Société historique

A kiszolgáló kezdeti beállítása a CentOS 7

Posted on

Bevezetés

amikor először hoz létre egy új kiszolgálót, van néhány konfigurációs lépés, amelyet korán meg kell tennie az alapbeállítás részeként. Ez növeli a szerver biztonságát és használhatóságát, és szilárd alapot biztosít a későbbi műveletekhez.

első lépés-Root Bejelentkezés

a szerverre való bejelentkezéshez ismernie kell a szerver nyilvános IP-címét és a “root” felhasználó fiókjának jelszavát. Ha még nem jelentkezett be a szerverre, érdemes követnie a sorozat első bemutatóját, hogyan csatlakozhat a cseppjéhez az SSH segítségével, amely részletesen lefedi ezt a folyamatot.

Ha még nem csatlakozik a szerverhez, jelentkezzen be root felhasználóként a következő paranccsal (cserélje ki a kiemelt szót a kiszolgáló nyilvános IP-címével):

végezze el a bejelentkezési folyamatot a gazdagép hitelességére vonatkozó figyelmeztetés elfogadásával, ha megjelenik, majd adja meg a root hitelesítést (jelszó vagy privát kulcs). Ha először jelentkezik be a szerverre, jelszóval, akkor a rendszer kéri a root jelszó megváltoztatását is.

A Root

a root felhasználó az adminisztrátori felhasználó egy Linux környezetben, amely nagyon széles jogosultságokkal rendelkezik. A root fiók fokozott jogosultságai miatt valójában nem hajlandó rendszeresen használni. Ez azért van, mert a root fiókkal járó hatalom része az a képesség, hogy nagyon pusztító változásokat hajtson végre, akár véletlenül is.

a következő lépés egy alternatív felhasználói fiók létrehozása, amelynek csökkentett hatóköre van a napi munkához. Megtanítjuk, hogyan szerezhet nagyobb kiváltságokat azokban az időkben, amikor szüksége van rájuk.

második lépés-új felhasználó létrehozása

miután bejelentkezett root, készek vagyunk hozzáadni az új felhasználói fiókot, amelyet mostantól a bejelentkezéshez használunk.

Ez a példa létrehoz egy új felhasználót “demo” néven, de cserélje ki egy tetsző felhasználónévre:

  • adduser demo

ezután rendeljen jelszót az új felhasználóhoz (ismét cserélje ki a” demót”az imént létrehozott felhasználóval):

  • passwd demo

adjon meg egy erős jelszót, majd ismételje meg újra az ellenőrzéshez.

harmadik lépés-Root jogosultságok

most van egy új felhasználói fiókunk rendszeres fiókjogosultságokkal. Előfordulhat azonban, hogy adminisztratív feladatokat kell elvégeznünk.

annak elkerülése érdekében, hogy ki kell jelentkeznünk a normál felhasználónkból, és újra be kell jelentkeznünk root fiókként, beállíthatjuk az úgynevezett “super user” vagy root jogosultságokat a normál fiókunkhoz. Ez lehetővé teszi normál felhasználónk számára, hogy rendszergazdai jogosultságokkal rendelkező parancsokat futtasson a sudo szót minden parancs előtt.

ezeknek a jogosultságoknak az új felhasználóhoz való hozzáadásához hozzá kell adnunk az új felhasználót a “kerék” csoporthoz. Alapértelmezés szerint a CentOS 7-en a “kerék” csoportba tartozó felhasználók használhatják a sudo parancsot.

As root, futtassa ezt a parancsot az új felhasználó hozzáadásához a kerékcsoporthoz (cserélje ki a kiemelt szót az új felhasználóval):

  • gpasswd -a demo wheel

most a felhasználó futtathat parancsokat szuper felhasználói jogosultságokkal! További információ arról, hogyan működik ez, nézd meg a sudoers bemutató.

negyedik lépés-nyilvános kulcsú hitelesítés hozzáadása (ajánlott)

a kiszolgáló biztosításának következő lépése a nyilvános kulcsú hitelesítés beállítása az új felhasználó számára. Ennek beállítása növeli a szerver biztonságát azáltal, hogy privát SSH kulcsot igényel a bejelentkezéshez.

kulcspár létrehozása

Ha még nem rendelkezik SSH kulcspárral, amely nyilvános és privát kulcsból áll, akkor létre kell hoznia egyet. Ha már rendelkezik olyan kulccsal, amelyet használni szeretne, ugorjon a nyilvános kulcs másolása lépésre.

új kulcspár létrehozásához írja be a következő parancsot a helyi gép termináljára:

  • ssh-keygen

feltételezve, hogy a helyi felhasználót” localuser” – nek hívják, a következő kimenetet fogja látni:

ssh-keygen output
Generating public/private rsa key pair.Enter file in which to save the key (/Users/localuser/.ssh/id_rsa):

Hit return a fájlnév és elérési út elfogadásához (vagy új név megadásához).

ezután meg kell adnia egy jelszót a kulcs rögzítéséhez. Megadhat egy jelszót, vagy üresen hagyhatja a jelszót.

