Configurație inițială necesară atunci când este instalat CentOS.
Data publicării:8 decembrie 2020.
INFOMARTION > Configurație inițială necesară atunci când este instalat CentOS.
Prezentare generală.
Această secțiune descrie primele setări necesare după instalarea CentOS. Acesta este construit folosind CentOS 7.6 (1810).
Cuprins
- setarea de bază
- 1-1. Verificarea sistemului de operare
- 1-2. Instalarea instrumentului
- 1-3. Dezactivarea selinux
- 1-4. utilizator operațional suplimentar
- 1-5. Modificarea parolei utilizatorului root
- 1-6. Configurarea pentru a interzice autentificarea de către utilizatorii neoperaționali (interzice autentificarea de către utilizatorul root și alți utilizatori).
- 1-7. sincronizarea timpului
- 1-8. Setări de autentificare a cheilor
- rezumat
1. setarea de bază
Această secțiune descrie setările de bază necesare imediat după instalarea CentOS.
1-1. Verificarea sistemului de operare
În primul rând, verificați dacă aveți instalat sistemul de operare corect.
[root@hostname ~]# cat /etc/redhat-release
CentOS Linux release 7.6.1810 (Core)
'CentOS Linux release 7.6.1810 (Core)' este sistemul de operare instalat. Verificați dacă este corect.
1-2. Instalarea instrumentului
Imediat după instalare, comenzile de bază, cum ar fi ifconfig, nu pot fi executate. Prin urmare, instalarea este efectuată astfel încât rețeaua de bază și alte comenzi să poată fi executate prin intermediul comenzilor yum.
Vă rugăm să efectuați acest lucru dacă este necesar, deoarece este posibil să modernizați ceea ce a fost deja instalat cu "yum -y update".
[root@hostname ~]# yum install -y net-tools
[root@hostname ~]# yum install -y wget
[root@hostname ~]# yum install -y tcpdump
[root@hostname ~]# yum install -y traceroute
net-tools・・・Comanda ifconifg și altele pot fi utilizate după instalare.
wget・・・La propriu, dar se poate folosi și comanda wget. Pe scurt, această comandă trimite o cerere http.
tcpdump・・・La propriu, dar se poate folosi și comanda tcpdump. Pe scurt, acesta poate monitoriza cererile trimise către server.
traceroute・・・La propriu, dar se poate folosi și comanda traceroute. Pe scurt, arată ruta IP-ului de destinație.
1-3. Dezactivarea selinux
Dezactivați selinux, deoarece este activat și se poate comporta în mod neașteptat.
Pentru început, selinux este o setare legată de securitate. Dacă sunteți capabil să o utilizați, puteți să o activați, dar dacă este dificil, dezactivați-o. Dezactivarea selinux nu face neapărat ca securitatea să fie vulnerabilă.Este mai probabil să cauzeze probleme dacă este activată, chiar dacă eu personal nu o înțeleg prea bine. Explicația simplă este că selinux este o măsură de securitate după ce serverul a fost spart (configurat pentru a minimiza daunele în cazul unei spargeri), astfel încât este mai important să se ia măsuri de securitate pentru a preveni spargerea serverului.
Mai jos sunt indicați pașii de dezactivare.
[username@hostname ~]$ getenforce
Disabled
Dacă nu este "Disabled" (Dezactivat), acesta poate fi modificat prin următoarea procedură.
[username@hostname ~]$ vi /etc/selinux/config
SELINUX=enforcing
SELINUX=disabled
"SELINUX" și "SELINUXTYPE", dar "SELINUX" este cel care trebuie modificat. Rețineți că, dacă modificați din greșeală "SELINUXTYPE", serverul nu va porni.
Reporniți serverul și configurația va intra în vigoare.
1-4. utilizator operațional suplimentar
Conectarea și lucrul ca utilizator root este periculos, așa că adăugați un utilizator care să se conecteze. Într-o etapă ulterioară, dezactivați autentificarea utilizatorului root.
