RHCSA sērija: SSH drošība, resursdatora nosaukuma iestatīšana un tīkla pakalpojumu iespējošana - 8. daļa

Kā sistēmas administratoram jums bieži būs jāpiesakās attālās sistēmās, lai veiktu dažādus administrēšanas uzdevumus, izmantojot termināļa emulatoru. Jūs reti sēdēsit īsta (fiziska) termināļa priekšā, tāpēc jums ir jāizveido veids, kā attālināti pieteikties mašīnās, kuras jums tiks lūgts vadīt.

Patiesībā tas var būt pēdējais, kas jums būs jādara fiziskā termināļa priekšā. Drošības apsvērumu dēļ Telnet izmantošana šim nolūkam nav laba ideja, jo visa trafika caur vadu notiek nešifrētā, vienkāršā tekstā.

Turklāt šajā rakstā mēs arī pārskatīsim, kā konfigurēt tīkla pakalpojumus tā, lai tie automātiski sāktos sāknēšanas laikā, un uzzināsim, kā statiski vai dinamiski iestatīt tīkla un resursdatora nosaukuma izšķirtspēju.

SSH sakaru instalēšana un drošība

Lai jūs varētu pieteikties attālināti RHEL 7 lodziņā, izmantojot SSH, jums būs jāinstalē paketes openssh, openssh-clients un openssh-server. Šī komanda ne tikai instalēs attālās pieteikšanās programmu, bet arī drošo failu pārsūtīšanas rīku, kā arī attālās failu kopēšanas utilītu:

# yum update && yum install openssh openssh-clients openssh-servers

Ņemiet vērā, ka ir ieteicams instalēt servera kolēģus, jo kādā brīdī jūs varētu vēlēties izmantot to pašu mašīnu kā klientu, tā serveri.

Pēc instalēšanas ir dažas pamata lietas, kas jums jāņem vērā, ja vēlaties nodrošināt attālu piekļuvi savam SSH serverim. Šādiem iestatījumiem jābūt failā /etc/ssh/sshd_config .

1. Mainiet portu, kurā klausīsies sshd dēmons, no 22 (noklusējuma vērtība) uz augstu portu (2000 vai vairāk), bet vispirms pārliecinieties, vai izvēlētais ports netiek izmantots.

Piemēram, pieņemsim, ka esat izvēlējies portu 2500. Izmantojiet netstat, lai pārbaudītu, vai izvēlētā osta tiek izmantota:

# netstat -npltu | grep 2500

Ja netstat neko neatgriež, sshd varat droši izmantot portu 2500, un konfigurācijas failā portu iestatījums jāmaina šādi:

Port 2500

2. Atļaut tikai 2. protokolu:

Protocol 2

3. Konfigurējiet autentifikācijas taimautu līdz 2 minūtēm, neatļaujiet pieteikšanos saknēm un ierobežojiet līdz minimumam to lietotāju sarakstu, kuriem ir atļauts pieteikties, izmantojot ssh:

LoginGraceTime 2m
PermitRootLogin no
AllowUsers gacanepa

4. Ja iespējams, paroles autentifikācijas vietā izmantojiet atslēgu:

PasswordAuthentication no
RSAAuthentication yes
PubkeyAuthentication yes

Tas pieņem, ka jūs jau esat izveidojis atslēgu pāri ar savu lietotāja vārdu savā klienta mašīnā un nokopējis to savā serverī, kā šeit paskaidrots.

1. iespējojiet SSH pieteikšanos bez paroles

Tīklošanas un nosaukuma izšķirtspējas konfigurēšana

1. Katram sistēmas administratoram vajadzētu labi pārzināt šādus visas sistēmas konfigurācijas failus:

1. /etc/hosts tiek izmantots, lai atrisinātu nosaukumus <---> IP mazos tīklos.

Katrai faila /etc/hosts rindai ir šāda struktūra:

IP address - Hostname - FQDN

Piemēram,

192.168.0.10	laptop	laptop.gabrielcanepa.com.ar

2. /etc/resolv.conf norāda DNS serveru IP adreses un meklēšanas domēnu, kas tiek izmantoti, lai aizpildītu doto vaicājuma nosaukumu līdz pilnībā kvalificētam domēna nosaukumam, ja netiek piegādāts domēna sufikss.

Normālos apstākļos šis fails nav jārediģē, jo to pārvalda sistēma. Tomēr, ja vēlaties mainīt DNS serverus, ieteicams katrā rindiņā ievērot šādu struktūru:

nameserver - IP address

Piemēram,

nameserver 8.8.8.8

3. 3. /etc/host.conf norāda metodes un secību, kādā resursdatoru nosaukumi tiek atrisināti tīklā. Citiem vārdiem sakot, nosaukums resolver norāda, kādus pakalpojumus un kādā secībā izmantot.

