Konfigurasi awal yang diperlukan saat CentOS diinstal.
Tanggal Publikasi:8 Desember 2020.
INFOMARTION > Konfigurasi awal yang diperlukan saat CentOS diinstal.
Ikhtisar.
Bagian ini menjelaskan pengaturan pertama yang diperlukan setelah menginstal CentOS. Ini dibangun menggunakan CentOS 7.6 (1810).
Daftar Isi
- pengaturan dasar
- 1-1. Memeriksa sistem operasi
- 1-2. Memasang alat
- 1-3. Menonaktifkan selinux
- 1-4. pengguna operasional tambahan
- 1-5. Ubah kata sandi pengguna root
- 1-6. Konfigurasi untuk melarang login oleh pengguna non-operasional (melarang login oleh pengguna root dan pengguna lain).
- 1-7. sinkronisasi waktu
- 1-8. Pengaturan otentikasi kunci
- ringkasan
1. pengaturan dasar
Bagian ini menjelaskan pengaturan dasar yang diperlukan segera setelah menginstal CentOS.
1-1. Memeriksa sistem operasi
Pertama, periksa, apakah Anda sudah menginstal sistem operasi yang benar.
[root@hostname ~]# cat /etc/redhat-release
CentOS Linux release 7.6.1810 (Core)
'CentOS Linux release 7.6.1810 (Core)' adalah sistem operasi yang diinstal. Periksa apakah sudah benar.
1-2. Memasang alat
Segera setelah instalasi, perintah dasar seperti ifconfig tidak dapat dieksekusi. Oleh karena itu, instalasi dilakukan agar jaringan dasar dan perintah-perintah lainnya dapat dieksekusi oleh perintah yum.
Silakan lakukan ini jika perlu, karena dimungkinkan untuk memodernisasi apa yang telah diinstal dengan 'yum -y update'.
[root@hostname ~]# yum install -y net-tools
[root@hostname ~]# yum install -y wget
[root@hostname ~]# yum install -y tcpdump
[root@hostname ~]# yum install -y traceroute
net-tools・・・Perintah ifconifg dan lainnya dapat digunakan setelah instalasi.
wget・・・Secara harfiah, tetapi perintah wget dapat digunakan. Secara singkat, perintah ini mengirimkan permintaan http.
tcpdump・・・Secara harfiah, tetapi perintah tcpdump bisa digunakan. Secara singkat, ini dapat memantau permintaan yang dikirim ke server.
traceroute・・・Secara harfiah, tetapi perintah traceroute bisa digunakan. Secara singkat, ini menunjukkan rute IP tujuan.
1-3. Menonaktifkan selinux
Nonaktifkan selinux karena diaktifkan dan mungkin berperilaku tidak terduga.
Untuk memulainya, selinux adalah pengaturan yang berhubungan dengan keamanan. Jika Anda dapat menggunakannya, Anda dapat mengaktifkannya, tetapi jika sulit, nonaktifkan. Menonaktifkan selinux tidak serta merta membuat keamanan menjadi rentan.Hal ini lebih cenderung menyebabkan masalah jika diaktifkan, meskipun saya pribadi tidak memahaminya dengan baik. Penjelasan sederhananya adalah bahwa selinux adalah tindakan keamanan setelah server dilanggar (dikonfigurasi untuk meminimalkan kerusakan jika terjadi pelanggaran), jadi lebih penting untuk mengambil tindakan keamanan untuk mencegah server dilanggar.
Di bawah ini adalah langkah-langkah untuk penonaktifan.
[username@hostname ~]$ getenforce
Disabled
Jika tidak 'Disabled', ini bisa diubah dengan menggunakan prosedur berikut ini.
[username@hostname ~]$ vi /etc/selinux/config
SELINUX=enforcing
SELINUX=disabled
'SELINUX' dan 'SELINUXTYPE', tetapi 'SELINUX' yang perlu diubah. Perhatikan bahwa jika Anda mengubah "SELINUXTYPE" secara tidak sengaja, server tidak akan mulai.
Restart server dan konfigurasi akan berlaku.
1-4. pengguna operasional tambahan
Masuk dan bekerja sebagai pengguna root berbahaya, jadi tambahkan pengguna untuk masuk. Pada langkah berikutnya, nonaktifkan login pengguna root.
