GNU/Linux >> Znalost Linux >  >> Linux

Jak zahájit nastavení serveru CentOS 7

Úvod

System CentOS 7 je velmi odlišný od svých starších předchůdců. U jakéhokoli serveru by primárním cílem měla být vždy bezpečnost. Mnoho uživatelů je obětí škodlivých infiltrací na jejich serverech kvůli chybějícím bezpečnostním hranicím stanoveným od začátku. Začněme na správné cestě položením našich základů s bezpečností. Tento návod vám pomůže s počátečním nastavením na CentOS 7, abyste mohli úspěšně zabezpečit svůj server a zároveň vám dá klid na duši s vědomím, že váš server je chráněn.

Co potřebujete?

Potřebujete server CentOS 7 nakonfigurovaný se statickou IP adresou. Pokud ještě nemáte server, zvažte špičkový server od Atlantic.net a buďte nahoře za méně než 30 sekund.

Příprava serveru

Chcete-li začít, přihlaste se ke svému serveru CentOS 7 přes SSH nebo konzolu VNC umístěnou zde. Servery Atlantic.Net Cloud jsou nastaveny jako minimální instalace, aby se zabránilo tomu, že budou instalovány a nikdy použity zbytečné balíčky. Pokud některé softwarové balíčky, na které jste zvyklí, nejsou ve výchozím nastavení nainstalovány, můžete si je podle potřeby nainstalovat.

Ujistíme se, že váš server je plně aktuální.

yum update

Můžeme pokračovat v procesu a zabezpečit váš server pomocí aktuálního serveru.

Aktualizujte kořenové heslo CentOS 7

Zadejte následující příkaz pro aktivaci vašeho požadavku a postupujte podle pokynů na obrazovce pro aktualizaci/potvrzení hesla uživatele root:

passwd

Vytvořte nového uživatele s právy sudo

Po úspěšné aktualizaci hesla se doporučuje vytvořit nového uživatele s oprávněními sudo/root. Vzhledem k tomu, že typickým uživatelem správce pro mnoho operačních systémů Linux, jako je CentOS 7, je „root“, vytvoříme nového uživatele správce, který bude používán pro každodenní úkoly správy. Vytvoření nového uživatele s oprávněními root zvýší zabezpečení přístupu k vašemu serveru. Nežádoucí uživatelé cílí na uživatele root, protože vědí, že je to výchozí administrátor. Přesto, když vytvoříte nového uživatele s oprávněními sudo/root a poté zakážete výchozího uživatele root, nikdy nebudou vědět, kterým uživatelem se mají přihlásit.

Zadejte následující příkaz pro vytvoření nového uživatele, který nahradí „user1“ vaším uživatelským jménem a potvrďte.

adduser user1

Vytvořte heslo pro tohoto uživatele zadáním následujícího příkazu pro aktivaci vašeho požadavku a podle pokynů na obrazovce aktualizujte/potvrďte své heslo „user1“:

passwd user1

Jakmile vytvoříte nového uživatele a heslo, je čas přidat uživatele do skupiny sudo wheel. V CentOS 7, jakmile je přidáte do skupiny sudo wheel, jsou jim automaticky přiřazena oprávnění sudo/root. Spusťte následující příkaz a přidejte uživatele do skupiny sudo wheel.

 gpasswd -a user1 wheel

Nakonec, když vytvoříte uživatele s oprávněními sudo/root, můžete ukončit relaci a znovu se přihlásit pomocí svého „uživatele1“, abyste ověřili provedené změny. Případně můžete spustit následující příkaz a přepnout uživatele z root na „user1“, který vás požádá o meč tohoto uživatele.

su - user1

Konfigurace přístupu SSH

Port 22 je výchozí port pro vzdálená připojení přes SSH v systémech Linux. Změnou portu ssh zvýšíte zabezpečení svého serveru tím, že zabráníte útokům hrubou silou a nechtěným uživatelům, aby se dostali na váš server pomocí výchozího portu. Pro tento tutoriál použiji port 5022 jako příklad.

Otevřete svůj konfigurační soubor SSH, najděte řádek Port, odstraňte znak # a změňte číslo 22 na svůj vlastní port. Uložte a ukončete.

sudo vi /etc/ssh/sshd_config
#Port 22
Port 5022

Aby váš systém aktualizoval nastavení z konfiguračního souboru SSH, musíme restartovat sshd.

sudo systemctl restart sshd.service

SSH je nyní nakonfigurováno pro použití portu 5022, a pokud se pokusíte přihlásit pomocí portu 22, váš l gin selže. Neukončujte však svou relaci, protože musíme nejprve nakonfigurovat vlastní port v části konfigurace firewallů, kterou nakonfigurujeme v následujících krocích.

