RHCSA röð: Að tryggja SSH, stilla hýsingarheiti og virkja netþjónustu - 8. hluti
Sem kerfisstjóri þarftu oft að skrá þig inn á fjarkerfi til að framkvæma margvísleg stjórnunarverkefni með því að nota flugstöðvahermi. Þú munt sjaldan sitja fyrir framan raunverulega (líkamlega) flugstöð, svo þú þarft að setja upp leið til að skrá þig fjarstýrt inn á vélarnar sem þú verður beðinn um að stjórna.
Reyndar gæti það verið það síðasta sem þú þarft að gera fyrir framan líkamlega flugstöð. Af öryggisástæðum er ekki góð hugmynd að nota Telnet í þessum tilgangi, þar sem öll umferð fer í gegnum vírinn í ódulkóðuðum, látlausum texta.
Að auki, í þessari grein munum við einnig fara yfir hvernig á að stilla netþjónustu til að byrja sjálfkrafa við ræsingu og læra hvernig á að setja upp net- og hýsilheitaupplausn á kyrrstæðan eða kraftmikinn hátt.
Uppsetning og öryggi SSH samskipti
Til að þú getir skráð þig lítillega inn á RHEL 7 kassa með SSH þarftu að setja upp openssh, openssh-clients og openssh-servers pakkana. Eftirfarandi skipun mun ekki aðeins setja upp ytri innskráningarforritið, heldur einnig örugga skráaflutningstækið, sem og afritunarforritið fyrir ytri skrár:
# yum update && yum install openssh openssh-clients openssh-servers
Athugaðu að það er góð hugmynd að setja upp hliðstæða netþjóna þar sem þú gætir viljað nota sömu vél og bæði viðskiptavinur og netþjónn einhvern tíma eða annan.
Eftir uppsetningu eru nokkur grundvallaratriði sem þú þarft að taka með í reikninginn ef þú vilt tryggja fjaraðgang að SSH netþjóninum þínum. Eftirfarandi stillingar ættu að vera til staðar í /etc/ssh/sshd_config
skránni.
1. Breyttu gáttinni þar sem sshd púkinn mun hlusta á úr 22 (sjálfgefið gildi) í hátt tengi (2000 eða hærra), en vertu viss um að ekki sé verið að nota valið tengi.
Til dæmis, gerum ráð fyrir að þú veljir port 2500. Notaðu netstat til að athuga hvort gáttin sem valin er sé notuð eða ekki:
# netstat -npltu | grep 2500
Ef netstat skilar engu geturðu örugglega notað port 2500 fyrir sshd, og þú ættir að breyta Port stillingunni í stillingarskránni sem hér segir:
Port 2500
2. Leyfðu aðeins siðareglur 2:
Protocol 2
3. Stilltu auðkenningartímann í 2 mínútur, leyfðu ekki rótarinnskráningu og takmarkaðu að lágmarki lista yfir notendur sem hafa leyfi til að skrá sig inn í gegnum ssh:
LoginGraceTime 2m PermitRootLogin no AllowUsers gacanepa
4. Ef mögulegt er, notaðu lykil-undirstaða í stað auðkenningar með lykilorði:
PasswordAuthentication no RSAAuthentication yes PubkeyAuthentication yes
Þetta gerir ráð fyrir að þú hafir þegar búið til lyklapar með notendanafninu þínu á biðlaravélinni þinni og afritað það á netþjóninn þinn eins og útskýrt er hér.
- Virkja SSH lykilorðslausa innskráningu
Stilla netkerfi og nafnaupplausn
1. Sérhver kerfisstjóri ætti að vera vel kunnugur eftirfarandi stillingarskrám fyrir allt kerfið:
- /etc/hosts er notað til að leysa nöfn <---> IP í litlum netum.
Sérhver lína í /etc/hosts
skránni hefur eftirfarandi uppbyggingu:
IP address - Hostname - FQDN
Til dæmis,
192.168.0.10 laptop laptop.gabrielcanepa.com.ar
2. /etc/resolv.conf
tilgreinir IP vistföng DNS netþjóna og leitarlénið, sem er notað til að fylla út tiltekið fyrirspurnarheiti yfir í fullgilt lén þegar ekkert lénsviðskeyti er til staðar.
Undir venjulegum kringumstæðum þarftu ekki að breyta þessari skrá þar sem henni er stjórnað af kerfinu. Hins vegar, ef þú vilt breyta DNS netþjónum, skaltu hafa í huga að þú þarft að halda þig við eftirfarandi uppbyggingu í hverri línu:
nameserver - IP address
Til dæmis,
nameserver 8.8.8.8
3. 3. /etc/host.conf
tilgreinir aðferðir og röð þar sem hýsilnöfn eru leyst innan nets. Með öðrum orðum, segir nafnalausnaranum hvaða þjónustu á að nota og í hvaða röð.
