Начальная настройка сервера CentOS 7

• Вступление
• Предпосылки
• Шаг 1: Создайте стандартную учетную запись пользователя
• Шаг 2: Запретить Root-логин и пароль аутентификации
• Шаг 3: Настройте часовой пояс
• Шаг 4. Включите брандмауэр IPTables
• Шаг 5: разрешить дополнительный трафик через брандмауэр

Вступление

Вновь активированный сервер CentOS 7 необходимо настроить, прежде чем его можно будет использовать в качестве производственной системы. В этой статье наиболее важные настройки, которые вам нужно сделать, даны в простой для понимания форме.

Предпосылки

Недавно активированный сервер CentOS 7, желательно с ключами SSH. Войдите на сервер как root.

ssh -l root server-ip-address

Шаг 1: Создайте стандартную учетную запись пользователя

По соображениям безопасности не рекомендуется выполнять ежедневные вычислительные задачи с использованием учетной записи root. Вместо этого рекомендуется создать стандартную учетную запись пользователя, которая будет использоваться sudoдля получения прав администратора. Для этого урока предположим, что мы создаем пользователя с именем joe . Чтобы создать учетную запись пользователя, введите:

adduser joe

Установите пароль для нового пользователя. Вам будет предложено ввести и подтвердить пароль.

passwd joe

Добавьте нового пользователя в группу wheel, чтобы он мог использовать привилегии root sudo.

gpasswd -a joe wheel

Наконец, откройте другой терминал на вашем локальном компьютере и используйте следующую команду, чтобы добавить свой ключ SSH в домашний каталог нового пользователя на удаленном сервере. Вам будет предложено пройти аутентификацию перед установкой ключа SSH.

ssh-copy-id joe@server-ip-address

После установки ключа войдите на сервер, используя новую учетную запись пользователя.

ssh -l joe server-ip-address

Если вход выполнен успешно, вы можете закрыть другой терминал. Отныне всем командам будет предшествовать sudo.

Шаг 2: Запретить Root-логин и пароль аутентификации

Поскольку теперь вы можете войти в систему как обычный пользователь, используя ключи SSH, хорошей практикой безопасности является настройка SSH таким образом, чтобы обе учетные записи root и пароль не разрешались. Оба параметра должны быть настроены в файле конфигурации демона SSH. Итак, откройте его, используя nano.

sudo nano /etc/ssh/sshd_config

Найдите строку PermitRootLogin , раскомментируйте ее и установите значение no .

PermitRootLogin     no

Сделайте то же самое для PasswordAuthenticationстроки, которая уже должна быть раскомментирована:

PasswordAuthentication      no

Сохраните и закройте файл. Чтобы применить новые настройки, перезагрузите SSH.

sudo systemctl reload sshd

Шаг 3: Настройте часовой пояс

По умолчанию время на сервере указывается в UTC. Лучше всего настроить его, чтобы показать местный часовой пояс. Для этого найдите в каталоге файл зоны вашей страны / географического региона /usr/share/zoneinfoи создайте из него символическую ссылку на /etc/localtimeкаталог. Например, если вы находитесь в восточной части США, вы создадите символическую ссылку, используя:

sudo ln -sf /usr/share/zoneinfo/US/Eastern /etc/localtime

После этого убедитесь, что время указано в местном времени, выполнив dateкоманду. Вывод должен быть похож на:

Tue Jun 16 15:35:34 EDT 2015

EDT в выходных подтверждает , что это LocalTime.

Шаг 4. Включите брандмауэр IPTables

По умолчанию активным приложением брандмауэра на вновь активированном сервере CentOS 7 является FirewallD. Хотя это хорошая замена для IPTables, многие приложения безопасности все еще не поддерживают ее. Поэтому, если вы будете использовать любое из этих приложений, например OSSEC HIDS, лучше всего отключить / удалить FirewallD.

Давайте начнем с отключения / удаления FirewallD:

sudo yum remove -y firewalld

Теперь давайте установим / активируем IPTables.

sudo yum install -y iptables-services
sudo systemctl start iptables

Настройте IPTables для автоматического запуска во время загрузки.

sudo systemctl enable iptables

IPTables в CentOS 7 поставляется с набором правил по умолчанию, который вы можете просмотреть с помощью следующей команды.

sudo iptables -L -n

Вывод будет похож на:

Chain INPUT (policy ACCEPT)
target     prot opt source               destination         
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0            state RELATED,ESTABLISHED
ACCEPT     icmp --  0.0.0.0/0            0.0.0.0/0           
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            state NEW tcp dpt:22
REJECT     all  --  0.0.0.0/0            0.0.0.0/0            reject-with icmp-host-prohibited

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         
REJECT     all  --  0.0.0.0/0            0.0.0.0/0            reject-with icmp-host-prohibited

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

Вы мож��те видеть, что одно из этих правил разрешает трафик SSH, поэтому ваш сеанс SSH безопасен.

Поскольку эти правила являются правилами времени выполнения и будут потеряны при перезагрузке, лучше всего сохранить их в файл, используя:

sudo /usr/libexec/iptables/iptables.init save

Эта команда сохранит правила в /etc/sysconfig/iptablesфайл. Вы можете редактировать правила в любое время, изменив этот файл в своем любимом текстовом редакторе.

Шаг 5: разрешить дополнительный трафик через брандмауэр

Поскольку вы, скорее всего, в какой-то момент будете использовать свой новый сервер для размещения некоторых веб-сайтов, вам придется добавить новые правила в брандмауэр, чтобы разрешить трафик HTTP и HTTPS. Для этого откройте файл IPTables:

sudo nano /etc/sysconfig/iptables

Сразу после или перед правилом SSH добавьте правила для трафика HTTP (порт 80) и HTTPS (порт 443), чтобы эта часть файла выглядела так, как показано в блоке кода ниже.

-A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 80 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 443 -j ACCEPT
-A INPUT -j REJECT --reject-with icmp-host-prohibited

Сохраните и закройте файл, затем перезагрузите IPTables.

sudo systemctl reload iptables

После выполнения вышеуказанного шага ваш сервер CentOS 7 должен быть достаточно защищенным и готовым к использованию в производстве.