Konfigurimi fillestar i serverit dhe konfigurimet në RHEL 7
Në këtë tutorial do të diskutojmë hapat e parë të konfigurimit për të cilët duhet të kujdeseni pas një instalimi të ri të Red Hat Enterprise Linux 7 në një server metalik të zhveshur ose në një server privat virtual.
- Instalimi minimal i RHEL 7
E rëndësishme: Përdoruesit e CentOS 7, mund të ndjekin këtë artikull për të bërë një konfigurim fillestar të serverit në CentOS 7.
Përditëso sistemin RHEL 7
Në hapin e parë, hyni në tastierën tuaj të serverit RHEL me një llogari me privilegje rrënjësore ose drejtpërdrejt si rrënjë dhe ekzekutoni komandën e mëposhtme në mënyrë që të përditësoni plotësisht komponentët e sistemit tuaj, si paketat e instaluara, kernelin ose të aplikoni arna të tjera sigurie.
# yum check-update
# yum update
Për të hequr të gjitha paketat e shkarkuara në nivel lokal dhe memoriet e tjera të lidhura YUM, ekzekutoni komandën e mëposhtme.
# yum clean all
Instaloni shërbimet e sistemit në RHEL 7
Këto shërbime të mëposhtme mund të jenë të dobishme për administrimin e përditshëm të sistemit: nano (redaktori i tekstit për të zëvendësuar lsof (shërbimet për menaxhimin e rrjeteve lokale) dhe bash-completion (përfundimi automatik i linjës së komandës).
Instaloni të gjitha në një goditje duke ekzekutuar komandën e mëposhtme.
# yum install nano wget curl net-tools lsof bash-completion
Konfiguro rrjetëzimin në RHEL 7
RHEL 7 ka një gamë të gjerë mjetesh që mund të përdoren për të konfiguruar dhe menaxhuar rrjetin, nga redaktimi manual i skedarit të konfigurimit të rrjetit deri te përdorimi i komandave të tilla si nmcli ose route.
Shërbimi më i lehtë që një fillestar mund të përdorë për të menaxhuar dhe ndryshuar konfigurimet e rrjetit është linja e komandës grafike nmtui.
Për të ndryshuar emrin e hostit të sistemit përmes mjetit nmtui, ekzekutoni komandën nmtui-hostname, vendosni emrin e hostit të makinës tuaj dhe shtypni OK për të përfunduar, siç ilustrohet në pamjen e mëposhtme të ekranit.
# nmtui-hostname
Për të manipuluar një ndërfaqe rrjeti, ekzekutoni komandën nmtui-edit, zgjidhni ndërfaqen që dëshironi të modifikoni dhe zgjidhni modifikoni nga menyja e djathtë, siç tregohet në pamjen e mëposhtme të ekranit.
Pasi të jeni në ndërfaqen grafike të ofruar nga programi nmtui, mund të konfiguroni cilësimet e IP të ndërfaqes së rrjetit siç ilustrohet në pamjen e mëposhtme të ekranit. Kur të përfundoni, lundroni te OK duke përdorur tastin [tab] për të ruajtur konfigurimin dhe dilni.
Për të aplikuar konfigurimin e ri të ndërfaqes së rrjetit, ekzekutoni komandën nmtui-connect, zgjidhni ndërfaqen që dëshironi të menaxhoni dhe shtypni opsionin Çaktivizo/Aktivizo për të çaktivizuar dhe ngritur ndërfaqen me cilësimet IP, siç paraqitet në pamjet e mëposhtme të ekranit.
# nmtui-connect
Për të parë cilësimet e ndërfaqes së rrjetit, mund të inspektoni përmbajtjen e skedarit të ndërfaqes ose mund të lëshoni komandat e mëposhtme.
# ifconfig enp0s3
# ip a
# ping -c2 google.com
Shërbime të tjera të dobishme që mund të përdoren për të menaxhuar shpejtësinë, gjendjen e lidhjes ose marrjen e informacionit rreth ndërfaqeve të rrjetit të makinerive janë ethtool dhe mii-tool.
# ethtool enp0s3
# mii-tool enp0s3
Krijo një llogari të re përdoruesi
Në hapin tjetër, ndërsa jeni regjistruar si rrënjë në serverin tuaj, krijoni një përdorues të ri me komandën e mëposhtme. Ky përdorues do të përdoret më vonë për t'u identifikuar në sistemin tuaj dhe për të kryer detyra administrative.
# adduser tecmint_user
Pasi të keni shtuar përdoruesin duke përdorur komandën e mësipërme, vendosni një fjalëkalim të fortë për këtë përdorues duke lëshuar komandën e mëposhtme.
# passwd tecmint_user
Në rastet kur dëshironi ta detyroni këtë përdorues të ri të ndryshojë fjalëkalimin e tij në përpjekjen e parë të hyrjes, ekzekutoni komandën e mëposhtme.
# chage -d0 tecmint_user
Kjo llogari e re e përdoruesit me tani ka privilegje të rregullta të llogarisë dhe nuk mund të kryejë detyra administrative nëpërmjet komandës sudo.
