Den indledende konfiguration er påkrævet, når CentOS er installeret.

Udgivelsesdato：8. december 2020.

Oversigt.

Dette afsnit beskriver de første nødvendige indstillinger efter installation af CentOS. Den er bygget med CentOS 7.6 (1810).

1. grundlæggende indstilling

Dette afsnit beskriver de grundlæggende indstillinger, der er nødvendige umiddelbart efter installation af CentOS.

1-1. Kontrol af operativsystemet

Først skal du kontrollere, at du har det korrekte operativsystem installeret.

[root@hostname ~]# cat /etc/redhat-release

CentOS Linux release 7.6.1810 (Core)

"CentOS Linux release 7.6.1810 (Core)" er det installerede styresystem. Kontroller, at den er korrekt.

1-2. Installation af værktøjet

Umiddelbart efter installationen kan grundlæggende kommandoer som f.eks. ifconfig ikke udføres. Derfor udføres installationen således, at grundlæggende netværks- og andre kommandoer kan udføres af yum-kommandoer.

Gør dette om nødvendigt, da det er muligt at modernisere det, der allerede er installeret, med "yum -y update".

[root@hostname ~]# yum install -y net-tools

[root@hostname ~]# yum install -y wget

[root@hostname ~]# yum install -y tcpdump

[root@hostname ~]# yum install -y traceroute

net-tools・・・Kommandoen ifconifg og andre kan bruges efter installationen.

wget・・・Bogstaveligt talt, men wget-kommandoen kan også bruges. Kort fortalt sender denne kommando en http-anmodning.

tcpdump・・・Bogstaveligt talt, men tcpdump-kommandoen kan også bruges. Kort fortalt kan den overvåge de anmodninger, der sendes til serveren.

traceroute・・・Bogstaveligt talt, men traceroute-kommandoen kan også bruges. Kort fortalt viser den ruten for destinations-IP'en.

1-3. Deaktivering af selinux

Deaktiver selinux, da det er aktiveret og kan opføre sig uventet.

Til at begynde med er selinux en sikkerhedsrelateret indstilling. Hvis du er i stand til at bruge den, kan du aktivere den, men hvis det er svært, kan du deaktivere den. Deaktivering af selinux gør ikke nødvendigvis sikkerheden sårbar.Det er mere sandsynligt, at det vil give problemer, hvis det er aktiveret, selv om jeg personligt ikke forstår det så godt. Den enkle forklaring er, at selinux er en sikkerhedsforanstaltning, efter at serveren er blevet brudt (konfigureret til at minimere skaderne i tilfælde af et brud), så det er vigtigere at træffe sikkerhedsforanstaltninger for at forhindre, at serveren bliver brudt.

Nedenfor er trinene for deaktivering beskrevet.

[username@hostname ~]$ getenforce

Disabled

Hvis den ikke er "Disabled" (deaktiveret), kan den ændres ved hjælp af følgende fremgangsmåde.

[username@hostname ~]$ vi /etc/selinux/config

SELINUX=enforcing

SELINUX=disabled

"SELINUX" og "SELINUXTYPE", men det er "SELINUX", der skal ændres. Bemærk, at hvis du ændrer "SELINUXTYPE" ved en fejltagelse, vil serveren ikke starte.

Genstart serveren, og konfigurationen træder i kraft.

1-4. yderligere operationel bruger

Det er farligt at logge ind og arbejde som root-bruger, så tilføj en bruger til at logge ind. I et efterfølgende trin skal du deaktivere root-brugerlogin.

Risikoen ved at arbejde som en root-bruger, der er logget ind, er, at du kan gøre alt, hvad du vil. Risikoen ved at kunne gøre hvad som helst er, at du ved et uheld kan ændre eller slette vigtige ændringer i forbindelse med operativsystemet. Hvis du bruger serveren til personlig brug, f.eks. som hobby eller studie, og du ikke begår så almindelige fejl, kan jeg personligt ikke se noget problem i at logge ind som root-bruger. Den vigtigste grund til ikke at tillade root-brugeren at logge ind er adskillelse af beføjelser. App-udviklingsteamet bruger brugere, der kun rører mappen til app-udvikling. Batch-udviklingsholdet bruger brugere, som kun har adgang til mappen til batchudvikling. Det er bedre at adskille brugerne, så de nødvendige teams kan røre de nødvendige mapper, f.eks.