Omezit přístup root

Protože jsme prověřili nového uživatele s oprávněními root a vytvořili vlastní port ssh, ponechte skutečného uživatele root dostupného a zranitelného přes SSH na vašem serveru. Pojďme omezit přístup uživatele root k místnímu serveru a udělit oprávnění novému uživateli pouze přes SSH.

Otevřete konfigurační soubor SSH, najděte řádek PermitRootLogin, odstraňte znak # a změňte jej z yes na no.

sudo vi /etc/ssh/sshd_config
#PermitRootLogin yes
PermitRootLogin no

Aby váš systém aktualizoval nová nastavení v konfiguračním souboru SSH, musíme restartovat službu sshd.

sudo systemctl restart sshd.service

Poznámka:Nyní bude uživatel root při provádění těchto změn deaktivován, takže se musíte přihlásit na svůj server pomocí „uživatelského „klobouku“, který jste vytvořili. Neukončujte však relaci; v následujících krocích musíme nakonfigurovat vlastní port na firewallu.

Vytvořte soukromý klíč SSH

Soukromé/veřejné klíče SSH jsou skvělé doplňkové funkce, které zvyšují bezpečnost v metodě serveru. Nastavení však vyžaduje trochu více úsilí. Otázkou je, zda váš server stojí za extra zabezpečení? Pokud chcete implementovat následující funkce zabezpečení, můžete pokračovat dalšími kroky. Pokračujme a vygenerujeme klíč SSH.

ssh-keygen

Pokud chcete změnit umístění, kam bude klíč SSH uložen, můžete to zadat zde. Výchozí umístění, kde je uloženo, by však mělo být v pořádku. Až budete vyzváni k následující otázce, stiskněte enter a poté zadejte přístupovou frázi, pokud ji nechcete.

Enter file in which to save the key (/home/user1/.ssh/id_rsa):

Toto je výchozí stránka při instalaci klíčů SSH na server CentOS 7

Konfigurace klíče SSH je zásadní. Musíme zkopírovat celý klíčový řetězec do dokumentu Word/Poznámkový blok. Klíč lze zobrazit v následujícím umístění pomocí příkazu cat.

cat ~/.ssh/id_rsa.pub

Zkopírujte klíč SSH, začínající ssh-rsa a končící [email protected], do dokumentu aplikace Word/Poznámkový blok, abyste jej později přidali do konfiguračního souboru.

ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQDNcnc3pMOytM7xgwZHUX0Wi/O78hDvLUmQVtKn8Qk1ijBY82jVftKXKRhf8toNkgm9jaZmfapLa7ynzUG4jbFjyy8H+iEs1R8P7eu+e8/fmGwjorbMFuWdoi7h2CldoqKTdMEb/dMNxjNMzBbovl3XtZviQGm4/TMVO1hHxy85JR8zAtNFu7liaP7IonexNrOGhY8CjqRcBsceQLkl1MlX7cWaWAMqd6jQnAvggTLerI9P286AP8Sk4uColj7GKOljj8X6J/2pcjp9v2IvJOqwC/zLwUKZ6qTEV6SrfdbjopoCVvpXkVhmcbHX5Xv1gwynO+vTkpPFwVTjSnAai71L [email protected]

Jakmile je klíč SSH bezpečně uložen, potřebuje adresář pro klíče SSH omezená oprávnění, která může číst, zapisovat a spouštět soubor pouze vlastník.

chmod 700 .ssh

Do adresáře SSH je třeba přidat soubor obsahující klíč SSH, jednoduše pomocí editoru (v tomto případě VI) v následujícím umístění:

vi .ssh/authorized_keys

Vložte klíč SSH, uložte jej a ukončete pomocí formátu VI.

Nakonec musíme omezit oprávnění souboru author_keys, který jsme právě vytvořili, aby mohl číst a zapisovat pouze vlastník.

chmod 600 .ssh/authorized_keys

Nyní bychom mohli ověřit, že klíč funguje, uzavřením relace a zadáním [email protected] nebo vašich serverů hostovaných ve vaší konzole SSH. Kromě toho můžete kliknutím „sem“ zobrazit náš článek Jak generovat a používat klíče SSH, kde najdete další informace.

