Sākotnējā konfigurācija, kas nepieciešama, kad tiek instalēta CentOS.


Publikācijas datums:2020. gada 8. decembris.



INFOMARTION > Sākotnējā konfigurācija, kas nepieciešama, kad tiek instalēta CentOS.

Pārskats.

Šajā sadaļā ir aprakstīti pirmie nepieciešamie iestatījumi pēc CentOS instalēšanas. Tas ir izveidots, izmantojot CentOS 7.6 (1810).

Satura rādītājs

  1. pamatnosacījumi
  2. kopsavilkums

1. pamatnosacījumi

Šajā sadaļā ir aprakstīti pamata iestatījumi, kas nepieciešami uzreiz pēc CentOS instalēšanas.

1-1. Operētājsistēmas pārbaude

Vispirms pārbaudiet, vai ir instalēta pareizā operētājsistēma.

[root@hostname ~]# cat /etc/redhat-release
CentOS Linux release 7.6.1810 (Core)

"CentOS Linux 7.6.1810 (Core)" ir instalētā operētājsistēma. Pārbaudiet, vai tas ir pareizs.

1-2. Instrumenta instalēšana

Tūlīt pēc instalēšanas nevar izpildīt tādas pamatkomandas kā ifconfig. Tāpēc instalēšana tiek veikta tā, lai ar yum komandām varētu izpildīt pamata tīkla un citas komandas.

Lūdzu, veiciet to, ja nepieciešams, jo ir iespējams modernizēt jau instalēto, izmantojot 'yum -y update'.

[root@hostname ~]# yum install -y net-tools
[root@hostname ~]# yum install -y wget
[root@hostname ~]# yum install -y tcpdump
[root@hostname ~]# yum install -y traceroute

net-tools・・・Pēc instalēšanas var izmantot komandu ifconifg un citas.

wget・・・Burtiski, bet var izmantot wget komandu. Īsumā šī komanda nosūta http pieprasījumu.

tcpdump・・・Burtiski, bet var izmantot komandu tcpdump. Īsumā, tā var pārraudzīt uz serveri nosūtītos pieprasījumus.

traceroute・・・Burtiski, bet var izmantot traceroute komandu. Īsumā tas parāda galamērķa IP maršrutu.

1-3. Selinux atspējošana

Atslēgt selinux, jo tas ir iespējots un var uzvesties negaidīti.

Pirmkārt, selinux ir ar drošību saistīts iestatījums. Ja varat to izmantot, varat to iespējot, bet, ja tas ir grūti, atspējojiet to. Selinux atspējošana ne vienmēr padara drošību neaizsargātu.Ja tas ir ieslēgts, ir lielāka iespēja, ka tas radīs problēmas, lai gan es personīgi to labi nesaprotu. Vienkāršais izskaidrojums ir tāds, ka selinux ir drošības pasākums pēc tam, kad serveris ir uzlauzts (konfigurēts, lai mazinātu kaitējumu uzlaušanas gadījumā), tāpēc ir daudz svarīgāk veikt drošības pasākumus, lai novērstu servera uzlaušanu.

Tālāk ir aprakstītas deaktivizēšanas darbības.

[username@hostname ~]$ getenforce
Disabled

Ja tā nav "Atslēgts", to var mainīt, izmantojot šādu procedūru.

[username@hostname ~]$ vi /etc/selinux/config


config【Pirms pārmaiņām】


SELINUX=enforcing


config【pēc izmaiņām】


SELINUX=disabled

'SELINUX' un 'SELINUXTYPE', bet jāmaina tieši 'SELINUX'. Ņemiet vērā, ka, ja kļūdaini mainīsiet "SELINUXTYPE", serveris netiks palaists.

Restartējiet serveri, un konfigurācija stāsies spēkā.

1-4. papildu operatīvais lietotājs

Pieslēgties un strādāt kā root lietotājam ir bīstami, tāpēc pievienojiet lietotāju, kas var pieteikties. Nākamajā solī atspējojiet root lietotāja pieteikšanos.

Strādājot kā pieteikušies root lietotājs, pastāv risks, ka varat darīt visu, ko vēlaties. Ja varat darīt jebko, pastāv risks, ka varat nejauši mainīt vai dzēst svarīgas izmaiņas, kas saistītas ar operētājsistēmu. Ja izmantojat serveri personiskai lietošanai, piemēram, hobijam vai mācībām, un nedarāt šādas parastas kļūdas, es personīgi neredzu nekādu problēmu, ja piesakāties kā root lietotājs. Galvenais iemesls, kāpēc root lietotājam nav atļauts pieteikties, ir pilnvaru nodalīšana. Lietotņu izstrādes komanda izmanto lietotājus, kas tikai pieskaras direktorijam, lai izstrādātu lietotni. Partijas izstrādes komanda izmanto lietotājus, kuri pieskaras tikai partijas izstrādes direktorijam. Lietotājus ir labāk sadalīt tā, lai nepieciešamās komandas varētu pieskarties nepieciešamajiem direktorijiem, piemēram.

