Sākotnējā servera iestatīšana ar CentOS/RHEL 8

Šajā rakstā mēs iepazīstināsim jūs ar pirmajām pamata darbībām, kas jāveic pēc minimāla CentOS/RHEL 8 servera instalēšanas bez grafiskas vides, lai izgūtu informāciju par instalēto sistēmu, kuras aparatūru virs servera darbojas un konfigurē citus specifiskus sistēmas uzdevumus, piemēram, sistēmas atjaunināšanu, tīklu veidošanu, sakņu tiesības, konfigurē ssh, pakalpojumu pārvaldību un citus.

CentOS 8 instalēšanas rokasgrāmata
RHEL 8 minimāla instalēšana
iespējojiet RHEL abonementu RHEL 8

Svarīgi! Lai veiktu sistēmas atjaunināšanu un programmatūras instalēšanu, RHEL 8 serverī jābūt iespējotam Red Hat abonēšanas pakalpojumam.

1. darbība: atjauniniet sistēmas programmatūru

Vispirms piesakieties serverī kā root lietotājs un izpildiet šīs komandas, lai pilnībā atjauninātu sistēmu ar jaunāko kodolu, sistēmas drošības ielāpiem, programmatūras krātuvēm un pakotnēm.

# dnf check-update
# dnf update

Kad programmatūras jaunināšanas process ir pabeigts, lai atbrīvotu vietu diskā, varat izdzēst visas lejupielādētās programmatūras pakotnes ar visu kešatmiņā saglabāto krātuvju informāciju, izpildot šo komandu.

# dnf clean all

2. darbība: instalējiet sistēmas utilītprogrammas

Šīs sistēmas utilītas var būt ļoti noderīgas ikdienas administrēšanas uzdevumos: bash-complete (komandrindas automātiskā pabeigšana).

# dnf install nano vim wget curl net-tools lsof bash-completion

3. darbība: iestatiet resursdatora nosaukumu un tīklu

CentOS/RHEL 8 krātuvēs ir plašs rīku klāsts, kas tika izmantots tīkla konfigurēšanai un pārvaldībai, sākot no tīkla konfigurācijas faila manuālas mainīšanas līdz komandu, piemēram, nmtui, izmantošanai.

Vieglākā utilīta, ko iesācējs var izmantot, lai konfigurētu un pārvaldītu tīkla konfigurācijas, piemēram, tīkla resursdatora nosaukuma iestatīšana un statiskas IP adreses konfigurēšana, ir nmtui grafiskās komandrindas utilītas izmantošana.

Lai iestatītu vai mainītu sistēmas resursdatora nosaukumu, izpildiet šo komandu nmtui-hostname, kas liks jums ievadīt mašīnas resursdatora nosaukumu un nospiediet OK, lai pabeigtu, kā parādīts zemāk esošajā ekrānuzņēmumā.

# nmtui-hostname

Lai konfigurētu tīkla saskarni, palaidiet šo komandu nmtui-edit, kas liks jums izvēlēties izvēlnē interfeisu, kuru vēlaties konfigurēt, kā parādīts zemāk esošajā ekrānuzņēmumā.

# nmtui-edit

Noklikšķinot uz pogas Rediģēt, tas liks jums iestatīt tīkla saskarnes IP iestatījumus, kā parādīts zemāk esošajā ekrānuzņēmumā. Kad esat pabeidzis, dodieties uz Labi, izmantojot taustiņu [cilne] , lai saglabātu konfigurāciju un izietu.

Kad esat pabeidzis tīkla konfigurāciju, jums jāpalaiž šāda komanda, lai piemērotu jaunos tīkla iestatījumus, atlasot pārvaldāmo saskarni un nospiežot opciju Deaktivizēt/aktivizēt, lai pārtrauktu darbību un izveidotu saskarni ar IP iestatījumiem, kā parādīts zemāk esošajā ekrānuzņēmumā.

