Société historique

Innledende Serveroppsett Med CentOS 7

Posted on

Introduksjon

når du først oppretter en ny server, er det noen konfigurasjonstrinn som du bør ta tidlig som en del av det grunnleggende oppsettet. Dette vil øke sikkerheten og brukervennligheten til serveren din og gi deg et solid grunnlag for senere handlinger.

Step One-Root Login

for å logge inn på serveren din må du kjenne serverens offentlige IP-adresse og passordet for «root» – brukerens konto. Hvis du ikke allerede har logget inn på serveren din, vil du kanskje følge den første opplæringen I denne serien, Hvordan Du Kobler Til Dråpen din MED SSH, som dekker denne prosessen i detalj.

hvis du ikke allerede er koblet til serveren din, fortsett og logg inn somroot bruker ved å bruke følgende kommando (erstatt det uthevede ordet med serverens offentlige IP-adresse):

Fullfør påloggingsprosessen ved å godta advarselen om vertsautentisering, hvis den vises, og gi din rotautentisering (passord eller privat nøkkel). Hvis det er første gang du logger på serveren, med et passord, blir du også bedt om å endre rotpassordet.

Om Root

rotbrukeren er den administrative brukeren I Et Linux-miljø som har svært brede rettigheter. På grunn av de økte privilegiene til rotkontoen, er du faktisk motet fra å bruke den regelmessig. Dette skyldes at en del av kraften som ligger i rotkontoen, er evnen til å gjøre svært ødeleggende endringer, selv ved et uhell.

det neste trinnet er å sette opp en alternativ brukerkonto med redusert påvirkningsområde for det daglige arbeidet. Vi lærer deg hvordan du får økte privilegier i tider når du trenger dem.

Trinn To — Opprett En Ny Bruker

når du er logget inn somroot, er vi forberedt på å legge til den nye brukerkontoen som vi vil bruke til å logge inn fra nå av.

dette eksemplet oppretter en ny bruker som heter «demo» , men du bør erstatte den med et brukernavn som du liker:

  • adduser demo

deretter tilordner du et passord til den nye brukeren (igjen, erstatt «demo» med brukeren du nettopp opprettet): 

  • passwd demo

Skriv inn et sterkt passord, og gjenta det igjen for å bekrefte det.

Trinn Tre-Root Privilegier

nå har Vi en ny brukerkonto med vanlige konto privilegier. Noen ganger kan det være behov for administrative oppgaver.

for å unngå å måtte logge ut av vår normale bruker og logge inn igjen som rotkonto, kan vi sette opp det som kalles «superbruker» eller rotrettigheter for vår normale konto. Dette vil tillate vår normale bruker å kjøre kommandoer med administrative rettigheter ved å sette ordet sudo før hver kommando.

for å legge til disse rettighetene til vår nye bruker, må vi legge til den nye brukeren i» hjul » – gruppen. Som Standard, På CentOS 7, kan brukere som tilhører «wheel» – gruppen bruke kommandoensudo.

Som root, kjør denne kommandoen for å legge til den nye brukeren i hjulgruppen (erstatt det uthevede ordet med den nye brukeren):

  • gpasswd -a demo wheel

nå kan brukeren kjøre kommandoer med superbrukerrettigheter! For mer informasjon om hvordan dette fungerer, sjekk ut vår sudoers tutorial.

Trinn Fire-Legg Til Offentlig Nøkkelautentisering (Anbefalt)

det neste trinnet i å sikre serveren din er å sette opp offentlig nøkkelautentisering for den nye brukeren. Å sette opp dette vil øke sikkerheten til serveren din ved å kreve en privat SSH-nøkkel for å logge inn.

Generer Et Nøkkelpar

hvis DU ikke allerede har ET SSH-nøkkelpar, som består av en offentlig og privat nøkkel, må du generere en. Hvis du allerede har en nøkkel du vil bruke, hopper du til Kopier Fellesnøkkelen.

for å generere et nytt nøkkelpar, skriv inn følgende kommando på terminalen til din lokale maskin: 

  • ssh-keygen

Forutsatt at din lokale bruker heter» localuser», vil du se utdata som ser ut som følgende:

ssh-keygen output
Generating public/private rsa key pair.Enter file in which to save the key (/Users/localuser/.ssh/id_rsa):

Hit return for å godta dette filnavnet og banen (eller skriv inn et nytt navn).

