Počáteční nastavení serveru s CentOS/RHEL 8
V tomto článku vás provedeme prvními základními kroky, které musíte provést po instalaci minimálního serveru CentOS/RHEL 8 bez grafického prostředí, abyste získali informace o nainstalovaném systému, hardware, na kterém běží server, a konfigurujte další specifické systémové úlohy, jako je aktualizace systému, síť, oprávnění root, konfigurace ssh, správa služeb a další.
Požadavky
- Průvodce instalací CentOS 8
- RHEL 8 Minimální instalace
- Povolte předplatné RHEL v RHEL 8
Důležité: K provedení aktualizace systému a instalace softwaru.
Krok 1: Aktualizujte systémový software
Nejprve se přihlaste ke svému serveru jako uživatel root a spusťte následující příkazy, abyste systém plně aktualizovali nejnovějším jádrem, záplatami zabezpečení systému, softwarovými úložišti a balíčky.
dnf check-update
dnf update
Po dokončení procesu aktualizace softwaru můžete za účelem uvolnění místa na disku smazat všechny stažené softwarové balíčky se všemi informacemi o úložištích uložených v mezipaměti spuštěním následujícího příkazu.
dnf clean all
Krok 2: Nainstalujte systémové nástroje
Tyto následující systémové nástroje mohou být velmi užitečné pro každodenní úkoly správy systému: nano, editor vim, wget & curl (utility používané většinou pro stahování balíčků přes síť) net-tools (utility pro správu lokální sítě) lsof (užitečné pro vyhledání seznamu otevřených souborů podle procesu) a dokončování bash (automatické dokončování příkazového řádku).
dnf install nano vim wget curl net-tools lsof bash-completion
Krok 3: Nastavte název hostitele a síť
V CentOS/RHEL 8 je v repozitářích zahrnuta široká škála nástrojů, které se používaly ke konfiguraci a správě sítě, od ruční změny konfiguračního souboru sítě po použití příkazů jako ifconfig, ip, nmcli a nmtui.
Nejjednodušší nástroj, který může nováček použít ke konfiguraci a správě konfigurací sítě, jako je nastavení názvu hostitele sítě a konfigurace statické IP adresy, je použití grafického nástroje příkazového řádku nmtui.
Nastavte název hostitele v CentOS 8
Chcete-li nastavit nebo změnit název hostitele systému, spusťte následující příkaz nmtui-hostname, který vás vyzve k zadání názvu hostitele vašeho počítače a stisknutím tlačítka OK dokončete, jak je znázorněno na níže uvedeném snímku obrazovky.
nmtui-hostname
Nastavte statickou IP adresu v CentOS 8
Chcete-li nakonfigurovat síťové rozhraní, spusťte následující příkaz nmtui-edit, který vás vyzve k výběru rozhraní, které chcete nakonfigurovat z nabídky, jak je znázorněno na níže uvedeném snímku obrazovky.
nmtui-edit
Jakmile kliknete na tlačítko Upravit, budete vyzváni k nastavení IP síťového rozhraní, jak je znázorněno na níže uvedeném snímku obrazovky. Po dokončení přejděte na OK pomocí klávesy [tab]
pro uložení konfigurace a ukončení.
Až budete hotovi s konfigurací sítě, musíte spustit následující příkaz, abyste použili nová nastavení sítě výběrem rozhraní, které chcete spravovat, a klepnutím na možnost Deaktivovat/Aktivovat deaktivujte a otevřete rozhraní. s nastavením IP, jak je uvedeno na níže uvedeném snímku obrazovky.
nmtui-connect
Chcete-li ověřit nastavení konfigurace sítě, můžete zkontrolovat obsah souboru rozhraní nebo můžete zadat níže uvedené příkazy.
ifconfig enp0s3
ip a
ping -c2 google.com
Můžete také použít další užitečné síťové nástroje, jako jsou ethtool a mii-tool ke kontrole rychlosti síťového rozhraní, stavu síťového připojení a získání informací o síťových rozhraních stroje.
ethtool enp0s3
mii-tool enp0s3
Důležitým aspektem síťového propojení vašeho stroje je seznam všech otevřených síťových soketů, abyste mohli zkontrolovat, jaké služby naslouchají na jakých portech a jaký je stav navázaných síťových připojení a vypsat všechny soubory, které procesy otevírají.
netstat -tulpn
ss -tulpn
lsof -i4 -6
Krok 4: Vytvořte nový uživatelský účet
Vždy je vhodné mít normálního uživatele s oprávněním root, který bude v případě potřeby provádět administrativní úkoly. Chcete-li normálnímu uživateli přidělit oprávnění root, nejprve vytvořte uživatele pomocí příkazu useradd, nastavte heslo a přidejte uživatele do skupiny administrativního kola.
useradd ravisaive
passwd ravisaive
usermod -aG wheel ravisaive
Chcete-li ověřit, že nový uživatel má oprávnění root, přihlaste se do systému pomocí přihlašovacích údajů uživatele a spusťte příkaz dnf s oprávněními Sudo, jak je znázorněno.
su - ravisaive
sudo dnf update
Krok 5: Nastavte přihlášení SSH bez hesla na CentOS 8
Chcete-li zvýšit zabezpečení svého serveru, nastavte pro svého nového uživatele autentizaci bez hesla SSH vygenerováním páru klíče SSH – který obsahuje veřejný a soukromý klíč, ale musíte si jeden vytvořit. To zvýší zabezpečení vašeho serveru tím, že pro připojení k systému bude vyžadován soukromý klíč SSH.
su - ravisaive
ssh-keygen -t RSA
Jakmile je klíč vygenerován, požádá vás o zadání přístupové fráze, aby byl soukromý klíč zabezpečen. Pokud chcete automatizovat administrativní úlohy prostřednictvím serveru SSH, můžete zadat silnou přístupovou frázi nebo nechat heslo prázdné.
