راه اندازی اولیه سرور CentOS 7

• معرفی
• پیش نیازها
• مرحله 1: ایجاد یک حساب کاربری استاندارد
• مرحله 2: غیرفعال کردن ورود به ریشه و تأیید اعتبار رمز عبور
• مرحله 3: منطقه زمانی را پیکربندی کنید
• مرحله 4: فایروال IPTables را فعال کنید
• مرحله 5: از طریق فایروال امکان عبور و مرور اضافی را فراهم کنید

معرفی

یک سرور CentOS 7 که اخیراً فعال شده است باید قبل از استفاده به عنوان یک سیستم تولید شخصی سازی شود. در این مقاله ، مهمترین سفارشی سازی هایی که شما باید انجام دهید با روشی آسان برای درک ارائه شده است.

پیش نیازها

سرور CentOS 7 که اخیراً فعال شده است ، ترجیحاً با کلیدهای SSH تنظیم شده است. به عنوان root وارد سرور شوید.

ssh -l root server-ip-address

مرحله 1: ایجاد یک حساب کاربری استاندارد

به دلایل امنیتی ، توصیه نمی شود که با استفاده از حساب root ، کارهای محاسباتی روزانه را انجام دهید. در عوض ، توصیه می شود یک حساب کاربری استاندارد ایجاد کنید که sudoبرای به دست آوردن امتیازات اداری از آن استفاده می کند. برای این آموزش فرض کنید که ما در حال ایجاد یک کاربر با نام joe هستیم . برای ایجاد حساب کاربری ، تایپ کنید:

adduser joe

برای کاربر جدید رمزعبور تنظیم کنید. از شما خواسته می شود که یک رمز عبور را وارد کنید و تأیید کنید.

passwd joe

کاربر جدید را به گروه چرخ اضافه کنید تا بتواند با استفاده از امتیازات ریشه ای را بدست آورد sudo.

gpasswd -a joe wheel

در آخر ، یک ترمینال دیگر را در دستگاه محلی خود باز کنید و از دستور زیر استفاده کنید تا کلید SSH خود را به فهرست خانه کاربر جدید روی سرور راه دور اضافه کنید. قبل از نصب کلید SSH از شما درخواست تأیید اعتبار می شود.

ssh-copy-id joe@server-ip-address

پس از نصب کلید ، با استفاده از حساب کاربری جدید وارد سرور شوید.

ssh -l joe server-ip-address

اگر ورود به سیستم موفقیت آمیز باشد ، ممکن است ترمینال دیگر را ببندید. از این پس به همه دستورات عمل می شود sudo.

مرحله 2: غیرفعال کردن ورود به ریشه و تأیید اعتبار رمز عبور

از آنجا که اکنون می توانید به عنوان یک کار��ر استاندارد با استفاده از کلیدهای SSH وارد سیستم شوید ، یک روش امنیتی خوب پیکربندی SSH است به طوری که ورود به سیستم و احراز هویت رمز عبور هر دو مجاز نیستند. هر دو تنظیمات باید در پرونده پیکربندی Daemon SSH تنظیم شوند. بنابراین ، آن را با استفاده از باز کنید nano.

sudo nano /etc/ssh/sshd_config

به دنبال خط PermitRootLogin بروید ، آن را لغو اعتبار کنید و مقدار آن را بر روی شماره قرار دهید .

PermitRootLogin     no

همین کار را برای PasswordAuthenticationخط انجام دهید ، که باید قبلاً بدون اظهار نظر باشد:

PasswordAuthentication      no

ذخیره کنید و فایل را ببندید. برای اعمال تنظیمات جدید ، SSH را بارگیری مجدد کنید.

