Een nieuw geactiveerde CentOS 7-server moet worden aangepast voordat deze als productiesysteem in gebruik kan worden genomen. In dit artikel worden de belangrijkste aanpassingen die u moet maken op een gemakkelijk te begrijpen manier gegeven.
Een nieuw geactiveerde CentOS 7-server, bij voorkeur ingesteld met SSH-sleutels. Log in op de server als root.
ssh -l root server-ip-address
Om veiligheidsredenen is het niet raadzaam om dagelijkse computertaken uit te voeren met behulp van het root-account. In plaats daarvan wordt aanbevolen om een standaard gebruikersaccount aan te maken dat zal worden gebruikt sudoom beheerdersrechten te verkrijgen. Stel voor deze zelfstudie dat we een gebruiker met de naam Joe maken . Typ het volgende om het gebruikersaccount aan te maken:
adduser joe
Stel een wachtwoord in voor de nieuwe gebruiker. U wordt gevraagd een wachtwoord in te voeren en te bevestigen.
passwd joe
Voeg de nieuwe gebruiker toe aan de wielgroep zodat deze rootrechten kan aannemen met sudo.
gpasswd -a joe wheel
Open ten slotte een andere terminal op uw lokale computer en gebruik de volgende opdracht om uw SSH-sleutel toe te voegen aan de homedirectory van de nieuwe gebruiker op de externe server. U wordt gevraagd om te verifiëren voordat de SSH-sleutel wordt geïnstalleerd.
ssh-copy-id joe@server-ip-address
Nadat de sleutel is geïnstalleerd, meldt u zich bij de server aan met het nieuwe gebruikersaccount.
ssh -l joe server-ip-address
Als het inloggen is gelukt, kunt u de andere terminal sluiten. Vanaf nu worden alle commando's voorafgegaan door sudo.
Aangezien u zich nu als standaardgebruiker kunt aanmelden met SSH-sleutels, is het een goede beveiligingspraktijk om SSH zo te configureren dat root-aanmelding en wachtwoordverificatie beide niet zijn toegestaan. Beide instellingen moeten worden geconfigureerd in het configuratiebestand van de SSH-daemon. Dus open het met nano.
sudo nano /etc/ssh/sshd_config
Zoek naar de regel PermitRootLogin , verwijder commentaar en stel de waarde in op nee .
PermitRootLogin no
Doe hetzelfde voor de PasswordAuthenticationregel, die al moet worden verwijderd:
PasswordAuthentication no
Sla het bestand op en sluit het. Laad SSH opnieuw om de nieuwe instellingen toe te passen.
sudo systemctl reload sshd
Standaard wordt de tijd op de server gegeven in UTC. U kunt deze het beste configureren om de lokale tijdzone weer te geven. Om dat te bereiken, zoekt u het zonebestand van uw land / geografische gebied in de /usr/share/zoneinfodirectory en maakt u er een symbolische link naar de /etc/localtimedirectory. Als u zich bijvoorbeeld in het oostelijke deel van de VS bevindt, maakt u de symbolische link met behulp van:
sudo ln -sf /usr/share/zoneinfo/US/Eastern /etc/localtime
Controleer daarna of de tijd nu in lokale tijd wordt gegeven door de dateopdracht uit te voeren. De uitvoer moet er ongeveer als volgt uitzien:
Tue Jun 16 15:35:34 EDT 2015
De EDT in de output bevestigt dat het lokale tijd is.
Standaard is de actieve firewalltoepassing op een nieuw geactiveerde CentOS 7-server FirewallD. Hoewel het een goede vervanging is voor IPTables, hebben veel beveiligingstoepassingen er nog steeds geen ondersteuning voor. Dus als u een van die applicaties gebruikt, zoals OSSEC HIDS, kunt u FirewallD het beste uitschakelen / verwijderen.
