Začetna namestitev strežnika s CentOS/RHEL 8

V tem članku vas bomo vodili skozi prve osnovne korake, ki jih morate uporabiti po namestitvi minimalnega strežnika CentOS/RHEL 8 brez grafičnega okolja, da pridobite informacije o nameščenem sistemu, strojna oprema na vrhu strežnika se izvaja in konfigurira druge posebne sistemske naloge, kot so posodobitev sistema, mreženje, korenske pravice, konfiguriranje ssh, upravljanje storitev in druge.

  1. Priročnik za namestitev CentOS 8
  2. RHEL 8 Minimalna namestitev
  3. Omogočite naročnino RHEL v RHEL 8

Pomembno: Na strežniku RHEL 8 morate imeti omogočeno storitev naročnine Red Hat, da lahko izvajate posodobitve sistema in namestitev programske opreme.

1. korak: Posodobite sistemsko programsko opremo

Najprej se prijavite v strežnik kot korenski uporabnik in zaženite naslednje ukaze, da v celoti posodobite sistem z najnovejšim jedrom, varnostnimi popravki sistema, repozitoriji programske opreme in paketi.

# dnf check-update
# dnf update

Ko se postopek nadgradnje programske opreme konča, lahko z sprostitvijo prostora na disku izbrišete vse prenesene programske pakete z vsemi informacijami o predpomnjenih repozitorijih z zagonom naslednjega ukaza.

# dnf clean all

2. korak: Namestite sistemske pripomočke

Naslednji sistemski pripomočki so lahko zelo koristni za vsakodnevne naloge skrbništva sistema: bash-zaključek (samodokončanje ukazne vrstice).

# dnf install nano vim wget curl net-tools lsof bash-completion

3. korak: Nastavite ime gostitelja in omrežje

V CentOS/RHEL 8 je v odlagališčih na voljo široko paleto orodij, ki so se uporabljala za konfiguriranje in upravljanje omrežja, od ročnega spreminjanja omrežne konfiguracijske datoteke do uporabe ukazov, kot je nmtui.

Najlažji pripomoček, ki ga lahko novinec uporablja za konfiguriranje in upravljanje omrežnih konfiguracij, kot je nastavitev imena gostitelja omrežja in konfiguriranje statičnega naslova IP, je uporaba pripomočka za grafično ukazno vrstico nmtui.

Če želite nastaviti ali spremeniti sistemsko ime gostitelja, zaženite naslednji ukaz nmtui-hostname, ki vas bo pozval, da vnesete ime gostitelja računalnika in za dokončanje pritisnite OK, kot je prikazano na spodnjem posnetku zaslona.

# nmtui-hostname

Če želite konfigurirati omrežni vmesnik, zaženite naslednji ukaz nmtui-edit, ki vas bo pozval, da v meniju izberete vmesnik, ki ga želite konfigurirati, kot je prikazano na spodnjem posnetku zaslona.

# nmtui-edit

Ko kliknete gumb Uredi, vas bo pozval, da nastavite nastavitve IP omrežnega vmesnika, kot je prikazano na spodnji sliki zaslona. Ko končate, s tipko [tab] pojdite na OK, da shranite konfiguracijo in zaprete.

Ko končate z omrežno konfiguracijo, morate zagnati naslednji ukaz, da uporabite nove omrežne nastavitve, tako da izberete vmesnik, ki ga želite upravljati, in pritisnite možnost Deactivate/Activate za razgradnjo in prikaz vmesnika z nastavitvami IP, kot je predstavljeno na spodnjem posnetku zaslona.

# nmtui-connect

Če želite preveriti nastavitve omrežne konfiguracije, lahko preverite vsebino datoteke vmesnika ali izdate spodnje ukaze.

# ifconfig enp0s3
# ip a
# ping -c2 google.com

Uporabite lahko tudi druge uporabne omrežne pripomočke, kot sta ettool in mii-tool, da preverite hitrost omrežnega vmesnika, stanje omrežne povezave in pridobite informacije o omrežnih vmesnikih stroja.

# ethtool enp0s3
# mii-tool enp0s3

Pomemben vidik omrežja vaše naprave je, da je pomembno našteti vse datoteke, ki jih odprejo procesi.

# netstat -tulpn
# ss -tulpn
# lsof -i4 -6

4. korak: Ustvarite nov uporabniški račun

Vedno je priporočljivo imeti običajnega uporabnika s korenskimi dovoljenji za izvajanje skrbniških nalog, kadar je to potrebno. Če želite običajnemu uporabniku dodeliti korenske privilegije, najprej ustvarite uporabnika z ukazom useradd, nastavite geslo in dodajte uporabnika v skupino skrbniških koles.

# useradd ravisaive
# passwd ravisaive
# usermod -aG wheel ravisaive

Če želite preveriti, ali ima novi uporabnik korenske privilegije, se v sistem prijavite s poverilnicami uporabnika in zaženite ukaz dnf z dovoljenji Sudo, kot je prikazano.

# su - ravisaive
# sudo dnf update

5. korak: Nastavite SSH prijavo brez gesla na CentOS 8

Če želite povečati varnost strežnika, za novega uporabnika nastavite overjanje brez gesla SSH tako, da ustvarite par ključev SSH, ki vsebuje javni in zasebni ključ, vendar ga morate ustvariti. To bo povečalo varnost vašega strežnika z zahtevo zasebnega SSH ključa za povezavo s sistemom.

