การตั้งค่าเริ่มต้นของเซิร์ฟเวอร์ CentOS 7

• บทนำ
• ข้อกำหนดเบื้องต้น
• ขั้นตอนที่ 1: สร้างบัญชีผู้ใช้มาตรฐาน
• ขั้นตอนที่ 2: ไม่อนุญาตให้รูทล็อกอินและตรวจสอบรหัสผ่าน
• ขั้นตอนที่ 3: กำหนดค่าเขตเวลา
• ขั้นตอนที่ 4: เปิดใช้งานไฟร์วอลล์ IPTables
• ขั้นตอนที่ 5: อนุญาตการรับส่งข้อมูลเพิ่มเติมผ่านไฟร์วอลล์

บทนำ

เซิร์ฟเวอร์ CentOS 7 ที่เปิดใช้งานใหม่จะต้องได้รับการปรับแต่งก่อนที่จะนำไปใช้เป็นระบบที่ใ���้งานจริง ในบทความนี้การปรับแต่งที่สำคัญที่สุดที่คุณจะต้องทำนั้นเป็นวิธีที่เข้าใจง่าย

ข้อกำหนดเบื้องต้น

เซิร์ฟเวอร์ CentOS 7 ที่เปิดใช้งานใหม่โดยเฉพาะอย่างยิ่งควรติดตั้งด้วยปุ่ม SSH ล็อกอินเข้าสู่เซิร์ฟเวอร์ในฐานะรูท

ssh -l root server-ip-address

ขั้นตอนที่ 1: สร้างบัญชีผู้ใช้มาตรฐาน

เพื่อเหตุผลด้านความปลอดภัยไม่แนะนำให้ใช้งานคอมพิวเตอร์ทุกวันโดยใช้บัญชีรูท ขอแนะนำให้สร้างบัญชีผู้ใช้มาตรฐานที่จะใช้sudoเพื่อรับสิทธิ์การดูแลระบบแทน สำหรับการกวดวิชานี้สมมติว่าเรากำลังสร้างชื่อผู้ใช้joe หากต้องการสร้างบัญชีผู้ใช้ให้พิมพ์:

adduser joe

ตั้งรหัสผ่านสำหรับผู้ใช้ใหม่ คุณจะได้รับแจ้งให้ป้อนข้อมูลและยืนยันรหัสผ่าน

passwd joe

เพิ่มผู้ใช้ใหม่ในกลุ่มล้อเพื่อให้สามารถใช้สิทธิ์การใช้sudoรูทได้

gpasswd -a joe wheel

สุดท้ายให้เปิดเทอร์มินัลอื่นบนเครื่องของคุณและใช้คำสั่งต่อไปนี้เพื่อเพิ่มคีย์ SSH ของคุณไปยังโฮมไดเร็กตอรี่ของผู้ใช้ใหม่บนเซิร์ฟเวอร์ระยะไกล คุณจะได้รับแจ้งให้ตรวจสอบสิทธิ์ก่อนติดตั้งคีย์ SSH

ssh-copy-id joe@server-ip-address

หลังจากติดตั้งรหัสแล้วให้ล็อกอินเข้าสู่เซิร์ฟเวอร์โดยใช้บัญชีผู้ใช้ใหม่

ssh -l joe server-ip-address

หากการเข้าสู่ระบบสำเร็จคุณอาจปิดเทอร์มินัลอื่น sudoจากนี้ไปคำสั่งทั้งหมดจะถูกนำหน้าด้วย

ขั้นตอนที่ 2: ไม่อนุญาตให้รูทล็อกอินและตรวจสอบรหัสผ่าน

เนื่องจากคุณสามารถเข้าสู่ระบบในฐานะผู้ใช้มาตรฐานโดยใช้คีย์ SSH แนวทางปฏิบัติด้านความปลอดภัยที่ดีคือการกำหนดค่า SSH เพื่อให้ทั้งการเข้าสู่ระบบรูทและการตรวจสอบรหัสผ่านไม่ได้รับอนุญาต การตั้งค่าทั้งสองจะต้องกำหนดค่าในไฟล์กำหนดค่าของ SSH daemon nanoดังนั้นเปิดใช้

sudo nano /etc/ssh/sshd_config

มองหาPermitRootLoginสาย uncomment มันและตั้งค่าเป็นไม่มี

PermitRootLogin     no

ทำเช่นเดียวกันกับPasswordAuthenticationบรรทัดที่ควรไม่ใส่เครื่องหมายข้อคิดเห็นไว้แล้ว:

