Vyhledávání na webu

Počáteční nastavení serveru a konfigurace na CentOS 7

Tento výukový program vysvětlí první základní kroky, kterými musíte projít po instalaci minimálního systému CentOS 7 bez grafického prostředí, abyste získali informace o nainstalovaném systému, na kterém je systém spuštěn. a konfigurovat další specifické systémové úlohy, jako je síť, oprávnění root, software, služby a další.

Požadavky

  1. Minimální instalace CentOS 7

Důležité: Uživatelé RHEL 7 mohou podle tohoto článku provést počáteční nastavení serveru na RHEL 7.

Aktualizujte systém CentOS 7

Prvním krokem, který musíte provést na čerstvě nainstalovaném systému CentOS, je zajistit, aby byl systém aktuální s nejnovějšími záplatami zabezpečení jádra a systému, softwarovými úložišti a balíčky.

Chcete-li plně aktualizovat systém CentOS 7, zadejte následující příkazy s oprávněními root.


yum check-update
yum upgrade

Po dokončení procesu upgradu můžete za účelem uvolnění místa na disku odebrat všechny stažené balíčky, které byly použity v procesu upgradu, spolu se všemi informacemi o úložištích uložených v mezipaměti provedením následujícího příkazu.


yum clean all

Nainstalujte systémové nástroje na CentOS 7

Následující balíčky nástrojů se mohou ukázat jako užitečné pro každodenní správu systému: nano (textový editor nahrazující editor vi), wget, curl (nástroje používané pro stahování balíčky většinou přes síť) net-tools, lsof (utility pro správu lokální sítě) a bash-completion (automatické dokončování příkazového řádku).

Nainstalujte je všechny najednou provedením níže uvedeného příkazu.


yum install nano wget curl net-tools lsof bash-completion

Nastavení sítě v CentOS 7

CentOS 7 má širokou škálu nástrojů, které lze použít ke konfiguraci a správě sítě, od ruční úpravy konfiguračního souboru sítě až po použití příkazů jako ip, ifconfig, nmtui, nmcli nebo trasa.

Nejjednodušší nástroj, který může začátečník použít ke správě a změně konfigurace sítě, je nmtui grafický příkazový řádek.

Chcete-li změnit název hostitele systému pomocí nástroje nmtui, spusťte příkaz nmtui-hostname, nastavte název hostitele vašeho počítače a dokončete stisknutím OK, jak je znázorněno na obrázku na níže uvedeném snímku obrazovky.


nmtui-hostname

Chcete-li manipulovat se síťovým rozhraním, spusťte příkaz nmtui-edit, vyberte rozhraní, které chcete upravit, a v pravé nabídce vyberte možnost upravit, jak je znázorněno na obrázku níže.


nmtui-edit

Jakmile se dostanete do grafického rozhraní poskytovaného nástrojem nmtui, můžete nastavit IP nastavení síťového rozhraní, jak je znázorněno na níže uvedeném snímku obrazovky. Po dokončení přejděte na OK pomocí klávesy [tab] pro uložení konfigurace a ukončení.

Chcete-li použít novou konfiguraci síťového rozhraní, spusťte příkaz nmtui-connect, vyberte rozhraní, které chcete spravovat, a klepnutím na možnost Deaktivovat/Aktivovat jej deaktivujte a aktivujte. rozhraní s nastavením IP, jak je uvedeno na níže uvedených snímcích obrazovky.


nmtui-connect

Chcete-li zobrazit nastavení síťového rozhraní, můžete zkontrolovat obsah souboru rozhraní nebo můžete zadat níže uvedené příkazy.


ifconfig enp0s3
ip a
ping -c2 google.com

Další užitečné nástroje, které lze použít ke správě rychlosti, stavu připojení nebo získání informací o síťových rozhraních stroje, jsou ethtool a mii-tool.


ethtool enp0s3
mii-tool enp0s3

Důležitým aspektem síťového propojení vašeho stroje je vypsat seznam všech otevřených síťových soketů, abyste viděli, jaké programy naslouchají na jakých portech a jaký je stav navázaných síťových připojení.

Chcete-li zobrazit seznam všech serverů, které otevřely sokety TCP nebo UDP ve stavu naslouchání, zadejte následující příkazy. Server UDP však neuvede žádný stav soketu, protože UDP je protokol bez připojení, který pouze odesílá pakety přes síť a nenavazuje spojení.


netstat -tulpn
ss -tulpn
lsof -i4 -6

Správa služeb v CentOS 7

CentOS 7 spravuje démony nebo službu pomocí nástroje systemctl. Chcete-li zobrazit seznam všech stavů služeb, zadejte následující příkaz.


systemctl list-units

Chcete-li zkontrolovat, zda je povoleno automatické spouštění démona nebo služby při spuštění systému, zadejte následující příkaz.


systemctl list-unit-files -t service

Chcete-li zobrazit seznam starých služeb SysV přítomných ve vašem systému a zakázat je, zadejte následující příkazy chkconfig.


chkconfig --list
chkconfig service_name off

5. Zakažte nežádoucí služby v CentOS 7

Po instalaci CentOS 7 se doporučuje spustit seznam služeb spuštěných v systému spuštěním výše uvedených příkazů a deaktivovat je a odstranit, aby se omezily vektory útoků proti vašemu systému.

