RHCSA sērija: SSH drošība, resursdatora nosaukuma iestatīšana un tīkla pakalpojumu iespējošana - 8. daļa
Kā sistēmas administratoram jums bieži būs jāpiesakās attālās sistēmās, lai veiktu dažādus administrēšanas uzdevumus, izmantojot termināļa emulatoru. Jūs reti sēdēsit īsta (fiziska) termināļa priekšā, tāpēc jums ir jāizveido veids, kā attālināti pieteikties mašīnās, kuras jums tiks lūgts vadīt.
Patiesībā tas var būt pēdējais, kas jums būs jādara fiziskā termināļa priekšā. Drošības apsvērumu dēļ Telnet izmantošana šim nolūkam nav laba ideja, jo visa trafika caur vadu notiek nešifrētā, vienkāršā tekstā.
Turklāt šajā rakstā mēs arī pārskatīsim, kā konfigurēt tīkla pakalpojumus tā, lai tie automātiski sāktos sāknēšanas laikā, un uzzināsim, kā statiski vai dinamiski iestatīt tīkla un resursdatora nosaukuma izšķirtspēju.
SSH sakaru instalēšana un drošība
Lai jūs varētu pieteikties attālināti RHEL 7 lodziņā, izmantojot SSH, jums būs jāinstalē paketes openssh, openssh-clients un openssh-server. Šī komanda ne tikai instalēs attālās pieteikšanās programmu, bet arī drošo failu pārsūtīšanas rīku, kā arī attālās failu kopēšanas utilītu:
# yum update && yum install openssh openssh-clients openssh-servers
Ņemiet vērā, ka ir ieteicams instalēt servera kolēģus, jo kādā brīdī jūs varētu vēlēties izmantot to pašu mašīnu kā klientu, tā serveri.
Pēc instalēšanas ir dažas pamata lietas, kas jums jāņem vērā, ja vēlaties nodrošināt attālu piekļuvi savam SSH serverim. Šādiem iestatījumiem jābūt failā /etc/ssh/sshd_config
.
1. Mainiet portu, kurā klausīsies sshd dēmons, no 22 (noklusējuma vērtība) uz augstu portu (2000 vai vairāk), bet vispirms pārliecinieties, vai izvēlētais ports netiek izmantots.
Piemēram, pieņemsim, ka esat izvēlējies portu 2500. Izmantojiet netstat, lai pārbaudītu, vai izvēlētā osta tiek izmantota:
# netstat -npltu | grep 2500
Ja netstat neko neatgriež, sshd varat droši izmantot portu 2500, un konfigurācijas failā portu iestatījums jāmaina šādi:
Port 2500
2. Atļaut tikai 2. protokolu:
Protocol 2
3. Konfigurējiet autentifikācijas taimautu līdz 2 minūtēm, neatļaujiet pieteikšanos saknēm un ierobežojiet līdz minimumam to lietotāju sarakstu, kuriem ir atļauts pieteikties, izmantojot ssh:
LoginGraceTime 2m PermitRootLogin no AllowUsers gacanepa
4. Ja iespējams, paroles autentifikācijas vietā izmantojiet atslēgu:
PasswordAuthentication no RSAAuthentication yes PubkeyAuthentication yes
Tas pieņem, ka jūs jau esat izveidojis atslēgu pāri ar savu lietotāja vārdu savā klienta mašīnā un nokopējis to savā serverī, kā šeit paskaidrots.
- iespējojiet SSH pieteikšanos bez paroles
Tīklošanas un nosaukuma izšķirtspējas konfigurēšana
1. Katram sistēmas administratoram vajadzētu labi pārzināt šādus visas sistēmas konfigurācijas failus:
- /etc/hosts tiek izmantots, lai atrisinātu nosaukumus <---> IP mazos tīklos.
Katrai faila /etc/hosts
rindai ir šāda struktūra:
IP address - Hostname - FQDN
Piemēram,
192.168.0.10 laptop laptop.gabrielcanepa.com.ar
2. /etc/resolv.conf
norāda DNS serveru IP adreses un meklēšanas domēnu, kas tiek izmantoti, lai aizpildītu doto vaicājuma nosaukumu līdz pilnībā kvalificētam domēna nosaukumam, ja netiek piegādāts domēna sufikss.
Normālos apstākļos šis fails nav jārediģē, jo to pārvalda sistēma. Tomēr, ja vēlaties mainīt DNS serverus, ieteicams katrā rindiņā ievērot šādu struktūru:
nameserver - IP address
Piemēram,
nameserver 8.8.8.8
3. 3. /etc/host.conf
norāda metodes un secību, kādā resursdatoru nosaukumi tiek atrisināti tīklā. Citiem vārdiem sakot, nosaukums resolver norāda, kādus pakalpojumus un kādā secībā izmantot.