Megjegyzés: Ha üresen hagyja a jelszót, akkor a privát kulcsot használhatja hitelesítéshez jelszó megadása nélkül. Ha jelszót ad meg, a bejelentkezéshez mind a privát kulcsra, mind a jelszóra szüksége lesz. A kulcsok jelszavakkal történő biztosítása biztonságosabb, de mindkét módszernek megvannak a maga felhasználási módjai, és biztonságosabbak, mint az alapvető jelszó-hitelesítés.

Ez létrehoz egy privát kulcsot, id_rsa, valamint egy nyilvános kulcsot, id_rsa.pub, a localuser saját könyvtárának .ssh könyvtárában. Ne feledje, hogy a privát kulcsot nem szabad megosztani senkivel, aki nem férhet hozzá a szerverekhez!

másolja a nyilvános kulcsot

az SSH kulcspár létrehozása után át szeretné másolni a nyilvános kulcsot az új szerverre. Ennek két egyszerű módját fogjuk lefedni.

megjegyzés: a ssh-copy-id módszer nem fog működni a DigitalOcean-on, ha SSH kulcsot választottak ki a csepp létrehozása során. Ez azért van, mert a DigitalOcean letiltja a jelszó hitelesítést, ha SSH kulcs van jelen, és a ssh-copy-id a kulcs másolásához a jelszó hitelesítésre támaszkodik.

Ha DigitalOcean-t használ, és egy SSH-kulcsot választott ki a csepp létrehozása során, használja a 2.opciót.

1. Lehetőség: ssh-copy-id használata

Ha a helyi gépen telepítve van assh-copy-id parancsfájl, használhatja a nyilvános kulcs telepítését bármely olyan felhasználó számára, akinek bejelentkezési adatai vannak.

futtassa a ssh-copy-id parancsfájlt annak a kiszolgálónak a felhasználói és IP-címének megadásával, amelyre telepíteni szeretné a kulcsot, így:

a jelszó megadása után a nyilvános kulcs hozzáadódik a távoli felhasználó .ssh/authorized_keys fájljához. A megfelelő privát kulcs most már használható a kiszolgálóra való bejelentkezéshez.

2. lehetőség: manuálisan telepítse a kulcsot

feltételezve, hogy az előző lépéssel létrehozott egy SSH kulcspárt, használja a következő parancsot a helyi gép terminálján a nyilvános kulcs kinyomtatásához (id_rsa.pub):

  • cat ~/.ssh/id_rsa.pub

ezzel ki kell nyomtatnia a nyilvános SSH kulcsot, amelynek a következőképpen kell kinéznie:

id_rsa.pub contents
ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQDBGTO0tsVejssuaYR5R3Y/i73SppJAhme1dH7W2c47d4gOqB4izP0+fRLfvbz/tnXFz4iOP/H6eCV05hqUhF+KYRxt9Y8tVMrpDZR2l75o6+xSbUOMu6xN+uVF0T9XzKcxmzTmnV7Na5up3QM3DoSRYX/EP3utr2+zAqpJIfKPLdA74w7g56oYWI9blpnpzxkEd3edVJOivUkpZ4JoenWManvIaSdMTJXMy3MtlQhva+j9CgguyVbUkdzK9KKEuah+pFZvaugtebsU+bllPTB0nlXGIJk98Ie9ZtxuY3nCKneB+KjKiXrAvXUPCI9mWkYS/1rggpFmu3HbXBnWSUdf [email protected]

válassza ki a nyilvános kulcsot, majd másolja a vágólapra.

nyilvános kulcs hozzáadása az új távoli felhasználóhoz

ahhoz, hogy engedélyezze az SSH kulcs használatát az új távoli felhasználóként történő hitelesítéshez, hozzá kell adnia a nyilvános kulcsot egy speciális fájlhoz a felhasználó saját könyvtárában.

a kiszolgálón, mint a root felhasználó, írja be a következő parancsot az új felhasználóra való váltáshoz (cserélje ki a saját felhasználónevét):

  • su - demo

most az új felhasználó otthoni könyvtárában lesz.

Hozzon létre egy új könyvtárat, amelynek neve .ssh és korlátozza engedélyeit a következő parancsokkal:

     
  • mkdir .ssh
    •  
  • chmod 700 .ssh
    •

most nyisson meg egy fájlt .ssh nevű authorized_keys egy szövegszerkesztővel. A fájl szerkesztéséhez a vi-t fogjuk használni:

  • vi .ssh/authorized_keys

írja be a Beszúrás módot a i megnyomásával, majd írja be a nyilvános kulcsot (amelynek a vágólapon kell lennie) a szerkesztőbe való beillesztéssel. Most nyomja meg aESC gombot a Beszúrás mód elhagyásához.