Risiko bekerja sebagai pengguna root yang login adalah Anda bisa melakukan apa saja yang Anda inginkan. Risiko untuk bisa melakukan apa pun adalah, Anda bisa secara tidak sengaja mengubah atau menghapus perubahan penting yang terkait dengan sistem operasi. Jika Anda menggunakan server untuk penggunaan pribadi, seperti hobi atau belajar, dan Anda tidak membuat kesalahan biasa seperti itu, saya pribadi tidak melihat ada masalah dengan login sebagai pengguna root. Alasan nomor satu untuk tidak mengizinkan pengguna root untuk log masuk adalah pemisahan kekuasaan. Tim pengembangan aplikasi menggunakan pengguna yang hanya menyentuh direktori untuk pengembangan aplikasi. Tim pengembangan batch menggunakan pengguna yang hanya menyentuh direktori pengembangan batch. Lebih baik memisahkan pengguna sehingga tim yang diperlukan bisa menyentuh direktori yang diperlukan, seperti
Di bawah ini adalah langkah-langkah untuk menambahkan pengguna.
[root@hostname ~]# useradd xxxxxx
[root@hostname ~]# passwd xxxxxx
※xxxxxxxx adalah nama pengguna yang akan ditambahkan. Tetapkan kata sandi apa pun.
1-5. Ubah kata sandi pengguna root
Jika Anda bukan pengguna root, beralihlah ke pengguna root dengan su - dan jalankan perintah berikut ini
[username@hostname ~]$ su -
[root@hostname ~]# passwd
※Tetapkan kata sandi apa pun.
Jangan pernah keluar dari kata sandi awal. Kata sandi 'root' adalah yang terburuk. Kata sandi "password" dan "1234" juga cukup berbahaya. Minimal delapan digit, termasuk simbol alfanumerik, adalah baik.
Pengaturan kata sandi ini cukup penting untuk tindakan keamanan dan harus ditetapkan dengan sangat hati-hati. Mengubah kata sandi pengguna root cukup mendasar, tetapi ketahuilah bahwa kami telah mendengar banyak cerita tentang insiden keamanan yang disebabkan oleh hal ini. Jangan berasumsi bahwa tidak ada yang akan menyerang server Anda karena ukurannya kecil. Penyerang mengakses server acak dengan nama pengguna 'root' dan kata sandi 'root'.
1-6. Konfigurasi untuk melarang login oleh pengguna non-operasional (melarang login oleh pengguna root dan pengguna lain).
Membatasi jumlah pengguna yang bisa log masuk. Khususnya, pengguna root tidak boleh diizinkan untuk log masuk. Jika Anda login sebagai root, ini sama dengan semua tindakan keamanan dinonaktifkan.
Di bawah ini adalah langkah-langkah untuk menonaktifkan login pengguna root dan menambahkan pengguna yang bisa login. Beralih ke pengguna root dan kemudian ubah file konfigurasi. (Adalah mungkin untuk beralih ke pengguna root dengan 'su-', hanya saja tidak bisa log masuk).
[username@hostname ~]$ su -
[root@hostname ~]# vi /etc/ssh/sshd_config
#LoginGraceTime 2m
#PermitRootLogin yes
#StrictModes yes
#MaxAuthTries 6
#MaxSessions 10
#LoginGraceTime 2m
PermitRootLogin no
AllowUsers xxxxxx
#StrictModes yes
#MaxAuthTries 6
#MaxSessions 10
※xxxxxxxx adalah nama pengguna operasional yang baru saja Anda tambahkan.
Hal yang perlu diperhatikan di sini adalah, jika nama AllowUsers salah, tidak seorang pun akan bisa log masuk, jadi periksalah nama pengguna secara hati-hati.
Periksa sintaks dan mulai ulang sshd.
[root@hostname ~]# /usr/sbin/sshd -t
[root@hostname ~]# systemctl restart sshd
Setelah Anda log out dan mengonfirmasikan bahwa Anda tidak bisa log masuk sebagai root dan Anda bisa log masuk sebagai pengguna operasional yang ditambahkan, maka Anda sudah selesai.
1-7. sinkronisasi waktu
Periksa apakah waktu sudah disinkronkan. Kadang-kadang waktu server tidak disinkronkan, sehingga tanggal dan waktu output log dikeluarkan pada waktu yang berbeda dari yang diharapkan dan membutuhkan waktu yang lama untuk menganalisis masalahnya.
Periksa start-up proses sinkronisasi waktu (chronyd). Periksa status sinkronisasi waktu. Perhatikan bahwa CentOS7 adalah 'chronyd', tetapi sebelumnya adalah 'ntpd', jadi berhati-hatilah jika Anda menggunakan 6 atau sebelumnya.