Riscul de a lucra ca utilizator root conectat este acela că puteți face orice doriți. Riscul de a putea face orice este acela că ați putea modifica sau șterge din greșeală modificări importante legate de sistemul de operare. Dacă folosiți serverul în scopuri personale, cum ar fi hobby-ul sau studiul, și nu faceți astfel de greșeli obișnuite, eu personal nu văd nicio problemă în a vă conecta ca utilizator root. Motivul numărul unu pentru a nu permite utilizatorului root să se conecteze este separarea puterilor. Echipa de dezvoltare a aplicației utilizează utilizatori care ating doar directorul pentru dezvoltarea aplicației. Echipa de dezvoltare a loturilor utilizează utilizatori care nu au acces decât la directorul de dezvoltare a loturilor. Este mai bine să separați utilizatorii astfel încât echipele necesare să poată atinge directoarele necesare, cum ar fi
Mai jos sunt indicați pașii de adăugare a utilizatorilor.
[root@hostname ~]# useradd xxxxxx
[root@hostname ~]# passwd xxxxxx
※xxxxxxxx este numele utilizatorului care urmează să fie adăugat. Setați orice parolă.
1-5. Modificarea parolei utilizatorului root
Dacă nu sunteți utilizatorul root, treceți la utilizatorul root cu su - și executați următoarea comandă
[username@hostname ~]$ su -
[root@hostname ~]# passwd
※Setați orice parolă.
Nu renunțați niciodată la parola inițială. Parola "root" este cea mai rea. Parolele "password" și "1234" sunt, de asemenea, destul de periculoase. Un minim de opt cifre, inclusiv simboluri alfanumerice, este bun.
Această setare a parolei este foarte importantă pentru măsurile de securitate și trebuie setată cu cea mai mare atenție. Schimbarea parolei utilizatorului root este destul de simplă, dar trebuie să știți că am auzit multe povești de incidente de securitate cauzate de acest lucru. Nu presupuneți că nimeni nu vă va ataca serverul pentru că este de dimensiuni mici. Atacatorul accesează un server aleatoriu cu numele de utilizator "root" și parola "root".
1-6. Configurarea pentru a interzice autentificarea de către utilizatorii neoperaționali (interzice autentificarea de către utilizatorul root și alți utilizatori).
Limitați numărul de utilizatori care se pot autentifica. În special, utilizatorii root nu ar trebui să fie autorizați să se conecteze. Dacă sunteți autentificat ca root, înseamnă că toate măsurile de securitate sunt dezactivate.
Mai jos găsiți pașii de dezactivare a conectării utilizatorului root și de adăugare a utilizatorilor care se pot conecta. Treceți la utilizatorul root și apoi modificați fișierul de configurare. (Este posibil să treceți la utilizatorul root cu "su-", doar că nu puteți să vă conectați.)
[username@hostname ~]$ su -
[root@hostname ~]# vi /etc/ssh/sshd_config
#LoginGraceTime 2m
#PermitRootLogin yes
#StrictModes yes
#MaxAuthTries 6
#MaxSessions 10
#LoginGraceTime 2m
PermitRootLogin no
AllowUsers xxxxxx
#StrictModes yes
#MaxAuthTries 6
#MaxSessions 10
※xxxxxxxx este numele de utilizator operațional pe care tocmai l-ați adăugat.
Trebuie să rețineți că, dacă numele AllowUsers este greșit, nimeni nu va putea să se conecteze, așa că verificați cu atenție numele de utilizator.
Verificați sintaxa și reporniți sshd.
[root@hostname ~]# /usr/sbin/sshd -t
[root@hostname ~]# systemctl restart sshd
După ce v-ați deconectat și ați confirmat că nu vă puteți conecta ca root și că vă puteți conecta ca utilizator operațional adăugat, ați terminat.
1-7. sincronizarea timpului
Verificați dacă ora este sincronizată. Uneori, ora serverului nu este sincronizată, astfel încât data și ora de ieșire a jurnalului sunt afișate la o oră diferită de cea preconizată și este nevoie de mult timp pentru a analiza problema.
Verificați pornirea procesului de sincronizare a timpului (chronyd). Verificați starea de sincronizare a orei. Rețineți că CentOS7 este "chronyd", dar mai devreme este "ntpd", așa că aveți grijă dacă sunteți pe 6 sau mai devreme.
