A CentOS telepítésekor szükséges kezdeti konfiguráció.

Megjelenés dátuma：2020. december 8.

Áttekintés.

Ez a szakasz a CentOS telepítése után szükséges első beállításokat ismerteti. A CentOS 7.6 (1810) rendszerrel készült.

1. alapbeállítás

Ez a szakasz a CentOS telepítése után azonnal szükséges alapbeállításokat írja le.

1-1. Az operációs rendszer ellenőrzése

Először is ellenőrizze, hogy a megfelelő operációs rendszer van-e telepítve.

[root@hostname ~]# cat /etc/redhat-release

CentOS Linux release 7.6.1810 (Core)

A telepített operációs rendszer a 'CentOS Linux release 7.6.1810 (Core)'. Ellenőrizze, hogy az helyes-e.

1-2. Az eszköz telepítése

Közvetlenül a telepítés után az olyan alapvető parancsok, mint az ifconfig, nem hajthatók végre. Ezért a telepítés úgy történik, hogy az alapvető hálózati és egyéb parancsokat a yum parancsokkal lehessen végrehajtani.

Kérjük, végezze el ezt, ha szükséges, mivel a 'yum -y update' segítségével korszerűsítheti a már telepített programokat.

[root@hostname ~]# yum install -y net-tools

[root@hostname ~]# yum install -y wget

[root@hostname ~]# yum install -y tcpdump

[root@hostname ~]# yum install -y traceroute

net-tools・・・Az ifconifg és más parancsok a telepítés után használhatók.

wget・・・Szó szerint, de a wget parancs is használható. Röviden, ez a parancs egy http-kérést küld.

tcpdump・・・Szó szerint, de a tcpdump parancs is használható. Röviden, a szerverre küldött kéréseket tudja figyelni.

traceroute・・・Szó szerint, de a traceroute parancs is használható. Röviden a cél-IP útvonalát mutatja.

1-3. A selinux letiltása

Kapcsolja ki a selinuxot, mivel engedélyezve van, és váratlanul viselkedhet.

Kezdjük azzal, hogy a selinux egy biztonsággal kapcsolatos beállítás. Ha képes használni, akkor engedélyezze, de ha nehezen megy, akkor tiltsa le. A selinux letiltása nem feltétlenül teszi sebezhetővé a biztonságot.Nagyobb valószínűséggel okoz problémákat, ha engedélyezve van, még akkor is, ha én személy szerint nem nagyon értek hozzá. Az egyszerű magyarázat az, hogy a selinux egy biztonsági intézkedés a szerver feltörése után (úgy konfigurálva, hogy minimálisra csökkentse a kárt a feltörés esetén), így sokkal fontosabb, hogy biztonsági intézkedéseket tegyünk a szerver feltörésének megakadályozására.

Az alábbiakban ismertetjük a deaktiválás lépéseit.

[username@hostname ~]$ getenforce

Disabled

Ha ez a beállítás nem "Letiltva", akkor a következő eljárással módosítható.

[username@hostname ~]$ vi /etc/selinux/config

SELINUX=enforcing

SELINUX=disabled

'SELINUX' és 'SELINUXTYPE', de a 'SELINUX'-ot kell megváltoztatni. Vegye figyelembe, hogy ha véletlenül megváltoztatja a "SELINUXTYPE" értéket, a kiszolgáló nem fog elindulni.

Indítsa újra a kiszolgálót, és a konfiguráció hatályba lép.

1-4. további operatív felhasználó

A root felhasználóként történő bejelentkezés és munkavégzés veszélyes, ezért adjon hozzá egy felhasználót a bejelentkezéshez. Egy következő lépésben tiltsa le a root felhasználó bejelentkezését.

A bejelentkezett root felhasználóként való munkavégzés kockázata az, hogy bármit megtehetsz, amit csak akarsz. Azzal, hogy bármit megtehet, az a kockázat, hogy véletlenül megváltoztathatja vagy törölheti az operációs rendszerrel kapcsolatos fontos módosításokat. Ha a szervert személyes használatra használod, például hobbi vagy tanulás céljából, és nem követsz el ilyen hétköznapi hibákat, én személy szerint nem látok problémát abban, hogy root felhasználóként jelentkezz be. Az első számú ok, amiért nem engedélyezik a root felhasználónak a bejelentkezést, a hatáskörök szétválasztása. Az alkalmazásfejlesztő csapat olyan felhasználókat használ, akik csak az alkalmazásfejlesztéshez érintik a könyvtárat. A kötegelt fejlesztési csapat olyan felhasználókat használ, akik csak a kötegelt fejlesztési könyvtárat érintik. Jobb, ha különválasztjuk a felhasználókat, hogy a szükséges csapatok a szükséges könyvtárakhoz érhessenek, például

Az alábbiakban a felhasználók hozzáadásának lépéseit ismertetjük.

