Upphafleg uppsetning netþjóns og stillingar á RHEL 7
Í þessari kennslu munum við ræða fyrstu stillingarskrefin sem þú þarft að sjá um eftir nýja uppsetningu á Red Hat Enterprise Linux 7 á berum málmþjóni eða á sýndar einkaþjóni.
- RHEL 7 lágmarksuppsetning
Mikilvægt: Notendur CentOS 7 geta fylgst með þessari grein til að gera upphafsuppsetningu á netþjóni á CentOS 7.
Uppfærðu RHEL 7 kerfið
Í fyrsta skrefi skráðu þig inn á RHEL miðlara stjórnborðið þitt með reikningi með rótarréttindi eða beint sem rót og keyrðu skipunina hér að neðan til að uppfæra kerfishlutana þína að fullu, svo sem uppsetta pakka, kjarnann eða nota aðra öryggisplástra.
# yum check-update # yum update
Til að fjarlægja alla staðbundna niðurhalða pakka og önnur tengd YUM skyndiminni skaltu framkvæma skipunina hér að neðan.
# yum clean all
Settu upp System Utilities á RHEL 7
Eftirfarandi tól geta reynst gagnleg fyrir daglega kerfisstjórnun: nano (textaritill sem kemur í stað lsof (tól til að stjórna staðbundnu neti) og bash-útfyllingu (sjálfvirk útfylling skipanalínu).
Settu þau öll upp í einu skoti með því að framkvæma skipunina hér að neðan.
# yum install nano wget curl net-tools lsof bash-completion
Settu upp netkerfi í RHEL 7
RHEL 7 hefur mikið úrval af verkfærum sem hægt er að nota til að stilla og stjórna netkerfi, allt frá því að breyta netstillingarskránni handvirkt til að nota skipanir eins og nmcli eða leið.
Auðveldasta tólið sem byrjandi getur notað til að stjórna og breyta netstillingum er nmtui grafísk skipanalína.
Til að breyta hýsingarheiti kerfisins með nmtui tólinu skaltu framkvæma nmtui-hostname skipunina, stilla vélarheitið þitt og ýta á OK til að klára, eins og sýnt er á skjámyndinni hér að neðan.
# nmtui-hostname
Til að vinna með netviðmót skaltu framkvæma nmtui-edit skipunina, velja viðmótið sem þú vilt breyta og velja breyta í hægri valmyndinni, eins og sýnt er á skjámyndinni hér að neðan.
Þegar þú ert kominn í grafíska viðmótið sem nmtui tólið býður upp á geturðu sett upp IP stillingar netviðmótsins eins og sýnt er á skjámyndinni hér að neðan. Þegar þú hefur lokið skaltu fletta í OK með því að nota [tab] takkann til að vista uppsetninguna og hætta.
Til að beita nýrri stillingu netviðmótsins skaltu framkvæma nmtui-connect skipunina, velja viðmótið sem þú vilt stjórna og smella á Slökkva/virkja valkostinn til að taka úr notkun og hækka viðmótið með IP stillingunum, eins og sýnt er á skjámyndunum hér að neðan.
# nmtui-connect
Til að skoða netviðmótsstillingarnar geturðu skoðað innihald viðmótsskrárinnar eða þú getur gefið út skipanirnar hér að neðan.
# ifconfig enp0s3 # ip a # ping -c2 google.com
Önnur gagnleg tól sem hægt er að nota til að stjórna hraða, tengja ástand eða fá upplýsingar um netviðmót véla eru ethtool og mii-tool.
# ethtool enp0s3 # mii-tool enp0s3
Búðu til nýjan notandareikning
Í næsta skrefi, meðan þú ert skráður inn sem rót á netþjóninn þinn, búðu til nýjan notanda með skipuninni hér að neðan. Þessi notandi verður notaður síðar til að skrá þig inn í kerfið þitt og framkvæma stjórnunarverkefni.
# adduser tecmint_user
Eftir að þú hefur bætt notandanum við með því að nota ofangreinda skipun skaltu setja upp sterkt lykilorð fyrir þennan notanda með því að gefa út skipunina hér að neðan.
# passwd tecmint_user
Í þeim tilfellum þar sem þú vilt þvinga þennan nýja notanda til að breyta lykilorði sínu við fyrstu innskráningartilraun, skaltu framkvæma skipunina hér að neðan.
# chage -d0 tecmint_user
Þessi nýi notendareikningur með hefur regluleg reikningsréttindi í bili og getur ekki framkvæmt stjórnunarverkefni með sudo skipun.
Til að forðast notkun á rótarreikningnum til að framkvæma stjórnunarréttindi, veittu þessum nýja notanda stjórnunarréttindi með því að bæta notandanum við „hjól“ kerfishóp.