# nmtui-connect

Lai pārbaudītu tīkla konfigurācijas iestatījumus, varat pārbaudīt saskarnes faila saturu vai izdot tālāk norādītās komandas.

# ifconfig enp0s3
# ip a
# ping -c2 google.com

Varat arī izmantot citas noderīgas tīkla utilītas, piemēram, ethtool un mii-tool, lai pārbaudītu tīkla saskarnes ātrumu, tīkla saites statusu un iegūtu informāciju par mašīnu tīkla saskarnēm.

# ethtool enp0s3
# mii-tool enp0s3

Svarīgs jūsu tīkla tīkla aspekts ir svarīgi uzskaitīt visus failus, kurus atver procesi.

# netstat -tulpn
# ss -tulpn
# lsof -i4 -6

4. darbība: izveidojiet jaunu lietotāja kontu

Vienmēr ir ieteicams, lai nepieciešamības gadījumā administratīvos uzdevumus veiktu normāls lietotājs ar root tiesībām. Lai parastam lietotājam piešķirtu root tiesības, vispirms izveidojiet lietotāju ar komandu useradd, iestatiet paroli un pievienojiet lietotāju administratīvo riteņu grupai.

# useradd ravisaive
# passwd ravisaive
# usermod -aG wheel ravisaive

Lai pārbaudītu, vai jaunajam lietotājam ir root tiesības, piesakieties sistēmā ar lietotāja akreditācijas datiem un palaidiet komandu dnf ar Sudo atļaujām, kā parādīts.

# su - ravisaive
# sudo dnf update

5. solis: Iestatiet SSH pieteikšanos bez paroles CentOS 8

Lai palielinātu servera drošību, iestatiet jaunajam lietotājam bez SSH paroles autentifikāciju, ģenerējot pāris SSH atslēgu - kas satur publisko un privāto atslēgu, taču jums tā ir jāizveido. Tas palielinās jūsu servera drošību, pieprasot privātu SSH atslēgu, lai izveidotu savienojumu ar sistēmu.

# su - ravisaive
$ ssh-keygen -t RSA

Kad atslēga ir ģenerēta, tā lūgs ievadīt paroli, lai aizsargātu privāto atslēgu. Jūs varat ievadīt stingru ieejas frāzi vai izvēlēties atstāt ieejas frāzi tukšu, ja vēlaties automatizēt administratīvos uzdevumus, izmantojot SSH serveri.

Kad SSH atslēga ir izveidota, ģenerētais publisko atslēgu pāris jāpārkopē uz attālo serveri, palaižot komandu ssh-copy-id ar attālā servera lietotājvārdu un IP adresi, kā parādīts.

$ ssh-copy-id [email

Kad SSH atslēga ir nokopēta, tagad varat mēģināt pieteikties savā attālajā Linux serverī, izmantojot privāto atslēgu kā autentifikācijas metodi. Jums vajadzētu būt iespējai automātiski pieteikties, SSH serverim neprasot paroli.

$ [email

6. darbība: SSH attālo pieteikšanos drošība

Šeit mēs mazliet vairāk aizsargāsim savu serveri, atspējojot attālo SSH piekļuvi saknes kontam SSH konfigurācijas failā.

# vi /etc/ssh/sshd_config

Atrodiet līniju, kurā teikts #PermitRootLogin yes , noņemiet komentāru no līnijas, rindas sākumā izdzēšot # un pārveidojiet līniju uz.

PermitRootLogin no

Pēc tam restartējiet SSH serveri, lai lietotu nesen veiktās jaunās izmaiņas.

# systemctl restart sshd

Tagad pārbaudiet konfigurāciju, mēģinot pieteikties kā root kontu, jūs saņemsit piekļuves kļūdu SSH Permission Denied, kā parādīts.