Deretter blir du bedt om et passord for å sikre nøkkelen med. Du kan enten skrive inn en passordfrase eller la passordet stå tomt.

Merk: Hvis du lar passordet stå tomt, kan du bruke den private nøkkelen til godkjenning uten å skrive inn en passordfrase. Hvis du skriver inn en passordfrase, trenger du både den private nøkkelen og passordet for å logge inn. Sikring av nøklene dine med passord er sikrere, men begge metodene har bruk og er sikrere enn grunnleggende passordautentisering.

dette genererer en privat nøkkel, id_rsa og en offentlig nøkkel,id_rsa.pub, i.ssh – katalogen i lokalbrukerens hjemmekatalog. Husk at den private nøkkelen ikke skal deles med noen som ikke skal ha tilgang til serverne dine!

Kopier Den Offentlige Nøkkelen

etter at du har generert ET SSH-nøkkelpar, vil du kopiere den offentlige nøkkelen til den nye serveren. Vi vil dekke to enkle måter å gjøre dette på.

Merk: ssh-copy-id – metoden vil ikke fungere På DigitalOcean hvis EN SSH-nøkkel ble valgt under Oppretting Av Dråper. Dette skyldes At DigitalOcean deaktiverer passordgodkjenning hvis DET finnes EN SSH-nøkkel, og ssh-copy-id er avhengig av passordgodkjenning for å kopiere nøkkelen.

hvis Du bruker DigitalOcean og har valgt EN SSH-nøkkel under Oppretting Av Dråper, bruker du alternativ 2 i stedet.

Alternativ 1: Bruk ssh-copy-id

hvis din lokale maskin harssh-copy-id script installert, kan du bruke den til å installere den offentlige nøkkelen til alle brukere som du har påloggingsinformasjon for.

Kjørssh-copy-id skriptet ved å angi brukeren og IP-adressen til serveren du vil installere nøkkelen på, slik:

etter at du har oppgitt passordet ditt, vil den offentlige nøkkelen bli lagt til den eksterne brukerens.ssh/authorized_keys fil. Den tilsvarende private nøkkelen kan nå brukes til å logge inn på serveren.

Alternativ 2: Installer Nøkkelen Manuelt

Forutsatt at du genererte ET SSH-nøkkelpar ved hjelp av forrige trinn, bruk følgende kommando på terminalen til din lokale maskin for å skrive ut din offentlige nøkkel (id_rsa.pub): 

  • cat ~/.ssh/id_rsa.pub

Dette skal skrive ut din offentlige SSH-nøkkel, som skal se omtrent slik ut:

id_rsa.pub contents
ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQDBGTO0tsVejssuaYR5R3Y/i73SppJAhme1dH7W2c47d4gOqB4izP0+fRLfvbz/tnXFz4iOP/H6eCV05hqUhF+KYRxt9Y8tVMrpDZR2l75o6+xSbUOMu6xN+uVF0T9XzKcxmzTmnV7Na5up3QM3DoSRYX/EP3utr2+zAqpJIfKPLdA74w7g56oYWI9blpnpzxkEd3edVJOivUkpZ4JoenWManvIaSdMTJXMy3MtlQhva+j9CgguyVbUkdzK9KKEuah+pFZvaugtebsU+bllPTB0nlXGIJk98Ie9ZtxuY3nCKneB+KjKiXrAvXUPCI9mWkYS/1rggpFmu3HbXBnWSUdf [email protected]

Velg den offentlige nøkkelen, og kopier den til utklippstavlen.

Legg Til Offentlig Nøkkel Til Ny Ekstern Bruker

for å aktivere BRUK AV SSH-nøkkel for å godkjenne som ny ekstern bruker, må du legge til den offentlige nøkkelen til en spesiell fil i brukerens hjemmekatalog.

på serveren, somroot bruker, skriv inn følgende kommando for å bytte til den nye brukeren (erstatt ditt eget brukernavn):

  • su - demo

nå vil du være i den nye brukerens hjemmekatalog.

Opprett en ny katalog kalt.ssh og begrens tillatelsene med følgende kommandoer: 

     
  • mkdir .ssh
    •  
  • chmod 700 .ssh
    •

åpne nå en fil i .ssh kalt authorized_keys med en tekstredigerer. Vi bruker vi til å redigere filen:

  • vi .ssh/authorized_keys

Skriv inn innsatsmodus, ved å trykke i, og skriv deretter inn din offentlige nøkkel (som skal være i utklippstavlen) ved å lime den inn i editoren. Trykk nå ESC for å forlate innsatsmodus.

