Usanidi na Usanidi wa Seva ya Awali kwenye RHEL 7
Katika somo hili tutajadili hatua za kwanza za usanidi unazohitaji kutunza baada ya usakinishaji mpya wa Red Hat Enterprise Linux 7 kwenye seva tupu ya chuma au kwenye Seva ya Kibinafsi ya Kibinafsi.
- RHEL 7 Usakinishaji Ndogo
Muhimu: Watumiaji wa CentOS 7, wanaweza kufuata nakala hii ili kufanya Usanidi wa Seva ya Awali kwenye CentOS 7.
Sasisha Mfumo wa RHEL 7
Katika hatua ya kwanza ingia kwenye dashibodi yako ya seva ya RHEL ukitumia akaunti iliyo na haki za mizizi au moja kwa moja kama mzizi na utekeleze amri iliyo hapa chini ili kusasisha kikamilifu vipengee vya mfumo wako, kama vile vifurushi vilivyosakinishwa, kernel au kutumia mabaka mengine ya usalama.
# yum check-update # yum update
Ili kuondoa vifurushi vyote vilivyopakuliwa vya ndani na kache zingine zinazohusiana za YUM, tekeleza amri iliyo hapa chini.
# yum clean all
Sakinisha Huduma za Mfumo kwenye RHEL 7
Huduma hizi zifuatazo zinaweza kuwa muhimu kwa usimamizi wa mfumo wa siku baada ya siku: nano (kihariri cha maandishi kuchukua nafasi ya lsof (huduma za kudhibiti mitandao ya ndani) na bash-completion (command line autocomplete).
Zisakinishe zote kwa risasi moja kwa kutekeleza amri iliyo hapa chini.
# yum install nano wget curl net-tools lsof bash-completion
Sanidi Mitandao katika RHEL 7
RHEL 7 ina anuwai ya zana zinazoweza kutumika kusanidi na kudhibiti mitandao, kutoka kwa kuhariri faili ya usanidi wa mtandao kwa kutumia amri kama vile nmcli au njia.
Huduma rahisi ambayo anayeanza anaweza kutumia kudhibiti na kubadilisha usanidi wa mtandao ni mstari wa amri ya picha ya nmtui.
Ili kubadilisha jina la mpangishi wa mfumo kupitia matumizi ya nmtui, tekeleza amri ya nmtui-hostname, weka jina la mpangishi wa mashine yako na ubonyeze Sawa ili kumaliza, kama inavyoonyeshwa kwenye picha ya skrini iliyo hapa chini.
# nmtui-hostname
Ili kuchezea kiolesura cha mtandao, tekeleza amri ya nmtui-edit, chagua kiolesura unachotaka kuhariri na uchague hariri kutoka kwenye menyu sahihi, kama inavyoonyeshwa kwenye picha ya skrini iliyo hapa chini.
Ukiwa kwenye kiolesura cha picha kilichotolewa na matumizi ya nmtui unaweza kusanidi mipangilio ya IP ya kiolesura cha mtandao kama inavyoonyeshwa kwenye picha ya skrini iliyo hapa chini. Ukimaliza, nenda kwenye Sawa kwa kutumia kitufe cha [tab] ili kuhifadhi usanidi na uache.
Ili kutumia usanidi mpya wa kiolesura cha mtandao, tekeleza amri ya nmtui-connect, chagua kiolesura unachotaka kudhibiti na gonga kwenye Zima/Amilisha chaguo la kusitisha na kuinua kiolesura kwa mipangilio ya IP, kama inavyoonyeshwa kwenye viwambo vilivyo hapa chini.
# nmtui-connect
Ili kutazama mipangilio ya kiolesura cha mtandao, unaweza kukagua yaliyomo kwenye faili ya kiolesura au unaweza kutoa amri zilizo hapa chini.