Þó að þessi skrá hafi nokkra möguleika, inniheldur algengasta og grunnuppsetningin línu sem hér segir:
order bind,hosts
Sem gefur til kynna að leysirinn ætti fyrst að leita í nafnaþjónum sem tilgreindir eru í resolv.conf
og síðan í /etc/hosts
skrána til að finna nafnaupplausn.
4. /etc/sysconfig/network
inniheldur leið og alþjóðlegar hýsingarupplýsingar fyrir öll netviðmót. Hægt er að nota eftirfarandi gildi:
NETWORKING=yes|no HOSTNAME=value
Þar sem gildi ætti að vera Fully Qualified Domain Name (FQDN).
GATEWAY=XXX.XXX.XXX.XXX
Þar sem XXX.XXX.XXX.XXX er IP-tala netgáttar.
GATEWAYDEV=value
Í vél með mörgum NIC er gildi gáttartækið, eins og enp0s3.
5. Skrár inni í /etc/sysconfig/network-scripts
(stillingarskrár fyrir netkort).
Inni í möppunni sem nefnd var áður finnurðu nokkrar einfaldar textaskrár sem heita.
ifcfg-name
Þar sem nafn er nafn NIC eins og það er skilað af ip hlekk sýna:
Til dæmis:
Annað en fyrir loopback viðmótið geturðu búist við svipaðri uppsetningu fyrir NIC. Athugaðu að sumar breytur, ef þær eru stilltar, munu hnekkja þeim sem eru til staðar í /etc/sysconfig/network
fyrir þetta tiltekna viðmót. Gert er athugasemd við hverja línu til skýringar í þessari grein en í raunverulegu skránni ættir þú að forðast athugasemdir:
HWADDR=08:00:27:4E:59:37 # The MAC address of the NIC TYPE=Ethernet # Type of connection BOOTPROTO=static # This indicates that this NIC has been assigned a static IP. If this variable was set to dhcp, the NIC will be assigned an IP address by a DHCP server and thus the next two lines should not be present in that case. IPADDR=192.168.0.18 NETMASK=255.255.255.0 GATEWAY=192.168.0.1 NM_CONTROLLED=no # Should be added to the Ethernet interface to prevent NetworkManager from changing the file. NAME=enp0s3 UUID=14033805-98ef-4049-bc7b-d4bea76ed2eb ONBOOT=yes # The operating system should bring up this NIC during boot
Stilling hýsilheita
Í Red Hat Enterprise Linux 7 er hostnamectl skipunin notuð bæði til að spyrjast fyrir um og stilla hýsingarheiti kerfisins.
Til að birta núverandi hýsingarheiti skaltu slá inn:
# hostnamectl status
Til að breyta hýsingarheitinu skaltu nota
# hostnamectl set-hostname [new hostname]
Til dæmis,
# hostnamectl set-hostname cinderella
Til þess að breytingarnar taki gildi þarftu að endurræsa hýsilnefndan púkinn (þannig þarftu ekki að skrá þig út og inn aftur til að beita breytingunni):
# systemctl restart systemd-hostnamed
Að auki inniheldur RHEL 7 einnig nmcli tólið sem hægt er að nota í sama tilgangi. Til að birta hýsingarheitið skaltu keyra:
# nmcli general hostname
og til að breyta því:
# nmcli general hostname [new hostname]
Til dæmis,
# nmcli general hostname rhel7
Ræsir netþjónustu við ræsingu
Til að ljúka við skulum við sjá hvernig við getum tryggt að netþjónusta sé ræst sjálfkrafa við ræsingu. Í einföldu máli er þetta gert með því að búa til tákntengla í ákveðnar skrár sem tilgreindar eru í [Setja upp] hlutann í þjónustustillingarskránum.
Ef um eldvegg er að ræða (/usr/lib/systemd/system/firewalld.service):
[Install] WantedBy=basic.target Alias=dbus-org.fedoraproject.FirewallD1.service
Til að virkja þjónustuna:
# systemctl enable firewalld
Aftur á móti, að slökkva á eldvegg gefur rétt til að fjarlægja tákntengla:
# systemctl disable firewalld
Niðurstaða
Í þessari grein höfum við tekið saman hvernig á að setja upp og tryggja tengingar í gegnum SSH við RHEL netþjón, hvernig á að breyta nafni hans og að lokum hvernig á að tryggja að netþjónusta sé ræst við ræsingu. Ef þú tekur eftir því að ákveðin þjónusta hefur ekki byrjað rétt geturðu notað systemctl status -l [þjónusta] og journalctl -xn til að leysa hana.
Ekki hika við að láta okkur vita hvað þér finnst um þessa grein með því að nota athugasemdareyðublaðið hér að neðan. Spurningar eru líka vel þegnar. Okkur hlakkar til að heyra frá þér!