RHCSA röð: Að tryggja SSH, stilla hýsingarheiti og virkja netþjónustu - 8. hluti

Sem kerfisstjóri þarftu oft að skrá þig inn á fjarkerfi til að framkvæma margvísleg stjórnunarverkefni með því að nota flugstöðvahermi. Þú munt sjaldan sitja fyrir framan raunverulega (líkamlega) flugstöð, svo þú þarft að setja upp leið til að skrá þig fjarstýrt inn á vélarnar sem þú verður beðinn um að stjórna.

Reyndar gæti það verið það síðasta sem þú þarft að gera fyrir framan líkamlega flugstöð. Af öryggisástæðum er ekki góð hugmynd að nota Telnet í þessum tilgangi, þar sem öll umferð fer í gegnum vírinn í ódulkóðuðum, látlausum texta.

Að auki, í þessari grein munum við einnig fara yfir hvernig á að stilla netþjónustu til að byrja sjálfkrafa við ræsingu og læra hvernig á að setja upp net- og hýsilheitaupplausn á kyrrstæðan eða kraftmikinn hátt.

Uppsetning og öryggi SSH samskipti

Til að þú getir skráð þig lítillega inn á RHEL 7 kassa með SSH þarftu að setja upp openssh, openssh-clients og openssh-servers pakkana. Eftirfarandi skipun mun ekki aðeins setja upp ytri innskráningarforritið, heldur einnig örugga skráaflutningstækið, sem og afritunarforritið fyrir ytri skrár:

# yum update && yum install openssh openssh-clients openssh-servers

Athugaðu að það er góð hugmynd að setja upp hliðstæða netþjóna þar sem þú gætir viljað nota sömu vél og bæði viðskiptavinur og netþjónn einhvern tíma eða annan.

Eftir uppsetningu eru nokkur grundvallaratriði sem þú þarft að taka með í reikninginn ef þú vilt tryggja fjaraðgang að SSH netþjóninum þínum. Eftirfarandi stillingar ættu að vera til staðar í /etc/ssh/sshd_config skránni.

1. Breyttu gáttinni þar sem sshd púkinn mun hlusta á úr 22 (sjálfgefið gildi) í hátt tengi (2000 eða hærra), en vertu viss um að ekki sé verið að nota valið tengi.

Til dæmis, gerum ráð fyrir að þú veljir port 2500. Notaðu netstat til að athuga hvort gáttin sem valin er sé notuð eða ekki:

# netstat -npltu | grep 2500

Ef netstat skilar engu geturðu örugglega notað port 2500 fyrir sshd, og þú ættir að breyta Port stillingunni í stillingarskránni sem hér segir:

Port 2500

2. Leyfðu aðeins siðareglur 2:

Protocol 2

3. Stilltu auðkenningartímann í 2 mínútur, leyfðu ekki rótarinnskráningu og takmarkaðu að lágmarki lista yfir notendur sem hafa leyfi til að skrá sig inn í gegnum ssh:

LoginGraceTime 2m
PermitRootLogin no
AllowUsers gacanepa

4. Ef mögulegt er, notaðu lykil-undirstaða í stað auðkenningar með lykilorði:

PasswordAuthentication no
RSAAuthentication yes
PubkeyAuthentication yes

Þetta gerir ráð fyrir að þú hafir þegar búið til lyklapar með notendanafninu þínu á biðlaravélinni þinni og afritað það á netþjóninn þinn eins og útskýrt er hér.

1. Virkja SSH lykilorðslausa innskráningu

Stilla netkerfi og nafnaupplausn

1. Sérhver kerfisstjóri ætti að vera vel kunnugur eftirfarandi stillingarskrám fyrir allt kerfið:

1. /etc/hosts er notað til að leysa nöfn <---> IP í litlum netum.

Sérhver lína í /etc/hosts skránni hefur eftirfarandi uppbyggingu:

IP address - Hostname - FQDN

Til dæmis,

192.168.0.10	laptop	laptop.gabrielcanepa.com.ar

2. /etc/resolv.conf tilgreinir IP vistföng DNS netþjóna og leitarlénið, sem er notað til að fylla út tiltekið fyrirspurnarheiti yfir í fullgilt lén þegar ekkert lénsviðskeyti er til staðar.

Undir venjulegum kringumstæðum þarftu ekki að breyta þessari skrá þar sem henni er stjórnað af kerfinu. Hins vegar, ef þú vilt breyta DNS netþjónum, skaltu hafa í huga að þú þarft að halda þig við eftirfarandi uppbyggingu í hverri línu:

nameserver - IP address

Til dæmis,

nameserver 8.8.8.8

3. 3. /etc/host.conf tilgreinir aðferðir og röð þar sem hýsilnöfn eru leyst innan nets. Með öðrum orðum, segir nafnalausnaranum hvaða þjónustu á að nota og í hvaða röð.

