Esialgne konfiguratsioon, mis on vajalik CentOSi paigaldamisel.

Avaldamise kuupäev：8. detsember 2020.

Ülevaade.

Selles jaotises kirjeldatakse esimesi vajalikke seadistusi pärast CentOSi paigaldamist. See on ehitatud kasutades CentOS 7.6 (1810).

1. põhiülesanne

Selles jaotises kirjeldatakse kohe pärast CentOSi paigaldamist vajalikke põhiseadeid.

1-1. Operatsioonisüsteemi kontrollimine

Kõigepealt kontrollige, et teil on paigaldatud õige operatsioonisüsteem.

[root@hostname ~]# cat /etc/redhat-release

CentOS Linux release 7.6.1810 (Core)

'CentOS Linux release 7.6.1810 (Core)' on paigaldatud operatsioonisüsteem. Kontrollige, et see on õige.

1-2. Tööriista paigaldamine

Vahetult pärast paigaldamist ei saa põhilisi käske, nagu ifconfig, käivitada. Seetõttu toimub paigaldus nii, et põhilisi võrgu- ja muid käske saab täita yum-käskude abil.

Palun tehke seda vajaduse korral, sest juba paigaldatut on võimalik ajakohastada käsuga 'yum -y update'.

[root@hostname ~]# yum install -y net-tools

[root@hostname ~]# yum install -y wget

[root@hostname ~]# yum install -y tcpdump

[root@hostname ~]# yum install -y traceroute

net-tools・・・Pärast paigaldamist saab kasutada käsku ifconifg ja teisi käske.

wget・・・Sõna otseses mõttes, kuid kasutada saab ka käsku wget. Lühidalt öeldes saadab see käsk http-päringu.

tcpdump・・・Sõna otseses mõttes, kuid kasutada saab ka käsku tcpdump. Lühidalt öeldes saab see jälgida serverile saadetud päringuid.

traceroute・・・Sõna otseses mõttes, kuid kasutada saab ka traceroute käsku. Lühidalt öeldes näitab see siht-IP marsruuti.

1-3. Selinuxi väljalülitamine

Lülitage selinux välja, kuna see on sisse lülitatud ja võib käituda ootamatult.

Alustuseks, selinux on turvalisusega seotud seade. Kui teil on võimalik seda kasutada, võite selle lubada, kuid kui see on raske, lülitage see välja. Selinuxi väljalülitamine ei pruugi muuta turvalisust haavatavaks.See põhjustab pigem probleeme, kui see on sisse lülitatud, kuigi mina isiklikult ei saa sellest hästi aru. Lihtne selgitus on see, et selinux on turvameede pärast serveri rikkumist (mis on konfigureeritud, et vähendada kahju rikkumise korral), seega on hoopis olulisem võtta turvameetmeid, et vältida serveri rikkumist.

Allpool on toodud deaktiveerimise sammud.

[username@hostname ~]$ getenforce

Disabled

Kui see ei ole "Disabled", saab seda muuta järgmise protseduuri abil.

[username@hostname ~]$ vi /etc/selinux/config

SELINUX=enforcing

SELINUX=disabled

'SELINUX' ja 'SELINUXTYPE', kuid just 'SELINUX' tuleb muuta. Pange tähele, et kui muudate "SELINUXTYPE" kogemata, siis server ei käivitu.

Käivitage server uuesti ja konfiguratsioon jõustub.

1-4. täiendav operatiivkasutaja

Peakasutajana sisselogimine ja töötamine on ohtlik, seega lisage sisselogimiseks kasutaja. Järgmise sammuna keelake juurkasutaja sisselogimine.

Root-kasutajana sisselogituna töötamise risk on see, et saate teha kõike, mida soovite. Riskiks on see, et võite kogemata muuta või kustutada operatsioonisüsteemiga seotud olulisi muudatusi. Kui kasutate serverit isiklikuks otstarbeks, näiteks hobi või õppimiseks, ja te ei tee selliseid tavalisi vigu, ei näe ma isiklikult mingit probleemi root-kasutajana sisselogimisel. Esimene põhjus, miks root-kasutajal ei lubata sisse logida, on võimude lahusus. Rakenduse arendusmeeskond kasutab kasutajaid, kes puudutavad kataloogi ainult rakenduse arendamiseks. Partii arendusmeeskond kasutab kasutajaid, kes puutuvad ainult partii arenduskataloogi. Parem on eraldada kasutajad, et vajalikud meeskonnad saaksid puudutada vajalikke katalooge, näiteks

Allpool on esitatud sammud kasutajate lisamiseks.

