Société historique

Palvelimen alustavat Asetukset CentOS 7: llä

Posted on

Johdanto

kun luot uuden palvelimen, on olemassa muutamia määritysvaiheita, jotka sinun tulisi ottaa varhaisessa vaiheessa osana perusasetusta. Tämä lisää palvelimesi turvallisuutta ja käytettävyyttä ja antaa sinulle vankan perustan myöhempiä toimia varten.

Step One — Root Login

kirjautuaksesi palvelimeesi, sinun tulee tietää palvelimesi julkinen IP-osoite ja ”root” – käyttäjän tilin salasana. Jos et ole jo kirjautunut palvelimeen, voit seurata ensimmäinen opetusohjelma tässä sarjassa, Miten yhteyden pisaraan SSH, joka kattaa tämän prosessin yksityiskohtaisesti.

Jos et ole vielä yhteydessä palvelimeesi, mene eteenpäin ja kirjaudu sisään nimellä root käyttäjä käyttämällä seuraavaa komentoa (korvaa korostettu sana palvelimesi julkisella IP-osoitteella):

Suorita kirjautumisprosessi hyväksymällä varoituksen palvelimen aitoudesta, jos se ilmestyy, ja antamalla sitten juuritodennuksesi (salasana tai yksityinen avain). Jos kirjaudut palvelimeen ensimmäistä kertaa salasanalla, sinua pyydetään myös vaihtamaan pääkäyttäjän salasana.

Root

pääkäyttäjä on Linux-ympäristössä oleva hallintokäyttäjä, jolla on hyvin laajat oikeudet. Koska kohonnut etuoikeudet root tilin, olet todella lannistunut käyttämästä sitä säännöllisesti. Tämä johtuu siitä, että osa juuritilin luontaisesta voimasta on kyky tehdä hyvin tuhoisia muutoksia, jopa vahingossa.

seuraava askel on perustaa vaihtoehtoinen käyttäjätili, jonka vaikutusmahdollisuudet päivittäisessä työssä ovat vähäisemmät. Opetamme sinulle, miten voit saada lisää etuoikeuksia niinä aikoina, kun tarvitset niitä.

Vaihe kaksi — Luo uusi käyttäjä

kun olet kirjautunut sisään nimellä root, olemme valmiita lisäämään uuden käyttäjätilin, jota käytämme kirjautumiseen tästä lähtien.

Tämä esimerkki luo uuden käyttäjän nimeltä ”demo”, mutta sinun tulisi korvata se käyttäjänimellä, josta pidät:

  • adduser demo

seuraavaksi anna uudelle käyttäjälle salasana (korvaa jälleen ”demo” juuri luomallasi käyttäjällä):

  • passwd demo

anna vahva salasana ja toista se uudelleen varmistaaksesi sen.

vaihe kolme — pääkäyttäjän oikeudet

nyt meillä on uusi käyttäjätili, jolla on säännölliset tilioikeudet. Joskus joudumme kuitenkin hoitamaan hallinnollisia tehtäviä.

välttääksemme kirjautumasta ulos normaalista käyttäjästämme ja kirjautumasta takaisin pääkäyttäjäksi, voimme perustaa normaalille tilillemme niin kutsutut ”superkäyttäjä” – tai pääkäyttäjäoikeudet. Näin normaali käyttäjämme voi suorittaa komentoja hallinnollisilla oikeuksilla laittamalla jokaisen komennon eteen sanan sudo.

lisätäksemme nämä oikeudet uudelle käyttäjällemme, meidän täytyy lisätä uusi käyttäjä ”wheel” – ryhmään. Oletusarvoisesti CentOS 7: ssä ”wheel” – ryhmään kuuluvat käyttäjät saavat käyttää sudo – komentoa.

As root, suorita tämä komento lisätäksesi uuden käyttäjän pyöräryhmään (korvaa korostettu sana uudella käyttäjällä):

  • gpasswd -a demo wheel

Nyt käyttäjä voi suorittaa komentoja superkäyttäjän oikeuksilla! Lisätietoja siitä, miten tämä toimii, tutustu sudoers opetusohjelma.

Vaihe neljä — lisää julkisen avaimen todennus (suositus)

seuraava vaihe palvelimen suojaamisessa on julkisen avaimen todennus uudelle käyttäjälle. Tämän määrittäminen lisää palvelimen turvallisuutta vaatimalla yksityisen SSH-avaimen kirjautumiseen.

luo avainpari

Jos sinulla ei vielä ole SSH-avainparia, joka koostuu julkisesta ja yksityisestä avaimesta, sinun on luotava sellainen. Jos sinulla on jo avain, jota haluat käyttää, Siirry julkisen avaimen kopiointi-vaiheeseen.

luodaksesi uuden avainparin, kirjoita seuraava komento paikallisen koneesi päätteeseen:

  • ssh-keygen

olettaen, että paikallinen käyttäjäsi on nimeltään ”localuser”, näet tulosteen, joka näyttää seuraavalta:

ssh-keygen output
Generating public/private rsa key pair.Enter file in which to save the key (/Users/localuser/.ssh/id_rsa):

Hit return to accept this file name and path (or enter a new name).

seuraavaksi pyydetään salauslausetta avaimen turvaamiseksi. Voit joko kirjoittaa salasanafraasin tai jättää sen tyhjäksi.

