Accueil » » Configuration initiale dun serveur CentOS 7

Configuration initiale dun serveur CentOS 7

introduction

Un serveur CentOS 7 nouvellement activé doit être personnalisé avant de pouvoir être utilisé comme système de production. Dans cet article, les personnalisations les plus importantes que vous devrez effectuer sont présentées de manière simple à comprendre.

Conditions préalables

Un serveur CentOS 7 nouvellement activé, de préférence configuré avec des clés SSH. Connectez-vous au serveur en tant que root.

ssh -l root server-ip-address

Étape 1: créer un compte d'utilisateur standard

Pour des raisons de sécurité, il n'est pas conseillé d'effectuer des tâches informatiques quotidiennes à l'aide du compte root. Au lieu de cela, il est recommandé de créer un compte d'utilisateur standard qui utilisera sudopour obtenir des privilèges administratifs. Pour ce didacticiel, supposons que nous créons un utilisateur nommé joe . Pour créer le compte utilisateur, tapez:

adduser joe

Définissez un mot de passe pour le nouvel utilisateur. Vous serez invité à saisir et à confirmer un mot de passe.

passwd joe

Ajoutez le nouvel utilisateur au groupe de roues afin qu'il puisse assumer les privilèges root à l'aide de sudo.

gpasswd -a joe wheel

Enfin, ouvrez un autre terminal sur votre ordinateur local et utilisez la commande suivante pour ajouter votre clé SSH au répertoire personnel du nouvel utilisateur sur le serveur distant. Vous serez invité à vous authentifier avant d'installer la clé SSH.

ssh-copy-id joe@server-ip-address

Une fois la clé installée, connectez-vous au serveur à l'aide du nouveau compte d'utilisateur.

ssh -l joe server-ip-address

Si la connexion réussit, vous pouvez fermer l'autre terminal. Désormais, toutes les commandes seront précédées de sudo.

Étape 2: interdire la connexion root et l'authentification par mot de passe

Comme vous pouvez maintenant vous connecter en tant qu'utilisateur standard à l'aide des clés SSH, une bonne pratique de sécurité consiste à configurer SSH de sorte que la connexion root et l'authentification par mot de passe ne soient pas autorisées. Les deux paramètres doivent être configurés dans le fichier de configuration du démon SSH. Alors, ouvrez-le en utilisant nano.

sudo nano /etc/ssh/sshd_config

Recherchez la ligne PermitRootLogin , décommentez-la et définissez la valeur sur no .

PermitRootLogin     no

Faites de même pour la PasswordAuthenticationligne, qui devrait déjà être décommentée:

PasswordAuthentication      no

Enregistrez et fermez le fichier. Pour appliquer les nouveaux paramètres, rechargez SSH.

sudo systemctl reload sshd

Étape 3: configurer le fuseau horaire

Par défaut, l'heure sur le serveur est indiquée en UTC. Il est préférable de le configurer pour afficher le fuseau horaire local. Pour ce faire, recherchez le fichier de zone de votre pays / zone géographique dans le /usr/share/zoneinforépertoire et créez un lien symbolique de celui-ci vers le /etc/localtimerépertoire. Par exemple, si vous êtes dans la partie orientale des États-Unis, vous allez créer le lien symbolique en utilisant:

sudo ln -sf /usr/share/zoneinfo/US/Eastern /etc/localtime

Ensuite, vérifiez que l'heure est maintenant indiquée en heure locale en exécutant la datecommande. La sortie doit être similaire à:

Tue Jun 16 15:35:34 EDT 2015

L' EDT dans la sortie confirme qu'il s'agit de l'heure locale.

Étape 4: activer le pare-feu IPTables

Par défaut, l'application de pare-feu active sur un serveur CentOS 7 nouvellement activé est FirewallD. Bien qu'il soit un bon remplacement pour IPTables, de nombreuses applications de sécurité ne sont toujours pas prises en charge. Donc, si vous utilisez l'une de ces applications, comme OSSEC HIDS, il est préférable de désactiver / désinstaller FirewallD.

Commençons par désactiver / désinstaller FirewallD:

sudo yum remove -y firewalld

Maintenant, installons / activons IPTables.

sudo yum install -y iptables-services
sudo systemctl start iptables

Configurez IPTables pour qu'il démarre automatiquement au démarrage.

sudo systemctl enable iptables

IPTables sur CentOS 7 est livré avec un ensemble de règles par défaut, que vous pouvez afficher avec la commande suivante.

sudo iptables -L -n

La sortie ressemblera à:

Chain INPUT (policy ACCEPT)
target     prot opt source               destination         
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0            state RELATED,ESTABLISHED
ACCEPT     icmp --  0.0.0.0/0            0.0.0.0/0           
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            state NEW tcp dpt:22
REJECT     all  --  0.0.0.0/0            0.0.0.0/0            reject-with icmp-host-prohibited

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         
REJECT     all  --  0.0.0.0/0            0.0.0.0/0            reject-with icmp-host-prohibited

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

Vous pouvez voir que l'une de ces règles autorise le trafic SSH, donc votre session SSH est sécurisée.