[root@hostname ~]# useradd xxxxxx

[root@hostname ~]# passwd xxxxxx

※xxxxxxxx on lisatava kasutaja nimi. Määrake mis tahes parool.

1-5. Juurkasutaja parooli muutmine

Kui te ei ole juurkasutaja, lülituge su -ga juurkasutaja staatusesse ja täitke järgmine käsk

[username@hostname ~]$ su -

[root@hostname ~]# passwd

※Määrake mis tahes parool.

Ärge kunagi loobuge esialgsest paroolist. Parool "root" on kõige hullem. Ka paroolid "password" ja "1234" on üsna ohtlikud. Vähemalt kaheksa numbrit, sealhulgas tähtnumbrilised sümbolid, on hea.

See paroolide seadistus on turvameetmete jaoks üsna oluline ja seda tuleks määrata ülima hoolikusega. Juurkasutaja parooli muutmine on üsna lihtne, kuid pidage meeles, et oleme kuulnud palju lugusid sellest põhjustatud turvaintsidentidest. Ärge eeldage, et keegi ei ründa teie serverit, sest see on väike. Ründaja siseneb juhuslikule serverile kasutajanimega 'root' ja parooliga 'root'.

1-6. Konfiguratsioon, mis keelab sisselogimise mittekasutajatele (keelab sisselogimise root-kasutajale ja teistele kasutajatele).

Piirake kasutajate arvu, kes saavad sisse logida. Eelkõige ei tohiks lubada juurkasutajail sisse logida. Kui olete sisse logitud root'ina, on see võrdne kõigi turvameetmete väljalülitamisega.

Allpool on toodud sammud juurkasutaja sisselogimise keelamiseks ja kasutajate lisamiseks, kes saavad sisse logida. Vahetage root-kasutajaks ja seejärel muutke konfiguratsioonifaili. (Võimalik on lülituda root-kasutajaks käsuga 'su-', lihtsalt sisselogimine ei ole võimalik.)

[username@hostname ~]$ su -

[root@hostname ~]# vi /etc/ssh/sshd_config

#LoginGraceTime 2m

#PermitRootLogin yes

#StrictModes yes

#MaxAuthTries 6

#MaxSessions 10

#LoginGraceTime 2m

PermitRootLogin no

AllowUsers xxxxxx

#StrictModes yes

#MaxAuthTries 6

#MaxSessions 10

※xxxxxxxx on äsja lisatud kasutajanimi.

Siinkohal tuleb märkida, et kui AllowUsersi nimi on vale, ei saa keegi sisse logida, seega kontrollige hoolikalt kasutajanimesid.

Kontrollige süntaksit ja taaskäivitage sshd.

[root@hostname ~]# /usr/sbin/sshd -t

[root@hostname ~]# systemctl restart sshd

Kui olete välja loginud ja kinnitanud, et te ei saa sisse logida root'ina ja et saate sisse logida lisatud operatiivkasutaja nime all, olete valmis.

1-7. ajasünkroniseerimine

Kontrollige, et aeg oleks sünkroonitud. Mõnikord ei ole serveri kellaaeg sünkroniseeritud, mistõttu logi väljundi kuupäev ja kellaaeg väljastatakse oodatust erineval ajal ja probleemi analüüs võtab kaua aega.

Kontrollida aja sünkroniseerimise protsessi käivitamist (chronyd). Kontrollige aja sünkroniseerimise staatust. Pange tähele, et CentOS7 on 'chronyd', kuid varasem on 'ntpd', nii et olge ettevaatlik, kui teil on 6 või varasem.