Nedenfor er trinene for tilføjelse af brugere.

[root@hostname ~]# useradd xxxxxx

[root@hostname ~]# passwd xxxxxx

※xxxxxxxx er navnet på den bruger, der skal tilføjes. Indstil en hvilken som helst adgangskode.

1-5. Ændre root-brugerens adgangskode

Hvis du ikke er root-bruger, skal du skifte til root-brugeren med su - og udføre følgende kommando

[username@hostname ~]$ su -

[root@hostname ~]# passwd

※Indstil en hvilken som helst adgangskode.

Du må aldrig opgive den oprindelige adgangskode. Adgangskoden "root" er den værste. Adgangskoderne "password" og "1234" er også ret farlige. Et minimum på otte cifre, herunder alfanumeriske symboler, er godt.

Denne adgangskodeindstilling er ret vigtig for sikkerhedsforanstaltningerne og bør indstilles med den største omhu. Det er ret grundlæggende at ændre root-brugerens adgangskode, men vær opmærksom på, at vi har hørt mange historier om sikkerhedshændelser forårsaget af dette. Du skal ikke gå ud fra, at ingen vil angribe din server, fordi den er lille i størrelse. Angriberen får adgang til en tilfældig server med brugernavnet "root" og adgangskoden "root".

1-6. Konfiguration til at forbyde logins af ikke-operative brugere (forbyder logins af root-brugeren og andre brugere).

Begræns antallet af brugere, der kan logge ind. Især bør root-brugere ikke have lov til at logge ind. Hvis du er logget ind som root, svarer det til, at alle sikkerhedsforanstaltninger er deaktiveret.

Nedenfor er trinene til at deaktivere login for root-brugeren og tilføje brugere, der kan logge ind. Skift til root-bruger og ændr derefter konfigurationsfilen. (Det er muligt at skifte til root-bruger med 'su-', men det er bare ikke muligt at logge ind.)

[username@hostname ~]$ su -

[root@hostname ~]# vi /etc/ssh/sshd_config

#LoginGraceTime 2m

#PermitRootLogin yes

#StrictModes yes

#MaxAuthTries 6

#MaxSessions 10

#LoginGraceTime 2m

PermitRootLogin no

AllowUsers xxxxxx

#StrictModes yes

#MaxAuthTries 6

#MaxSessions 10

※xxxxxxxx er det operationelle brugernavn, som du netop har tilføjet.

Det er vigtigt at bemærke, at hvis AllowUsers-navnet er forkert, vil ingen kunne logge ind, så tjek brugernavnene omhyggeligt.

Kontroller syntaksen, og genstart sshd.

[root@hostname ~]# /usr/sbin/sshd -t

[root@hostname ~]# systemctl restart sshd

Når du har logget ud og bekræftet, at du ikke kan logge ind som root, og at du kan logge ind som den tilføjede operationelle bruger, er du færdig.

1-7. tidssynkronisering

Kontroller, at tiden er synkroniseret. Nogle gange er serverens tid ikke synkroniseret, så dato og klokkeslæt i loggen vises på et andet tidspunkt end forventet, og det tager lang tid at analysere problemet.

Kontroller opstart af tidssynkroniseringsprocessen (chronyd). Kontroller tidssynkroniseringsstatus. Bemærk, at CentOS7 er 'chronyd', men tidligere er 'ntpd', så vær forsigtig, hvis du er på 6 eller tidligere.