# ifconfig enp0s3 # ip a # ping -c2 google.com
Huduma nyingine muhimu zinazoweza kutumika kudhibiti kasi, hali ya kuunganisha au kupata taarifa kuhusu violesura vya mtandao wa mashine ni ethtool na mii-tool.
# ethtool enp0s3 # mii-tool enp0s3
Unda Akaunti Mpya ya Mtumiaji
Katika hatua inayofuata, ukiwa umeingia kama mzizi kwenye seva yako, unda mtumiaji mpya na amri iliyo hapa chini. Mtumiaji huyu atatumiwa baadaye kuingia katika mfumo wako na kutekeleza kazi za usimamizi.
# adduser tecmint_user
Baada ya kuongeza mtumiaji kwa kutumia amri iliyo hapo juu, weka nenosiri dhabiti kwa mtumiaji huyu kwa kutoa amri iliyo hapa chini.
# passwd tecmint_user
Katika hali ambapo unataka kumlazimisha mtumiaji huyu mpya kubadilisha nenosiri lake katika jaribio la kwanza la kuingia, tekeleza amri iliyo hapa chini.
# chage -d0 tecmint_user
Akaunti hii mpya ya mtumiaji iliyo na haki za kawaida za akaunti kwa sasa na haiwezi kufanya kazi za kiutawala kupitia amri ya sudo.
Ili kuepuka matumizi ya akaunti ya msingi kwa ajili ya kutekeleza mapendeleo ya usimamizi, mpe mtumiaji huyu mpya mapendeleo ya kiutawala kwa kuongeza mtumiaji kwenye kikundi cha mfumo wa gurudumu.
Watumiaji wa kikundi cha gurudumu wanaruhusiwa, kwa chaguo-msingi katika RHEL, kuendesha amri na haki za mizizi kwa kutumia matumizi ya sudo kabla ya kuandika amri inayohitajika kwa utekelezaji.
Kwa mfano, ili kuongeza mtumiaji \tecmint_user kwenye kikundi cha \gurudumu, tekeleza amri iliyo hapa chini.
# usermod -aG wheel tecmint_user
Baadaye, ingia kwenye mfumo na mtumiaji mpya na ujaribu kusasisha mfumo kupitia amri ya 'sudo yum update' ili kujaribu ikiwa mtumiaji amepewa nguvu za mizizi.
# su - tecmint_user $ sudo yum update
Sanidi Uthibitishaji wa Ufunguo wa Umma wa SSH kwenye RHEL 7
Katika hatua inayofuata ili kuongeza usalama wa huduma yako ya RHEL, sanidi uthibitishaji wa ufunguo wa umma wa SSH kwa mtumiaji mpya. Ili kutengeneza Jozi ya Ufunguo wa SSH, ufunguo wa umma na wa kibinafsi, tekeleza amri ifuatayo kwenye kiweko cha seva yako. Hakikisha umeingia kwenye mfumo na mtumiaji unayeweka ufunguo wa SSH.
# su - tecmint_user $ ssh-keygen -t RSA
Wakati ufunguo unatolewa, utaombwa kuongeza kaulisiri ili kulinda ufunguo. Unaweza kuweka kaulisiri dhabiti au uchague kuacha neno la siri tupu ikiwa unataka kufanyia kazi kiotomatiki kupitia seva ya SSH.
Baada ya ufunguo wa SSH kuzalishwa, nakili jozi ya ufunguo wa umma kwenye seva ya mbali kwa kutekeleza amri iliyo hapa chini. Ili kusakinisha ufunguo wa umma kwa seva ya mbali ya SSH utahitaji akaunti ya mtumiaji ambayo ina vitambulisho ili kuingia kwenye seva hiyo.
$ ssh-copy-id [email
Sasa unapaswa kujaribu kuingia kupitia SSH kwa seva ya mbali kwa kutumia ufunguo wa kibinafsi kama njia ya uthibitishaji. Unapaswa kuingia kiotomatiki bila seva ya SSH kuuliza nywila.
