Alustava konfigurointi vaaditaan, kun CentOS asennetaan.


Julkaisupäivä:8. joulukuuta 2020.



INFOMARTION > Alustava konfigurointi vaaditaan, kun CentOS asennetaan.

Yleiskatsaus.

Tässä osassa kuvataan ensimmäiset tarvittavat asetukset CentOS:n asennuksen jälkeen. Se on rakennettu käyttäen CentOS 7.6 (1810) -käyttöjärjestelmää.

Sisällysluettelo

  1. perusasetus
  2. yhteenveto

1. perusasetus

Tässä osassa kuvataan perusasetukset, joita tarvitaan heti CentOS:n asentamisen jälkeen.

1-1. Käyttöjärjestelmän tarkistaminen

Tarkista ensin, että olet asentanut oikean käyttöjärjestelmän.

[root@hostname ~]# cat /etc/redhat-release
CentOS Linux release 7.6.1810 (Core)

'CentOS Linux release 7.6.1810 (Core)' on asennettu käyttöjärjestelmä. Tarkista, että se on oikein.

1-2. Työkalun asentaminen

Välittömästi asennuksen jälkeen ifconfigin kaltaisia peruskomentoja ei voi suorittaa. Asennus tehdään siis niin, että perusverkkotoiminnot ja muut komennot voidaan suorittaa yum-komennoilla.

Tee tämä tarvittaessa, sillä jo asennettuja ohjelmia on mahdollista päivittää 'yum -y update'-ohjelmalla.

[root@hostname ~]# yum install -y net-tools
[root@hostname ~]# yum install -y wget
[root@hostname ~]# yum install -y tcpdump
[root@hostname ~]# yum install -y traceroute

net-tools・・・Komentoa ifconifg ja muita komentoja voidaan käyttää asennuksen jälkeen.

wget・・・Kirjaimellisesti, mutta wget-komentoa voidaan käyttää. Lyhyesti sanottuna tämä komento lähettää http-pyynnön.

tcpdump・・・Kirjaimellisesti, mutta tcpdump-komentoa voidaan käyttää. Lyhyesti sanottuna se voi seurata palvelimelle lähetettyjä pyyntöjä.

traceroute・・・Kirjaimellisesti, mutta traceroute-komentoa voidaan käyttää. Lyhyesti sanottuna se näyttää kohde-IP:n reitin.

1-3. Selinuxin poistaminen käytöstä

Poista selinux käytöstä, koska se on käytössä ja saattaa käyttäytyä odottamattomasti.

Aluksi selinux on turvallisuuteen liittyvä asetus. Jos pystyt käyttämään sitä, voit ottaa sen käyttöön, mutta jos se on vaikeaa, poista se käytöstä. Selinuxin poistaminen käytöstä ei välttämättä tee tietoturvasta haavoittuvaa.On todennäköisempää, että se aiheuttaa ongelmia, jos se on käytössä, vaikka en henkilökohtaisesti ymmärrä sitä kovin hyvin. Yksinkertainen selitys on se, että selinux on turvatoimenpide sen jälkeen, kun palvelimeen on murtauduttu (se on konfiguroitu minimoimaan vahinko, jos palvelimeen murtaudutaan), joten on paljon tärkeämpää toteuttaa turvatoimenpiteitä, joilla estetään palvelimen murtautuminen.

Seuraavassa on ohjeita deaktivointiin.

[username@hostname ~]$ getenforce
Disabled

Jos se ei ole "Disabled" (Ei käytössä), se voidaan muuttaa seuraavalla tavalla.

[username@hostname ~]$ vi /etc/selinux/config


config【Ennen muutosta】


SELINUX=enforcing


config【muutoksen jälkeen】


SELINUX=disabled

'SELINUX' ja 'SELINUXTYPE', mutta juuri 'SELINUX' on muutettava. Huomaa, että jos muutat "SELINUXTYPE"-arvoa vahingossa, palvelin ei käynnisty.

Käynnistä palvelin uudelleen, niin asetukset tulevat voimaan.

1-4. ylimääräinen operatiivinen käyttäjä

Pääkäyttäjänä kirjautuminen ja työskentely on vaarallista, joten lisää käyttäjä, joka kirjautuu sisään. Poista pääkäyttäjän kirjautuminen käytöstä seuraavassa vaiheessa.