Například démon Postfix je ve výchozím nastavení nainstalován a povolen v CentOS 7. Pokud váš systém nevyžaduje spuštění poštovního serveru, je nejlepší zastavit, deaktivovat a odstranit službu postfix vydáním níže uvedených příkazů .


systemctl stop postfix
systemctl disable postfix
yum remove postfix

Kromě příkazů netstat, ss, lsof nebo systemctl můžete také spouštět příkazy ps, top nebo pstree, abyste zjistili a identifikovali, jaké nežádoucí služby ve vašem systému běží. a zakázat nebo odstranit je.

Ve výchozím nastavení není nástroj pstree v CentOS 7 nainstalován. Chcete-li jej nainstalovat, spusťte následující příkaz.


yum install psmisc
pstree -p

Povolte bránu firewall v CentOs 7

Firewalld je hlavní nástroj brány firewall, který využívá interakce ke správě pravidel iptables.
Chcete-li povolit, spustit a ověřit bránu firewall v CentOS 7, proveďte následující příkazy.


systemctl enable firewalld
systemctl start firewalld
systemctl status firewalld

Chcete-li otevřít konkrétní službu pro příchozí připojení, nejprve ověřte, zda je aplikace již přítomna v pravidlech firewallu, a poté přidejte pravidlo pro službu, jak je uvedeno v příkladu níže, které umožňuje SSH příchozí spojení. Pomocí přepínače --permanent přidejte pravidlo trvale.


firewall-cmd --add-service=[tab]  #List services
firewall-cmd --add-service=ssh
firewall-cmd --add-service=ssh --permanent

V případě, že je služba již definována v pravidlech brány firewall, můžete port služby přidat ručně, jak je znázorněno v příkladu níže.


firewall-cmd --add-port=22/tcp --permanent
firewall-cmd --reload     #Apply the rule on-fly

Povolte oprávnění Sudo na uživatelských účtech

Chcete-li udělit oprávnění root normálnímu uživateli, nejprve vytvořte uživatele zadáním příkazu adduser, nastavte heslo pro uživatele a udělte uživateli oprávnění root provedením níže uvedeného příkazu, který přidá nového uživatele do skupiny administrativního kola.


adduser tecmint
passwd tecmint
usermod -aG wheel tecmint

Chcete-li otestovat, zda má nový uživatel oprávnění root, přihlaste se do systému pomocí přihlašovacích údajů uživatele a spusťte příkaz yum s oprávněními sudo, jak je znázorněno na níže uvedeném úryvku.


su - tecmint
sudo yum update

Nakonfigurujte ověřování pomocí veřejného klíče SSH na CentOS 7

Chcete-li zabezpečit svůj server SSH a nastavit ověřování pomocí veřejného klíče pro zvýšení zabezpečení serveru pomocí soukromého klíče SSH pro přihlášení, nejprve pomocí následujícího příkazu vygenerujte pár klíčů SSH.

Nezadávejte přístupové heslo v případě, že chcete automatizovat správu serveru přes SSH.


ssh-keygen -t RSA

Po vygenerování párů klíčů SSH zkopírujte klíč na server, ke kterému se chcete připojit, zadáním níže uvedeného příkazu. Nejprve zadejte heslo vzdáleného uživatele SSH, abyste mohli zkopírovat veřejný klíč.


ssh-copy-id remote_user@SSH_SERVER_IP

Po zkopírování veřejného klíče SSH na vzdálený server se přihlaste ke vzdálenému serveru SSH pomocí následujícího příkazu.


ssh remote_user@SSH_SERVER_IP

Nakonec, abyste zabezpečili SSH server, ujistěte se, že jste zakázali vzdálený SSH přístup k účtu root otevřením konfiguračního souboru SSH /etc/ssh/sshd_config ve vašem textovém editoru jako root a změňte jej z AnoNe.


PermitRootLogin no

Chcete-li použít nastavení, musíte restartovat službu SSH, aby používala novou konfiguraci.


systemctl restart sshd

To je vše! Toto je jen několik základních nastavení a příkazů, které musí znát a používat každý správce systému na čerstvě nainstalovaném systému CentOS nebo k provádění každodenních úkolů v systému.

Chcete-li zabezpečit a posílit server CentOS 7, přečtěte si následující články.

  1. The Mega Guide to Harden and Secure CentOS 7 – Part 1
  2. The Mega Guide to Harden and Secure CentOS 7 – Part 2

Pokud plánujete nasadit weby na tomto systému CentOS 7, zjistěte, jak nastavit a nakonfigurovat zásobník LAMP nebo zásobník LEMP.