$ ssh [email
Ili kuona maudhui ya ufunguo wako wa SSH wa umma ikiwa unataka kusakinisha ufunguo kwa seva ya mbali ya SSH, toa amri ifuatayo.
$ cat ~/.ssh/id_rsa
Linda SSH kwenye RHEL 7
Ili kulinda daemoni ya SSH na kutoruhusu ufikiaji wa mbali wa SSH kwa akaunti ya msingi kupitia nenosiri au ufunguo, fungua faili kuu ya usanidi ya seva ya SSH na ufanye mabadiliko yafuatayo.
$ sudo vi /etc/ssh/sshd_config
Tafuta mstari #PermitRootLogin ndiyo, toa maoni kwenye mstari kwa kuondoa ishara # (hashtag) kutoka mwanzo wa mstari na urekebishe laini iwe kama inavyoonyeshwa kwenye dondoo hapa chini.
PermitRootLogin no
Baadaye, anzisha upya seva ya SSH ili kutumia mipangilio mipya na ujaribu usanidi kwa kujaribu kuingia kwenye seva hii na akaunti ya mizizi. Ufikiaji wa akaunti ya mizizi kupitia SSH unapaswa kuzuiwa kwa sasa.
$ sudo systemctl restart sshd
Kuna hali ambapo unaweza kutaka kukata kiotomatiki miunganisho yote ya mbali ya SSH kwa seva yako baada ya muda wa kutofanya kazi.
Ili kuwezesha kipengele hiki katika mfumo mzima, tekeleza amri iliyo hapa chini, ambayo huongeza kigeu cha TMOUT bash kwenye faili kuu ya bashrc na kulazimisha kila muunganisho wa SSH kukatwa au kusitishwa baada ya dakika 5 za kutotumika.
$ su -c 'echo "TMOUT=300" >> /etc/bashrc'
Tumia amri ya mkia ili kuangalia ikiwa kutofautisha kumeongezwa kwa usahihi mwishoni mwa /etc/bashrc faili. Miunganisho yote inayofuata ya SSH itafungwa kiotomatiki baada ya dakika 5 za kutokuwa na shughuli kuanzia sasa na kuendelea.
$ tail /etc/bashrc
Katika picha ya skrini iliyo hapa chini, kipindi cha mbali cha SSH kutoka kwa drupal hadi seva ya RHEL kimetoka kiotomatiki baada ya dakika 5.
Sanidi Firewall kwenye RHEL 7
Katika hatua inayofuata, sanidi firewall ili kuimarisha zaidi mfumo katika kiwango cha mtandao. RHEL 7 husafirisha na programu ya Firewalld ili kudhibiti sheria za iptables kwenye seva.
Kwanza, hakikisha kuwa ngome inaendesha kwenye mfumo wako kwa kutoa amri iliyo hapa chini. Ikiwa daemon ya Firewalld imesimamishwa unapaswa kuianzisha kwa amri ifuatayo.
$ sudo systemctl status firewalld $ sudo systemctl start firewalld $ sudo systemctl enable firewalld
Mara tu ngome inapowashwa na kufanya kazi katika mfumo wako, unaweza kutumia matumizi ya mstari wa amri ya firewall-cmd kuweka maelezo ya sera ya ngome na kuruhusu trafiki kwa bandari fulani maalum za mtandao, kama vile daemoni ya SSH, muunganisho unaofanywa kwa seva ya wavuti ya ndani au nyinginezo. huduma za mtandao zinazohusiana.
Kwa sababu sasa hivi tunaendesha daemoni ya SSH kwenye seva yetu, tunaweza kurekebisha sera ya ngome ili kuruhusu trafiki kwa mlango wa huduma wa SSH kwa kutoa amri ifuatayo.
$ sudo firewall-cmd --add-service=ssh --permanent $ sudo firewall-cmd --reload
Ili kuongeza sheria ya ngome unaporuka, bila kutumia sheria wakati mwingine seva inapoanzishwa, tumia sintaksia ya amri iliyo hapa chini.
