Siri RHCSA Mengamankan SSH, Menetapkan Nama Hos dan Membolehkan Perkhidmatan Rangkaian - Bahagian 8

Sebagai pentadbir sistem, anda sering perlu log masuk ke sistem terpencil untuk melaksanakan pelbagai tugas pentadbiran menggunakan emulator terminal. Anda jarang duduk di hadapan terminal sebenar (fizikal), jadi anda perlu menyediakan cara untuk log masuk dari jauh ke mesin yang anda akan diminta untuk menguruskan.

Sebenarnya, ini mungkin perkara terakhir yang perlu anda lakukan di hadapan terminal fizikal. Atas alasan keselamatan, menggunakan Telnet Untuk tujuan ini bukan idea yang baik, kerana semua lalu lintas melalui wayar dalam teks yang tidak disulitkan, biasa.

Di samping itu, dalam artikel ini, kami juga akan mengkaji cara mengkonfigurasi perkhidmatan rangkaian untuk memulakan secara automatik di boot dan belajar bagaimana untuk menyediakan resolusi rangkaian dan hostname secara statik atau dinamik.

RHCSA: Secure SSH dan Membolehkan Perkhidmatan Rangkaian - Bahagian 8

Memasang dan menjamin komunikasi SSH

Untuk anda dapat log masuk dari jauh ke a RHEL 7 Kotak menggunakan SSH, anda perlu memasang OpenSSH, OpenSsh-Clients dan OpenSsh-Servers pakej. Perintah berikut bukan sahaja akan memasang program log masuk jauh, tetapi juga alat pemindahan fail selamat, serta utiliti salinan fail jauh:

# yum kemas kini && yum memasang openssh openssh-clients openssh-servers 

Perhatikan bahawa adalah idea yang baik untuk memasang rakan server kerana anda mungkin mahu menggunakan mesin yang sama dengan kedua -dua klien dan pelayan pada satu ketika atau yang lain.

Selepas pemasangan, terdapat beberapa perkara asas yang perlu anda ambil kira jika anda ingin mendapatkan akses jauh ke pelayan SSH anda. Tetapan berikut harus hadir di /etc/ssh/sshd_config fail.

1. Tukar pelabuhan di mana daemon SSHD akan mendengar dari 22 (nilai lalai) ke port tinggi (2000 atau lebih besar), tetapi pertama pastikan pelabuhan yang dipilih tidak digunakan.

Contohnya, katakan anda memilih port 2500. Gunakan NetStat untuk memeriksa sama ada pelabuhan yang dipilih digunakan atau tidak:

# netstat -npltu | Grep 2500 

Jika netstat tidak mengembalikan apa -apa, anda boleh menggunakan port dengan selamat 2500 untuk SSHD, dan anda harus menukar tetapan port dalam fail konfigurasi seperti berikut:

Port 2500 

2. Hanya membenarkan Protokol 2:

Protokol 2 

3. Konfigurasikan masa tamat pengesahan hingga 2 minit, jangan biarkan log masuk root, dan hadkan minimum senarai pengguna yang dibenarkan masuk melalui SSH:

Logingracetime 2m permitrootlogin tidak ada alat peruntukan gacanepa 

4. Sekiranya boleh, gunakan berasaskan kunci dan bukannya pengesahan kata laluan:

PasswordAuthentication no rsaAuthentication ya pubkeyAuthentication ya 

Ini mengandaikan bahawa anda telah membuat pasangan kunci dengan nama pengguna anda pada mesin klien anda dan menyalinnya ke pelayan anda seperti yang dijelaskan di sini.

1. Dayakan log masuk tanpa kata laluan SSH

Mengkonfigurasi Rangkaian dan Resolusi Nama

1. Setiap pentadbir sistem harus berkenalan dengan fail konfigurasi seluruh sistem berikut:

1. /etc/hos digunakan untuk menyelesaikan nama IPS dalam rangkaian kecil.

Setiap baris di /etc/hos Fail mempunyai struktur berikut:

Alamat IP - Nama Host - FQDN 

Sebagai contoh,

192.168.0.10 komputer riba komputer riba.Gabrielcanepa.com.ar 

2. /etc/resolv.Conf Menentukan alamat IP pelayan DNS dan domain carian, yang digunakan untuk menyelesaikan nama pertanyaan yang diberikan kepada nama domain yang berkelayakan sepenuhnya apabila tiada akhiran domain dibekalkan.

Dalam keadaan biasa, anda tidak perlu mengedit fail ini kerana ia diuruskan oleh sistem. Walau bagaimanapun, sekiranya anda ingin menukar pelayan DNS, dinasihatkan bahawa anda perlu berpegang pada struktur berikut dalam setiap baris:

Nameserver - Alamat IP 

Sebagai contoh,

Nameserver 8.8.8.8 

3. 3. /etc/host.Conf Menentukan kaedah dan urutan yang mana nama tuan rumah diselesaikan dalam rangkaian. Dengan kata lain, memberitahu nama resolver perkhidmatan mana yang hendak digunakan, dan dalam urutan apa.

Walaupun fail ini mempunyai beberapa pilihan, persediaan yang paling biasa dan asas termasuk garis seperti berikut:

Perintah mengikat, tuan rumah 

Yang menunjukkan bahawa resolver harus terlebih dahulu melihat dalam nameservers yang dinyatakan dalam resolv.Conf Dan kemudian ke /etc/hos Fail untuk Resolusi Nama.

