एक CentOS 7 सर्वर का प्रारंभिक सेटअप

• परिचय
• आवश्यक शर्तें
• चरण 1: एक मानक उपयोगकर्ता खाता बनाएँ
• चरण 2: रूट लॉगिन और पासवर्ड प्रमाणीकरण को अस्वीकार करें
• चरण 3: समय क्षेत्र कॉन्फ़िगर करें
• चरण 4: IPTables फ़ायरवॉल को सक्षम करें
• चरण 5: फ़ायरवॉल के माध्यम से अतिरिक्त ट्रैफ़िक की अनुमति दें

परिचय

उत्पादन प्रणाली के रूप में उपयोग में लाने से पहले एक नए सक्रिय CentOS 7 सर्वर को अनुकूलित करना होगा। इस लेख में, आपके द्वारा किए जाने वाले सबसे महत्वपूर्ण अनुकूलन आसान तरीके से दिए गए हैं।

आवश्यक शर्तें

एक नया सक्रिय CentOS 7 सर्वर, अधिमानतः SSH कुंजी के साथ सेटअप। सर्वर में रूट के रूप में लॉग इन करें।

ssh -l root server-ip-address

चरण 1: एक मानक उपयोगकर्ता खाता बनाएँ

सुरक्षा कारणों से, रूट खाते का उपयोग करके दैनिक कंप्यूटिंग कार्यों का प्रदर्शन करना उचित नहीं है। इसके बजाय, एक मानक उपयोगकर्ता खाता बनाने की सिफारिश की जाती है जो sudoप्रशासनिक विशेषाधिकार प्राप्त करने के लिए उपयोग किया जाएगा । इस ट्यूटोरियल के लिए, मान लें कि हम joe नाम का एक उपयोगकर्ता बना रहे हैं । उपयोगकर्ता खाता बनाने के लिए, टाइप करें:

adduser joe

नए उपयोगकर्ता के लिए एक पासवर्ड सेट करें। आपको इनपुट करने और पासवर्ड की पुष्टि करने के लिए प्रेरित किया जाएगा।

passwd joe

नए उपयोगकर्ता को व्हील ग्रुप में जोड़ें ताकि वह रूट विशेषाधिकारों का उपयोग कर मान सके sudo।

gpasswd -a joe wheel

अंत में, अपने स्थानीय मशीन पर एक और टर्मिनल खोलें और दूरस्थ सर्वर पर नए उपयोगकर्ता के होम डायरेक्टरी में अपनी SSH कुंजी जोड़ने के लिए निम्न कमांड का उपयोग करें। SSH कुंजी स्थापित होने से पहले आपको प्रमाणित करने के लिए कहा जाएगा।

ssh-copy-id joe@server-ip-address

कुंजी स्थापित होने के बाद, नए उपयोगकर्ता खाते का उपयोग करके सर्वर में प्रवेश करें।

ssh -l joe server-ip-address

यदि लॉगिन सफल होता है, तो आप दूसरे टर्मिनल को बंद कर सकते हैं। अब से, सभी आदेशों को पूर्ववर्ती किया जाएगा sudo।

चरण 2: रूट लॉगिन और पासवर्ड प्रमाणीकरण को अस्वीकार करें

चूंकि अब आप SSH कुंजियों का उपयोग करते हुए एक मानक उपयोगकर्ता के रूप में लॉग इन कर सकते हैं, इसलिए SSH को कॉन्फ़िगर करने के लिए एक अच्छा सुरक्षा अभ्यास है ताकि रूट लॉगिन और पासवर्ड प्रमाणीकरण दोनों ही अस्वीकृत हो जाएं। दोनों सेटिंग्स को एसएसएच डेमन की कॉन्फ़िगरेशन फ़ाइल में कॉन्फ़िगर करना होगा। इसलिए, इसका उपयोग करके खोलें nano।

sudo nano /etc/ssh/sshd_config

के लिए देखो PermitRootLogin लाइन, यह टिप्पणी हटाएं और करने के लिए मान सेट नहीं ।

PermitRootLogin     no

PasswordAuthenticationलाइन के लिए वही करें , जो पहले से ही अनलॉक्ड होना चाहिए:

PasswordAuthentication      no

फ़��इल को सहेजें और बंद करें। नई सेटिंग्स लागू करने के लिए, SSH को फिर से लोड करें।

sudo systemctl reload sshd

चरण 3: समय क्षेत्र कॉन्फ़िगर करें

डिफ़ॉल्ट रूप से, सर्वर पर समय UTC में दिया गया है। स्थानीय समय क्षेत्र दिखाने के लिए इसे कॉन्फ़िगर करना सबसे अच्छा है। इसे पूरा करने के लिए, /usr/share/zoneinfoनिर्देशिका में अपने देश / भौगोलिक क्षेत्र की ज़ोन फ़ाइल का पता लगाएँ और निर्देशिका से एक प्रतीकात्मक लिंक बनाएँ /etc/localtime। उदाहरण के लिए, यदि आप अमेरिका के पूर्वी हिस्से में हैं, तो आप प्रतीकात्मक लिंक का उपयोग करके बनाएंगे:

sudo ln -sf /usr/share/zoneinfo/US/Eastern /etc/localtime

बाद में, सत्यापित करें कि समय अब ​​स्थानीय समय में dateकमांड चलाकर दिया गया है। आउटपुट के समान होना चाहिए:

Tue Jun 16 15:35:34 EDT 2015

EDT उत्पादन की पुष्टि में यह स्थानीयसमय है कि।

चरण 4: IPTables फ़ायरवॉल को सक्षम करें

डिफ़ॉल्ट रूप से, एक नए सक्रिय CentOS 7 सर्वर पर सक्रिय फ़ायरवॉल एप्लिकेशन फ़ायरवॉल है। हालाँकि यह IPTables के लिए एक अच्छा प्रतिस्थापन है, कई सुरक्षा अनुप्रयोगों में अभी भी इसके लिए समर्थन नहीं है। इसलिए यदि आप OSSEC HIDS जैसे किसी भी एप्लिकेशन का उपयोग कर रहे हैं, तो फ़ायरवॉल को अक्षम / अनइंस्टॉल करना सबसे अच्छा है।

आइए फ़ायरवॉलडी को अक्षम / अनइंस्टॉल करके शुरू करें:

sudo yum remove -y firewalld

अब, IPTables को स्थापित / सक्रिय करते हैं।

sudo yum install -y iptables-services
sudo systemctl start iptables

बूट समय पर स्वचालित रूप से शुरू करने के लिए IPTables कॉन्फ़िगर करें।

sudo systemctl enable iptables

CentOS 7 पर IPTables नियमों के एक डिफ़ॉल्ट सेट के साथ आता है, जिसे आप निम्नलिखित कमांड के साथ देख सकते हैं।

sudo iptables -L -n

आउटपुट जैसा होगा:

Chain INPUT (policy ACCEPT)
target     prot opt source               destination         
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0            state RELATED,ESTABLISHED
ACCEPT     icmp --  0.0.0.0/0            0.0.0.0/0           
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            state NEW tcp dpt:22
REJECT     all  --  0.0.0.0/0            0.0.0.0/0            reject-with icmp-host-prohibited

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         
REJECT     all  --  0.0.0.0/0            0.0.0.0/0            reject-with icmp-host-prohibited

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

आप देख सकते हैं कि उन नियमों में से एक एसएसएच यातायात की अनुमति देता है, इसलिए आपका एसएसएच सत्र सुरक्षित है।

क्योंकि वे नियम रनटाइम नियम हैं और रिबूट पर खो जाएंगे, इसका उपयोग करके उन्हें फ़ाइल में सहेजना सबसे अच्छा है:

sudo /usr/libexec/iptables/iptables.init save

वह कमांड /etc/sysconfig/iptablesफाइल में नियमों को बचाएगा । आप अपने पसंदीदा पाठ संपादक के साथ इस फ़ाइल को बदलकर कभी भी नियमों को संपादित कर सकते हैं।

चरण 5: फ़ायरवॉल के माध्यम से अतिरिक्त ट्रैफ़िक की अनुमति दें

चूंकि आप किसी बिंदु पर कुछ वेबसाइटों को होस्ट करने के लिए अपने नए सर्वर का उपयोग करने जा रहे हैं, इसलिए आपको HTTP और HTTPS ट्रैफ़िक की अनुमति देने के लिए फ़ायरवॉल में नए नियम जोड़ने होंगे। इसे पूरा करने के लिए, IPTables फ़ाइल खोलें:

sudo nano /etc/sysconfig/iptables

SSH नियम के ठीक पहले या उससे पहले, HTTP (पोर्ट 80) और HTTPS (पोर्ट 443) ट्रैफ़िक के लिए नियम जोड़ें, ताकि फ़ाइल का वह हिस्सा नीचे दिए गए कोड ब्लॉक में दिखाया गया हो।

-A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 80 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 443 -j ACCEPT
-A INPUT -j REJECT --reject-with icmp-host-prohibited

फ़ाइल सहेजें और बंद करें, फिर IPTables पुनः लोड करें।

sudo systemctl reload iptables

उपरोक्त चरण के पूरा होने के साथ, आपका CentOS 7 सर्वर अब यथोचित सुरक्षित होना चाहिए और उत्पादन में उपयोग के लिए तैयार होना चाहिए।