[root@hostname ~]# useradd xxxxxx

[root@hostname ~]# passwd xxxxxx

※xxxxxxxxxx a hozzáadandó felhasználó neve. Állítson be bármilyen jelszót.

1-5. A root felhasználó jelszavának módosítása

Ha nem root felhasználó, váltson root felhasználóvá a su - parancs segítségével, és hajtsa végre az alábbi parancsot

[username@hostname ~]$ su -

[root@hostname ~]# passwd

※Állítson be bármilyen jelszót.

Soha ne lépjen ki a kezdeti jelszóból. A root jelszó a legrosszabb. A "password" és az "1234" jelszavak szintén nagyon veszélyesek. Legalább nyolc számjegy, beleértve az alfanumerikus szimbólumokat is.

Ez a jelszóbeállítás nagyon fontos a biztonsági intézkedések szempontjából, és a lehető legnagyobb gondossággal kell beállítani. A root felhasználó jelszavának megváltoztatása meglehetősen egyszerű, de ne feledje, hogy sok történetet hallottunk már olyan biztonsági incidensekről, amelyeket ez okozott. Ne feltételezze, hogy senki sem fogja megtámadni a szerverét, mert az kicsi. A támadó a 'root' felhasználónévvel és a 'root' jelszóval lép be egy véletlenszerű szerverre.

1-6. Konfiguráció a nem operatív felhasználók bejelentkezésének tiltására (tiltja a root felhasználó és más felhasználók bejelentkezését).

Korlátozza a bejelentkezhető felhasználók számát. Különösen a root felhasználóknak nem szabadna engedélyezni a bejelentkezést. Ha root felhasználóként vagy bejelentkezve, akkor ez egyenlő azzal, hogy minden biztonsági intézkedés le van tiltva.

Az alábbiakban a root felhasználó bejelentkezésének letiltásához és a bejelentkezni képes felhasználók hozzáadásához szükséges lépéseket ismertetjük. Váltson root felhasználóvá, majd módosítsa a konfigurációs fájlt. (A 'su-' paranccsal át lehet váltani root felhasználóvá, csak nem lehet bejelentkezni.)

[username@hostname ~]$ su -

[root@hostname ~]# vi /etc/ssh/sshd_config

#LoginGraceTime 2m

#PermitRootLogin yes

#StrictModes yes

#MaxAuthTries 6

#MaxSessions 10

#LoginGraceTime 2m

PermitRootLogin no

AllowUsers xxxxxx

#StrictModes yes

#MaxAuthTries 6

#MaxSessions 10

※xxxxxxxxxx a most hozzáadott operatív felhasználónév.

Itt érdemes megjegyezni, hogy ha az AllowUsers név rossz, akkor senki sem fog tudni bejelentkezni, ezért gondosan ellenőrizze a felhasználóneveket.

Ellenőrizze a szintaxist és indítsa újra az sshd-t.

[root@hostname ~]# /usr/sbin/sshd -t

[root@hostname ~]# systemctl restart sshd

Miután kijelentkezett, és megerősítette, hogy nem tud root felhasználóként bejelentkezni, és hogy a hozzáadott operatív felhasználóként tud bejelentkezni, készen van.

1-7. időszinkronizálás

Ellenőrizze, hogy az idő szinkronizálva van-e. Előfordul, hogy a kiszolgáló ideje nincs szinkronizálva, így a napló kimeneti dátuma és ideje a várttól eltérő időpontban jelenik meg, és a probléma elemzése sokáig tart.

Ellenőrizze az időszinkronizálási folyamat (chronyd) elindulását. Ellenőrizze az időszinkronizálás állapotát. Vegye figyelembe, hogy a CentOS7 a 'chronyd', de a korábbiak az 'ntpd', ezért legyen óvatos, ha 6-os vagy korábbi rendszert használ.

