الإعداد الأولي لخادم CentOS 7

• المقدمة
• المتطلبات الأساسية
• الخطوة 1: إنشاء حساب مستخدم قياسي
• الخطوة 2: عدم السماح بتسجيل الدخول إلى الجذر ومصادقة كلمة المرور
• الخطوة 3: تكوين المنطقة الزمنية
• الخطوة 4: تمكين جدار حماية IPTables
• الخطوة 5: السماح بحركة مرور إضافية عبر جدار الحماية

المقدمة

يجب تخصيص خادم CentOS 7 الذي تم تنشيطه حديثًا قبل أن يتم استخدامه كنظام إنتاج. في هذه المقالة ، يتم إعطاء التخصيصات الأكثر أهمية التي يجب عليك إجراؤها بطريقة سهلة الفهم.

المتطلبات الأساسية

خادم CentOS 7 الذي تم تنشيطه حديثًا ، ويفضل الإعداد باستخدام مفاتيح SSH. قم بتسجيل الدخول إلى الخادم كجذر.

ssh -l root server-ip-address

الخطوة 1: إنشاء حساب مستخدم قياسي

لأسباب أمنية ، لا ينصح بأداء مهام الحوسبة اليومية باستخدام الحساب الجذر. بدلاً من ذلك ، يوصى بإنشاء حساب مستخدم قياسي يتم استخدامه sudoللحصول على امتيازات إدارية. في هذا البرنامج التعليمي ، افترض أننا نقوم بإنشاء مستخدم باسم جو . لإنشاء حساب المستخدم ، اكتب:

adduser joe

قم بتعيين كلمة مرور للمستخدم الجديد. سيُطلب منك إدخال كلمة مرور وتأكيدها.

passwd joe

قم بإضافة المستخدم الجديد إلى مجموعة العجلات حتى يتمكن من تحمل امتيازات الجذر باستخدام sudo.

gpasswd -a joe wheel

أخيرًا ، افتح محطة طرفية أخرى على جهازك المحلي واستخدم الأمر التالي لإضافة مفتاح SSH إلى الدليل الرئيسي للمستخدم الجديد على الخادم البعيد. ستتم مطالبتك بالمصادقة قبل تثبيت مفتاح SSH.

ssh-copy-id joe@server-ip-address

بعد تثبيت المفتاح ، قم بتسجيل الدخول إلى الخادم باستخدام حساب المستخدم الجديد.

ssh -l joe server-ip-address

إذا نجح تسجيل الدخول ، يمكنك إغلاق الوحدة الطرفية الأخرى. من الآن فصاعدا ، سيسبق جميع الأوامر sudo.

الخطوة 2: عدم السماح بتسجيل الدخول إلى الجذر ومصادقة كلمة المرور

نظرًا لأنه يمكنك الآن تسجيل الدخول كمستخدم قياسي باستخدام مفاتيح SSH ، فإن ممارسة الأمان الجيدة هي تكوين SSH بحيث لا يُسمح بتسجيل الدخول الجذري ومصادقة كلمة المرور. يجب تكوين كلا الإعدادين في ملف تكوين SSH daemon. لذا ، افتحه باستخدام nano.

sudo nano /etc/ssh/sshd_config

ابحث عن سطر PermitRootLogin ، وقم بإلغاء تحديده وتعيين القيمة على لا .

PermitRootLogin     no

افعل نفس الشيء PasswordAuthenticationللخط ، الذي يجب أن يكون غير مضبوط بالفعل:

PasswordAuthentication      no

أحفظ وأغلق الملف. لتطبيق الإعدادات الجديدة ، أعد تحميل SSH.

