CentOS yüklendiğinde ilk yapılandırma gereklidir.

Yayın Tarihi：8 Aralık 2020.

Genel bakış.

Bu bölümde CentOS kurulduktan sonra yapılması gereken ilk ayarlar anlatılmaktadır. CentOS 7.6 (1810) kullanılarak oluşturulmuştur.

1. temel ayar

Bu bölümde, CentOS kurulduktan hemen sonra yapılması gereken temel ayarlar açıklanmaktadır.

1-1. İşletim sisteminin kontrol edilmesi

Öncelikle, doğru işletim sisteminin kurulu olup olmadığını kontrol edin.

[root@hostname ~]# cat /etc/redhat-release

CentOS Linux release 7.6.1810 (Core)

'CentOS Linux release 7.6.1810 (Core)' kurulu işletim sistemidir. Doğru olup olmadığını kontrol edin.

1-2. Aracın yüklenmesi

Kurulumdan hemen sonra ifconfig gibi temel komutlar çalıştırılamaz. Bu nedenle kurulum, temel ağ ve diğer komutların yum komutları tarafından yürütülebilmesi için gerçekleştirilir.

'yum -y update' ile önceden yüklenmiş olanları modernize etmek mümkün olduğundan, lütfen gerekirse bunu gerçekleştirin.

[root@hostname ~]# yum install -y net-tools

[root@hostname ~]# yum install -y wget

[root@hostname ~]# yum install -y tcpdump

[root@hostname ~]# yum install -y traceroute

net-tools・・・ifconifg komutu ve diğerleri kurulumdan sonra kullanılabilir.

wget・・・Tam anlamıyla, ancak wget komutu kullanılabilir. Kısaca, bu komut bir http isteği gönderir.

tcpdump・・・Tam anlamıyla, ancak tcpdump komutu kullanılabilir. Kısaca sunucuya gönderilen istekleri izleyebilir.

traceroute・・・Tam anlamıyla, ancak traceroute komutu kullanılabilir. Kısaca hedef IP'nin rotasını gösterir.

1-3. Selinux'u devre dışı bırakma

Etkin olduğu ve beklenmedik şekilde davranabileceği için selinux'u devre dışı bırakın.

Öncelikle, selinux güvenlikle ilgili bir ayardır. Kullanabiliyorsanız etkinleştirebilirsiniz, ancak zor geliyorsa devre dışı bırakın. Selinux'un devre dışı bırakılması güvenliği mutlaka savunmasız hale getirmez.Kişisel olarak iyi anlamasam da, etkinleştirilmesi halinde sorunlara neden olma olasılığı daha yüksektir. Bunun basit açıklaması, selinux'un sunucu ihlal edildikten sonra alınan bir güvenlik önlemi olduğudur (bir ihlal durumunda zararı en aza indirmek için yapılandırılmıştır), bu nedenle sunucunun ihlal edilmesini önlemek için güvenlik önlemleri almak daha önemlidir.

Devre dışı bırakma adımları aşağıdadır.

[username@hostname ~]$ getenforce

Disabled

Eğer 'Devre Dışı' değilse, aşağıdaki prosedür kullanılarak değiştirilebilir.

[username@hostname ~]$ vi /etc/selinux/config

SELINUX=enforcing

SELINUX=disabled

'SELINUX' ve 'SELINUXTYPE', ancak değiştirilmesi gereken 'SELINUX'. "SELINUXTYPE" değerini yanlışlıkla değiştirirseniz sunucunun başlamayacağını unutmayın.

Sunucuyu yeniden başlattığınızda yapılandırma etkinleşecektir.

1-4. ek operasyonel kullanıcı

Kök kullanıcı olarak oturum açmak ve çalışmak tehlikelidir, bu nedenle oturum açmak için bir kullanıcı ekleyin. Sonraki adımda, kök kullanıcı girişini devre dışı bırakın.

Oturum açmış bir root kullanıcısı olarak çalışmanın riski, istediğiniz her şeyi yapabilmenizdir. Her şeyi yapabilmenin riski, işletim sistemiyle ilgili önemli değişiklikleri yanlışlıkla değiştirebilmeniz veya silebilmenizdir. Sunucuyu hobi veya çalışma gibi kişisel kullanım için kullanıyorsanız ve bu tür sıradan hatalar yapmıyorsanız, kişisel olarak root kullanıcısı olarak oturum açmakta herhangi bir sorun görmüyorum. Kök kullanıcının oturum açmasına izin vermemenin bir numaralı nedeni güçler ayrılığıdır. Uygulama geliştirme ekibi, uygulama geliştirme için yalnızca dizine dokunan kullanıcıları kullanır. Toplu iş geliştirme ekibi, yalnızca toplu iş geliştirme dizinine dokunan kullanıcılar kullanır. Kullanıcıları ayırmak daha iyidir, böylece gerekli ekipler aşağıdaki gibi gerekli dizinlere dokunabilir

Kullanıcı ekleme adımları aşağıdadır.