Laten we beginnen met het uitschakelen / verwijderen van FirewallD:
sudo yum remove -y firewalld
Laten we nu IPTables installeren / activeren.
sudo yum install -y iptables-services
sudo systemctl start iptables
Configureer IPTables om automatisch te starten tijdens het opstarten.
sudo systemctl enable iptables
IPTables op CentOS 7 wordt geleverd met een standaardset regels, die u kunt bekijken met de volgende opdracht.
sudo iptables -L -n
De uitvoer lijkt op:
Chain INPUT (policy ACCEPT)
target prot opt source destination
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:22
REJECT all -- 0.0.0.0/0 0.0.0.0/0 reject-with icmp-host-prohibited
Chain FORWARD (policy ACCEPT)
target prot opt source destination
REJECT all -- 0.0.0.0/0 0.0.0.0/0 reject-with icmp-host-prohibited
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
Je kunt zien dat een van die regels SSH-verkeer toestaat, dus je SSH-sessie is veilig.
Omdat deze regels runtime-regels zijn en bij het opnieuw opstarten verloren gaan, kunt u ze het beste opslaan in een bestand met:
sudo /usr/libexec/iptables/iptables.init save
Die opdracht slaat de regels op in het /etc/sysconfig/iptablesbestand. U kunt de regels op elk moment wijzigen door dit bestand te wijzigen met uw favoriete teksteditor.
Aangezien u op een bepaald moment uw nieuwe server waarschijnlijk zult gebruiken om bepaalde websites te hosten, moet u nieuwe regels aan de firewall toevoegen om HTTP- en HTTPS-verkeer toe te staan. Open hiervoor het IPTables-bestand:
sudo nano /etc/sysconfig/iptables
Voeg vlak voor of voor de SSH-regel de regels toe voor HTTP (poort 80) en HTTPS (poort 443) verkeer, zodat dat deel van het bestand wordt weergegeven zoals weergegeven in het onderstaande codeblok.
-A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 80 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 443 -j ACCEPT
-A INPUT -j REJECT --reject-with icmp-host-prohibited
Sla het bestand op en sluit het en laad vervolgens IPTables opnieuw.
sudo systemctl reload iptables
Nu de bovenstaande stap is voltooid, moet uw CentOS 7-server nu redelijk veilig zijn en klaar voor gebruik in productie.
Gebruikt u een ander systeem? Introductie CyberPanel is een van de eerste bedieningspanelen op de markt die zowel open source is als OpenLiteSpeed gebruikt. Wat thi
Introductie Sensu is een gratis en open source monitoringoplossing die kan worden gebruikt om server, applicatie en verschillende systeemservices te monitoren. Sensu i
Het gebruik van een sudo-gebruiker om toegang te krijgen tot een server en opdrachten uit te voeren op rootniveau is een veel voorkomende praktijk onder Linux en Unix-systeembeheerder. Het gebruik van een sud
Gebruikt u een ander systeem? RTMP is geweldig voor het weergeven van live inhoud. Wanneer RTMP is gekoppeld aan FFmpeg, kunnen streams worden omgezet in verschillende kwaliteiten. Vultr ik
TaskBoard is een gratis en open source webbeheer voor tijdbeheer. Geïnspireerd door Kanban, kan TaskBoard u helpen bij het bijhouden van dingen die moeten worden gedaan in een
Gebruikt u een ander systeem? Gradle is een gratis en open source toolset voor het automatiseren van builds, gebaseerd op de concepten van Apache Ant en Apache Maven. Gradle biedt
Gebruikt u een ander systeem? In deze handleiding zullen we zien hoe u een FTP-server (ProFTPd) configureert om bestanden over te zetten tussen uw pc en uw server.