Për të shmangur përdorimin e llogarisë rrënjësore për kryerjen e privilegjeve administrative, jepini këtij përdoruesi të ri privilegje administrative duke e shtuar përdoruesin në grupin e sistemit \wheel.
Përdoruesit që i përkasin grupit wheel lejohen, si parazgjedhje në RHEL, të ekzekutojnë komanda me privilegje rrënjësore duke përdorur programin sudo përpara se të shkruajnë komandën e nevojshme për ekzekutim.
Për shembull, për të shtuar përdoruesin \tecmint_user në grupin \wheel, ekzekutoni komandën e mëposhtme.
# usermod -aG wheel tecmint_user
Më pas, identifikohuni në sistem me përdoruesin e ri dhe përpiquni të përditësoni sistemin përmes komandës 'sudo yum update' për të provuar nëse përdoruesi ka fuqi të dhëna rrënjësore.
# su - tecmint_user
$ sudo yum update
Konfiguro vërtetimin e çelësit publik SSH në RHEL 7
Në hapin tjetër për të rritur sigurinë e shërbimit tuaj RHEL, konfiguroni vërtetimin e çelësit publik SSH për përdoruesin e ri. Për të gjeneruar një çift çelësash SSH, çelësin publik dhe privat, ekzekutoni komandën e mëposhtme në tastierën e serverit tuaj. Sigurohuni që jeni identifikuar në sistem me përdoruesin që po konfiguroni çelësin SSH.
# su - tecmint_user
$ ssh-keygen -t RSA
Ndërsa çelësi gjenerohet, do t'ju kërkohet të shtoni një frazë kalimi për të siguruar çelësin. Mund të futni një frazë kalimi të fortë ose të zgjidhni ta lini atë bosh nëse dëshironi të automatizoni detyrat nëpërmjet serverit SSH.
Pasi të jetë krijuar çelësi SSH, kopjoni çiftin e çelësit publik në një server të largët duke ekzekutuar komandën e mëposhtme. Për të instaluar çelësin publik në serverin e largët SSH, do t'ju duhet një llogari përdoruesi që ka kredenciale për t'u identifikuar në atë server.
$ ssh-copy-id [email
Tani duhet të përpiqeni të identifikoheni nëpërmjet SSH në serverin e largët duke përdorur çelësin privat si metodë vërtetimi. Ju duhet të jeni në gjendje të identifikoheni automatikisht pa kërkuar nga serveri SSH një fjalëkalim.
$ ssh [email
Për të parë përmbajtjen e çelësit tuaj publik SSH nëse dëshironi të instaloni manualisht çelësin në një server të largët SSH, lëshoni komandën e mëposhtme.
$ cat ~/.ssh/id_rsa
Siguroni SSH në RHEL 7
Për të siguruar demonin SSH dhe për të mos lejuar hyrjen në distancë të SSH në llogarinë rrënjësore përmes fjalëkalimit ose çelësit, hapni skedarin kryesor të konfigurimit të serverit SSH dhe bëni ndryshimet e mëposhtme.
$ sudo vi /etc/ssh/sshd_config
Kërkoni për rreshtin #PermitRootLogin po, hiqni komentin e rreshtit duke hequr shenjën # (hashtag) nga fillimi i rreshtit dhe modifikoni rreshtin që të duket si tregohet në fragmentin e mëposhtëm.
PermitRootLogin no
Më pas, rinisni serverin SSH për të aplikuar cilësimet e reja dhe testoni konfigurimin duke u përpjekur të identifikoheni në këtë server me llogarinë rrënjësore. Qasja në llogarinë rrënjë nëpërmjet SSH duhet të jetë e kufizuar deri tani.
$ sudo systemctl restart sshd
Ka situata ku mund të dëshironi të shkëputni automatikisht të gjitha lidhjet SSH në distancë me serverin tuaj pas një periudhe pasiviteti.
Për të aktivizuar këtë veçori në të gjithë sistemin, ekzekutoni komandën e mëposhtme, e cila shton variablin bash TMOUT në skedarin kryesor bashrc dhe detyron çdo lidhje SSH të shkëputet ose të hiqet pas 5 minutash pasiviteti.
$ su -c 'echo "TMOUT=300" >> /etc/bashrc'
Ekzekutoni komandën tail për të kontrolluar nëse ndryshorja është shtuar saktë në fund të skedarit /etc/bashrc. Të gjitha lidhjet e mëvonshme SSH do të mbyllen automatikisht pas 5 minutash pasiviteti tani e tutje.
$ tail /etc/bashrc
Në pamjen e mëposhtme të ekranit, sesioni SSH në distancë nga makina drupal në serverin RHEL ka dalë automatikisht pas 5 minutash.
Konfiguro Firewall-in në RHEL 7
Në hapin tjetër konfiguroni murin e zjarrit për të siguruar më tej sistemin në nivel rrjeti. RHEL 7 dërgohet me aplikacionin Firewalld për të menaxhuar rregullat iptables në server.