Huomautus: Jos jätät salauslauseen tyhjäksi, voit käyttää yksityistä avainta todennukseen syöttämättä salauslausetta. Jos syötät salauslauseen, tarvitset sekä yksityisen avaimen että salauslauseen kirjautuaksesi sisään. Avainten turvaaminen salasanojen avulla on turvallisempaa, mutta molemmilla menetelmillä on käyttötarkoituksensa ja ne ovat turvallisempia kuin perus salasanatodennus.

Tämä luo yksityisen avaimen, id_rsa, ja julkisen avaimen, id_rsa.pub.ssh paikallisen käyttäjän kotihakemiston hakemistoon. Muista, että yksityistä avainta ei saa jakaa kenenkään kanssa, jolla ei pitäisi olla pääsyä palvelimiisi!

Kopioi julkinen avain

kun olet luonut SSH-avainparin, haluat kopioida julkisen avaimen uudelle palvelimelle. Käsittelemme kaksi helppoa tapaa tehdä tämä.

Huomautus: ssh-copy-id menetelmä ei toimi Digitaloceanilla, jos SSH-avain valittiin pisaroiden luomisen aikana. Tämä johtuu siitä, että DigitalOcean poistaa salasanatodennuksen käytöstä, jos SSH-avain on olemassa, ja

ssh-copy-id

perustuu salasanan todennukseen avaimen kopioimiseksi.

Jos käytät Digitaloceania ja valitsit SSH-avaimen pisaroiden luomisen aikana, käytä sen sijaan vaihtoehtoa 2.

vaihtoehto 1: Käytä ssh-copy-id

Jos paikallisessa koneessasi on ssh-copy-id skripti asennettuna, voit käyttää sitä julkisen avaimen asentamiseen kenelle tahansa käyttäjälle, jolle sinulla on kirjautumistunnukset.

Suorita ssh-copy-id skripti määrittämällä sen palvelimen käyttäjä-ja IP-osoite, johon haluat avaimen asentaa, näin:

kun olet antanut salasanasi pikaviestillä, julkinen avain lisätään etäkäyttäjän .ssh/authorized_keys tiedostoon. Vastaavaa yksityistä avainta voidaan nyt käyttää kirjautumiseen palvelimelle.

Vaihtoehto 2: Asenna avain manuaalisesti

olettaen, että olet luonut SSH-avainparin edellisen vaiheen avulla, käytä seuraavaa komentoa paikallisen koneesi päätteessä julkisen avaimen tulostamiseen (id_rsa.pub):

  • cat ~/.ssh/id_rsa.pub

tämän pitäisi tulostaa Julkinen SSH-avain, jonka pitäisi näyttää jokseenkin seuraavanlaiselta:

id_rsa.pub contents
ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQDBGTO0tsVejssuaYR5R3Y/i73SppJAhme1dH7W2c47d4gOqB4izP0+fRLfvbz/tnXFz4iOP/H6eCV05hqUhF+KYRxt9Y8tVMrpDZR2l75o6+xSbUOMu6xN+uVF0T9XzKcxmzTmnV7Na5up3QM3DoSRYX/EP3utr2+zAqpJIfKPLdA74w7g56oYWI9blpnpzxkEd3edVJOivUkpZ4JoenWManvIaSdMTJXMy3MtlQhva+j9CgguyVbUkdzK9KKEuah+pFZvaugtebsU+bllPTB0nlXGIJk98Ie9ZtxuY3nCKneB+KjKiXrAvXUPCI9mWkYS/1rggpFmu3HbXBnWSUdf [email protected]

valitse julkinen avain ja kopioi se leikepöydälle.

lisää julkinen avain uuteen Etäkäyttäjään

jotta SSH-avaimen käyttö voidaan todentaa uudeksi etäkäyttäjäksi, sinun on lisättävä julkinen avain erityiseen tiedostoon käyttäjän kotihakemistossa.

palvelimella root käyttäjä, anna seuraava komento vaihtaa uudelle käyttäjälle (korvaa oma käyttäjätunnuksesi):

  • su - demo

nyt olet uuden käyttäjän kotihakemistossa.

Luo uusi hakemisto nimeltä .ssh ja rajoita sen käyttöoikeuksia seuraavilla komennoilla:

     
  • mkdir .ssh
    •  
  • chmod 700 .ssh
    •

avaa tiedosto nyt sisään .ssh nimeltään authorized_keys tekstieditorilla. Muokkaamme tiedostoa vi:

  • vi .ssh/authorized_keys

Siirry insert-tilaan painamalla i ja syötä julkinen avain (jonka pitäisi olla leikepöydälläsi) liittämällä se muokkaimeen. Paina nyt ESC poistuaksesi insert-tilasta.