Lai gan šim failam ir vairākas iespējas, visizplatītākajā un pamata iestatījumā ir šāda rinda:

order bind,hosts

Kas norāda, ka atrisinātājam vispirms ir jāmeklē nosaukuma serveri, kas norādīti resolv.conf , un pēc tam failā /etc/hosts , lai iegūtu nosaukuma izšķirtspēju.

4. /etc/sysconfig/network satur maršrutēšanu un globālo resursdatora informāciju par visām tīkla saskarnēm. Var izmantot šādas vērtības:

NETWORKING=yes|no
HOSTNAME=value

Kur vērtībai jābūt pilnībā kvalificētam domēna vārdam (FQDN).

GATEWAY=XXX.XXX.XXX.XXX

Kur XXX.XXX.XXX.XXX ir tīkla vārtejas IP adrese.

GATEWAYDEV=value

Mašīnā ar vairākiem NIC vērtība ir vārtejas ierīce, piemēram, enp0s3.

5. Faili /etc/sysconfig/network-scripts (tīkla adapteru konfigurācijas faili) iekšpusē.

Iepriekš pieminētajā direktorijā atradīsit vairākus nosaukumus parastā teksta failos.

ifcfg-name

Kur nosaukums ir NIC nosaukums, ko atgrieza ip saite, parāda:

Piemēram:

Izņemot loopback interfeisu, jūs varat sagaidīt līdzīgu konfigurāciju arī jūsu NIC. Ņemiet vērā, ka daži mainīgie, ja tie ir iestatīti, ignorēs tos, kas atrodas /etc/sysconfig/network šajā konkrētajā interfeisā. Katra rinda tiek komentēta skaidrības labad šajā rakstā, taču faktiskajā failā jums vajadzētu izvairīties no komentāriem:

HWADDR=08:00:27:4E:59:37 # The MAC address of the NIC
TYPE=Ethernet # Type of connection
BOOTPROTO=static # This indicates that this NIC has been assigned a static IP. If this variable was set to dhcp, the NIC will be assigned an IP address by a DHCP server and thus the next two lines should not be present in that case.
IPADDR=192.168.0.18
NETMASK=255.255.255.0
GATEWAY=192.168.0.1
NM_CONTROLLED=no # Should be added to the Ethernet interface to prevent NetworkManager from changing the file.
NAME=enp0s3
UUID=14033805-98ef-4049-bc7b-d4bea76ed2eb
ONBOOT=yes # The operating system should bring up this NIC during boot

Iestatot resursdatoru nosaukumus

Red Hat Enterprise Linux 7 komandā hostnamectl tiek izmantoti gan vaicājumi, gan sistēmas saimniekdatora nosaukuma iestatīšana.

Lai parādītu pašreizējo resursdatora nosaukumu, ierakstiet:

# hostnamectl status

Lai mainītu resursdatora nosaukumu, izmantojiet

# hostnamectl set-hostname [new hostname]

Piemēram,

# hostnamectl set-hostname cinderella

Lai izmaiņas stātos spēkā, jums būs jārestartē resursdatora nosauktais dēmons (tādā veidā jums nebūs jāpiesakās un jāieslēdzas no jauna, lai piemērotu izmaiņas):

# systemctl restart systemd-hostnamed

Turklāt RHEL 7 ietver arī nmcli lietderību, ko var izmantot tam pašam mērķim. Lai parādītu resursdatora nosaukumu, palaidiet:

# nmcli general hostname

un lai to mainītu:

# nmcli general hostname [new hostname]

Piemēram,

# nmcli general hostname rhel7

Tīkla pakalpojumu palaišana sāknēšanas laikā

Apkopojot, ļaujiet mums uzzināt, kā mēs varam nodrošināt, ka tīkla pakalpojumi tiek automātiski startēti sāknēšanas laikā. Vienkārši sakot, tas tiek darīts, izveidojot saites uz noteiktiem failiem, kas norādīti pakalpojuma konfigurācijas failu sadaļā [Instalēt].

Ugunsmūra gadījumā (/usr/lib/systemd/system/firewalld.service):

[Install]
WantedBy=basic.target
Alias=dbus-org.fedoraproject.FirewallD1.service

Lai iespējotu pakalpojumu:

# systemctl enable firewalld

No otras puses, ugunsmūra atspējošana dod tiesības noņemt simlinkus:

# systemctl disable firewalld

Secinājums

Šajā rakstā mēs esam apkopojuši, kā instalēt un aizsargāt savienojumus, izmantojot SSH uz RHEL serveri, kā mainīt tā nosaukumu un visbeidzot, kā nodrošināt tīkla pakalpojumu palaišanu sāknēšanas laikā. Ja pamanāt, ka noteikta pakalpojuma neizdevās pareizi startēt, varat izmantot systemctl status -l [pakalpojums] un journalctl -xn, lai to novērstu.

Nekautrējieties paziņot mums, ko domājat par šo rakstu, izmantojot zemāk esošo komentāru veidlapu. Arī jautājumi ir laipni gaidīti. Mēs ceram uz jums atbildi!