Lai gan šim failam ir vairākas iespējas, visizplatītākajā un pamata iestatījumā ir šāda rinda:
order bind,hosts
Kas norāda, ka atrisinātājam vispirms ir jāmeklē nosaukuma serveri, kas norādīti resolv.conf
, un pēc tam failā /etc/hosts
, lai iegūtu nosaukuma izšķirtspēju.
4. /etc/sysconfig/network
satur maršrutēšanu un globālo resursdatora informāciju par visām tīkla saskarnēm. Var izmantot šādas vērtības:
NETWORKING=yes|no HOSTNAME=value
Kur vērtībai jābūt pilnībā kvalificētam domēna vārdam (FQDN).
GATEWAY=XXX.XXX.XXX.XXX
Kur XXX.XXX.XXX.XXX ir tīkla vārtejas IP adrese.
GATEWAYDEV=value
Mašīnā ar vairākiem NIC vērtība ir vārtejas ierīce, piemēram, enp0s3.
5. Faili /etc/sysconfig/network-scripts
(tīkla adapteru konfigurācijas faili) iekšpusē.
Iepriekš pieminētajā direktorijā atradīsit vairākus nosaukumus parastā teksta failos.
ifcfg-name
Kur nosaukums ir NIC nosaukums, ko atgrieza ip saite, parāda:
Piemēram:
Izņemot loopback interfeisu, jūs varat sagaidīt līdzīgu konfigurāciju arī jūsu NIC. Ņemiet vērā, ka daži mainīgie, ja tie ir iestatīti, ignorēs tos, kas atrodas /etc/sysconfig/network
šajā konkrētajā interfeisā. Katra rinda tiek komentēta skaidrības labad šajā rakstā, taču faktiskajā failā jums vajadzētu izvairīties no komentāriem:
HWADDR=08:00:27:4E:59:37 # The MAC address of the NIC TYPE=Ethernet # Type of connection BOOTPROTO=static # This indicates that this NIC has been assigned a static IP. If this variable was set to dhcp, the NIC will be assigned an IP address by a DHCP server and thus the next two lines should not be present in that case. IPADDR=192.168.0.18 NETMASK=255.255.255.0 GATEWAY=192.168.0.1 NM_CONTROLLED=no # Should be added to the Ethernet interface to prevent NetworkManager from changing the file. NAME=enp0s3 UUID=14033805-98ef-4049-bc7b-d4bea76ed2eb ONBOOT=yes # The operating system should bring up this NIC during boot
Iestatot resursdatoru nosaukumus
Red Hat Enterprise Linux 7 komandā hostnamectl tiek izmantoti gan vaicājumi, gan sistēmas saimniekdatora nosaukuma iestatīšana.
Lai parādītu pašreizējo resursdatora nosaukumu, ierakstiet:
# hostnamectl status
Lai mainītu resursdatora nosaukumu, izmantojiet
# hostnamectl set-hostname [new hostname]
Piemēram,
# hostnamectl set-hostname cinderella
Lai izmaiņas stātos spēkā, jums būs jārestartē resursdatora nosauktais dēmons (tādā veidā jums nebūs jāpiesakās un jāieslēdzas no jauna, lai piemērotu izmaiņas):
# systemctl restart systemd-hostnamed
Turklāt RHEL 7 ietver arī nmcli lietderību, ko var izmantot tam pašam mērķim. Lai parādītu resursdatora nosaukumu, palaidiet:
# nmcli general hostname
un lai to mainītu:
# nmcli general hostname [new hostname]
Piemēram,
# nmcli general hostname rhel7
Tīkla pakalpojumu palaišana sāknēšanas laikā
Apkopojot, ļaujiet mums uzzināt, kā mēs varam nodrošināt, ka tīkla pakalpojumi tiek automātiski startēti sāknēšanas laikā. Vienkārši sakot, tas tiek darīts, izveidojot saites uz noteiktiem failiem, kas norādīti pakalpojuma konfigurācijas failu sadaļā [Instalēt].
Ugunsmūra gadījumā (/usr/lib/systemd/system/firewalld.service):
[Install] WantedBy=basic.target Alias=dbus-org.fedoraproject.FirewallD1.service
Lai iespējotu pakalpojumu:
# systemctl enable firewalld
No otras puses, ugunsmūra atspējošana dod tiesības noņemt simlinkus:
# systemctl disable firewalld
Secinājums
Šajā rakstā mēs esam apkopojuši, kā instalēt un aizsargāt savienojumus, izmantojot SSH uz RHEL serveri, kā mainīt tā nosaukumu un visbeidzot, kā nodrošināt tīkla pakalpojumu palaišanu sāknēšanas laikā. Ja pamanāt, ka noteikta pakalpojuma neizdevās pareizi startēt, varat izmantot systemctl status -l [pakalpojums] un journalctl -xn, lai to novērstu.
Nekautrējieties paziņot mums, ko domājat par šo rakstu, izmantojot zemāk esošo komentāru veidlapu. Arī jautājumi ir laipni gaidīti. Mēs ceram uz jums atbildi!