sudo systemctl reload sshd

الخطوة 3: تكوين المنطقة الزمنية

بشكل افتراضي ، يتم تحديد الوقت على الخادم بالتوقيت العالمي المنسق. من الأفضل تكوينه لإظهار المنطقة الزمنية المحلية. لتحقيق ذلك ، حدد موقع ملف المنطقة الخاص ببلدك / منطقتك الجغرافية في /usr/share/zoneinfoالدليل وقم بإنشاء ارتباط رمزي منه إلى /etc/localtimeالدليل. على سبيل المثال ، إذا كنت في الجزء الشرقي من الولايات المتحدة ، فستنشئ الرابط الرمزي باستخدام:

sudo ln -sf /usr/share/zoneinfo/US/Eastern /etc/localtime

بعد ذلك ، تحقق من أن الوقت يُمنح الآن بالتوقيت المحلي عن طريق تشغيل dateالأمر. يجب أن يكون الناتج مشابهًا لما يلي:

Tue Jun 16 15:35:34 EDT 2015

على بتوقيت شرق الولايات المتحدة في الناتج يؤكد أنه LOCALTIME.

الخطوة 4: تمكين جدار حماية IPTables

بشكل افتراضي ، يكون تطبيق جدار الحماية النشط على خادم CentOS 7 الذي تم تنشيطه حديثًا هو FirewallD. على الرغم من أنه بديل جيد لـ IPTables ، إلا أن العديد من تطبيقات الأمان لا تزال لا تدعمها. لذلك إذا كنت ستستخدم أيًا من هذه التطبيقات ، مثل OSSEC HIDS ، فمن الأفضل تعطيل / إلغاء تثبيت FirewallD.

لنبدأ بتعطيل / إلغاء تثبيت FirewallD:

sudo yum remove -y firewalld

الآن ، دعونا تثبيت / تنشيط IPTables.

sudo yum install -y iptables-services
sudo systemctl start iptables

تكوين IPTables لبدء التشغيل تلقائيًا في وقت التمهيد.

sudo systemctl enable iptables

يأتي IPTables على CentOS 7 مع مجموعة قواعد افتراضية ، والتي يمكنك عرضها بالأمر التالي.

sudo iptables -L -n

سيشبه الإخراج:

Chain INPUT (policy ACCEPT)
target     prot opt source               destination         
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0            state RELATED,ESTABLISHED
ACCEPT     icmp --  0.0.0.0/0            0.0.0.0/0           
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            state NEW tcp dpt:22
REJECT     all  --  0.0.0.0/0            0.0.0.0/0            reject-with icmp-host-prohibited

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         
REJECT     all  --  0.0.0.0/0            0.0.0.0/0            reject-with icmp-host-prohibited

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

يمكنك أن ترى أن إحدى تلك القواعد تسمح بحركة SSH ، لذا فإن جلسة SSH الخاصة بك آمنة.

نظرًا لأن هذه القواعد هي قواعد وقت التشغيل وسيتم فقدها عند إعادة التشغيل ، فمن الأفضل حفظها في ملف باستخدام:

sudo /usr/libexec/iptables/iptables.init save

سيحفظ هذا الأمر القواعد في /etc/sysconfig/iptablesالملف. يمكنك تعديل القواعد في أي وقت بتغيير هذا الملف باستخدام محرر النصوص المفضل لديك.

الخطوة 5: السماح بحركة مرور إضافية عبر جدار الحماية

نظرًا لأنك على الأرجح ستستخدم خادمك الجديد لاستضافة بعض مواقع الويب في مرحلة ما ، فسيتعين عليك إضافة قواعد جديدة إلى جدار الحماية للسماح بمرور HTTP و HTTPS. لتحقيق ذلك ، افتح ملف IPTables:

sudo nano /etc/sysconfig/iptables

بعد أو قبل قاعدة SSH مباشرةً ، أضف القواعد لحركة مرور HTTP (المنفذ 80) و HTTPS (المنفذ 443) ، بحيث يظهر هذا الجزء من الملف كما هو موضح في مقطع التعليمات البرمجية أدناه.

-A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 80 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 443 -j ACCEPT
-A INPUT -j REJECT --reject-with icmp-host-prohibited

احفظ وأغلق الملف ، ثم أعد تحميل IPTables.

sudo systemctl reload iptables

مع اكتمال الخطوة أعلاه ، يجب أن يكون خادم CentOS 7 آمنًا بشكل معقول وجاهزًا للاستخدام في الإنتاج.