الإعداد الأولي لخادم CentOS 7

المقدمة

يجب تخصيص خادم CentOS 7 الذي تم تنشيطه حديثًا قبل أن يتم استخدامه كنظام إنتاج. في هذه المقالة ، يتم إعطاء التخصيصات الأكثر أهمية التي يجب عليك إجراؤها بطريقة سهلة الفهم.

المتطلبات الأساسية

خادم CentOS 7 الذي تم تنشيطه حديثًا ، ويفضل الإعداد باستخدام مفاتيح SSH. قم بتسجيل الدخول إلى الخادم كجذر.

ssh -l root server-ip-address

الخطوة 1: إنشاء حساب مستخدم قياسي

لأسباب أمنية ، لا ينصح بأداء مهام الحوسبة اليومية باستخدام الحساب الجذر. بدلاً من ذلك ، يوصى بإنشاء حساب مستخدم قياسي يتم استخدامه sudoللحصول على امتيازات إدارية. في هذا البرنامج التعليمي ، افترض أننا نقوم بإنشاء مستخدم باسم جو . لإنشاء حساب المستخدم ، اكتب:

adduser joe

قم بتعيين كلمة مرور للمستخدم الجديد. سيُطلب منك إدخال كلمة مرور وتأكيدها.

passwd joe

قم بإضافة المستخدم الجديد إلى مجموعة العجلات حتى يتمكن من تحمل امتيازات الجذر باستخدام sudo.

gpasswd -a joe wheel

أخيرًا ، افتح محطة طرفية أخرى على جهازك المحلي واستخدم الأمر التالي لإضافة مفتاح SSH إلى الدليل الرئيسي للمستخدم الجديد على الخادم البعيد. ستتم مطالبتك بالمصادقة قبل تثبيت مفتاح SSH.

ssh-copy-id joe@server-ip-address

بعد تثبيت المفتاح ، قم بتسجيل الدخول إلى الخادم باستخدام حساب المستخدم الجديد.

ssh -l joe server-ip-address

إذا نجح تسجيل الدخول ، يمكنك إغلاق الوحدة الطرفية الأخرى. من الآن فصاعدا ، سيسبق جميع الأوامر sudo.

الخطوة 2: عدم السماح بتسجيل الدخول إلى الجذر ومصادقة كلمة المرور

نظرًا لأنه يمكنك الآن تسجيل الدخول كمستخدم قياسي باستخدام مفاتيح SSH ، فإن ممارسة الأمان الجيدة هي تكوين SSH بحيث لا يُسمح بتسجيل الدخول الجذري ومصادقة كلمة المرور. يجب تكوين كلا الإعدادين في ملف تكوين SSH daemon. لذا ، افتحه باستخدام nano.

sudo nano /etc/ssh/sshd_config

ابحث عن سطر PermitRootLogin ، وقم بإلغاء تحديده وتعيين القيمة على لا .

PermitRootLogin     no

افعل نفس الشيء PasswordAuthenticationللخط ، الذي يجب أن يكون غير مضبوط بالفعل:

PasswordAuthentication      no

أحفظ وأغلق الملف. لتطبيق الإعدادات الجديدة ، أعد تحميل SSH.

sudo systemctl reload sshd

الخطوة 3: تكوين المنطقة الزمنية

بشكل افتراضي ، يتم تحديد الوقت على الخادم بالتوقيت العالمي المنسق. من الأفضل تكوينه لإظهار المنطقة الزمنية المحلية. لتحقيق ذلك ، حدد موقع ملف المنطقة الخاص ببلدك / منطقتك الجغرافية في /usr/share/zoneinfoالدليل وقم بإنشاء ارتباط رمزي منه إلى /etc/localtimeالدليل. على سبيل المثال ، إذا كنت في الجزء الشرقي من الولايات المتحدة ، فستنشئ الرابط الرمزي باستخدام:

sudo ln -sf /usr/share/zoneinfo/US/Eastern /etc/localtime

بعد ذلك ، تحقق من أن الوقت يُمنح الآن بالتوقيت المحلي عن طريق تشغيل dateالأمر. يجب أن يكون الناتج مشابهًا لما يلي:

Tue Jun 16 15:35:34 EDT 2015

على بتوقيت شرق الولايات المتحدة في الناتج يؤكد أنه LOCALTIME.

