jika anda ingin memasang secara manual kunci ke pelayan SSH yang jauh, mengeluarkan arahan berikut.

$ kucing ~/.SSH/ID_RSA

Selamat ssh pada rhel 7

Untuk menjamin SSH Daemon dan tidak membenarkan akses SSH jauh ke akaun root melalui kata laluan atau kekunci, buka fail konfigurasi utama pelayan SSH dan buat perubahan berikut.

$ sudo vi/etc/ssh/sshd_config

Cari garis #Permitrootlogin ya, Uncomment garis dengan mengeluarkan # tanda (hashtag) dari awal garis dan ubah suai garis untuk kelihatan seperti ditunjukkan dalam petikan di bawah.

Permitrootlogin no

Selepas itu, mulakan semula pelayan SSH untuk menggunakan tetapan baru dan uji konfigurasi dengan cuba log masuk ke pelayan ini dengan akaun root. Akses ke akaun root melalui SSH harus dihadkan sekarang.

$ sudo Systemctl Restart SSHD

Terdapat situasi di mana anda mungkin mahu melepaskan semua sambungan SSH jauh ke pelayan anda secara automatik selepas tempoh tidak aktif.

Untuk membolehkan ciri ini seluruh sistem, laksanakan arahan di bawah, yang menambah Tmout pemboleh ubah bash ke utama Bashrc fail dan memaksa setiap sambungan SSH untuk diputuskan atau dijatuhkan selepas 5 minit tidak aktif.

$ su -c 'echo "tmout = 300" >> /etc /bashrc'

Jalankan perintah ekor untuk memeriksa sama ada pemboleh ubah telah ditambah dengan betul pada akhir /etc/bashrc fail. Semua sambungan SSH berikutnya akan ditutup secara automatik selepas 5 minit tidak aktif mulai sekarang.

$ ekor /etc /bashrc

Dalam tangkapan skrin di bawah, sesi SSH jauh dari Drupal Machine ke RHEL Server telah auto-logout selepas 5 minit.

Sesi SSH Auto

Konfigurasikan firewall di RHEL 7

Pada langkah seterusnya mengkonfigurasi firewall untuk terus mengamankan sistem di peringkat rangkaian. RHEL 7 Kapal dengan Aplikasi Firewalld untuk Menguruskan Peraturan Iptables di Pelayan.

Pertama, pastikan firewall berjalan dalam sistem anda dengan mengeluarkan arahan di bawah. Sekiranya daemon firewalld dihentikan, anda harus memulakannya dengan arahan berikut.

$ sudo systemctl status firewalld $ sudo systemctl start firewalld $ sudo systemctl enable firewalld

Setelah firewall diaktifkan dan berjalan dalam sistem anda, anda boleh menggunakannya Firewall-CMD Utiliti baris arahan untuk menetapkan maklumat dasar firewall dan membenarkan lalu lintas ke beberapa port rangkaian tertentu, seperti SSH Daemon, sambungan yang dibuat ke pelayan web dalaman atau perkhidmatan rangkaian lain yang berkaitan.

Kerana sekarang kami hanya menjalankan daemon SSH di pelayan kami, kami boleh menyesuaikan dasar firewall untuk membolehkan lalu lintas untuk port perkhidmatan SSH dengan mengeluarkan arahan berikut.

$ sudo firewall-cmd --add-service = ssh --permanent $ sudo firewall-cmd--reload

Untuk menambah peraturan firewall secara terbang, tanpa menggunakan peraturan pada masa akan datang pelayan dimulakan, gunakan sintaks perintah di bawah.

$ sudo firewall-cmd --add-service = sshd

Sekiranya anda memasang perkhidmatan rangkaian lain di pelayan anda, seperti pelayan http, pelayan mel atau perkhidmatan rangkaian lain, anda boleh menambah peraturan untuk membolehkan sambungan tertentu seperti berikut.

$ sudo firewall-cmd --permanent --add-service = http $ sudo firewall-cmd --permanent --add-service = https $ sudo firewall-cmd --permanent --add-service = smtp

Untuk menyenaraikan semua peraturan firewall menjalankan arahan di bawah.

$ sudo firewall-cmd --permanent --list-all

Keluarkan perkhidmatan yang tidak diperlukan di RHEL 7

Untuk mendapatkan senarai semua perkhidmatan rangkaian (TCP dan UDP) yang dijalankan di pelayan RHEL anda secara lalai, mengeluarkan ss perintah, seperti yang digambarkan dalam sampel di bawah.

$ sudo ss -tulpn

The ss Perintah akan mendedahkan beberapa perkhidmatan menarik yang dimulakan dan dijalankan secara lalai dalam sistem anda, seperti Postfix perkhidmatan induk dan pelayan yang bertanggungjawab untuk protokol NTP.

Sekiranya anda tidak merancang untuk mengkonfigurasi pelayan ini pelayan mel, anda harus berhenti, melumpuhkan dan mengeluarkan daemon postfix dengan mengeluarkan arahan di bawah.

$ sudo systemctl berhenti postfix.perkhidmatan $ sudo yum keluarkan postfix

Baru -baru ini, telah dilaporkan beberapa serangan DDoS jahat terhadap protokol NTP. Sekiranya anda tidak merancang untuk mengkonfigurasi pelayan RHEL anda untuk dijalankan sebagai pelayan NTP agar pelanggan dalaman menyegerakkan masa dengan pelayan ini, anda harus melumpuhkan sepenuhnya dan mengeluarkan daemon kronis dengan mengeluarkan arahan di bawah.

$ sudo systemctl stop chonyd.perkhidmatan $ sudo yum keluarkan kroni

Sekali lagi, lari ss perintah untuk mengenal pasti sama ada perkhidmatan rangkaian lain berjalan dalam sistem anda dan melumpuhkan dan membuangnya.

$ sudo ss -tulpn

Untuk memberikan masa yang tepat untuk pelayan anda dan menyegerakkan masa dengan pelayan rakan sebaya, anda boleh memasang ntpdate utiliti dan masa penyegerakan dengan pelayan NTP awam, dengan melaksanakan arahan di bawah.

$ sudo yum memasang ntpdate $ sudo ntpdate 0.UK.kolam.NTP.org

Untuk mengautomasikan ntpdate Perintah menyegerakkan masa untuk dilaksanakan setiap hari tanpa campur tangan pengguna, jadilah pekerjaan crontab baru untuk dijalankan pada tengah malam dengan kandungan berikut.

$ sudo crontab -e

Petikan Fail Crontab:

@daily/usr/sbin/ntpdate 0.UK.kolam.NTP.org

Itu sahaja! Sekarang, anda RHEL Server disediakan untuk memasang perisian tambahan yang diperlukan untuk perkhidmatan rangkaian atau aplikasi tersuai, seperti memasang dan mengkonfigurasi pelayan web, pelayan pangkalan data, perkhidmatan saham fail atau aplikasi khusus lain.

Untuk lebih selamat dan mengeras pelayan Rhel 7, lihat artikel berikut.

  1. Panduan Mega untuk mengeras dan selamat RHEL 7 - Bahagian 1
  2. Panduan Mega untuk mengeras dan selamat RHEL 7 - Bahagian 2

Sekiranya anda merancang untuk menggunakan laman web di sistem RHEL 7 ini, pelajari cara membuat persediaan dan konfigurasikan timbunan lampu atau timbunan lemp.