[root@hostname ~]# ps aux | grep chronyd

chrony     567  0.0  1.3 117804 13664 ?        SL    5月04   0:04 /usr/sbin/chronyd

root     32489  0.0  0.0 112732   972 pts/1    S+   16:30   0:00 grep --color=auto chronyd

[root@hostname ~]# timedatectl

      Local time: nap (a hónap) 2020-11-29 16:30:43 JST

  Universal time: nap (a hónap) 2020-11-29 07:30:43 UTC

        RTC time: nap (a hónap) 2020-11-29 07:30:43

       Time zone: Asia/Tokyo (JST, +0900)

     NTP enabled: yes

NTP synchronized: yes

 RTC in local TZ: no

      DST active: n/a

Rendben van, ha a 'Helyi idő' megegyezik az aktuális idővel, az 'NTP engedélyezve' igen és az 'NTP szinkronizálva' igen.

1-8. Kulcshitelesítési beállítások

A most hozzáadott operatív felhasználók számára engedélyezze, hogy csak kulcshitelesítéssel jelentkezzenek be.

A jelszóhitelesítés egyszerű letiltása jelentősen növeli a biztonságot. Jelszóhitelesítés esetén, ha összetett jelszót használsz, akkor alapvetően nem fogsz bejelentkezni, de a lehetőség nem nulla százalék. A kulcshitelesítés esetében azonban csak akkor tudsz bejelentkezni, ha eleve rendelkezel a kulccsal, tehát amíg megfelelően kezeled a kulcsodat, addig nem fogsz bejelentkezni.

Az alábbiakban a kulcshitelesítés beállításának eljárását ismertetjük.

[username@hostname ~]$ su - xxxxxx

[xxxxxx@hostname ~]$ ssh-keygen -t rsa -b 2048

※xxxxxxxxxx a további operatív felhasználó neve.

※Az "ssh-keygen -t rsa -b 2048" parancs végrehajtása után a rendszer kérni fogja a választ, az összes alapértelmezett értéket, és nyomja meg az "Enter" gombot. Jelszó nélkül is beállítható. (A jelszó megadása további biztonságot nyújt, mint a kulcshitelesítés plusz jelszóhitelesítés, de ebben az esetben nem feltételezünk jelszót.)

Ezután ellenőrizze, hogy a kulcs létre lett-e hozva.

[xxxxxx@hostname ~]$ ll /home/xxxxxx/.ssh

※xxxxxxxxxx a további operatív felhasználó neve.

Ellenőrizze, hogy az "id_rsa" nyilvános kulcs "id_rsa.pub" tárolva van-e.

Nevezze át a nyilvános kulcsot, és helyezze át a könyvtárat a magánkulcs letöltéséhez.

[xxxxxx@hostname ~]$ mv /home/xxxxxx/.ssh/id_rsa.pub /home/xxxxxx/.ssh/authorized_keys

[xxxxxx@hostname ~]$ mv /home/xxxxxx/.ssh/id_rsa /home/xxxxxx/id_rsa

※xxxxxxxxxx a további operatív felhasználó neve.

A privát kulcs (id_rsa) törlése a kiszolgálóról, miután helyileg áthelyezte.

A /home/xxxxxxxxxxxx/id_rsa áthelyezése a local. (Például WinSCP).

A mozgatás után hajtsa végre a törlés parancsot.

[xxxxxx@hostname ~]$ rm /home/xxxxxx/id_rsa

※xxxxxxxxxx a (3) lépésben hozzáadott felhasználónév.

Ezzel befejeződik a kulcshitelesítés beállítása. Ellenőrizze, hogy be tud-e jelentkezni a létrehozott magánkulccsal.

Miután megerősítést kapott arról, hogy be tud jelentkezni, az utolsó lépés a beállítások módosítása, hogy ne tudjon bejelentkezni jelszóellenőrzéssel.

[username@hostname ~]$ su -

[root@hostname ~]# vi /etc/ssh/sshd_config

PasswordAuthentication yes

PasswordAuthentication no

Ellenőrizze a szintaxist és indítsa újra az sshd-t.

[root@hostname ~]# /usr/sbin/sshd -t

[root@hostname ~]# systemctl restart sshd

Ezzel befejeződik a kulcshitelesítés beállítása.

2. összefoglaló

Leírtuk a CentOS telepítésekor szükséges kezdeti konfigurációt.

A cikkben szereplő információk a CentOS telepítésekor minimálisan szükségesek, így ha a cikk elolvasása után úgy érzi, hogy vannak hiányosságok, próbálja meg beállítani azokat.

Köszönjük, hogy a végéig figyeltek.