Configurarea și configurațiile inițiale ale serverului pe CentOS 7

Acest tutorial va explica primii pași de bază pe care trebuie să-i parcurgeți după instalarea unui sistem CentOS 7 minim fără mediu grafic pentru a obține informații despre sistemul instalat, hardware-ul de deasupra căruia rulează sistemul. și configurați alte sarcini specifice de sistem, cum ar fi rețele, privilegii root, software, servicii și altele.

Cerințe

  1. Instalare minimă CentOS 7

Important: utilizatorii RHEL 7 pot urma acest articol pentru a efectua o configurare inițială a serverului pe RHEL 7.

Actualizați sistemul CentOS 7

Primul pas pe care trebuie să-l faceți pe un sistem CentOS proaspăt instalat este să vă asigurați că sistemul este actualizat cu cele mai recente corecții de securitate pentru kernel și sistem, depozite de software și pachete.

Pentru a actualiza complet un sistem CentOS 7, lansați următoarele comenzi cu privilegii de root.


yum check-update
yum upgrade

După finalizarea procesului de actualizare, pentru a elibera spațiu pe disc, puteți elimina toate pachetele descărcate care au fost utilizate în procesul de actualizare împreună cu toate informațiile din depozitele stocate în cache, executând următoarea comandă.


yum clean all

Instalați utilitarele de sistem pe CentOS 7

Următoarele pachete de utilitare se pot dovedi a fi utile pentru administrarea zilnică a sistemului: nano (editor de text care înlocuiește editorul vi), wget, curl (utilități utilizate pentru descărcare pachete prin rețea în principal) net-tools, lsof (utilități pentru gestionarea rețelelor locale) și bash-completion (completare automată în linia de comandă).

Instalați-le pe toate într-o singură lovitură executând comanda de mai jos.


yum install nano wget curl net-tools lsof bash-completion

Configurați rețeaua în CentOS 7

CentOS 7 are o gamă largă de instrumente care pot fi utilizate pentru configurarea și gestionarea rețelei, de la editarea manuală a fișierului de configurare a rețelei până la utilizarea comenzilor precum ip, ifconfig, nmtui, nmcli sau rută.

Cel mai simplu utilitar pe care un începător îl poate folosi pentru a gestiona și modifica configurațiile rețelei este linia de comandă grafică nmtui.

Pentru a schimba numele de gazdă a sistemului prin utilitarul nmtui, executați comanda nmtui-hostname, setați numele de gazdă a mașinii și apăsați pe OK pentru a finaliza, așa cum este ilustrat. în captura de ecran de mai jos.


nmtui-hostname

Pentru a manipula o interfață de rețea, executați comanda nmtui-edit, alegeți interfața pe care doriți să o editați și selectați editați din meniul din dreapta, așa cum se arată în captura de ecran de mai jos.


nmtui-edit

Odată ce vă aflați în interfața grafică furnizată de utilitarul nmtui, puteți configura setările IP pentru interfața de rețea, așa cum este ilustrat în captura de ecran de mai jos. Când ați terminat, navigați la OK folosind tasta [tab] pentru a salva configurația și a ieși.

Pentru a aplica noua configurație a interfeței de rețea, executați comanda nmtui-connect, selectați interfața pe care doriți să o gestionați și apăsați pe opțiunea Dezactivare/Activare pentru dezafectare și ridicare interfața cu setările IP, așa cum este prezentat în capturile de ecran de mai jos.


nmtui-connect

Pentru a vizualiza setările interfeței de rețea, puteți inspecta conținutul fișierului de interfață sau puteți emite comenzile de mai jos.


ifconfig enp0s3
ip a
ping -c2 google.com

Alte utilitare utile care pot fi folosite pentru a gestiona viteza, starea conexiunii sau pentru a obține informații despre interfețele de rețea a mașinilor sunt ethtool și mii-tool.


ethtool enp0s3
mii-tool enp0s3

Un aspect important al conectării în rețea mașinii dvs. este să enumerați toate prizele de rețea deschise pentru a vedea ce programe ascultă pe ce porturi și care este starea conexiunilor de rețea stabilite.

Pentru a lista toate serverele care au deschis socketurile TCP sau UDP în starea de ascultare, emiteți următoarele comenzi. Cu toate acestea, serverul UDP nu va enumera nicio stare de socket din cauza faptului că UDP este un protocol fără conexiune care trimite numai pachete prin rețea și nu stabilește conexiuni.


netstat -tulpn
ss -tulpn
lsof -i4 -6

Gestionați serviciile în CentOS 7

CentOS 7 gestionează demonii sau serviciul prin utilitarul systemctl. Pentru a lista toate stările serviciilor, lansați următoarea comandă.


systemctl list-units

Pentru a verifica dacă un demon sau un serviciu este activat să pornească automat când sistemul pornește, lansați următoarea comandă.


systemctl list-unit-files -t service

Pentru a enumera vechile servicii SysV prezente în sistemul dvs. și pentru a le dezactiva, emiteți următoarele comenzi chkconfig.


chkconfig --list
chkconfig service_name off

5. Dezactivați serviciile nedorite în CentOS 7

Se recomandă, după instalarea CentOS 7, să enumerați ce servicii rulează în sistem rulând comenzile de mai sus și să le dezactivați și să le eliminați pentru a reduce vectorii de atac împotriva sistemului dvs.