Tālāk ir aprakstītas lietotāju pievienošanas darbības.

[root@hostname ~]# useradd xxxxxx
[root@hostname ~]# passwd xxxxxx

※xxxxxxxx ir pievienojamā lietotāja vārds. Iestatiet jebkuru paroli.

1-5. Mainīt saknes lietotāja paroli

Ja neesat root lietotājs, pārslēdzieties uz root lietotāju ar su - un izpildiet šādu komandu.

[username@hostname ~]$ su -
[root@hostname ~]# passwd

※Iestatiet jebkuru paroli.

Nekad neatstājiet sākotnējo paroli. Parole "root" ir vissliktākā. Paroles "parole" un "1234" arī ir diezgan bīstamas. Vismaz astoņi cipari, tostarp burtu un ciparu simboli, ir labi.

Šis paroles iestatījums ir ļoti svarīgs drošības pasākumu nodrošināšanai, un tas jāiestata ļoti rūpīgi. Lietotāja root paroles maiņa ir diezgan vienkārša, taču jāapzinās, ka esam dzirdējuši daudzus stāstus par drošības incidentiem, ko izraisījusi šāda maiņa. Neuzskatiet, ka neviens neuzbruks jūsu serverim, jo tas ir maza izmēra. Uzbrucējs piekļūst izlases serverim, izmantojot lietotājvārdu 'root' un paroli 'root'.

1-6. Konfigurācija, kas aizliedz pieteikties lietotājiem, kuri nav darba lietotāji (aizliedz pieteikties root lietotājam un citiem lietotājiem).

Ierobežojiet lietotāju skaitu, kuri var pieteikties. Jo īpaši nedrīkst atļaut pieteikties root lietotājiem. Ja esat pieteicies kā root, tas nozīmē, ka visi drošības pasākumi ir atspējoti.

Tālāk ir aprakstītas darbības, lai atspējotu root lietotāja pieteikšanos un pievienotu lietotājus, kuri var pieteikties. Pārslēdzieties uz root lietotāju un pēc tam mainiet konfigurācijas failu. (Ir iespējams pārslēgties uz root lietotāju ar 'su-', tikai nav iespējams pieteikties.)

[username@hostname ~]$ su -
[root@hostname ~]# vi /etc/ssh/sshd_config


sshd_config【Pirms pārmaiņām】


#LoginGraceTime 2m
#PermitRootLogin yes
#StrictModes yes
#MaxAuthTries 6
#MaxSessions 10


sshd_config【pēc izmaiņām】


#LoginGraceTime 2m
PermitRootLogin no
AllowUsers xxxxxx
#StrictModes yes
#MaxAuthTries 6
#MaxSessions 10

※xxxxxxxx ir tikko pievienotais operatīvā lietotāja vārds.


Jāatzīmē, ka, ja AllowUsers vārds ir nepareizs, neviens nevarēs pieteikties, tāpēc rūpīgi pārbaudiet lietotāju vārdus.

Pārbaudiet sintaksi un restartējiet sshd.

[root@hostname ~]# /usr/sbin/sshd -t
[root@hostname ~]# systemctl restart sshd

Kad esat izrakstījies un apstiprinājis, ka nevarat pieteikties kā root un ka varat pieteikties kā pievienotais operatīvais lietotājs, viss ir izdarīts.


1-7. laika sinhronizācija

Pārbaudiet, vai laiks ir sinhronizēts. Dažreiz servera laiks netiek sinhronizēts, tāpēc žurnāla izejas datums un laiks tiek izvadīts citā laikā, nekā paredzēts, un problēmas analīze aizņem daudz laika.

Pārbaudiet laika sinhronizācijas procesa palaišanu (chronyd). Pārbaudiet laika sinhronizācijas statusu. Ņemiet vērā, ka CentOS7 ir "chronyd", bet agrāk ir "ntpd", tāpēc esiet uzmanīgi, ja izmantojat 6 vai agrāku versiju.