Základní pravidla brány firewall

sudo systemctl start firewalld

Dále přidáme pravidlo, které umožní dříve vytvořenému vlastnímu SSH portu 5022 veřejný přístup k serveru. Zároveň odstraníme předchozí výchozí pravidlo umožňující přístup SSH na TCP/22.

sudo firewall-cmd --permanent --add-port=5022/tcp
sudo firewall-cmd --permanent --remove-service=ssh

Pokud máte webový server, možná budete chtít povolit následujícím pravidlům přístup k vašim stránkám přes internet.

sudo firewall-cmd --permanent --add-service=http
sudo firewall-cmd --permanent --add-service=https

Můžete to použít pro podobná pravidla týkající se jakýchkoli systémů, které chcete být veřejně přístupné. Tento testovací server je nastaven tak, aby hostoval web a e-mailové služby, takže kromě aktualizovaných pravidel SSH a HTTP(S) byla přidána další pravidla pro zabezpečené POP3, IMAP a SMTP.

sudo firewall-cmd --permanent --add-service=pop3s
sudo firewall-cmd --permanent --add-service=imaps
sudo firewall-cmd --permanent --add-service=smtp

Aby brána firewall akceptovala tato nastavení, musíte ji restartovat.

sudo firewall-cmd --reload

Vaše nastavení budou uložena a můžete pokračovat.
Chcete-li ověřit všechny dostupné služby/porty, spusťte následující:

sudo firewall-cmd --permanent --list-all

Toto je výchozí stránka po konfiguraci pravidel brány firewall na serveru CentOS 7

Synchronizace času NTP

Protokol NTP (Network Time Protocol) se používá k synchronizaci času a data počítačů v síti, aby zůstaly přesné a aktuální. Začněme instalací NTP (pokud nebyl nainstalován) a nakonfigurováním služby pro synchronizaci s jejich servery.

sudo yum install ntp

Jakmile je služba NTP nainstalována, musíme se ujistit, že je zapnutá.

sudo systemctl start ntpd

Nyní, když je služba spuštěna, povolme serveru NTP neustále aktualizovat servery ze serveru NTP.

sudo systemctl enable ntpd

Přidat odkládací soubor

Swap soubor je jednoduše malé množství prostoru vytvořeného na pevném disku serveru pro simulaci Ram. Pokud má server málo paměti, podívá se na pevný disk a usnadní zatížení, aby si systém myslel, že má více paměti. Nastavíme odkládací soubor na pevném disku, abychom ještě trochu zvýšili výkon serveru.

Začněte kontrolou zdrojů, abyste se ujistili, že můžeme soubor přidat. Když spustíte následující příkaz, uvidíte procento místa na pevném disku, které je aktuálně využíváno.

df -h

Při vytváření odkládacího souboru obvykle chcete přidat polovinu své stávající paměti RAM až na 4 GB (pokud máte 1 GB skutečné RAM, přidáte soubor 512 MB). V této části přidám na disk 512 MB odkládací soubor. Způsob, jakým se to počítá, je 1024 x 512 MB =524288 velikost bloku.

sudo dd if=/dev/zero of=/swapfile bs=1024 count=524288

Nyní, když jsme přidali odkládací soubor, je pro pokračování potřeba vytvořit oblast.

sudo mkswap /swapfile

S vytvořeným odkládacím souborem a přidanou oblastí Odkládací soubor můžeme k souboru přidat oprávnění, takže pouze vlastník může číst a zapisovat.

sudo chown root:root /swapfile
sudo chmod 0600 /swapfile

Nyní, když má odkládací soubor příslušná oprávnění, můžeme pokračovat a aktivovat jej.

sudo swapon /swapfile

Nově přidaný odkládací soubor můžete ověřit následujícím způsobem.

sudo swapon -s

Aby byl odkládací soubor vždy aktivní i po restartu, musíme jej odpovídajícím způsobem nakonfigurovat.

sudo vi /etc/fstab

Vložte následující příkaz do spodní části souboru, uložte svou práci a ukončete.

/swapfile              swap   swap     defaults     0 0

Nakonec ověřte, zda je váš odkládací soubor aktivován zadáním následujícího příkazu:

free -m

Toto je výchozí stránka po vytvoření odkládacího souboru na serveru CentOS 7

Co dál?

Díky tomu nyní máte server se silným bezpečnostním základem, který vám poskytne klid s vědomím, že váš server je chráněn. Nyní můžete pokračovat ve vytváření platformy podle svých potřeb. Děkujeme, že nás sledujete, a neváhejte nás kontaktovat pro další aktualizace.

Zjistěte více o našich hostingových službách VPS a ceně hostingu VPS.


Linux
  1. Jak nastavit SFTP server na CentOS

  2. Jak nastavit server NFS na CentOS 7 / RHEL 7

  3. Jak nainstalovat VSFTPD na cloudový server CentOS

  1. Jak nastavit SysLog Server na CentOS 7 / RHEL 7

  2. Jak nastavit replikaci MySQL na CentOS

  3. Jak nastavit NTP server v CentOS?

  1. Jak nastavit FTP server s VSFTPD na CentOS 7

  2. Jak nastavit VSFTPD na CentOS 7.x?

  3. Jak nastavit VNC Server pro nového uživatele v CentOS/RHEL 5