Root-käyttäjänä sisäänkirjautuneena työskentelyn vaarana on, että voit tehdä mitä haluat. Kun voit tehdä mitä tahansa, vaarana on, että voit vahingossa muuttaa tai poistaa käyttöjärjestelmään liittyviä tärkeitä muutoksia. Jos käytät palvelinta henkilökohtaiseen käyttöön, kuten harrastukseen tai opiskeluun, etkä tee niin tavallisia virheitä, en itse näe mitään ongelmaa kirjautumisessa pääkäyttäjänä. Tärkein syy siihen, että pääkäyttäjän ei sallita kirjautua sisään, on vallanjako. Sovelluskehitystiimi käyttää käyttäjiä, jotka koskettavat hakemistoa vain sovelluskehitykseen. Eräkehitystiimi käyttää käyttäjiä, jotka koskettavat vain eräkehityshakemistoa. Käyttäjät kannattaa erottaa toisistaan, jotta tarvittavat tiimit voivat koskea tarvittaviin hakemistoihin, esimerkiksi

Käyttäjien lisääminen tapahtuu seuraavasti.

[root@hostname ~]# useradd xxxxxx
[root@hostname ~]# passwd xxxxxx

※xxxxxxxx on lisättävän käyttäjän nimi. Aseta mikä tahansa salasana.

1-5. Vaihda pääkäyttäjän salasana

Jos et ole pääkäyttäjä, vaihda pääkäyttäjäksi komennolla su - ja suorita seuraava komento

[username@hostname ~]$ su -
[root@hostname ~]# passwd

※Aseta mikä tahansa salasana.

Älä koskaan lopeta alkuperäistä salasanaa. Salasana 'root' on pahin. Salasanat "password" ja "1234" ovat myös varsin vaarallisia. Vähintään kahdeksan numeroa, mukaan lukien aakkosnumeeriset symbolit, on hyvä.

Tämä salasana-asetus on varsin tärkeä turvatoimien kannalta, ja se on asetettava erittäin huolellisesti. Pääkäyttäjän salasanan vaihtaminen on melko yksinkertaista, mutta muista, että olemme kuulleet monia tarinoita tästä johtuvista tietoturvaongelmista. Älä oleta, että kukaan ei hyökkää palvelimesi kimppuun, koska se on kooltaan pieni. Hyökkääjä käyttää satunnaista palvelinta käyttäjätunnuksella 'root' ja salasanalla 'root'.

1-6. Määritys, jolla kielletään muiden kuin toiminnassa olevien käyttäjien kirjautuminen (estää pääkäyttäjän ja muiden käyttäjien kirjautumisen).

Rajoita sisäänkirjautuvien käyttäjien määrää. Erityisesti pääkäyttäjien ei pitäisi saada kirjautua sisään. Jos olet kirjautuneena pääkäyttäjänä, kaikki turvatoimet on poistettu käytöstä.

Alla on ohjeet pääkäyttäjän kirjautumisen poistamiseksi käytöstä ja kirjautumiskelpoisten käyttäjien lisäämiseksi. Siirry pääkäyttäjäksi ja muuta sitten asetustiedostoa. (On mahdollista siirtyä pääkäyttäjäksi komennolla 'su-', mutta ei pysty kirjautumaan sisään.)

[username@hostname ~]$ su -
[root@hostname ~]# vi /etc/ssh/sshd_config


sshd_config【Ennen muutosta】


#LoginGraceTime 2m
#PermitRootLogin yes
#StrictModes yes
#MaxAuthTries 6
#MaxSessions 10


sshd_config【muutoksen jälkeen】


#LoginGraceTime 2m
PermitRootLogin no
AllowUsers xxxxxx
#StrictModes yes
#MaxAuthTries 6
#MaxSessions 10

※xxxxxxxx on juuri lisäämäsi operatiivinen käyttäjänimi.


Huomioitavaa on, että jos AllowUsers-nimi on väärä, kukaan ei voi kirjautua sisään, joten tarkista käyttäjätunnukset huolellisesti.

Tarkista syntaksi ja käynnistä sshd uudelleen.

[root@hostname ~]# /usr/sbin/sshd -t
[root@hostname ~]# systemctl restart sshd

Kun olet kirjautunut ulos ja varmistanut, että et voi kirjautua sisään root-käyttäjänä ja että voit kirjautua sisään lisättynä operatiivisena käyttäjänä, olet valmis.


1-7. aikasynkronointi

Tarkista, että aika on synkronoitu. Joskus palvelimen kellonaika ei ole synkronoitu, jolloin lokitulosteen päivämäärä ja kellonaika tulostuvat eri aikaan kuin odotettiin, ja ongelman analysointi kestää kauan.

Tarkista aikasynkronointiprosessin (chronyd) käynnistyminen. Tarkista aikasynkronoinnin tila. Huomaa, että CentOS7 on 'chronyd', mutta aiemmat versiot ovat 'ntpd', joten ole varovainen, jos käytät versiota 6 tai aiempia versioita.