[root@hostname ~]# ps aux | grep chronyd

chrony     567  0.0  1.3 117804 13664 ?        SL    5月04   0:04 /usr/sbin/chronyd

root     32489  0.0  0.0 112732   972 pts/1    S+   16:30   0:00 grep --color=auto chronyd

[root@hostname ~]# timedatectl

      Local time: dag (i måneden) 2020-11-29 16:30:43 JST

  Universal time: dag (i måneden) 2020-11-29 07:30:43 UTC

        RTC time: dag (i måneden) 2020-11-29 07:30:43

       Time zone: Asia/Tokyo (JST, +0900)

     NTP enabled: yes

NTP synchronized: yes

 RTC in local TZ: no

      DST active: n/a

Det er OK, hvis "Lokal tid" svarer til den aktuelle tid, "NTP aktiveret" er ja, og "NTP synkroniseret" er ja.

1-8. Indstillinger for nøglegodkendelse

For de operationelle brugere, du lige har tilføjet, skal du tillade, at de kun kan logge på med nøgleautentifikation.

Ved blot at deaktivere adgangskodegodkendelse øges sikkerheden betydeligt. Hvis du bruger en kompleks adgangskode, vil du i princippet ikke blive logget ind, hvis du bruger en kompleks adgangskode, men muligheden er ikke nul procent. I tilfælde af nøgleautentifikation kan du dog kun logge ind, hvis du i første omgang har nøglen, så så længe du forvalter din nøgle korrekt, vil du ikke blive logget ind.

Nedenfor beskrives proceduren for opsætning af nøgleautentifikation.

[username@hostname ~]$ su - xxxxxx

[xxxxxx@hostname ~]$ ssh-keygen -t rsa -b 2048

※xxxxxxxx er navnet på den ekstra operationelle bruger.

※Når du har udført kommandoen "ssh-keygen -t rsa -b 2048", vil du blive bedt om et svar, alle standardværdier og trykke på "Enter". Kan også oprettes uden adgangskode. (Indtastning af en adgangskode giver yderligere sikkerhed som nøgleautentifikation plus adgangskodeautentifikation, men der forudsættes ingen adgangskode i dette tilfælde.)

Kontroller derefter, at nøglen er blevet oprettet.

[xxxxxx@hostname ~]$ ll /home/xxxxxx/.ssh

※xxxxxxxx er navnet på den ekstra operationelle bruger.

Kontroller, at den private nøgle "id_rsa" den offentlige nøgle "id_rsa.pub" er gemt.

Omdøb den offentlige nøgle, og flyt den mappe, hvor du kan downloade den private nøgle.

[xxxxxx@hostname ~]$ mv /home/xxxxxx/.ssh/id_rsa.pub /home/xxxxxx/.ssh/authorized_keys

[xxxxxx@hostname ~]$ mv /home/xxxxxx/.ssh/id_rsa /home/xxxxxx/id_rsa

※xxxxxxxx er navnet på den ekstra operationelle bruger.

Slet den private nøgle (id_rsa) fra serveren, efter at du har flyttet den lokalt.

Flyt /home/xxxxxxxxxxxx/id_rsa til local. (Gå til f.eks. WinSCP).

Når du har flyttet, skal du udføre kommandoen delete.

[xxxxxx@hostname ~]$ rm /home/xxxxxx/id_rsa

※xxxxxxxx er det brugernavn, der blev tilføjet i trin (3).

Dette afslutter opsætningen af nøgleautentificeringen. Kontroller, at du kan logge ind med den private nøgle, du har oprettet.

Når du har fået bekræftet, at du kan logge ind, er det sidste skridt at ændre indstillingerne, så du ikke kan logge ind med adgangskodebekræftelse.

[username@hostname ~]$ su -

[root@hostname ~]# vi /etc/ssh/sshd_config

PasswordAuthentication yes

PasswordAuthentication no

Kontroller syntaksen, og genstart sshd.

[root@hostname ~]# /usr/sbin/sshd -t

[root@hostname ~]# systemctl restart sshd

Dette afslutter opsætningen af nøgleautentificeringen.

2. resumé

Vi har beskrevet den indledende konfiguration, der kræves, når CentOS er installeret.

Oplysningerne i denne artikel er det minimum, der bør implementeres ved installation af CentOS, så hvis du føler, at der er mangler efter at have læst denne artikel, så prøv at opsætte dem.

Tak, fordi du kiggede med til slutningen.