Gebruikt u een ander systeem? Netdata is een rijzende ster op het gebied van realtime monitoring van systeemstatistieken. Vergeleken met andere tools van dezelfde soort, Netdata:
Gebruikt u een ander systeem? Apache Cassandra is een gratis en open source NoSQL-databasebeheersysteem dat is ontworpen om schaalbaarheid te bieden
In deze tutorial leer je goed hoe je een Just Cause 2 multiplayer-server opzet. Vereisten Zorg ervoor dat het systeem volledig is bijgewerkt voordat we beginnen
Gebruikt u een ander systeem? In deze tutorial leg ik uit hoe je een Starbound-server instelt op CentOS 7. Vereisten Je moet dit spel op je hebben
ZNC is een gratis en open-source IRC-uitsmijter die permanent verbonden blijft met een netwerk, zodat klanten berichten kunnen ontvangen die worden verzonden terwijl ze offline zijn. Thi
Django is een populair Python-framework voor het schrijven van webapplicaties. Met Django kun je sneller applicaties bouwen, zonder het wiel opnieuw uit te vinden. Als je wilt
MantisBT, of Mantis Bug Tracker, is een open source issue tracker geschreven in PHP. MantisBT is uitgebalanceerd tussen gebruiksgemak en functionaliteit, mits
Gebruikt u een ander systeem? Elgg is een open source engine voor sociaal netwerken waarmee sociale omgevingen kunnen worden gecreëerd, zoals sociale campusnetwerken
Froxlor is een open source, gratis, lichtgewicht en toch krachtig serverbeheerpaneel dat geweldig is voor het opzetten en beheren van webhostingservices. Thi
Gebruikt u een ander systeem? Alfresco Community Edition is een open source-versie van de Alfresco Content Services. Het is geschreven in Java en gebruikt PostgreSQL t
Vtiger CRM is een populaire applicatie voor klantrelatiebeheer die bedrijven kan helpen hun verkoop te laten groeien, klantenservice te bieden en de winst te vergroten. ik
Wat je nodig hebt Een Vultr VPS met minimaal 1 GB RAM. SSH-toegang (met root- / beheerdersrechten). Stap 1: BungeeCord installeren Eerste dingen eerst
MaraDNS is een lichtgewicht maar robuust open source DNS-serverprogramma. Vergeleken met andere applicaties van dezelfde soort, zoals ISC BIND, PowerDNS en djbdns
Ransomware-aanvallen nemen toe, maar kan AI helpen het nieuwste computervirus het hoofd te bieden? Is AI het antwoord? Lees hier weten is AI boezem of vloek
ReactOS, een open source en gratis besturingssysteem is hier met de nieuwste versie. Kan het voldoen aan de behoeften van moderne Windows-gebruikers en Microsoft uitschakelen? Laten we meer te weten komen over deze oude stijl, maar een nieuwere OS-ervaring.
WhatsApp heeft eindelijk de Desktop-app voor Mac- en Windows-gebruikers gelanceerd. Nu heb je eenvoudig toegang tot WhatsApp vanuit Windows of Mac. Beschikbaar voor Windows 8+ en Mac OS 10.9+
Lees dit om te weten hoe kunstmatige intelligentie populair wordt onder de kleinschalige bedrijven en hoe het de kansen vergroot om ze te laten groeien en hun concurrenten voorsprong te geven.
Onlangs heeft Apple macOS Catalina 10.15.4 uitgebracht, een aanvullende update om problemen op te lossen, maar het lijkt erop dat de update meer problemen veroorzaakt die ertoe leiden dat mac-machines worden gemetseld. Lees dit artikel voor meer informatie
13 Commerciële data-extractietools voor big data
Onze computer slaat alle gegevens op een georganiseerde manier op, het zogenaamde Journaling-bestandssysteem. Het is een efficiënte methode waarmee de computer bestanden kan zoeken en weergeven zodra u op zoeken drukt.https://wethegeek.com/?p=94116&preview=true
Naarmate de wetenschap zich snel ontwikkelt en veel van onze inspanningen overneemt, nemen ook de risico's toe om onszelf te onderwerpen aan een onverklaarbare singulariteit. Lees, wat singulariteit voor ons kan betekenen.
Een inzicht in 26 Big Data-analysetechnieken: deel 1
AI in de zorg heeft de afgelopen decennia grote sprongen gemaakt. De toekomst van AI in de gezondheidszorg groeit dus nog steeds met de dag.