[root@hostname ~]# ps aux | grep chronyd
chrony     567  0.0  1.3 117804 13664 ?        SL    5月04   0:04 /usr/sbin/chronyd
root     32489  0.0  0.0 112732   972 pts/1    S+   16:30   0:00 grep --color=auto chronyd
[root@hostname ~]# timedatectl
      Local time: päivä (kuukaudessa) 2020-11-29 16:30:43 JST
  Universal time: päivä (kuukaudessa) 2020-11-29 07:30:43 UTC
        RTC time: päivä (kuukaudessa) 2020-11-29 07:30:43
       Time zone: Asia/Tokyo (JST, +0900)
     NTP enabled: yes
NTP synchronized: yes
 RTC in local TZ: no
      DST active: n/a

Se on OK, jos 'Paikallinen aika' vastaa nykyistä aikaa, 'NTP käytössä' on kyllä ja 'NTP synkronoitu' on kyllä.


1-8. Avaintunnistusasetukset

Anna juuri lisättyjen operatiivisten käyttäjien kirjautua sisään vain avaintodennuksen avulla.

Pelkkä salasanatodennuksen poistaminen käytöstä lisää turvallisuutta huomattavasti. Jos käytät monimutkaista salasanaa, sinua ei periaatteessa kirjauduta sisään, mutta mahdollisuus ei ole nolla prosenttia. Avaintodennuksen tapauksessa voit kuitenkin kirjautua sisään vain, jos sinulla on avain, joten niin kauan kuin hallitset avaintasi oikein, sinua ei kirjauduta sisään.

Seuraavassa kuvataan avaimen todennuksen määrittäminen.

[username@hostname ~]$ su - xxxxxx
[xxxxxx@hostname ~]$ ssh-keygen -t rsa -b 2048

※xxxxxxxx on operatiivisen lisäkäyttäjän nimi.

※Kun olet suorittanut komennon "ssh-keygen -t rsa -b 2048", sinua pyydetään vastaamaan, kaikki oletusarvot ja paina "Enter". Aseta myös ilman salasanaa. (Salasanan antaminen antaa lisäturvaa avaintodennuksen ja salasanatodennuksen tapaan, mutta tässä tapauksessa salasanaa ei oleteta.)


Tarkista sitten, että avain on luotu.

[xxxxxx@hostname ~]$ ll /home/xxxxxx/.ssh

※xxxxxxxx on operatiivisen lisäkäyttäjän nimi.

Tarkista, että yksityinen avain "id_rsa" julkinen avain "id_rsa.pub" on tallennettu.

Nimeä julkinen avain uudelleen ja siirrä hakemisto yksityisen avaimen lataamista varten.

[xxxxxx@hostname ~]$ mv /home/xxxxxx/.ssh/id_rsa.pub /home/xxxxxx/.ssh/authorized_keys
[xxxxxx@hostname ~]$ mv /home/xxxxxx/.ssh/id_rsa /home/xxxxxx/id_rsa

※xxxxxxxx on operatiivisen lisäkäyttäjän nimi.

Poista yksityinen avain (id_rsa) palvelimelta, kun se on siirretty paikallisesti.

Siirrä /home/xxxxxxxxxx/id_rsa tiedostoon local. (Siirry esimerkiksi WinSCP:hen).

Suorita poistokomento siirron jälkeen.

[xxxxxx@hostname ~]$ rm /home/xxxxxx/id_rsa

※xxxxxxxx on vaiheessa (3) lisätty käyttäjänimi.

Tämä viimeistelee avaintunnistusasetukset. Tarkista, että voit kirjautua sisään luomallasi yksityisellä avaimella.

Kun olet saanut vahvistuksen siitä, että voit kirjautua sisään, viimeinen vaihe on muuttaa asetuksia siten, että et voi kirjautua sisään salasanan vahvistuksen avulla.

[username@hostname ~]$ su -
[root@hostname ~]# vi /etc/ssh/sshd_config


sshd_config【Ennen muutosta】


PasswordAuthentication yes


sshd_config【muutoksen jälkeen】


PasswordAuthentication no

Tarkista syntaksi ja käynnistä sshd uudelleen.

[root@hostname ~]# /usr/sbin/sshd -t
[root@hostname ~]# systemctl restart sshd

Tämä viimeistelee avaintunnistusasetukset.


2. yhteenveto

Olemme kuvailleet CentOS:n asennuksen yhteydessä tarvittavia alkukokoonpanoja.

Tämän artikkelin tiedot ovat vähimmäistietoja, jotka pitäisi toteuttaa CentOS:n asennuksen yhteydessä, joten jos koet puutteita tämän artikkelin lukemisen jälkeen, kokeile niiden asettamista.

Kiitos, että katsoitte loppuun asti.