Skriv inn :x deretter ENTER for å lagre og avslutte filen.

begrens nå tillatelsene til authorized_keys-filen med denne kommandoen: 

  • chmod 600 .ssh/authorized_keys

Skriv inn denne kommandoen en gang for å gå tilbake tilroot bruker: 

  • exit

NÅ kan DU SSH logge inn som din nye bruker, ved hjelp av den private nøkkelen som autentisering.

hvis du vil lese mer om hvordan nøkkelgodkjenning fungerer, kan du lese denne veiledningen: Slik Konfigurerer DU SSH-Nøkkelbasert Godkjenning på En Linux-Server.

Trinn Fem-Konfigurer SSH Daemon

Nå som vi har vår nye konto, kan Vi sikre vår server litt ved å endre SIN SSH daemon konfigurasjon (programmet som lar oss logge inn eksternt) for å forby ekstern SSH tilgang til root-konto.

Begynn med å åpne konfigurasjonsfilen med teksteditoren din som root: 

  • vi /etc/ssh/sshd_config

Her har vi muligheten til å deaktivere root-pålogging VIA SSH. Dette er generelt en sikrere innstilling siden vi nå kan få tilgang til serveren vår via vår vanlige brukerkonto og eskalere privilegier når det er nødvendig.

for å deaktivere eksterne root-pålogginger må vi finne linjen som ser slik ut:

/etc/ssh/sshd_config (før)
#PermitRootLogin yes

Hint: for å søke etter denne linjen, skriv /PermitRoot trykk ENTER. Dette bør bringe markøren til» P » – tegnet på den linjen.

Uncomment linjen ved å slette symbolet » # » (trykk Shift-x).

flytt nå markøren til » ja «ved å trykke c.

erstatt nå «ja» ved å trykke cw, og skriv deretter inn «nei». Hit Escape når du er ferdig med å redigere. Det skal se slik ut:

/ etc / ssh / sshd_config (etter) 
PermitRootLogin no

Deaktivering av ekstern root-pålogging anbefales på alle servere!

Skriv inn :x deretter ENTER for å lagre og avslutte filen.

Reload SSH

Nå som vi har gjort våre endringer, må vi starte SSH-tjenesten slik at den vil bruke vår nye konfigurasjon.

Skriv inn DETTE for å starte SSH PÅ NYTT:

  • systemctl reload sshd

Nå, før vi logger ut av serveren, bør vi teste vår nye konfigurasjon. Vi ønsker ikke å koble fra før vi kan bekrefte at nye tilkoblinger kan etableres med hell.

Åpne et nytt terminalvindu. I det nye vinduet må vi starte en ny tilkobling til serveren vår. Denne gangen, i stedet for å bruke rotkontoen, vil vi bruke den nye kontoen vi opprettet.

for serveren som vi konfigurerte ovenfor, koble til med denne kommandoen. Erstatt din egen informasjon der det er hensiktsmessig:

Notat: Hvis Du bruker PuTTY til å koble til serverne dine, må du oppdatere portnummeret for økten slik at det samsvarer med serverens nåværende konfigurasjon.

Du vil bli bedt om den nye brukerens passord som du konfigurerte. Etter det vil du bli logget inn som din nye bruker.

Husk at hvis du trenger å kjøre en kommando med rotrettigheter, skriv «sudo» før det slik: 

  • sudo command_to_run

Hvis alt er bra, kan du avslutte øktene dine ved å skrive:

  • exit

Hvor Skal Du Gå Herfra?

På dette punktet har du et solid fundament for serveren din. Du kan installere hvilken som helst programvare du trenger på serveren din nå.

hvis du ikke er sikker på hva du vil gjøre med serveren din, sjekk ut neste veiledning i denne serien For Flere Anbefalte Trinn For Nye CentOS 7-Servere. Den dekker ting som å aktiverefail2ban

hvis du bare vil utforske, ta en titt på resten av fellesskapet vårt for å finne flere opplæringsprogrammer. Noen populære ideer konfigurerer EN LAMP-stabel eller EN LEMP-stabel, som vil tillate deg å være vert for nettsteder.

Legg igjen en kommentar

Din e-postadresse vil ikke bli publisert.