[root@hostname ~]# ps aux | grep chronyd
chrony     567  0.0  1.3 117804 13664 ?        SL    5月04   0:04 /usr/sbin/chronyd
root     32489  0.0  0.0 112732   972 pts/1    S+   16:30   0:00 grep --color=auto chronyd
[root@hostname ~]# timedatectl
      Local time: diena (mēneša) 2020-11-29 16:30:43 JST
  Universal time: diena (mēneša) 2020-11-29 07:30:43 UTC
        RTC time: diena (mēneša) 2020-11-29 07:30:43
       Time zone: Asia/Tokyo (JST, +0900)
     NTP enabled: yes
NTP synchronized: yes
 RTC in local TZ: no
      DST active: n/a

Viss ir kārtībā, ja "Vietējais laiks" atbilst pašreizējam laikam, "NTP iespējots" ir "jā" un "NTP sinhronizēts" ir "jā".


1-8. Galvenās autentifikācijas iestatījumi

Operatīvajiem lietotājiem, kurus tikko pievienojāt, ļaujiet tiem pieteikties tikai ar atslēgas autentifikāciju.

Vienkārša paroles autentifikācijas atspējošana ievērojami palielina drošību. Ja paroles autentifikācijas gadījumā izmantojat sarežģītu paroli, jūs principā netiksiet pieteikts, taču šī iespēja nav nulle procentuāla. Tomēr atslēgas autentifikācijas gadījumā varat pieteikties tikai tad, ja jums ir atslēga, tāpēc, kamēr pareizi pārvaldāt savu atslēgu, jūs nebūsiet pieteicies.

Tālāk ir aprakstīta atslēgas autentifikācijas iestatīšanas procedūra.

[username@hostname ~]$ su - xxxxxx
[xxxxxx@hostname ~]$ ssh-keygen -t rsa -b 2048

※xxxxxxxx ir papildu operatīvā lietotāja vārds.

※Pēc komandas "ssh-keygen -t rsa -b 2048" izpildīšanas jums tiks piedāvāta atbilde, visas noklusējuma vērtības un nospiediet "Enter". Iestatīšana arī bez paroles. (Paroles ievadīšana nodrošina papildu drošību kā autentifikācija ar atslēgu un paroli, taču šajā gadījumā parole netiek pieņemta.)


Pēc tam pārbaudiet, vai atslēga ir izveidota.

[xxxxxx@hostname ~]$ ll /home/xxxxxx/.ssh

※xxxxxxxx ir papildu operatīvā lietotāja vārds.

Pārbaudiet, vai ir saglabāta privātā atslēga "id_rsa" publiskā atslēga "id_rsa.pub".

Pārdēvējiet publisko atslēgu un pārvietojiet direktoriju, lai lejupielādētu privāto atslēgu.

[xxxxxx@hostname ~]$ mv /home/xxxxxx/.ssh/id_rsa.pub /home/xxxxxx/.ssh/authorized_keys
[xxxxxx@hostname ~]$ mv /home/xxxxxx/.ssh/id_rsa /home/xxxxxx/id_rsa

※xxxxxxxx ir papildu operatīvā lietotāja vārds.

Dzēst privāto atslēgu (id_rsa) no servera pēc tās pārvietošanas lokāli.

Pārvietot /home/xxxxxxxx/id_rsa uz local. (Iet uz, piemēram, WinSCP).

Pēc pārvietošanas izpildiet komandu dzēst.

[xxxxxx@hostname ~]$ rm /home/xxxxxx/id_rsa

※xxxxxxxx ir lietotāja vārds, kas pievienots 3. solī.

Ar to tiek pabeigta atslēgas autentifikācijas iestatīšana. Pārbaudiet, vai varat pieteikties, izmantojot izveidoto privāto atslēgu.

Kad esat apstiprinājis, ka varat pieteikties, pēdējais solis ir mainīt iestatījumus, lai nevarētu pieteikties, izmantojot paroles verifikāciju.

[username@hostname ~]$ su -
[root@hostname ~]# vi /etc/ssh/sshd_config


sshd_config【Pirms pārmaiņām】


PasswordAuthentication yes


sshd_config【pēc izmaiņām】


PasswordAuthentication no

Pārbaudiet sintaksi un restartējiet sshd.

[root@hostname ~]# /usr/sbin/sshd -t
[root@hostname ~]# systemctl restart sshd

Ar to tiek pabeigta atslēgas autentifikācijas iestatīšana.


2. kopsavilkums

Mēs esam aprakstījuši sākotnējo konfigurāciju, kas nepieciešama, uzstādot CentOS.

Šajā rakstā sniegtā informācija ir minimums, kas jāievieš, instalējot CentOS, tāpēc, ja pēc šī raksta izlasīšanas jums šķiet, ka ir trūkumi, mēģiniet tos uzstādīt.

Paldies, ka noskatījāties līdz beigām.