[root@hostname ~]# ps aux | grep chronyd
chrony 567 0.0 1.3 117804 13664 ? SL 5月04 0:04 /usr/sbin/chronyd
root 32489 0.0 0.0 112732 972 pts/1 S+ 16:30 0:00 grep --color=auto chronyd
[root@hostname ~]# timedatectl
Local time: ziua (din lună) 2020-11-29 16:30:43 JST
Universal time: ziua (din lună) 2020-11-29 07:30:43 UTC
RTC time: ziua (din lună) 2020-11-29 07:30:43
Time zone: Asia/Tokyo (JST, +0900)
NTP enabled: yes
NTP synchronized: yes
RTC in local TZ: no
DST active: n/a
Este în regulă dacă "Local time" (Ora locală) corespunde orei curente, "NTP enabled" (NTP activat) este da și "NTP synchronized" (NTP sincronizat) este da.
1-8. Setări de autentificare a cheilor
Pentru utilizatorii operaționali pe care tocmai i-ați adăugat, permiteți-le să se conecteze numai cu autentificarea prin cheie.
Simpla dezactivare a autentificării prin parolă sporește considerabil securitatea. În cazul autentificării prin parolă, dacă folosiți o parolă complexă, practic nu veți fi autentificat, dar posibilitatea nu este de zero la sută. Cu toate acestea, în cazul autentificării prin cheie, vă puteți autentifica numai dacă aveți cheia în primul rând, astfel încât, atâta timp cât vă gestionați cheia în mod corespunzător, nu veți fi autentificat.
Mai jos este prezentată procedura de configurare a autentificării prin cheie.
[username@hostname ~]$ su - xxxxxx
[xxxxxx@hostname ~]$ ssh-keygen -t rsa -b 2048
※xxxxxxxx este numele utilizatorului operațional suplimentar.
※După ce executați comanda "ssh-keygen -t rsa -b 2048", vi se va cere un răspuns, toate valorile implicite și apăsați "Enter". Configurați și fără parolă. (Introducerea unei parole oferă o securitate suplimentară ca autentificare cu cheie plus autentificare cu parolă, dar în acest caz nu se presupune nicio parolă).
Apoi verificați dacă a fost creată cheia.
[xxxxxx@hostname ~]$ ll /home/xxxxxx/.ssh
※xxxxxxxx este numele utilizatorului operațional suplimentar.
Verificați dacă cheia privată "id_rsa" și cheia publică "id_rsa.pub" sunt stocate.
Redenumiți cheia publică și mutați directorul pentru a descărca cheia privată.
[xxxxxx@hostname ~]$ mv /home/xxxxxx/.ssh/id_rsa.pub /home/xxxxxx/.ssh/authorized_keys
[xxxxxx@hostname ~]$ mv /home/xxxxxx/.ssh/id_rsa /home/xxxxxx/id_rsa
※xxxxxxxx este numele utilizatorului operațional suplimentar.
Ștergeți cheia privată (id_rsa) de pe server după ce ați mutat-o local.
Mutați /home/xxxxxxxx/id_rsa în local. (Mergeți la, de exemplu, WinSCP).
După mutare, executați comanda de ștergere.
[xxxxxx@hostname ~]$ rm /home/xxxxxx/id_rsa
※xxxxxxxx este numele de utilizator adăugat în etapa (3).
În acest fel se încheie configurația de autentificare a cheilor. Verificați dacă vă puteți autentifica cu cheia privată pe care ați creat-o.
După ce aveți confirmarea că vă puteți autentifica, ultimul pas este să modificați setările astfel încât să nu vă puteți autentifica folosind verificarea parolei.
[username@hostname ~]$ su -
[root@hostname ~]# vi /etc/ssh/sshd_config
PasswordAuthentication yes
PasswordAuthentication no
Verificați sintaxa și reporniți sshd.
[root@hostname ~]# /usr/sbin/sshd -t
[root@hostname ~]# systemctl restart sshd
În acest fel se încheie configurația de autentificare a cheilor.
2. rezumat
Am descris configurația inițială necesară atunci când este instalat CentOS.
Informațiile din acest articol reprezintă minimul care ar trebui implementat atunci când se instalează CentOS, așa că, dacă simțiți că există deficiențe după ce ați citit acest articol, vă rugăm să încercați să le configurați.
Vă mulțumim că ați urmărit până la sfârșit.