Étant donné que ces règles sont des règles d'exécution et seront perdues au redémarrage, il est préférable de les enregistrer dans un fichier en utilisant:

sudo /usr/libexec/iptables/iptables.init save

Cette commande enregistrera les règles dans le /etc/sysconfig/iptablesfichier. Vous pouvez modifier les règles à tout moment en modifiant ce fichier avec votre éditeur de texte préféré.

Étape 5: autoriser du trafic supplémentaire via le pare-feu

Étant donné que vous allez très probablement utiliser votre nouveau serveur pour héberger certains sites Web à un moment donné, vous devrez ajouter de nouvelles règles au pare-feu pour autoriser le trafic HTTP et HTTPS. Pour ce faire, ouvrez le fichier IPTables:

sudo nano /etc/sysconfig/iptables

Juste après ou avant la règle SSH, ajoutez les règles pour le trafic HTTP (port 80) et HTTPS (port 443), afin que cette partie du fichier apparaisse comme indiqué dans le bloc de code ci-dessous.

-A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 80 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 443 -j ACCEPT
-A INPUT -j REJECT --reject-with icmp-host-prohibited

Enregistrez et fermez le fichier, puis rechargez IPTables.

sudo systemctl reload iptables

Une fois l'étape ci-dessus terminée, votre serveur CentOS 7 devrait maintenant être raisonnablement sécurisé et prêt à être utilisé en production.

Laisser un commentaire

Comment générer des clés SSH?

Comment générer des clés SSH?

Découvrez comment générer une clé SSH pour accéder à votre serveur sans mot de passe. Suivez nos étapes faciles à comprendre pour créer et ajouter des clés SSH.

Créer un serveur de messagerie avec hMailServer sous Windows

Créer un serveur de messagerie avec hMailServer sous Windows

Découvrez comment créer un serveur de messagerie avec hMailServer sous Windows pour recevoir des e-mails facilement.

LIA peut-elle lutter contre un nombre croissant dattaques de ransomware

LIA peut-elle lutter contre un nombre croissant dattaques de ransomware

Les attaques de ransomware sont en augmentation, mais l'IA peut-elle aider à lutter contre le dernier virus informatique ? L'IA est-elle la réponse ? Lisez ici, sachez que l'IA est un boone ou un fléau

ReactOS : est-ce lavenir de Windows ?

ReactOS : est-ce lavenir de Windows ?

ReactOS, un système d'exploitation open source et gratuit est ici avec la dernière version. Cela peut-il suffire aux besoins des utilisateurs de Windows modernes et faire tomber Microsoft ? Découvrons-en plus sur cet ancien style, mais une expérience de système d'exploitation plus récente.

Restez connecté via lapplication de bureau WhatsApp 24 * 7

Restez connecté via lapplication de bureau WhatsApp 24 * 7

Whatsapp a finalement lancé l'application de bureau pour les utilisateurs Mac et Windows. Vous pouvez désormais accéder facilement à Whatsapp depuis Windows ou Mac. Disponible pour Windows 8+ et Mac OS 10.9+

Comment lIA peut-elle faire passer lautomatisation des processus au niveau supérieur ?

Comment lIA peut-elle faire passer lautomatisation des processus au niveau supérieur ?

Lisez ceci pour savoir comment l'intelligence artificielle devient populaire parmi les petites entreprises et comment elle augmente les probabilités de les faire grandir et de donner à leurs concurrents un avantage.

La mise à jour du supplément macOS Catalina 10.15.4 cause plus de problèmes quelle nen résout

La mise à jour du supplément macOS Catalina 10.15.4 cause plus de problèmes quelle nen résout

Récemment, Apple a publié macOS Catalina 10.15.4, une mise à jour supplémentaire pour résoudre les problèmes, mais il semble que la mise à jour cause davantage de problèmes, ce qui entraîne le bridage des machines mac. Lisez cet article pour en savoir plus

13 outils commerciaux dextraction de données de Big Data

13 outils commerciaux dextraction de données de Big Data

13 outils commerciaux d'extraction de données de Big Data

Quest-ce quun système de fichiers de journalisation et comment fonctionne-t-il ?

Quest-ce quun système de fichiers de journalisation et comment fonctionne-t-il ?

Notre ordinateur stocke toutes les données d'une manière organisée connue sous le nom de système de fichiers de journalisation. C'est une méthode efficace qui permet à l'ordinateur de rechercher et d'afficher des fichiers dès que vous appuyez sur la recherche.https://wethegeek.com/?p=94116&preview=true

Singularité technologique : un futur lointain de la civilisation humaine ?

Singularité technologique : un futur lointain de la civilisation humaine ?

Alors que la science évolue à un rythme rapide, prenant le pas sur une grande partie de nos efforts, les risques de nous soumettre à une Singularité inexplicable augmentent également. Lisez, ce que la singularité pourrait signifier pour nous.