PasswordAuthentication      no

บันทึกและปิดไฟล์ หากต้องการใช้การตั้งค่าใหม่ให้รีโหลด SSH

sudo systemctl reload sshd

ขั้นตอนที่ 3: กำหนดค่าเขตเวลา

โดยค่าเริ่มต้นเวลาบนเซิร์ฟเวอร์จะได้รับใน UTC วิธีที่ดีที่สุดคือกำหนดค่าให้แสดงเขตเวลาท้องถิ่น เพื่อให้บรรลุถึงนั้นให้ค้นหาไฟล์โซนของประเทศ / พื้นที่ทางภูมิศาสตร์ของคุณใน/usr/share/zoneinfoไดเรกทอรีและสร้างลิงค์สัญลักษณ์จากนั้นไปยัง/etc/localtimeไดเรกทอรี ตัวอย่างเช่นหากคุณอยู่ในภาคตะวันออกของสหรัฐอเมริกาคุณจะต้องสร้างลิงก์สัญลักษณ์โดยใช้:

sudo ln -sf /usr/share/zoneinfo/US/Eastern /etc/localtime

หลังจากนั้นตรวจสอบว่าเวลาได้รับในเวลาdateท้องถิ่นโดยเรียกใช้คำสั่ง ผลลัพธ์ควรคล้ายกับ:

Tue Jun 16 15:35:34 EDT 2015

EDTในการส่งออกยืนยันว่ามันเป็น localtime

ขั้นตอนที่ 4: เปิดใช้งานไฟร์วอลล์ IPTables

โดยค่าเริ่มต้นแอปพลิเคชันไฟร์วอลล์ที่ใช้งานอยู่บนเซิร์ฟเวอร์ CentOS 7 ที่เปิดใช้งานใหม่คือ FirewallD แม้ว่ามันจะเป็นการทดแทนที่ดีสำหรับ IPTables แต่แอปพลิเคชั่นความปลอดภัยจำนวนมากยังไม่ได้รับการสนับสนุน ดังนั้นหากคุณจะใช้แอปพลิเคชันเหล่านี้เช่น OSSEC HIDS วิธีที่ดีที่สุดคือปิด / ถอนการติดตั้ง FirewallD

เริ่มต้นด้วยการปิด / ถอนการติดตั้ง FirewallD:

sudo yum remove -y firewalld

ตอนนี้มาติดตั้ง / เปิดใช้งาน IPTables

sudo yum install -y iptables-services
sudo systemctl start iptables

กำหนดค่า IPTables ให้เริ่มโดยอัตโนมัติในเวลาบูต

sudo systemctl enable iptables

IPTables บน CentOS 7 มาพร้อมกับชุดของกฎเริ่มต้นซึ่งคุณสามารถดูได้ด้วยคำสั่งต่อไปนี้

sudo iptables -L -n

ผลลัพธ์จะคล้ายกับ:

Chain INPUT (policy ACCEPT)
target     prot opt source               destination         
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0            state RELATED,ESTABLISHED
ACCEPT     icmp --  0.0.0.0/0            0.0.0.0/0           
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            state NEW tcp dpt:22
REJECT     all  --  0.0.0.0/0            0.0.0.0/0            reject-with icmp-host-prohibited

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         
REJECT     all  --  0.0.0.0/0            0.0.0.0/0            reject-with icmp-host-prohibited

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

คุณจะเห็นว่าหนึ่งในกฎเหล่านั้นอนุญาตการรับส่งข้อมูล SSH ดังนั้นเซสชัน SSH ของคุณจึงปลอดภัย

เนื่องจากกฎเหล่านั้นเป็นกฎแบบรันไทม์และจะหายไปเมื่อรีบูตจึงควรบันทึกไว้ในไฟล์โดยใช้:

sudo /usr/libexec/iptables/iptables.init save

คำสั่งนั้นจะบันทึกกฎไปยัง/etc/sysconfig/iptablesไฟล์ คุณสามารถแก้ไขกฎได้ตลอดเวลาโดยการเปลี่ยนไฟล์นี้ด้วยโปรแกรมแก้ไขข้อความที่คุณชื่นชอบ

ขั้นตอนที่ 5: อนุญาตการรับส่งข้อมูลเพิ่มเติมผ่านไฟร์วอลล์

เนื่องจากคุณมักจะใช้เซิร์ฟเวอร์ใหม่ของคุณเพื่อโฮสต์เว็บไซต์บางแห่งในบางจุดคุณจะต้องเพิ่มกฎใหม่ลงในไฟร์วอลล์เพื่ออนุญาตการรับส่งข้อมูล HTTP และ HTTPS เพื่อให้บรรลุผลนั้นให้เปิดไฟล์ IPTables:

sudo nano /etc/sysconfig/iptables

หลังหรือก่อนกฎ SSH ให้เพิ่มกฎสำหรับการรับส่งข้อมูล HTTP (พอร์ต 80) และ HTTPS (พอร์ต 443) เพื่อให้ส่วนของไฟล์นั้นปรากฏตามที่แสดงในบล็อกรหัสด้านล่าง

-A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 80 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 443 -j ACCEPT
-A INPUT -j REJECT --reject-with icmp-host-prohibited

บันทึกและปิดไฟล์จากนั้นโหลด IPTables ใหม่

sudo systemctl reload iptables

เมื่อเสร็จสิ้นขั้นตอนข้างต้นเซิร์ฟเวอร์ CentOS 7 ของคุณควรจะปลอดภัยพอสมควรและพร้อมใช้งานในการผลิต