الخطوة 4: تمكين جدار حماية IPTables

بشكل افتراضي ، يكون تطبيق جدار الحماية النشط على خادم CentOS 7 الذي تم تنشيطه حديثًا هو FirewallD. على الرغم من أنه بديل جيد لـ IPTables ، إلا أن العديد من تطبيقات الأمان لا تزال لا تدعمها. لذلك إذا كنت ستستخدم أيًا من هذه التطبيقات ، مثل OSSEC HIDS ، فمن الأفضل تعطيل / إلغاء تثبيت FirewallD.

لنبدأ بتعطيل / إلغاء تثبيت FirewallD:

sudo yum remove -y firewalld

الآن ، دعونا تثبيت / تنشيط IPTables.

sudo yum install -y iptables-services
sudo systemctl start iptables

تكوين IPTables لبدء التشغيل تلقائيًا في وقت التمهيد.

sudo systemctl enable iptables

يأتي IPTables على CentOS 7 مع مجموعة قواعد افتراضية ، والتي يمكنك عرضها بالأمر التالي.

sudo iptables -L -n

سيشبه الإخراج:

Chain INPUT (policy ACCEPT)
target     prot opt source               destination         
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0            state RELATED,ESTABLISHED
ACCEPT     icmp --  0.0.0.0/0            0.0.0.0/0           
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            state NEW tcp dpt:22
REJECT     all  --  0.0.0.0/0            0.0.0.0/0            reject-with icmp-host-prohibited

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         
REJECT     all  --  0.0.0.0/0            0.0.0.0/0            reject-with icmp-host-prohibited

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

يمكنك أن ترى أن إحدى تلك القواعد تسمح بحركة SSH ، لذا فإن جلسة SSH الخاصة بك آمنة.

نظرًا لأن هذه القواعد هي قواعد وقت التشغيل وسيتم فقدها عند إعادة التشغيل ، فمن الأفضل حفظها في ملف باستخدام:

sudo /usr/libexec/iptables/iptables.init save

سيحفظ هذا الأمر القواعد في /etc/sysconfig/iptablesالملف. يمكنك تعديل القواعد في أي وقت بتغيير هذا الملف باستخدام محرر النصوص المفضل لديك.

الخطوة 5: السماح بحركة مرور إضافية عبر جدار الحماية

نظرًا لأنك على الأرجح ستستخدم خادمك الجديد لاستضافة بعض مواقع الويب في مرحلة ما ، فسيتعين عليك إضافة قواعد جديدة إلى جدار الحماية للسماح بمرور HTTP و HTTPS. لتحقيق ذلك ، افتح ملف IPTables:

sudo nano /etc/sysconfig/iptables

بعد أو قبل قاعدة SSH مباشرةً ، أضف القواعد لحركة مرور HTTP (المنفذ 80) و HTTPS (المنفذ 443) ، بحيث يظهر هذا الجزء من الملف كما هو موضح في مقطع التعليمات البرمجية أدناه.

-A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 80 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 443 -j ACCEPT
-A INPUT -j REJECT --reject-with icmp-host-prohibited

احفظ وأغلق الملف ، ثم أعد تحميل IPTables.

sudo systemctl reload iptables

مع اكتمال الخطوة أعلاه ، يجب أن يكون خادم CentOS 7 آمنًا بشكل معقول وجاهزًا للاستخدام في الإنتاج.