# ssh [email

Pastāv gadījumi, kad pēc noteikta neaktivitātes perioda, iespējams, vēlēsities automātiski atvienot visus attālinātos SSH savienojumus ar serveri.

7. darbība: konfigurējiet ugunsmūri vietnē CentOS 8

CentOS/RHEL 8 noklusējuma ugunsmūris ir Firewalld, kas tiek izmantots, lai pārvaldītu iptables kārtulas serverī. Lai iespējotu un palaistu ugunsmūra pakalpojumu serverī, izpildiet šādas komandas.

# systemctl enable firewalld
# systemctl start firewalld
# systemctl status firewalld

Lai atvērtu ienākošo savienojumu ar konkrētu pakalpojumu (SSH), vispirms jāpārbauda, vai pakalpojums ir ietverts ugunsmūra kārtulās, un pēc tam jāpievieno pakalpojuma kārtula, pievienojot - permanent {code> pārslēdzieties uz komandām, kā parādīts.

# firewall-cmd --add-service=[tab]  #List services
# firewall-cmd --add-service=ssh
# firewall-cmd --add-service=ssh --permanent

Ja vēlaties atvērt ienākošos savienojumus ar citiem tīkla pakalpojumiem, piemēram, HTTP vai SMTP, vienkārši pievienojiet kārtulas, kā parādīts, norādot pakalpojuma nosaukumu.
# firewall-cmd --permanent --add-service=http
# firewall-cmd --permanent --add-service=https
# firewall-cmd --permanent --add-service=smtp
Lai serverī skatītu visus ugunsmūra noteikumus, izpildiet šo komandu.
# firewall-cmd --permanent --list-all
8. darbība: noņemiet nevēlamus pakalpojumus CentOS 8
Ļoti ieteicams pēc jauna CentOS/RHEL 8 servera instalēšanas, lai mazinātu uzbrukumus serverim, jums ir jānoņem un jāatspējo nevēlami pakalpojumi, kas pēc noklusējuma darbojas serverī.
Lai serverī uzskaitītu visus darbojošos tīkla pakalpojumus, ieskaitot TCP un UDP, palaidiet komandu netstat, kā parādīts zemāk esošajā piemērā.
# ss -tulpn
OR
# netstat -tulpn
Iepriekš minētajās komandās tiks uzskaitīti daži interesanti pakalpojumi, kas pēc noklusējuma darbojas serverī, piemēram, Postfix pasta serveris. Ja jūs neplānojat mitināt pasta sistēmu serverī, tā jāpārtrauc un jāizņem no sistēmas, kā parādīts attēlā.
# systemctl stop postfix
# systemctl disable postfix
# dnf remove postfix
Papildus augšējām vai pstree komandām, lai atklātu un identificētu visus nevēlamos pakalpojumus un noņemtu tos no sistēmas.
# dnf install psmisc
# pstree -p
9. darbība. Pakalpojumu pārvaldība CentOS 8
Programmā CentOS/RHEL 8 visi pakalpojumi un dēmoni tiek pārvaldīti, izmantojot komandu systemctl, un jūs varat izmantot šo komandu, lai uzskaitītu visus aktīvos, palaistos, izietos vai neizdevušos pakalpojumus.
# systemctl list-units
Lai pārbaudītu, vai sistēmas palaišanas laikā dēmons vai pakalpojums tiek automātiski iespējots, izsniedziet šādu komandu.
# systemctl list-unit-files -t service
Lai uzzinātu vairāk par komandu systemctl, izlasiet mūsu rakstu, kurā ir paskaidrots - Kā pārvaldīt pakalpojumus, izmantojot sistēmu ‘Systemctl’.
Tas ir viss! Šajā rakstā mēs esam izskaidrojuši dažus pamata iestatījumus un komandas, kas katram Linux sistēmas administratoram jāzina un jāpielieto svaigi instalētajā CentOS/RHEL 8 sistēmā vai lai veiktu ikdienas uzdevumus sistēmā.