Enter :x then ENTER Tallenna ja poistu tiedostosta.

Rajoita nyt authorized_keys-tiedoston oikeuksia tällä komennolla:

  • chmod 600 .ssh/authorized_keys

kirjoita tämä komento kerran palataksesi root user:

  • exit

nyt voit kirjautua SSH: ksi uutena käyttäjänäsi käyttäen yksityinen avain tunnistautumiseen.

Jos haluat lukea lisää avainten todennuksen toiminnasta, lue tämä opetusohjelma: SSH-Avainpohjaisen todennuksen määrittäminen Linux-palvelimella.

Step Five — Configure SSH Daemon

nyt kun meillä on uusi tili, voimme turvata palvelimemme hieman muokkaamalla sen SSH-demonin konfiguraatiota (ohjelma, jonka avulla voimme kirjautua etänä) estääksemme SSH: n etäkäytön pääkäyttötilille.

Aloita avaamalla asetustiedosto tekstieditorilla nimellä root:

  • vi /etc/ssh/sshd_config

täällä on mahdollisuus poistaa root-kirjautuminen käytöstä SSH: n kautta. Tämä on yleensä turvallisempi asetus, koska voimme nyt käyttää palvelintamme normaalin käyttäjätilin kautta ja laajentaa oikeuksia tarvittaessa.

Jos haluat poistaa etäjuuriloggit käytöstä, on löydettävä tältä näyttävä rivi:

/etc/ssh/sshd_config (ennen)
#PermitRootLogin yes

Vihje: etsi tätä riviä, type /PermitRoot then hit ENTER. Tämän pitäisi tuoda kursori” P ” – merkille kyseisellä rivillä.

Poista rivi poistamalla tunnus ” # ” (paina Shift-x).

Siirrä nyt kursori kohtaan ”Kyllä” painamalla c.

korvaa nyt ”Kyllä” painamalla cw ja kirjoittamalla sitten ”ei”. Hit Escape kun olet editoinut. Sen pitäisi näyttää tältä:

/etc/ssh/sshd_config (after)
PermitRootLogin no

Remote root-kirjautumisen poistaminen käytöstä on erittäin suositeltavaa jokaisella palvelimella!

Enter :x then ENTER Tallenna ja poistu tiedostosta.

Reload SSH

nyt kun olemme tehneet muutoksemme, meidän on käynnistettävä SSH-palvelu uudelleen, jotta se käyttää uutta määritystämme.

kirjoita tämä käynnistääksesi SSH: n uudelleen:

  • systemctl reload sshd

nyt, ennen kuin kirjaudumme ulos palvelimelta, meidän pitäisi testata uutta kokoonpanoamme. Emme halua katkaista yhteyttä ennen kuin voimme vahvistaa, että uudet yhteydet voidaan luoda onnistuneesti.

Avaa uusi pääteikkuna. Uudessa ikkunassa, meidän täytyy aloittaa uusi yhteys palvelimeemme. Tällä kertaa, sijaan käyttää root tilin, haluamme käyttää uutta tiliä, että loimme.

yllä määrittämällemme palvelimelle muodostat yhteyden tällä komennolla. Korvaa omat tietosi tarvittaessa:

Huomautus: Jos käytät PuTTY-yhteyttä palvelimiisi, muista päivittää istunnon porttinumero vastaamaan palvelimen nykyistä määritystä.

sinulta kysytään määrittämäsi uuden käyttäjän salasana. Sen jälkeen, olet kirjautunut sisään uutena käyttäjänä.

muista, että jos haluat suorittaa komennon pääkäyttäjän oikeuksilla, Kirjoita ”sudo” sen eteen näin:

  • sudo command_to_run

Jos kaikki on hyvin, voit poistua istunnoista kirjoittamalla:

  • exit

minne tästä?

tässä vaiheessa sinulla on vankka perusta palvelimellesi. Voit asentaa minkä tahansa ohjelmiston tarvitset palvelimelle nyt.

Jos et ole varma, mitä haluat tehdä palvelimellesi, katso tämän sarjan seuraavasta opetusohjelmasta Suositusvaiheet uusille CentOS 7-palvelimille. Se kattaa asioita, kuten fail2ban brute force-hyökkäysten tehokkuuden vähentämiseksi, palomuurin perusasetukset, NTP ja swap-tiedostot. Se tarjoaa myös linkkejä tutorials, joka näyttää, miten perustaa yhteisiä web-sovelluksia.

Jos haluat vain tutkia, tutustu muuhun yhteisöömme löytääksesi lisää tutoriaaleja. Jotkut Suositut ideat ovat lamppupinon tai LEMP-pinon määrittäminen, jonka avulla
voi isännöidä verkkosivustoja.

Vastaa

Sähköpostiosoitettasi ei julkaista.