Notendum sem tilheyra „hjólinu“ hópnum er sjálfgefið heimilt í RHEL að keyra skipanir með rótarréttindi með því að nota sudo tólið áður en þeir skrifa skipunina sem þarf til að framkvæma.
Til dæmis, til að bæta notandanum tecmint_user við hjól hópinn skaltu framkvæma skipunina hér að neðan.
# usermod -aG wheel tecmint_user
Síðan skaltu skrá þig inn í kerfið með nýja notandanum og reyndu að uppfæra kerfið með „sudo yum update“ skipuninni til að prófa hvort notandinn hafi rótarheimildir.
# su - tecmint_user $ sudo yum update
Stilltu SSH opinbera auðkenningu á RHEL 7
Í næsta skrefi til að auka RHEL þjónustuöryggi þitt skaltu stilla SSH opinbera auðkenningu fyrir nýja notandann. Til að búa til SSH lyklapar, opinbera og einkalykilinn, framkvæmdu eftirfarandi skipun á netþjóninum þínum. Gakktu úr skugga um að þú sért skráður inn í kerfið með notandanum sem þú ert að setja upp SSH lykilinn.
# su - tecmint_user $ ssh-keygen -t RSA
Á meðan lykillinn er búinn til verður þú beðinn um að bæta við lykilorði til að tryggja lykilinn. Þú getur slegið inn sterkt lykilorð eða valið að skilja lykilorðið eftir auða ef þú vilt gera verkefni sjálfvirk í gegnum SSH netþjón.
Eftir að SSH lykillinn hefur verið myndaður, afritaðu opinbera lyklaparið á ytri netþjón með því að framkvæma skipunina hér að neðan. Til að setja upp almenna lykilinn á ytri SSH netþjóninn þarftu notandareikning sem hefur skilríki til að skrá þig inn á þann netþjón.
$ ssh-copy-id [email
Nú ættir þú að reyna að skrá þig inn í gegnum SSH á ytri netþjóninn með því að nota einkalykilinn sem auðkenningaraðferð. Þú ættir að geta skráð þig inn sjálfkrafa án þess að SSH þjónninn biðji um lykilorð.
$ ssh [email
Til að sjá innihald almennings SSH lykilsins þíns ef þú vilt setja lykilinn upp handvirkt á fjarlægan SSH netþjón skaltu gefa út eftirfarandi skipun.
$ cat ~/.ssh/id_rsa
Örugg SSH á RHEL 7
Til að tryggja SSH-púkann og banna ytri SSH-aðgang að rótarreikningnum með lykilorði eða lykli, opnaðu aðalstillingarskrá SSH netþjóns og gerðu eftirfarandi breytingar.
$ sudo vi /etc/ssh/sshd_config
Leitaðu að línunni #PermitRootLogin já, afskrifaðu línuna með því að fjarlægja # merkið (myllumerkið) frá upphafi línunnar og breyttu línunni þannig að hún líti út eins og sýnt er í útdrættinum hér að neðan.
PermitRootLogin no
Síðan skaltu endurræsa SSH netþjóninn til að nota nýju stillingarnar og prófa stillingarnar með því að reyna að skrá þig inn á þennan netþjón með rótarreikningnum. Aðgangur að rótarreikningi í gegnum SSH ætti að vera takmarkaður núna.
$ sudo systemctl restart sshd
Það eru aðstæður þar sem þú gætir viljað aftengja allar ytri SSH tengingar sjálfkrafa við netþjóninn þinn eftir óvirkni.
Til að virkja þennan eiginleika um allt kerfið skaltu framkvæma skipunina hér að neðan, sem bætir TMOUT bash breytunni við aðal bashrc skrána og neyðir hverja SSH tengingu til að vera aftengd eða sleppt eftir 5 mínútna óvirkni.
$ su -c 'echo "TMOUT=300" >> /etc/bashrc'
Keyrðu hala skipun til að athuga hvort breytunni hafi verið rétt bætt við í lok /etc/bashrc skráarinnar. Öllum síðari SSH tengingum verður sjálfkrafa lokað eftir 5 mínútna óvirkni héðan í frá.
$ tail /etc/bashrc
Á skjámyndinni hér að neðan hefur fjarlægri SSH lotunni frá drupal vél til RHEL netþjóns verið útskráð sjálfkrafa eftir 5 mínútur.
Stilltu eldvegg á RHEL 7
Í næsta skrefi skaltu stilla eldvegginn til að tryggja kerfið enn frekar á netstigi. RHEL 7 er með Firewalld forriti til að stjórna iptables reglum á þjóninum.
Fyrst skaltu ganga úr skugga um að eldveggurinn sé í gangi í kerfinu þínu með því að gefa út skipunina hér að neðan. Ef Firewalld púkinn er stöðvaður ættirðu að ræsa hann með eftirfarandi skipun.