Së pari, sigurohuni që muri i zjarrit të funksionojë në sistemin tuaj duke lëshuar komandën e mëposhtme. Nëse daemon Firewalld ndalet, duhet ta filloni me komandën e mëposhtme.
$ sudo systemctl status firewalld
$ sudo systemctl start firewalld
$ sudo systemctl enable firewalld
Pasi muri i zjarrit të aktivizohet dhe të funksionojë në sistemin tuaj, mund të përdorni mjetin e linjës së komandës firewall-cmd për të vendosur informacionin e politikës së murit të zjarrit dhe për të lejuar trafikun në disa porte specifike të rrjetit, të tilla si SSH daemon, lidhja e bërë me një server të brendshëm ueb ose të tjera shërbimet e lidhura të rrjetit.
Për shkak se tani ne thjesht po ekzekutojmë një demon SSH në serverin tonë, ne mund të rregullojmë politikën e murit të zjarrit për të lejuar trafikun për portin e shërbimit SSH duke lëshuar komandën e mëposhtme.
$ sudo firewall-cmd --add-service=ssh --permanent
$ sudo firewall-cmd --reload
Për të shtuar një rregull të murit të zjarrit në fluturim, pa e zbatuar rregullin herën tjetër që serveri të fillojë, përdorni sintaksën e komandës më poshtë.
$ sudo firewall-cmd --add-service=sshd
Nëse instaloni shërbime të tjera të rrjetit në serverin tuaj, si serveri HTTP, një server poste ose shërbime të tjera rrjeti, mund të shtoni rregulla për të lejuar lidhjet specifike si më poshtë.
$ sudo firewall-cmd --permanent --add-service=http
$ sudo firewall-cmd --permanent --add-service=https
$ sudo firewall-cmd --permanent --add-service=smtp
Për të renditur të gjitha rregullat e firewall-it, ekzekutoni komandën e mëposhtme.
$ sudo firewall-cmd --permanent --list-all
Hiq shërbimet e panevojshme në RHEL 7
Për të marrë një listë të të gjitha shërbimeve të rrjetit (TCP dhe UDP) që funksionojnë në serverin tuaj RHEL si parazgjedhje, lëshoni komandën ss, siç ilustrohet në mostrën e mëposhtme.
$ sudo ss -tulpn
Komanda ss do të zbulojë disa shërbime interesante të cilat janë nisur dhe funksionojnë si parazgjedhje në sistemin tuaj, të tilla si shërbimi master Postfix dhe serveri përgjegjës për protokollin NTP.
Nëse nuk po planifikoni ta konfiguroni këtë server një server poste, duhet të ndaloni, çaktivizoni dhe hiqni demonin Postfix duke lëshuar komandat e mëposhtme.
$ sudo systemctl stop postfix.service
$ sudo yum remove postfix
Kohët e fundit, janë raportuar disa sulme të këqija DDOS mbi protokollin NTP. Në rast se nuk po planifikoni të konfiguroni serverin tuaj RHEL që të funksionojë si një server NTP në mënyrë që klientët e brendshëm të sinkronizojnë kohën me këtë server, duhet ta çaktivizoni plotësisht dhe ta hiqni demonin Chrony duke lëshuar komandat e mëposhtme.
$ sudo systemctl stop chronyd.service
$ sudo yum remove chrony
Përsëri, ekzekutoni komandën ss për të identifikuar nëse shërbimet e tjera të rrjetit po funksionojnë në sistemin tuaj dhe çaktivizoni dhe hiqni ato.
$ sudo ss -tulpn
Për të siguruar kohën e saktë për serverin tuaj dhe për të sinkronizuar kohën me një server peer të kohës së sipërme, mund të instaloni programin ntpdate dhe të sinkronizoni kohën me një server publik NTP, duke ekzekutuar komandat e mëposhtme.
$ sudo yum install ntpdate
$ sudo ntpdate 0.uk.pool.ntp.org
Për të automatizuar komandën e sinkronizimit të kohës ntpdate që do të ekzekutohet çdo ditë pa asnjë ndërhyrje nga përdoruesi, planifikoni një punë të re crontab për të ekzekutuar në mesnatë me përmbajtjen e mëposhtme.
$ sudo crontab -e
Ekstrakt i skedarit Crontab:
@daily /usr/sbin/ntpdate 0.uk.pool.ntp.org
Kjo eshte e gjitha! Tani, ju serveri RHEL është i përgatitur për instalimin e softuerit shtesë të nevojshëm për shërbime ose aplikacione të personalizuara të rrjetit, të tilla si instalimi dhe konfigurimi i një serveri ueb, një serveri bazë të dhënash, një shërbimi për ndarjen e skedarëve ose aplikacione të tjera specifike.
Për të siguruar dhe forcuar më tej serverin RHEL 7, shikoni këta artikuj në vijim.
- Udhëzuesi Mega për të forcuar dhe siguruar RHEL 7 – Pjesa 1
- Udhëzuesi Mega për të forcuar dhe siguruar RHEL 7 – Pjesa 2
Nëse po planifikoni të vendosni uebsajte në këtë sistem RHEL 7, mësoni se si të konfiguroni dhe konfiguroni pirgun LEMP.