Configuração inicial de um servidor CentOS 7

• Introdução
• Pré-requisitos
• Etapa 1: criar uma conta de usuário padrão
• Etapa 2: Proibir autenticação de login e senha raiz
• Etapa 3: configurar o fuso horário
• Etapa 4: ativar o firewall do IPTables
• Etapa 5: Permitir tráfego adicional através do firewall

Introdução

Um servidor CentOS 7 recém-ativado precisa ser personalizado antes de poder ser utilizado como sistema de produção. Neste artigo, as personalizações mais importantes que você precisará fazer são fornecidas de maneira fácil de entender.

Pré-requisitos

Um servidor CentOS 7 recém-ativado, de preferência configurado com chaves SSH. Efetue login no servidor como root.

ssh -l root server-ip-address

Etapa 1: criar uma conta de usuário padrão

Por motivos de segurança, não é aconselhável executar tarefas diárias de computação usando a conta raiz. Em vez disso, é recomendável criar uma conta de usuário padrão que será usada sudopara obter privilégios administrativos. Para este tutorial, suponha que estamos criando um usuário chamado joe . Para criar a conta de usuário, digite:

adduser joe

Defina uma senha para o novo usuário. Você será solicitado a inserir e confirmar uma senha.

passwd joe

Adicione o novo usuário ao grupo de roda para que ele possa assumir privilégios de root usando sudo.

gpasswd -a joe wheel

Por fim, abra outro terminal na sua máquina local e use o seguinte comando para adicionar sua chave SSH ao diretório inicial do novo usuário no servidor remoto. Você será solicitado a se autenticar antes da instalação da chave SSH.

ssh-copy-id joe@server-ip-address

Após a instalação da chave, efetue login no servidor usando a nova conta de usuário.

ssh -l joe server-ip-address

Se o login for bem-sucedido, você pode fechar o outro terminal. A partir de agora, todos os comandos serão precedidos por sudo.

Etapa 2: Proibir autenticação de login e senha raiz

Como agora você pode efetuar login como um usuário padrão usando chaves SSH, uma boa prática de segurança é configurar o SSH para que o login raiz e a autenticação por senha não sejam permitidos. Ambas as configurações devem ser definidas no arquivo de configuração do daemon SSH. Então, abra-o usando nano.

sudo nano /etc/ssh/sshd_config

Procure a linha PermitRootLogin , descomente-a e defina o valor como no .

PermitRootLogin     no

Faça o mesmo para a PasswordAuthenticationlinha, que já deve ser descomentada:

PasswordAuthentication      no

Salve e feche o arquivo. Para aplicar as novas configurações, recarregue o SSH.

sudo systemctl reload sshd

Etapa 3: configurar o fuso horário

Por padrão, a hora no servidor é fornecida em UTC. É melhor configurá-lo para mostrar o fuso horário local. Para isso, localize o arquivo de zona do seu país / área geográfica no /usr/share/zoneinfodiretório e crie um link simbólico para o /etc/localtimediretório. Por exemplo, se você estiver na parte leste dos EUA, criará o link simbólico usando:

sudo ln -sf /usr/share/zoneinfo/US/Eastern /etc/localtime

Posteriormente, verifique se a hora agora é dada no horário local executando o datecomando A saída deve ser semelhante a:

Tue Jun 16 15:35:34 EDT 2015

O EDT na saída confirma que é hora local.

Etapa 4: ativar o firewall do IPTables

Por padrão, o aplicativo de firewall ativo em um servidor CentOS 7 recém-ativado é o FirewallD. Embora seja um bom substituto para o IPTables, muitos aplicativos de segurança ainda não têm suporte para ele. Portanto, se você estiver usando algum desses aplicativos, como o OSSEC HIDS, é melhor desativar / desinstalar o FirewallD.

Vamos começar desativando / desinstalando o FirewallD:

sudo yum remove -y firewalld

Agora, vamos instalar / ativar o IPTables.

sudo yum install -y iptables-services
sudo systemctl start iptables

Configure o IPTables para iniciar automaticamente no momento da inicialização.

sudo systemctl enable iptables

O IPTables no CentOS 7 vem com um conjunto de regras padrão, que você pode visualizar com o seguinte comando.

sudo iptables -L -n

A saída será semelhante a:

Chain INPUT (policy ACCEPT)
target     prot opt source               destination         
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0            state RELATED,ESTABLISHED
ACCEPT     icmp --  0.0.0.0/0            0.0.0.0/0           
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            state NEW tcp dpt:22
REJECT     all  --  0.0.0.0/0            0.0.0.0/0            reject-with icmp-host-prohibited

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         
REJECT     all  --  0.0.0.0/0            0.0.0.0/0            reject-with icmp-host-prohibited

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

Você pode ver que uma dessas regras permite o tráfego SSH; portanto, sua sessão SSH é segura.

Como essas regras são regras de tempo de execução e serão perdidas na reinicialização, é melhor salvá-las em um arquivo usando:

sudo /usr/libexec/iptables/iptables.init save

Esse comando salvará as regras no /etc/sysconfig/iptablesarquivo. Você pode editar as regras a qualquer momento, alterando este arquivo com seu editor de texto favorito.

Etapa 5: Permitir tráfego adicional através do firewall

Como você provavelmente usará seu novo servidor para hospedar alguns sites em algum momento, precisará adicionar novas regras ao firewall para permitir o tráfego HTTP e HTTPS. Para fazer isso, abra o arquivo IPTables:

sudo nano /etc/sysconfig/iptables

Logo após ou antes da regra SSH, adicione as regras para o tráfego HTTP (porta 80) e HTTPS (porta 443), para que a parte do arquivo apareça como mostrado no bloco de código abaixo.

-A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 80 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 443 -j ACCEPT
-A INPUT -j REJECT --reject-with icmp-host-prohibited

Salve e feche o arquivo e recarregue o IPTables.

sudo systemctl reload iptables

Com a etapa acima concluída, seu servidor CentOS 7 deve estar razoavelmente seguro e pronto para uso na produção.