[root@hostname ~]# useradd xxxxxx

[root@hostname ~]# passwd xxxxxx

※xxxxxxxx eklenecek kullanıcının adıdır. Herhangi bir şifre belirleyin.

1-5. Kök kullanıcı parolasını değiştirme

Eğer root kullanıcısı değilseniz, su - ile root kullanıcısına geçin ve aşağıdaki komutu çalıştırın

[username@hostname ~]$ su -

[root@hostname ~]# passwd

※Herhangi bir şifre belirleyin.

İlk paroladan asla çıkmayın. 'Root' parolası en kötüsüdür. "password" ve "1234" şifreleri de oldukça tehlikelidir. Alfanümerik semboller de dahil olmak üzere en az sekiz rakam iyidir.

Bu parola ayarı güvenlik önlemleri açısından oldukça önemlidir ve son derece dikkatli bir şekilde ayarlanmalıdır. Kök kullanıcının parolasını değiştirmek oldukça basittir, ancak bunun neden olduğu birçok güvenlik olayı hikayesi duyduğumuzu unutmayın. Küçük boyutlu olduğu için kimsenin sunucunuza saldırmayacağını varsaymayın. Saldırgan 'root' kullanıcı adı ve 'root' parolasıyla rastgele bir sunucuya erişir.

1-6. Operasyonel olmayan kullanıcıların girişlerini yasaklamak için yapılandırma (root kullanıcısı ve diğer kullanıcıların girişlerini yasaklar).

Oturum açabilecek kullanıcı sayısını sınırlayın. Özellikle, kök kullanıcıların oturum açmasına izin verilmemelidir. Eğer root olarak oturum açtıysanız, bu tüm güvenlik önlemlerinin devre dışı bırakılmasına eşittir.

Kök kullanıcı girişini devre dışı bırakma ve giriş yapabilecek kullanıcılar ekleme adımları aşağıdadır. Kök kullanıcıya geçin ve ardından yapılandırma dosyasını değiştirin. ('su-' ile root kullanıcısına geçmek mümkündür, sadece giriş yapamazsınız).

[username@hostname ~]$ su -

[root@hostname ~]# vi /etc/ssh/sshd_config

#LoginGraceTime 2m

#PermitRootLogin yes

#StrictModes yes

#MaxAuthTries 6

#MaxSessions 10

#LoginGraceTime 2m

PermitRootLogin no

AllowUsers xxxxxx

#StrictModes yes

#MaxAuthTries 6

#MaxSessions 10

※xxxxxxxx yeni eklediğiniz operasyonel kullanıcı adıdır.

Burada dikkat edilmesi gereken bir nokta, AllowUsers adının yanlış olması durumunda kimsenin oturum açamayacağıdır, bu nedenle kullanıcı adlarını dikkatlice kontrol edin.

Sözdizimini kontrol edin ve sshd'yi yeniden başlatın.

[root@hostname ~]# /usr/sbin/sshd -t

[root@hostname ~]# systemctl restart sshd

Oturumu kapattıktan ve root olarak oturum açamayacağınızı ve eklenen operasyonel kullanıcı olarak oturum açabileceğinizi onayladıktan sonra, işiniz bitmiştir.

1-7. zaman senkronizasyonu

Saatin senkronize olup olmadığını kontrol edin. Bazen sunucunun saati senkronize edilmez, bu nedenle günlük çıktı tarihi ve saati beklenenden farklı bir zamanda çıkar ve sorunu analiz etmek uzun zaman alır.

Zaman senkronizasyon işleminin (chronyd) başlatılmasını kontrol edin. Zaman senkronizasyon durumunu kontrol edin. CentOS7'nin 'chronyd' olduğunu, ancak daha öncekilerin 'ntpd' olduğunu unutmayın, bu nedenle 6 veya daha önceki bir sürümü kullanıyorsanız dikkatli olun.