اترك تعليقاً

نظرة ثاقبة على 26 أسلوبًا لتحليل البيانات الضخمة: الجزء الأول

نظرة ثاقبة على 26 أسلوبًا لتحليل البيانات الضخمة: الجزء الأول

نظرة ثاقبة على 26 أسلوبًا لتحليل البيانات الضخمة: الجزء الأول

وظائف طبقات معمارية مرجعية للبيانات الضخمة

وظائف طبقات معمارية مرجعية للبيانات الضخمة

اقرأ المدونة لمعرفة الطبقات المختلفة في بنية البيانات الضخمة ووظائفها بأبسط طريقة.

6 أشياء شديدة الجنون حول نينتندو سويتش

6 أشياء شديدة الجنون حول نينتندو سويتش

يعرف الكثير منكم أن Switch سيصدر في مارس 2017 وميزاته الجديدة. بالنسبة لأولئك الذين لا يعرفون ، قمنا بإعداد قائمة بالميزات التي تجعل "التبديل" "أداة لا غنى عنها".

وعود التكنولوجيا التي لم يتم الوفاء بها بعد

وعود التكنولوجيا التي لم يتم الوفاء بها بعد

هل تنتظر عمالقة التكنولوجيا للوفاء بوعودهم؟ تحقق من ما تبقى دون تسليم.

كيف يمكن للذكاء الاصطناعي نقل أتمتة العمليات إلى المستوى التالي؟

كيف يمكن للذكاء الاصطناعي نقل أتمتة العمليات إلى المستوى التالي؟

اقرأ هذا لمعرفة مدى انتشار الذكاء الاصطناعي بين الشركات الصغيرة وكيف أنه يزيد من احتمالات نموها ومنح منافسيها القدرة على التفوق.

التفرد التكنولوجي: مستقبل بعيد للحضارة الإنسانية؟

التفرد التكنولوجي: مستقبل بعيد للحضارة الإنسانية؟

مع تطور العلم بمعدل سريع ، واستلام الكثير من جهودنا ، تزداد أيضًا مخاطر تعريض أنفسنا إلى تفرد غير قابل للتفسير. اقرأ ، ماذا يمكن أن يعني التفرد بالنسبة لنا.

CAPTCHA: ما هي المدة التي يمكن أن تظل تقنية قابلة للتطبيق للتميز بين الإنسان والذكاء الاصطناعي؟

CAPTCHA: ما هي المدة التي يمكن أن تظل تقنية قابلة للتطبيق للتميز بين الإنسان والذكاء الاصطناعي؟

لقد أصبح حل CAPTCHA صعبًا جدًا على المستخدمين في السنوات القليلة الماضية. هل ستكون قادرة على أن تظل فعالة في اكتشاف البريد العشوائي والروبوتات في المستقبل القريب؟

التطبيب عن بعد والرعاية الصحية عن بعد: المستقبل هنا

التطبيب عن بعد والرعاية الصحية عن بعد: المستقبل هنا

ما هو التطبيب عن بعد والرعاية الصحية عن بعد وأثره على الأجيال القادمة؟ هل هو مكان جيد أم لا في حالة الوباء؟ اقرأ المدونة لتجد طريقة عرض!

هل تساءلت يومًا كيف يربح المتسللون الأموال؟

هل تساءلت يومًا كيف يربح المتسللون الأموال؟

ربما سمعت أن المتسللين يكسبون الكثير من المال ، لكن هل تساءلت يومًا كيف يجنون هذا النوع من المال؟ دعنا نناقش.

يتسبب التحديث الإضافي لنظام macOS Catalina 10.15.4 في حدوث مشكلات أكثر من حلها

يتسبب التحديث الإضافي لنظام macOS Catalina 10.15.4 في حدوث مشكلات أكثر من حلها

أصدرت Apple مؤخرًا macOS Catalina 10.15.4 تحديثًا تكميليًا لإصلاح المشكلات ولكن يبدو أن التحديث يتسبب في المزيد من المشكلات التي تؤدي إلى إنشاء أجهزة macOS. قراءة هذه المادة لمعرفة المزيد