# su - ravisaive
$ ssh-keygen -t RSA

Ko je ključ ustvarjen, vas bo pozval, da vnesete geslo, da zaščitite zasebni ključ. Če želite avtomatizirati skrbniške naloge prek strežnika SSH, lahko vnesete močno geslo ali ga pustite prazno.

Ko je ključ SSH ustvarjen, morate generirani par javnih ključev kopirati na oddaljeni strežnik tako, da zaženete ukaz ssh-copy-id z uporabniškim imenom in naslovom IP oddaljenega strežnika, kot je prikazano.

$ ssh-copy-id [email 

Ko je ključ SSH kopiran, se lahko zdaj poskusite prijaviti v oddaljeni strežnik Linux z uporabo zasebnega ključa kot metode preverjanja pristnosti. Morali bi se imeti možnost samodejne prijave, ne da bi strežnik SSH zahteval geslo.

$ [email 

6. korak: Zaščita oddaljenih prijav SSH

Tu bomo naš strežnik še malo zavarovali z onemogočanjem oddaljenega dostopa SSH do korenskega računa v konfiguracijski datoteki SSH.

# vi /etc/ssh/sshd_config

Poiščite vrstico, v kateri piše #PermitRootLogin yes , razkomentirajte vrstico, tako da izbrišete # z začetka vrstice in spremenite vrstico v.

PermitRootLogin no

Nato znova zaženite strežnik SSH, da uveljavite nedavne nove spremembe.

# systemctl restart sshd

Zdaj preverite konfiguracijo tako, da se poskusite prijaviti kot korenski račun, dobili boste dostop do napake SSH Permissions Denied, kot je prikazano.

# ssh [email 

Obstajajo scenariji, ko boste morda želeli samodejno odklopiti vse oddaljene SSH povezave s strežnikom po določenem obdobju nedejavnosti.

7. korak: Konfigurirajte požarni zid na CentOS 8

V CentOS/RHEL 8 je privzeti požarni zid Firewalld, ki se uporablja za upravljanje pravil iptables na strežniku. Če želite na strežniku omogočiti in zagnati storitev požarnega zidu, zaženite naslednje ukaze.

# systemctl enable firewalld
# systemctl start firewalld
# systemctl status firewalld

Če želite odpreti dohodno povezavo z določeno storitvijo (SSH), morate najprej preveriti, ali je storitev prisotna v pravilih požarnega zidu, nato pa dodati pravilo za storitev tako, da dodate --permanent preklopite na ukaze, kot je prikazano.

# firewall-cmd --add-service=[tab]  #List services
# firewall-cmd --add-service=ssh
# firewall-cmd --add-service=ssh --permanent

Če želite odpreti dohodne povezave z drugimi omrežnimi storitvami, kot sta HTTP ali SMTP, dodajte pravila, kot je prikazano, tako da navedete ime storitve.

# firewall-cmd --permanent --add-service=http
# firewall-cmd --permanent --add-service=https
# firewall-cmd --permanent --add-service=smtp

Če si želite ogledati vsa pravila požarnega zidu na strežniku, zaženite naslednji ukaz.

# firewall-cmd --permanent --list-all

Korak 8: Odstranite neželene storitve v CentOS 8

Po namestitvi svežega strežnika CentOS/RHEL 8 toplo priporočamo, da odstranite in onemogočite neželene storitve, ki se privzeto izvajajo na strežniku, da zmanjšate napade na strežnik.

Če želite na strežniku navesti vse izvajane omrežne storitve, vključno s TCP in UDP, zaženite ukaz netstat, kot je prikazano v spodnjem primeru.

# ss -tulpn
OR
# netstat -tulpn

Zgornji ukazi bodo navedli nekatere zanimive storitve, ki se privzeto izvajajo na strežniku, na primer poštni strežnik Postfix. Če na strežniku ne nameravate gostiti poštnega sistema, ga morate ustaviti in odstraniti iz sistema, kot je prikazano.

# systemctl stop postfix
# systemctl disable postfix
# dnf remove postfix

Poleg ukazov top ali pstree za odkrivanje in prepoznavanje vseh neželenih storitev ter njihovo odstranjevanje iz sistema.

# dnf install psmisc
# pstree -p

9. korak: Upravljanje storitev v CentOS 8

V CentOS/RHEL 8 se z vsemi storitvami in demoni upravlja prek ukaza systemctl in s tem ukazom lahko seznam vseh aktivnih, zagnanih, zapuščenih ali neuspešnih storitev.

# systemctl list-units

Če želite preveriti, ali je demon ali storitev samodejno omogočena med zagonom sistema, izdajte naslednji ukaz.

# systemctl list-unit-files -t service

Če želite izvedeti več o ukazu systemctl, preberite članek, v katerem je razloženo - Kako upravljati storitve s sistemom Systemctl v Linuxu.

To je vse! V tem članku smo razložili nekaj osnovnih nastavitev in ukazov, ki jih mora vsak sistemski skrbnik sistema Linux poznati in uporabiti na sveže nameščenem sistemu CentOS/RHEL 8 ali za izvajanje vsakodnevnih nalog v sistemu.