[root@hostname ~]# ps aux | grep chronyd

chrony     567  0.0  1.3 117804 13664 ?        SL    5月04   0:04 /usr/sbin/chronyd

root     32489  0.0  0.0 112732   972 pts/1    S+   16:30   0:00 grep --color=auto chronyd

[root@hostname ~]# timedatectl

      Local time: gün (ayın) 2020-11-29 16:30:43 JST

  Universal time: gün (ayın) 2020-11-29 07:30:43 UTC

        RTC time: gün (ayın) 2020-11-29 07:30:43

       Time zone: Asia/Tokyo (JST, +0900)

     NTP enabled: yes

NTP synchronized: yes

 RTC in local TZ: no

      DST active: n/a

'Yerel saat' geçerli saatle eşleşiyorsa, 'NTP etkin' evet ise ve 'NTP senkronize' evet ise tamamdır.

1-8. Anahtar kimlik doğrulama ayarları

Yeni eklediğiniz operasyonel kullanıcılar için, yalnızca anahtar kimlik doğrulaması ile oturum açmalarına izin verin.

Parola kimlik doğrulamasını devre dışı bırakmak güvenliği önemli ölçüde artırır. Parola doğrulama durumunda, karmaşık bir parola kullanırsanız, temelde oturumunuz açılmayacaktır, ancak olasılık yüzde sıfır değildir. Ancak, anahtar kimlik doğrulaması durumunda, yalnızca ilk etapta anahtara sahipseniz oturum açabilirsiniz, bu nedenle anahtarınızı düzgün bir şekilde yönettiğiniz sürece oturumunuz açılmayacaktır.

Anahtar kimlik doğrulamasını ayarlama prosedürü aşağıdadır.

[username@hostname ~]$ su - xxxxxx

[xxxxxx@hostname ~]$ ssh-keygen -t rsa -b 2048

※xxxxxxxx ek operasyonel kullanıcının adıdır.

※"ssh-keygen -t rsa -b 2048" komutunu çalıştırdıktan sonra, sizden bir yanıt istenecektir, tüm varsayılan değerleri girin ve "Enter" tuşuna basın. Şifresiz olarak da kurulabilir. (Bir parola girmek, anahtar kimlik doğrulaması artı parola kimlik doğrulaması olarak ek güvenlik sağlar, ancak bu durumda parola varsayılmaz).

Ardından anahtarın oluşturulup oluşturulmadığını kontrol edin.

[xxxxxx@hostname ~]$ ll /home/xxxxxx/.ssh

※xxxxxxxx ek operasyonel kullanıcının adıdır.

"id_rsa" özel anahtarının "id_rsa.pub" açık anahtarının depolandığını kontrol edin.

Açık anahtarı yeniden adlandırın ve özel anahtarı indirmek için dizini taşıyın.

[xxxxxx@hostname ~]$ mv /home/xxxxxx/.ssh/id_rsa.pub /home/xxxxxx/.ssh/authorized_keys

[xxxxxx@hostname ~]$ mv /home/xxxxxx/.ssh/id_rsa /home/xxxxxx/id_rsa

※xxxxxxxx ek operasyonel kullanıcının adıdır.

Özel anahtarı (id_rsa) yerel olarak taşıdıktan sonra sunucudan silin.

/home/xxxxxx/id_rsa dosyasını yerele taşı. (Örneğin WinSCP'ye gidin).

Taşındıktan sonra silme komutunu çalıştırın.

[xxxxxx@hostname ~]$ rm /home/xxxxxx/id_rsa

※xxxxxxxx adım (3)'te eklenen kullanıcı adıdır.

Bu, anahtar kimlik doğrulama kurulumunu tamamlar. Oluşturduğunuz özel anahtar ile giriş yapabildiğinizi kontrol edin.

Giriş yapabileceğinizi onayladıktan sonra, son adım şifre doğrulama kullanarak giriş yapamayacağınız şekilde ayarları değiştirmektir.

[username@hostname ~]$ su -

[root@hostname ~]# vi /etc/ssh/sshd_config

PasswordAuthentication yes

PasswordAuthentication no

Sözdizimini kontrol edin ve sshd'yi yeniden başlatın.

[root@hostname ~]# /usr/sbin/sshd -t

[root@hostname ~]# systemctl restart sshd

Bu, anahtar kimlik doğrulama kurulumunu tamamlar.

2. özet

CentOS kurulduğunda gereken ilk yapılandırmayı açıkladık.

Bu makaledeki bilgiler CentOS kurulurken uygulanması gereken minimum bilgilerdir, bu nedenle bu makaleyi okuduktan sonra eksiklikler olduğunu düşünüyorsanız, lütfen bunları ayarlamayı deneyin.

Sonuna kadar izlediğiniz için teşekkür ederiz.