Þó að þessi skrá hafi nokkra möguleika, inniheldur algengasta og grunnuppsetningin línu sem hér segir:

order bind,hosts

Sem gefur til kynna að leysirinn ætti fyrst að leita í nafnaþjónum sem tilgreindir eru í resolv.conf og síðan í /etc/hosts skrána til að finna nafnaupplausn.

4. /etc/sysconfig/network inniheldur leið og alþjóðlegar hýsingarupplýsingar fyrir öll netviðmót. Hægt er að nota eftirfarandi gildi:

NETWORKING=yes|no
HOSTNAME=value

Þar sem gildi ætti að vera Fully Qualified Domain Name (FQDN).

GATEWAY=XXX.XXX.XXX.XXX

Þar sem XXX.XXX.XXX.XXX er IP-tala netgáttar.

GATEWAYDEV=value

Í vél með mörgum NIC er gildi gáttartækið, eins og enp0s3.

5. Skrár inni í /etc/sysconfig/network-scripts (stillingarskrár fyrir netkort).

Inni í möppunni sem nefnd var áður finnurðu nokkrar einfaldar textaskrár sem heita.

ifcfg-name

Þar sem nafn er nafn NIC eins og það er skilað af ip hlekk sýna:

Til dæmis:

Annað en fyrir loopback viðmótið geturðu búist við svipaðri uppsetningu fyrir NIC. Athugaðu að sumar breytur, ef þær eru stilltar, munu hnekkja þeim sem eru til staðar í /etc/sysconfig/network fyrir þetta tiltekna viðmót. Gert er athugasemd við hverja línu til skýringar í þessari grein en í raunverulegu skránni ættir þú að forðast athugasemdir:

HWADDR=08:00:27:4E:59:37 # The MAC address of the NIC
TYPE=Ethernet # Type of connection
BOOTPROTO=static # This indicates that this NIC has been assigned a static IP. If this variable was set to dhcp, the NIC will be assigned an IP address by a DHCP server and thus the next two lines should not be present in that case.
IPADDR=192.168.0.18
NETMASK=255.255.255.0
GATEWAY=192.168.0.1
NM_CONTROLLED=no # Should be added to the Ethernet interface to prevent NetworkManager from changing the file.
NAME=enp0s3
UUID=14033805-98ef-4049-bc7b-d4bea76ed2eb
ONBOOT=yes # The operating system should bring up this NIC during boot

Stilling hýsilheita

Í Red Hat Enterprise Linux 7 er hostnamectl skipunin notuð bæði til að spyrjast fyrir um og stilla hýsingarheiti kerfisins.

Til að birta núverandi hýsingarheiti skaltu slá inn:

# hostnamectl status

Til að breyta hýsingarheitinu skaltu nota

# hostnamectl set-hostname [new hostname]

Til dæmis,

# hostnamectl set-hostname cinderella

Til þess að breytingarnar taki gildi þarftu að endurræsa hýsilnefndan púkinn (þannig þarftu ekki að skrá þig út og inn aftur til að beita breytingunni):

# systemctl restart systemd-hostnamed

Að auki inniheldur RHEL 7 einnig nmcli tólið sem hægt er að nota í sama tilgangi. Til að birta hýsingarheitið skaltu keyra:

# nmcli general hostname

og til að breyta því:

# nmcli general hostname [new hostname]

Til dæmis,

# nmcli general hostname rhel7

Ræsir netþjónustu við ræsingu

Til að ljúka við skulum við sjá hvernig við getum tryggt að netþjónusta sé ræst sjálfkrafa við ræsingu. Í einföldu máli er þetta gert með því að búa til tákntengla í ákveðnar skrár sem tilgreindar eru í [Setja upp] hlutann í þjónustustillingarskránum.

Ef um eldvegg er að ræða (/usr/lib/systemd/system/firewalld.service):

[Install]
WantedBy=basic.target
Alias=dbus-org.fedoraproject.FirewallD1.service

Til að virkja þjónustuna:

# systemctl enable firewalld

Aftur á móti, að slökkva á eldvegg gefur rétt til að fjarlægja tákntengla:

# systemctl disable firewalld

Niðurstaða

Í þessari grein höfum við tekið saman hvernig á að setja upp og tryggja tengingar í gegnum SSH við RHEL netþjón, hvernig á að breyta nafni hans og að lokum hvernig á að tryggja að netþjónusta sé ræst við ræsingu. Ef þú tekur eftir því að ákveðin þjónusta hefur ekki byrjað rétt geturðu notað systemctl status -l [þjónusta] og journalctl -xn til að leysa hana.

Ekki hika við að láta okkur vita hvað þér finnst um þessa grein með því að nota athugasemdareyðublaðið hér að neðan. Spurningar eru líka vel þegnar. Okkur hlakkar til að heyra frá þér!