$ sudo systemctl status firewalld $ sudo systemctl start firewalld $ sudo systemctl enable firewalld
Þegar eldveggurinn hefur verið virkjaður og keyrður í kerfinu þínu geturðu notað eldvegg-cmd skipanalínuforritið til að stilla eldveggstefnuupplýsingarnar og leyfa umferð til ákveðinna netgátta, svo sem SSH-púkunnar, tengingar við innri vefþjón eða annað. tengda netþjónustu.
Vegna þess að núna erum við bara að keyra SSH púka á netþjóninum okkar, við getum breytt eldveggsstefnunni til að leyfa umferð fyrir SSH þjónustugátt með því að gefa út eftirfarandi skipun.
$ sudo firewall-cmd --add-service=ssh --permanent $ sudo firewall-cmd --reload
Til að bæta við eldveggsreglu á flugi, án þess að beita reglunni næst þegar þjónninn er ræstur, notaðu skipanasetningafræðina hér að neðan.
$ sudo firewall-cmd --add-service=sshd
Ef þú setur upp aðra netþjónustu á netþjóninum þínum, eins og HTTP netþjóni, póstþjóni eða annarri netþjónustu, geturðu bætt við reglum til að leyfa sérstakar tengingar eins og hér segir.
$ sudo firewall-cmd --permanent --add-service=http $ sudo firewall-cmd --permanent --add-service=https $ sudo firewall-cmd --permanent --add-service=smtp
Til að skrá allar eldveggsreglur skaltu keyra skipunina hér að neðan.
$ sudo firewall-cmd --permanent --list-all
Fjarlægðu óþarfa þjónustu í RHEL 7
Til þess að fá lista yfir alla netþjónustu (TCP og UDP) sem keyrir sjálfgefið á RHEL netþjóninum þínum skaltu gefa út ss skipunina, eins og sýnt er í sýnishorninu hér að neðan.
$ sudo ss -tulpn
ss skipunin mun sýna nokkrar áhugaverðar þjónustur sem eru ræstar og keyrðar sjálfgefið í kerfinu þínu, svo sem Postfix aðalþjónustuna og netþjóninn sem ber ábyrgð á NTP samskiptareglunum.
Ef þú ætlar ekki að stilla þennan netþjón sem póstþjón, ættirðu að hætta, slökkva á og fjarlægja Postfix púkann með því að gefa út skipanirnar hér að neðan.
$ sudo systemctl stop postfix.service $ sudo yum remove postfix
Nýlega hefur verið greint frá einhverjum viðbjóðslegum DDOS árásum yfir NTP samskiptareglur. Ef þú ætlar ekki að stilla RHEL netþjóninn þinn til að keyra sem NTP miðlara til þess að innri viðskiptavinir geti samstillt tímann við þennan netþjón, ættirðu að slökkva alveg á og fjarlægja Chrony púkinn með því að gefa út skipanirnar hér að neðan.
$ sudo systemctl stop chronyd.service $ sudo yum remove chrony
Aftur skaltu keyra ss skipunina til að bera kennsl á hvort önnur netþjónusta sé í gangi í kerfinu þínu og slökkva á og fjarlægja þær.
$ sudo ss -tulpn
Til þess að veita réttan tíma fyrir netþjóninn þinn og samstilla tímann við jafningjaþjón fyrir efri tíma, geturðu sett upp ntpdate tólið og samstillt tímann við opinberan NTP netþjón með því að framkvæma skipanirnar hér að neðan.
$ sudo yum install ntpdate $ sudo ntpdate 0.uk.pool.ntp.org
Til að gera ntpdate tímasamstillingarskipunina sjálfvirka til að framkvæma á hverjum degi án nokkurrar íhlutunar notenda, skipuleggja nýtt crontab verk til að keyra á miðnætti með eftirfarandi efni.
$ sudo crontab -e
Crontab skráarútdráttur:
@daily /usr/sbin/ntpdate 0.uk.pool.ntp.org
Það er allt og sumt! Nú er RHEL þjónninn þinn tilbúinn til að setja upp viðbótarhugbúnað sem þarf fyrir sérsniðna netþjónustu eða forrit, svo sem uppsetningu og stillingu á vefþjóni, gagnagrunnsþjóni, skráardeilingarþjónustu eða öðrum sérstökum forritum.
Til að tryggja enn frekar og herða RHEL 7 netþjóninn skaltu skoða þessar eftirfarandi greinar.
- Mega leiðarvísirinn til að herða og tryggja RHEL 7 – Part 1
- Mega leiðarvísirinn til að herða og tryggja RHEL 7 – Part 2
Ef þú ætlar að setja upp vefsíður á þessu RHEL 7 kerfi, lærðu hvernig á að setja upp og stilla LEMP stafla.