Po vygenerování klíče SSH je třeba zkopírovat vygenerovaný pár veřejných klíčů na vzdálený server spuštěním příkazu ssh-copy-id s uživatelským jménem a IP adresou vzdáleného serveru, jak je uvedeno na obrázku.
ssh-copy-id [email
Po zkopírování klíče SSH se nyní můžete pokusit přihlásit ke vzdálenému serveru Linux pomocí soukromého klíče jako metody ověřování. Měli byste být schopni se přihlásit automaticky, aniž by SSH server požadoval heslo.
[email
Krok 6: Zabezpečení vzdálených přihlášení SSH
Zde trochu více zabezpečíme náš server tím, že v konfiguračním souboru SSH zakážeme vzdálený přístup SSH k účtu root.
vi /etc/ssh/sshd_config
Najděte řádek, který říká #PermitRootLogin yes
, odkomentujte řádek odstraněním #
ze začátku řádku a upravte řádek na.
PermitRootLogin no
Poté restartujte server SSH, abyste použili nedávné nové změny.
systemctl restart sshd
Nyní ověřte konfiguraci tím, že se pokusíte přihlásit jako root, zobrazí se chyba přístupu SSH Permission Denied, jak je znázorněno.
ssh [email
Existují scénáře, kdy můžete chtít automaticky odpojit všechna vzdálená připojení SSH k vašemu serveru po určité době nečinnosti.
Krok 7: Nakonfigurujte bránu firewall na CentOS 8
V CentOS/RHEL 8 je výchozí firewall Firewalld, který se používá ke správě pravidel iptables na serveru. Chcete-li povolit a spustit službu firewalld na serveru, spusťte následující příkazy.
systemctl enable firewalld
systemctl start firewalld
systemctl status firewalld
Chcete-li otevřít příchozí připojení ke konkrétní službě (SSH), musíte nejprve ověřit, zda je služba přítomna v pravidlech firewallu, a poté přidat pravidlo pro službu přidáním přepínače --permanent
k příkazům, jak je znázorněno.
firewall-cmd --add-service=[tab] #List services
firewall-cmd --add-service=ssh
firewall-cmd --add-service=ssh --permanent
Pokud si přejete otevřít příchozí připojení k jiným síťovým službám, jako je HTTP nebo SMTP, stačí přidat pravidla, jak je uvedeno, zadáním názvu služby.
firewall-cmd --permanent --add-service=http
firewall-cmd --permanent --add-service=https
firewall-cmd --permanent --add-service=smtp
Chcete-li zobrazit všechna pravidla brány firewall na serveru, spusťte následující příkaz.
firewall-cmd --permanent --list-all
Krok 8: Odeberte nechtěné služby v CentOS 8
Důrazně se doporučuje po instalaci nového serveru CentOS/RHEL 8 odebrat a zakázat nežádoucí služby běžící ve výchozím nastavení na serveru, abyste omezili útoky na server.
Chcete-li zobrazit seznam všech spuštěných síťových služeb včetně TCP a UDP na serveru, spusťte příkaz ss nebo netstat, jak je znázorněno v příkladu níže.
ss -tulpn
OR
netstat -tulpn
Výše uvedené příkazy zobrazí seznam některých zajímavých služeb, které jsou na serveru standardně spuštěny, jako je poštovní server Postfix. Pokud neplánujete hostit poštovní systém na serveru, musíte jej zastavit a odebrat ze systému, jak je znázorněno.
systemctl stop postfix
systemctl disable postfix
dnf remove postfix
Kromě příkazů ss a příkazů netstat můžete také spouštět příkazy ps, top nebo pstree, abyste objevili a identifikovali všechny nežádoucí služby a odstranili je ze systému.
dnf install psmisc
pstree -p
Krok 9: Správa služeb v CentOS 8
V CentOS/RHEL 8 jsou všechny služby a démoni spravovány pomocí příkazu systemctl a pomocí tohoto příkazu můžete vypsat všechny aktivní, spuštěné, ukončené nebo neúspěšné služby.
systemctl list-units
Chcete-li zkontrolovat, zda je démon nebo služba automaticky povolena během spouštění systému, zadejte následující příkaz.
systemctl list-unit-files -t service
Chcete-li se dozvědět více o příkazu systemctl, přečtěte si náš článek, který vysvětluje – Jak spravovat služby pomocí ‚Systemctl‘ v Linuxu.
To je vše! V tomto článku jsme vysvětlili několik základních nastavení a příkazů, které musí znát a používat každý správce systému Linux na čerstvě nainstalovaném systému CentOS/RHEL 8 nebo k provádění každodenních úkolů v systému. .