$ sudo firewall-cmd --add-service=sshd
Ukisakinisha huduma zingine za mtandao kwenye seva yako, kama vile seva ya HTTP, seva ya barua au huduma zingine za mtandao, unaweza kuongeza sheria ili kuruhusu miunganisho maalum kama ifuatavyo.
$ sudo firewall-cmd --permanent --add-service=http $ sudo firewall-cmd --permanent --add-service=https $ sudo firewall-cmd --permanent --add-service=smtp
Ili kuorodhesha sheria zote za firewall endesha amri hapa chini.
$ sudo firewall-cmd --permanent --list-all
Ondoa Huduma Zisizohitajika katika RHEL 7
Ili kupata orodha ya huduma zote za mtandao (TCP na UDP) zinazoendeshwa kwenye seva yako ya RHEL kwa chaguo-msingi, toa amri ya ss, kama inavyoonyeshwa kwenye sampuli iliyo hapa chini.
$ sudo ss -tulpn
Amri ya ss itafichua baadhi ya huduma zinazovutia zinazoanzishwa na kuendeshwa kwa chaguomsingi katika mfumo wako, kama vile huduma kuu ya Postfix na seva inayowajibika kwa itifaki ya NTP.
Ikiwa hutapanga kusanidi seva hii seva ya barua, unapaswa kusimamisha, kuzima na kuondoa daemoni ya Postfix kwa kutoa amri zilizo hapa chini.
$ sudo systemctl stop postfix.service $ sudo yum remove postfix
Hivi majuzi, kumeripotiwa baadhi ya mashambulizi mabaya ya DDOS dhidi ya itifaki ya NTP. Iwapo huna mpango wa kusanidi seva yako ya RHEL ifanye kazi kama seva ya NTP ili wateja wa ndani wasawazishe muda na seva hii, unapaswa kuzima kabisa na kuondoa daemoni ya Chrony kwa kutoa amri zilizo hapa chini.
$ sudo systemctl stop chronyd.service $ sudo yum remove chrony
Tena, endesha amri ya ss ili kutambua ikiwa huduma zingine za mtandao zinafanya kazi kwenye mfumo wako na uzime na uziondoe.
$ sudo ss -tulpn
Ili kutoa muda sahihi wa seva yako na kusawazisha muda na seva rika ya wakati wa juu, unaweza kusakinisha matumizi ya ntpdate na muda wa kusawazisha na seva ya NTP ya umma, kwa kutekeleza amri zilizo hapa chini.
$ sudo yum install ntpdate $ sudo ntpdate 0.uk.pool.ntp.org
Ili kuweka kiotomatiki amri ya kusawazisha saa ya ntpdate kutekelezwa kila siku bila mtumiaji kuingilia kati, ratibisha kazi mpya ya crontab kufanya usiku wa manane na maudhui yafuatayo.
$ sudo crontab -e
Nukuu ya faili ya Crontab:
@daily /usr/sbin/ntpdate 0.uk.pool.ntp.org
Ni hayo tu! Sasa, seva yako ya RHEL imetayarishwa kwa kusakinisha programu ya ziada inayohitajika kwa huduma au programu maalum za mtandao, kama vile kusakinisha na kusanidi seva ya wavuti, seva ya hifadhidata, huduma ya kushiriki faili au programu zingine mahususi.
Ili kulinda na kuimarisha seva ya RHEL 7 zaidi, angalia nakala hizi zifuatazo.
- Mwongozo wa Mega wa Kuimarisha na Kulinda RHEL 7 - Sehemu ya 1
- Mwongozo wa Mega wa Kuimarisha na Kulinda RHEL 7 - Sehemu ya 2
Ikiwa unapanga kusambaza tovuti kwenye mfumo huu wa RHEL 7, jifunze jinsi ya kusanidi na kusanidi rafu ya LEMP.