írja be :x majd ENTER a fájl mentéséhez és kilépéséhez.

most korlátozza az authorized_keys fájl engedélyeit ezzel a paranccsal:

  • chmod 600 .ssh/authorized_keys

írja be ezt a parancsot egyszer, hogy visszatérjen a root felhasználó:

  • exit

most SSH bejelentkezhet új Felhasználóként, a privát kulcs hitelesítésként.

Ha többet szeretne megtudni a kulcshitelesítés működéséről, olvassa el ezt az oktatóanyagot: az SSH Kulcsalapú hitelesítés konfigurálása Linux szerveren.

ötödik lépés-konfigurálja az SSH démont

most, hogy megvan az új fiókunk, egy kicsit biztosíthatjuk szerverünket az SSH démon konfigurációjának módosításával (a program, amely lehetővé teszi számunkra a távoli bejelentkezést), hogy letiltsuk a távoli SSH hozzáférést a root fiókhoz.

Kezdje azzal, hogy megnyitja a konfigurációs fájlt a szövegszerkesztővel gyökérként:

  • vi /etc/ssh/sshd_config

itt lehetőségünk van letiltani a gyökér bejelentkezést az SSH-n keresztül. Ez általában egy biztonságosabb beállítás, mivel most már hozzáférhetünk szerverünkhöz a normál felhasználói fiókunkon keresztül, és szükség esetén növelhetjük a jogosultságokat.

a távoli gyökér bejelentkezések letiltásához meg kell találnunk a következő sort:

/etc/ssh/sshd_config (before)
#PermitRootLogin yes

tipp: a sor kereséséhez írja be a /PermitRoot majd nyomja meg a ENTER. Ezzel a kurzort az adott vonal “P” karakterére kell vinni.

távolítsa el a sort a “#” szimbólum törlésével (nyomja meg a Shift-xgombot).

most vigye a kurzort az “Igen” – re a c megnyomásával.

most cserélje ki az “igen” szót a cw megnyomásával, majd írja be a “nem”szót. Nyomja meg Escape ha befejezte a szerkesztést. Így kell kinéznie:

/ etc/ssh/sshd_config (after)
PermitRootLogin no

a távoli gyökér bejelentkezés letiltása minden szerveren erősen ajánlott!

írja be :x majd ENTER a fájl mentéséhez és kilépéséhez.

SSH újratöltése

most, hogy elvégeztük a változtatásokat, újra kell indítanunk az SSH szolgáltatást, hogy az új konfigurációnkat használja.

írja be ezt az SSH újraindításához:

  • systemctl reload sshd

most, mielőtt kijelentkeznénk a szerverről, tesztelnünk kell az új konfigurációnkat. Nem akarjuk leválasztani, amíg meg nem erősítjük, hogy az új kapcsolatok sikeresen létrehozhatók.

nyisson meg egy új terminál ablakot. Az új ablakban új kapcsolatot kell kezdenünk a szerverünkkel. Ezúttal a root fiók használata helyett a létrehozott új fiókot akarjuk használni.

a fent konfigurált szerverhez csatlakozzon ezzel a paranccsal. Cserélje ki saját adatait, ahol szükséges:

Megjegyzés: Ha a Putty-t használja a kiszolgálókhoz való csatlakozáshoz, feltétlenül frissítse a munkamenet portszámát, hogy megfeleljen a szerver aktuális konfigurációjának.

a rendszer kéri az új felhasználó jelszavát, amelyet konfigurált. Ezt követően új felhasználóként jelentkezik be.

ne feledje, ha root jogosultságokkal rendelkező parancsot kell futtatnia, írja be a “sudo” parancsot, mielőtt így:

  • sudo command_to_run

Ha minden rendben van, kiléphet a munkamenetekből a következő gépeléssel:

  • exit

hová menjen innen?

Ezen a ponton szilárd alapja van a szervernek. Most már telepítheti a szükséges szoftvereket a szerverére.

Ha nem biztos benne, hogy mit szeretne csinálni a szerverével, nézze meg a sorozat következő oktatóanyagát az új CentOS 7 szerverek további ajánlott lépéseiről. Olyan dolgokra terjed ki, mint a fail2ban engedélyezése a brute force támadások, az alapvető tűzfalbeállítások, az NTP és a swap fájlok hatékonyságának csökkentése érdekében. Ezenkívül linkeket tartalmaz oktatóanyagokhoz, amelyek megmutatják, hogyan kell beállítani a közös webes alkalmazásokat.

Ha csak azt, hogy vizsgálja meg, vessen egy pillantást a többi a közösség, hogy további útmutatók. Néhány népszerű ötlet a LAMP stack vagy a LEMP stack konfigurálása, amely
lehetővé teszi webhelyek fogadását.

Vélemény, hozzászólás?

Az e-mail-címet nem tesszük közzé.