Eerste installatie van een CentOS 7-server

• Invoering
• Vereisten
• Stap 1: Maak een standaard gebruikersaccount aan
• Stap 2: rootaanmelding en wachtwoordverificatie niet toestaan
• Stap 3: Configureer de tijdzone
• Stap 4: Schakel de IPTables Firewall in
• Stap 5: sta extra verkeer toe via de firewall

Invoering

Een nieuw geactiveerde CentOS 7-server moet worden aangepast voordat deze als productiesysteem in gebruik kan worden genomen. In dit artikel worden de belangrijkste aanpassingen die u moet maken op een gemakkelijk te begrijpen manier gegeven.

Vereisten

Een nieuw geactiveerde CentOS 7-server, bij voorkeur ingesteld met SSH-sleutels. Log in op de server als root.

ssh -l root server-ip-address

Stap 1: Maak een standaard gebruikersaccount aan

Om veiligheidsredenen is het niet raadzaam om dagelijkse computertaken uit te voeren met behulp van het root-account. In plaats daarvan wordt aanbevolen om een ​​standaard gebruikersaccount aan te maken dat zal worden gebruikt sudoom beheerdersrechten te verkrijgen. Stel voor deze zelfstudie dat we een gebruiker met de naam Joe maken . Typ het volgende om het gebruikersaccount aan te maken:

adduser joe

Stel een wachtwoord in voor de nieuwe gebruiker. U wordt gevraagd een wachtwoord in te voeren en te bevestigen.

passwd joe

Voeg de nieuwe gebruiker toe aan de wielgroep zodat deze rootrechten kan aannemen met sudo.

gpasswd -a joe wheel

Open ten slotte een andere terminal op uw lokale computer en gebruik de volgende opdracht om uw SSH-sleutel toe te voegen aan de homedirectory van de nieuwe gebruiker op de externe server. U wordt gevraagd om te verifiëren voordat de SSH-sleutel wordt geïnstalleerd.

ssh-copy-id joe@server-ip-address

Nadat de sleutel is geïnstalleerd, meldt u zich bij de server aan met het nieuwe gebruikersaccount.

ssh -l joe server-ip-address

Als het inloggen is gelukt, kunt u de andere terminal sluiten. Vanaf nu worden alle commando's voorafgegaan door sudo.

Stap 2: rootaanmelding en wachtwoordverificatie niet toestaan

Aangezien u zich nu als standaardgebruiker kunt aanmelden met SSH-sleutels, is het een goede beveiligingspraktijk om SSH zo te configureren dat root-aanmelding en wachtwoordverificatie beide niet zijn toegestaan. Beide instellingen moeten worden geconfigureerd in het configuratiebestand van de SSH-daemon. Dus open het met nano.

sudo nano /etc/ssh/sshd_config

Zoek naar de regel PermitRootLogin , verwijder commentaar en stel de waarde in op nee .

PermitRootLogin     no

Doe hetzelfde voor de PasswordAuthenticationregel, die al moet worden verwijderd:

PasswordAuthentication      no

Sla het bestand op en sluit het. Laad SSH opnieuw om de nieuwe instellingen toe te passen.

sudo systemctl reload sshd

Stap 3: Configureer de tijdzone

Standaard wordt de tijd op de server gegeven in UTC. U kunt deze het beste configureren om de lokale tijdzone weer te geven. Om dat te bereiken, zoekt u het zonebestand van uw land / geografische gebied in de /usr/share/zoneinfodirectory en maakt u er een symbolische link naar de /etc/localtimedirectory. Als u zich bijvoorbeeld in het oostelijke deel van de VS bevindt, maakt u de symbolische link met behulp van:

sudo ln -sf /usr/share/zoneinfo/US/Eastern /etc/localtime

Controleer daarna of de tijd nu in lokale tijd wordt gegeven door de dateopdracht uit te voeren. De uitvoer moet er ongeveer als volgt uitzien:

Tue Jun 16 15:35:34 EDT 2015

De EDT in de output bevestigt dat het lokale tijd is.

Stap 4: Schakel de IPTables Firewall in

Standaard is de actieve firewalltoepassing op een nieuw geactiveerde CentOS 7-server FirewallD. Hoewel het een goede vervanging is voor IPTables, hebben veel beveiligingstoepassingen er nog steeds geen ondersteuning voor. Dus als u een van die applicaties gebruikt, zoals OSSEC HIDS, kunt u FirewallD het beste uitschakelen / verwijderen.

Laten we beginnen met het uitschakelen / verwijderen van FirewallD:

sudo yum remove -y firewalld

Laten we nu IPTables installeren / activeren.

sudo yum install -y iptables-services
sudo systemctl start iptables

Configureer IPTables om automatisch te starten tijdens het opstarten.

sudo systemctl enable iptables

IPTables op CentOS 7 wordt geleverd met een standaardset regels, die u kunt bekijken met de volgende opdracht.

sudo iptables -L -n

De uitvoer lijkt op:

Chain INPUT (policy ACCEPT)
target     prot opt source               destination         
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0            state RELATED,ESTABLISHED
ACCEPT     icmp --  0.0.0.0/0            0.0.0.0/0           
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            state NEW tcp dpt:22
REJECT     all  --  0.0.0.0/0            0.0.0.0/0            reject-with icmp-host-prohibited

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         
REJECT     all  --  0.0.0.0/0            0.0.0.0/0            reject-with icmp-host-prohibited

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

Je kunt zien dat een van die regels SSH-verkeer toestaat, dus je SSH-sessie is veilig.

Omdat deze regels runtime-regels zijn en bij het opnieuw opstarten verloren gaan, kunt u ze het beste opslaan in een bestand met:

sudo /usr/libexec/iptables/iptables.init save

Die opdracht slaat de regels op in het /etc/sysconfig/iptablesbestand. U kunt de regels op elk moment wijzigen door dit bestand te wijzigen met uw favoriete teksteditor.

Stap 5: sta extra verkeer toe via de firewall

Aangezien u op een bepaald moment uw nieuwe server waarschijnlijk zult gebruiken om bepaalde websites te hosten, moet u nieuwe regels aan de firewall toevoegen om HTTP- en HTTPS-verkeer toe te staan. Open hiervoor het IPTables-bestand:

sudo nano /etc/sysconfig/iptables

Voeg vlak voor of voor de SSH-regel de regels toe voor HTTP (poort 80) en HTTPS (poort 443) verkeer, zodat dat deel van het bestand wordt weergegeven zoals weergegeven in het onderstaande codeblok.

-A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 80 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 443 -j ACCEPT
-A INPUT -j REJECT --reject-with icmp-host-prohibited

Sla het bestand op en sluit het en laad vervolgens IPTables opnieuw.

sudo systemctl reload iptables

Nu de bovenstaande stap is voltooid, moet uw CentOS 7-server nu redelijk veilig zijn en klaar voor gebruik in productie.