[root@hostname ~]# ps aux | grep chronyd

chrony     567  0.0  1.3 117804 13664 ?        SL    5月04   0:04 /usr/sbin/chronyd

root     32489  0.0  0.0 112732   972 pts/1    S+   16:30   0:00 grep --color=auto chronyd

[root@hostname ~]# timedatectl

      Local time: päev (kuu) 2020-11-29 16:30:43 JST

  Universal time: päev (kuu) 2020-11-29 07:30:43 UTC

        RTC time: päev (kuu) 2020-11-29 07:30:43

       Time zone: Asia/Tokyo (JST, +0900)

     NTP enabled: yes

NTP synchronized: yes

 RTC in local TZ: no

      DST active: n/a

See on OK, kui 'Kohalik aeg' vastab praegusele ajale, 'NTP lubatud' on jah ja 'NTP sünkroniseeritud' on jah.

1-8. Võtmeautentimise seaded

Äsja lisatud operatiivsete kasutajate puhul lubage neil sisse logida ainult võtmeautentimisega.

Lihtsalt salasõna autentimise keelamine suurendab oluliselt turvalisust. Parooli autentimise puhul, kui kasutate keerulist parooli, siis põhimõtteliselt ei logita teid sisse, kuid võimalus ei ole null protsenti. Kuid võtme autentimise puhul saate sisse logida ainult siis, kui teil on võti olemas, nii et seni, kuni te oma võtit korralikult haldate, teid ei logita sisse.

Allpool on esitatud võtme autentimise seadistamise kord.

[username@hostname ~]$ su - xxxxxx

[xxxxxx@hostname ~]$ ssh-keygen -t rsa -b 2048

※xxxxxxxx on täiendava operatiivkasutaja nimi.

※Pärast käsu "ssh-keygen -t rsa -b 2048" täitmist küsitakse vastus, kõik vaikeväärtused ja vajutage "Enter". Seadistada ka ilma paroolita. (Parooli sisestamine pakub täiendavat turvalisust nagu võtme autentimine pluss parooli autentimine, kuid antud juhul ei eeldata parooli kasutamist.)

Seejärel kontrollige, et võti on loodud.

[xxxxxx@hostname ~]$ ll /home/xxxxxx/.ssh

※xxxxxxxx on täiendava operatiivkasutaja nimi.

Kontrollige, et privaatne võti "id_rsa" avalik võti "id_rsa.pub" on salvestatud.

Nimetage avalik võti ümber ja liikuge kataloogi, et laadida alla privaatne võti.

[xxxxxx@hostname ~]$ mv /home/xxxxxx/.ssh/id_rsa.pub /home/xxxxxx/.ssh/authorized_keys

[xxxxxx@hostname ~]$ mv /home/xxxxxx/.ssh/id_rsa /home/xxxxxx/id_rsa

※xxxxxxxx on täiendava operatiivkasutaja nimi.

Kustutage privaatne võti (id_rsa) serverist pärast selle lokaalset teisaldamist.

Liigutage /home/xxxxxxxxxx/id_rsa faili local. (Mine näiteks WinSCP).

Pärast teisaldamist täitke käsk delete.

[xxxxxx@hostname ~]$ rm /home/xxxxxx/id_rsa

※xxxxxxxx on punktis 3 lisatud kasutajanimi.

Sellega on võtme autentimise seadistamine lõpule viidud. Kontrollige, et saate loodud privaatvõtmega sisse logida.

Kui olete saanud kinnituse, et saate sisse logida, siis viimane samm on muuta seadeid nii, et te ei saaks sisse logida salasõna kinnitamise abil.

[username@hostname ~]$ su -

[root@hostname ~]# vi /etc/ssh/sshd_config

PasswordAuthentication yes

PasswordAuthentication no

Kontrollige süntaksit ja taaskäivitage sshd.

[root@hostname ~]# /usr/sbin/sshd -t

[root@hostname ~]# systemctl restart sshd

Sellega on võtme autentimise seadistamine lõpule viidud.

2. kokkuvõte

Oleme kirjeldanud CentOSi paigaldamisel vajalikku algkonfiguratsiooni.

Selles artiklis esitatud teave on miinimum, mida tuleks CentOSi paigaldamisel rakendada, nii et kui teil on pärast selle artikli lugemist puudujääke, siis proovige neid seadistada.

Aitäh, et vaatasite kuni lõpuni.