sudo systemctl reload sshd

مرحله 3: منطقه زمانی را پیکربندی کنید

به طور پیش فرض ، زمان سرور در UTC داده می شود. بهتر است آن را پیکربندی کنید تا منطقه زمانی محلی نشان داده شود. برای دستیابی به این هدف ، پرونده منطقه کشور / منطقه جغرافیایی خود را در /usr/share/zoneinfoفهرست قرار دهید و یک لینک نمادین از آن به /etc/localtimeدایرکتوری ایجاد کنید. به عنوان مثال ، اگر در قسمت شرقی ایالات متحده هستید ، با استفاده از:

sudo ln -sf /usr/share/zoneinfo/US/Eastern /etc/localtime

پس از آن ، با اجرای dateدستور ، تأیید کنید که اکنون زمان در زمان محلی داده شده است . خروجی باید شبیه به:

Tue Jun 16 15:35:34 EDT 2015

EDT در خروجی تأیید می کند که زمان محلی آن است.

مرحله 4: فایروال IPTables را فعال کنید

به طور پیش فرض ، برنامه فعال فایروال روی یک سرور تازه فعال CentOS 7 FirewallD است. اگرچه جایگزینی مناسب برای IPTables است ، اما بسیاری از برنامه های امنیتی هنوز پشتیبانی از آن ندارند. بنابراین اگر از هر کدام از آن برنامه ها مانند OSSEC HIDS استفاده می کنید ، بهتر است FirewallD را غیرفعال یا غیرفعال کنید.

بیایید با غیرفعال کردن / حذف نصب FirewallD شروع کنیم:

sudo yum remove -y firewalld

اکنون ، بیایید IPTables را نصب و فعال کنیم.

sudo yum install -y iptables-services
sudo systemctl start iptables

IPT ها را برای شروع خودکار در زمان بوت تنظیم کنید.

sudo systemctl enable iptables

میزهای IPT در CentOS 7 با مجموعه ای پیش فرض از قوانین ارائه می شوند که می توانید با دستور زیر آنها را مشاهده کنید.

sudo iptables -L -n

خروجی شبیه خواهد بود:

Chain INPUT (policy ACCEPT)
target     prot opt source               destination         
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0            state RELATED,ESTABLISHED
ACCEPT     icmp --  0.0.0.0/0            0.0.0.0/0           
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            state NEW tcp dpt:22
REJECT     all  --  0.0.0.0/0            0.0.0.0/0            reject-with icmp-host-prohibited

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         
REJECT     all  --  0.0.0.0/0            0.0.0.0/0            reject-with icmp-host-prohibited

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

می بینید که یکی از این قوانین ترافیک SSH را امکان پذیر می کند ، بنابراین جلسه SSH شما بی خطر است.

از آنجا که این قوانین قوانین زمان اجرا هستند و در راه اندازی مجدد از بین می روند ، بهتر است آنها را با استفاده از:

sudo /usr/libexec/iptables/iptables.init save

این دستور قوانین را در /etc/sysconfig/iptablesپرونده ذخیره می کند. می توانید قوانین را در هر زمان و با تغییر این پرونده با ویرایشگر متن مورد علاقه خود ویرایش کنید.

مرحله 5: از طریق فایروال امکان عبور و مرور اضافی را فراهم کنید

از آنجا که به احتمال زیاد شما می خواهید از سرور جدید خود برای میزبانی برخی وب سایت ها در مقطعی استفاده کنید ، مجبورید قوانین جدیدی را به فایروال اضافه کنید تا HTTP و HTTPS بتوانند از آن استفاده کنند. برای انجام این کار ، پرونده IPTables را باز کنید:

sudo nano /etc/sysconfig/iptables

درست پس از یا قبل از قانون SSH ، قوانینی را برای ترافیک HTTP (پورت 80) و HTTPS (پورت 443) اضافه کنید ، به طوری که آن بخش از پرونده همانطور که در بلوک کد زیر نشان داده شده است ، ظاهر شود.

-A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 80 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 443 -j ACCEPT
-A INPUT -j REJECT --reject-with icmp-host-prohibited

پرونده را ذخیره کرده و ببندید ، سپس IPTables را بارگیری مجدد کنید.

sudo systemctl reload iptables

با انجام مرحله فوق ، سرور CentOS 7 شما اکنون باید منطقی ایمن باشد و برای استفاده در تولید آماده باشد.