De exemplu, demonul Postfix este instalat și activat implicit în CentOS 7. Dacă sistemul dvs. nu necesită rularea unui server de e-mail, cel mai bine este să opriți, să dezactivați și să eliminați serviciul postfix lansând comenzile de mai jos. .


systemctl stop postfix
systemctl disable postfix
yum remove postfix

Pe lângă comenzile netstat, ss, lsof sau systemctl, puteți rula și comenzi ps, top sau pstree pentru a descoperi și identifica ce servicii nedorite rulează în sistemul dvs. și dezactivați sau eliminați-le.

În mod implicit, utilitarul pstree nu este instalat în CentOS 7. Pentru a-l instala, executați următoarea comandă.


yum install psmisc
pstree -p

Activați firewall în CentOs 7

Firewalld este principalul utilitar de firewall cu care interacționează pentru a gestiona regulile iptables.
Pentru a activa, a porni și a verifica firewall-ul în CentOS 7, executați următoarele comenzi.


systemctl enable firewalld
systemctl start firewalld
systemctl status firewalld

Pentru a deschide un anumit serviciu pentru conexiunile de intrare, verificați mai întâi dacă aplicația este deja prezentă în regulile firewalld și apoi adăugați regula pentru serviciu, așa cum se arată în exemplul de mai jos, care permite >SSH conexiuni de intrare. Utilizați comutatorul --permanent pentru a adăuga regula permanent.


firewall-cmd --add-service=[tab]  #List services
firewall-cmd --add-service=ssh
firewall-cmd --add-service=ssh --permanent

În cazul în care serviciul este deja definit în regulile firewalld, puteți adăuga manual portul de serviciu, așa cum se arată în exemplul de mai jos.


firewall-cmd --add-port=22/tcp --permanent
firewall-cmd --reload     #Apply the rule on-fly

Activați permisiunile Sudo pentru conturile de utilizator

Pentru a acorda permisiuni root pentru un utilizator normal, mai întâi creați utilizatorul lansând comanda adduser, setați parola utilizatorului și acordați permisiuni root utilizatorului executând comanda de mai jos, care adaugă noul utilizator la grupul de roți administrative.


adduser tecmint
passwd tecmint
usermod -aG wheel tecmint

Pentru a testa dacă noul utilizator are privilegii root, conectați-vă la sistem cu acreditările utilizatorului și rulați comanda yum cu permisiuni sudo, așa cum se arată în fragmentul de mai jos.


su - tecmint
sudo yum update

Configurați autentificarea cu cheie publică SSH pe CentOS 7

Pentru a vă securiza serverul SSH și a configura autentificarea cu cheie publică pentru a crește securitatea serverului cu o cheie SSH privată pentru a vă conecta, mai întâi generați o pereche de chei SSH cu următoarea comandă.

Nu introduceți o frază de acces în cazul în care doriți să automatizați gestionarea serverului prin SSH.


ssh-keygen -t RSA

După ce perechile de chei SSH au fost generate, copiați cheia pe serverul la care doriți să vă conectați lansând comanda de mai jos. Inițial, introduceți parola de utilizator SSH la distanță pentru a copia cheia publică.


ssh-copy-id remote_user@SSH_SERVER_IP

După ce cheia publică SSH a fost copiată pe serverul la distanță, conectați-vă la serverul SSH la distanță cu următoarea comandă.


ssh remote_user@SSH_SERVER_IP

În cele din urmă, pentru a securiza serverul SSH, asigurați-vă că interziceți accesul SSH de la distanță la contul rădăcină, deschizând fișierul SSH de configurare /etc/ssh/sshd_config cu editorul de text ca rădăcină și schimbați-l din Da până la Nu.


PermitRootLogin no

Pentru a aplica setarea, trebuie să reporniți serviciul SSH, astfel încât să folosească noua configurație.


systemctl restart sshd

Asta e tot! Acestea sunt doar câteva setări și comenzi de bază pe care fiecare administrator de sistem trebuie să le cunoască și să le aplice pe un sistem CentOS proaspăt instalat sau pentru a efectua sarcini de zi cu zi pe sistem.

Pentru a securiza și întări serverul CentOS 7, consultați următoarele articole.

  1. Mega Ghid pentru întărirea și securizarea CentOS 7 - Partea 1
  2. Mega Ghid pentru întărirea și securizarea CentOS 7 - Partea 2

Dacă intenționați să implementați site-uri web pe acest sistem CentOS 7, aflați cum să configurați și să configurați stiva LAMP sau stiva LEMP.