4. /etc/sysconfig/rangkaian Mengandungi Routing dan Maklumat Hos Global untuk semua antara muka rangkaian. Nilai berikut boleh digunakan:

Rangkaian = Ya | Tiada HostName = Nilai 

Di mana nilai mestilah nama domain yang berkelayakan sepenuhnya (FQDN).

Gateway = xxx.Xxx.Xxx.Xxx 

Di mana Xxx.Xxx.Xxx.Xxx adalah alamat IP gerbang rangkaian.

GatewayDev = Nilai 

Dalam mesin dengan pelbagai NIC, nilai adalah peranti gerbang, seperti ENP0S3.

5. Fail di dalam /etc/sysconfig/skrip rangkaian (Fail Konfigurasi Penyesuai Rangkaian).

Di dalam direktori yang disebut sebelum ini, anda akan menemui beberapa fail teks biasa yang dinamakan.

IFCFG-NAME 

Di mana nama adalah nama NIC seperti yang dikembalikan Pertunjukan pautan ip:

Semak Status Pautan Rangkaian

Sebagai contoh:

Fail rangkaian

Selain daripada untuk loopback antara muka, anda boleh mengharapkan konfigurasi yang serupa untuk NIC anda. Perhatikan bahawa beberapa pembolehubah, jika ditetapkan, akan mengatasi mereka yang hadir di /etc/sysconfig/rangkaian Untuk antara muka tertentu ini. Setiap baris dikomentari untuk penjelasan dalam artikel ini tetapi dalam fail sebenar anda harus mengelakkan komen:

Hwaddr = 08: 00: 27: 4e: 59: 37 # Alamat MAC jenis NIC = ethernet # jenis sambungan bootproto = statik # Ini menunjukkan bahawa NIC ini telah diberikan IP statik. Sekiranya pemboleh ubah ini ditetapkan kepada DHCP, NIC akan diberikan alamat IP oleh pelayan DHCP dan oleh itu dua baris seterusnya tidak boleh hadir dalam kes itu. IPaddr = 192.168.0.18 netmask = 255.255.255.0 Gateway = 192.168.0.1 nm_controlled = tidak # harus ditambahkan ke antara muka ethernet untuk mengelakkan NetworkManager daripada menukar fail. NAME = ENP0S3 UUID = 14033805-98EF-4049-BC7B-D4BEA76ED2EB ONBOOT = YA # SISTEM OPERASI MEMBUAT NIC ini semasa boot 

Menetapkan nama host

Dalam Red Hat Enterprise Linux 7, The Hostnamectl Perintah digunakan untuk kedua -dua pertanyaan dan menetapkan nama hos sistem.

Untuk memaparkan nama hos semasa, taipkan:

# HostNamectl Status 

Semak Sistem HostName

Untuk menukar nama hos, gunakan

# hostnamectl set-hostname [Nama HostName] 

Sebagai contoh,

# hostnamectl set-hostname cinderella 

Untuk perubahan yang berlaku, anda perlu memulakan semula Hostnamed Daemon (dengan cara itu anda tidak perlu log keluar dan lagi untuk menerapkan perubahan):

# Systemctl Restart SystemD-Hostnamed 

Tetapkan Sistem HostName

Sebagai tambahan, RHEL 7 Juga termasuk nmcli utiliti yang boleh digunakan untuk tujuan yang sama. Untuk memaparkan nama hos, jalankan:

# NMCLI Nama Host Umum 

Dan untuk mengubahnya:

# NMCLI Umum HostName [New HostName] 

Sebagai contoh,

# NMCLI Umum Hostname RHEL7 

Tetapkan nama host menggunakan arahan nmcli

Memulakan Perkhidmatan Rangkaian di Boot

Untuk membungkus, marilah kita lihat bagaimana kita dapat memastikan bahawa perkhidmatan rangkaian dimulakan secara automatik pada boot. Secara ringkas, ini dilakukan dengan membuat symlinks ke fail tertentu yang ditentukan dalam [Pasang] bahagian fail konfigurasi perkhidmatan.

Dalam kes Firewalld (/usr/lib/sistem/sistem/firewalld.perkhidmatan):

[Pasang] Wanteby = Basic.sasaran alias = dbus-org.Fedoraproject.Firewalld1.perkhidmatan 

Untuk membolehkan perkhidmatan:

# Systemctl Dayakan Firewalld 

Sebaliknya, melumpuhkan Firewalld yang memberi hak untuk mengeluarkan symlinks:

# Systemctl melumpuhkan firewalld 

Dayakan Perkhidmatan di Boot System

Kesimpulan

Dalam artikel ini, kami telah meringkaskan cara memasang dan menjamin sambungan melalui SSH ke a RHEL pelayan, cara menukar namanya, dan akhirnya bagaimana memastikan perkhidmatan rangkaian dimulakan pada boot. Sekiranya anda mendapati bahawa perkhidmatan tertentu gagal bermula dengan betul, anda boleh menggunakan Status SystemCTL -L [Service] dan Journalctl -xn untuk menyelesaikannya.

Jangan ragu untuk memberitahu kami apa yang anda fikirkan mengenai artikel ini menggunakan borang komen di bawah. Soalan juga dialu -alukan. Kami berharap untuk mendengar daripada anda!