[root@hostname ~]# ps aux | grep chronyd
chrony 567 0.0 1.3 117804 13664 ? SL 5月04 0:04 /usr/sbin/chronyd
root 32489 0.0 0.0 112732 972 pts/1 S+ 16:30 0:00 grep --color=auto chronyd
[root@hostname ~]# timedatectl
Local time: hari (dalam bulan) 2020-11-29 16:30:43 JST
Universal time: hari (dalam bulan) 2020-11-29 07:30:43 UTC
RTC time: hari (dalam bulan) 2020-11-29 07:30:43
Time zone: Asia/Tokyo (JST, +0900)
NTP enabled: yes
NTP synchronized: yes
RTC in local TZ: no
DST active: n/a
OK jika 'Waktu lokal' cocok dengan waktu saat ini, 'NTP diaktifkan' adalah ya dan 'NTP disinkronkan' adalah ya.
1-8. Pengaturan otentikasi kunci
Untuk pengguna operasional yang baru saja Anda tambahkan, izinkan mereka untuk log masuk hanya dengan autentikasi kunci.
Cukup dengan menonaktifkan autentikasi kata sandi akan meningkatkan keamanan secara signifikan. Dalam hal autentikasi kata sandi, jika Anda menggunakan kata sandi yang rumit, pada dasarnya Anda tidak akan masuk, tetapi kemungkinannya bukan nol persen. Namun demikian, dalam kasus autentikasi kunci, Anda hanya bisa log masuk jika Anda memiliki kuncinya sejak awal, jadi selama Anda mengelola kunci Anda dengan benar, Anda tidak akan log masuk.
Di bawah ini adalah prosedur untuk menyiapkan otentikasi kunci.
[username@hostname ~]$ su - xxxxxx
[xxxxxx@hostname ~]$ ssh-keygen -t rsa -b 2048
※xxxxxxxx adalah nama pengguna operasional tambahan.
※Setelah mengeksekusi perintah "ssh-keygen -t rsa -b 2048", Anda akan diminta tanggapan, semua nilai default dan tekan "Enter". Diatur tanpa kata sandi juga. (Memasukkan kata sandi memberikan keamanan tambahan sebagai otentikasi kunci plus otentikasi kata sandi, tetapi tidak ada kata sandi yang diasumsikan dalam kasus ini).
Kemudian periksa apakah kunci sudah dibuat.
[xxxxxx@hostname ~]$ ll /home/xxxxxx/.ssh
※xxxxxxxx adalah nama pengguna operasional tambahan.
Periksa bahwa kunci privat "id_rsa" kunci publik "id_rsa.pub" disimpan.
Ubah nama kunci publik dan pindahkan direktori untuk mengunduh kunci privat.
[xxxxxx@hostname ~]$ mv /home/xxxxxx/.ssh/id_rsa.pub /home/xxxxxx/.ssh/authorized_keys
[xxxxxx@hostname ~]$ mv /home/xxxxxx/.ssh/id_rsa /home/xxxxxx/id_rsa
※xxxxxxxx adalah nama pengguna operasional tambahan.
Menghapus kunci pribadi (id_rsa) dari server setelah memindahkannya secara lokal.
Pindahkan /home/xxxxxxxx/id_rsa ke lokal. (Pergi ke misalnya WinSCP).
Setelah pindah, jalankan perintah hapus.
[xxxxxx@hostname ~]$ rm /home/xxxxxx/id_rsa
※xxxxxxxx adalah nama pengguna yang ditambahkan pada langkah (3).
Ini melengkapi pengaturan autentikasi kunci. Periksa apakah Anda bisa log masuk dengan private key yang sudah Anda buat.
Setelah Anda mengonfirmasi bahwa Anda bisa log masuk, langkah terakhir adalah mengubah pengaturan sehingga Anda tidak bisa log masuk menggunakan verifikasi kata sandi.
[username@hostname ~]$ su -
[root@hostname ~]# vi /etc/ssh/sshd_config
PasswordAuthentication yes
PasswordAuthentication no
Periksa sintaks dan mulai ulang sshd.
[root@hostname ~]# /usr/sbin/sshd -t
[root@hostname ~]# systemctl restart sshd
Ini melengkapi pengaturan autentikasi kunci.
2. ringkasan
Kami telah menjelaskan konfigurasi awal yang diperlukan ketika CentOS diinstal.
Informasi dalam artikel ini adalah minimum yang harus diterapkan saat menginstal CentOS, jadi jika Anda merasa ada kekurangan setelah membaca artikel ini, silakan coba mengaturnya.
Terima kasih telah menonton sampai akhir.