RHEL 7-de başlangyç serwer gurmak we konfigurasiýalar
Bu gollanmada, ýalaňaç metal serwerde ýa-da wirtual hususy serwerde Red Hat Enterprise Linux 7 täze gurlandan soň üns bermeli ilkinji konfigurasiýa ädimlerini ara alyp maslahatlaşarys.
- RHEL 7 Minimal gurnama
Üns beriň: CentOS 7 ulanyjylary, CentOS 7-de başlangyç serwer gurmak üçin bu makalany yzarlap bilerler.
RHEL 7 ulgamyny täzeläň
Birinji ädimde, RHEL serwer konsolyňyza kök aýratynlyklary bolan ýa-da gönüden-göni kök hasap bilen giriň we gurnalan paketler, ýadro ýaly ulgam komponentleriňizi doly täzelemek ýa-da beýleki howpsuzlyk ýamalaryny ulanmak üçin aşakdaky buýrugy işlediň.
# yum check-update # yum update
Locallyerli göçürilen paketleri we beýleki degişli YUM keşlerini aýyrmak üçin aşakdaky buýrugy ýerine ýetiriň.
# yum clean all
RHEL 7-de ulgam kömekçi enjamlaryny guruň
Aşakdaky kömekçi enjamlar gündelik ulgam dolandyryşy üçin peýdaly bolup biler: nano (lsof-y çalyşmak üçin tekst redaktory (ýerli ulgamy dolandyrmak üçin kömekçi enjamlar) we baş gutarmak (buýruk setiri awtomatiki).
Aşakdaky buýrugy ýerine ýetirip, hemmesini bir okda guruň.
# yum install nano wget curl net-tools lsof bash-completion
RHEL 7-de set gurmak
RHEL 7, tor konfigurasiýa faýlyny el bilen redaktirlemekden başlap, nmcli ýa-da ugur ýaly buýruklary ulanmaklyga çenli ulgamy sazlamak we dolandyrmak üçin ulanyp boljak gurallaryň giň toparyna eýedir.
Tor konfigurasiýalaryny dolandyrmak we üýtgetmek üçin başlaýanlaryň iň aňsat peýdasy nmtui grafiki buýruk setiri.
Ulgamyň adyny nmtui programmasy arkaly üýtgetmek üçin nmtui-hostname buýrugyny ýerine ýetiriň, aşakdaky skrinshotda görkezilişi ýaly, enjamyňyzyň adyny belläň we gutarmak üçin OK basyň.
# nmtui-hostname
Tor interfeýsini dolandyrmak üçin nmtui-edit buýrugyny ýerine ýetiriň, redaktirlemek isleýän interfeýsiňizi saýlaň we aşakdaky skrinshotda görkezilişi ýaly sag menýudan redaktirlemegi saýlaň.
Nmtui kömekçi enjamy bilen üpjün edilen grafiki interfeýsde bolanyňyzdan soň, aşakdaky skrinshotda görkezilişi ýaly tor interfeýsiniň IP sazlamalaryny gurup bilersiňiz. Gutaranyňyzdan soň, konfigurasiýany saklamak we çykmak üçin [tab] düwmesini ulanyp, OK-a geçiň.
Tor interfeýsiniň täze konfigurasiýasyny ulanmak üçin, nmtui-connect buýrugyny ýerine ýetiriň, dolandyrmak isleýän interfeýsiňizi saýlaň we aşakdaky ekran suratlarynda görkezilişi ýaly IP sazlamalary bilen interfeýsi aýyrmak we ýokarlandyrmak üçin Deactivate/Activate opsiýasyna basyň.
# nmtui-connect
Tor interfeýsiniň sazlamalaryny görmek üçin interfeýs faýlynyň mazmunyny barlap bilersiňiz ýa-da aşakdaky buýruklary berip bilersiňiz.
# ifconfig enp0s3 # ip a # ping -c2 google.com
Tizligi dolandyrmak, ýagdaýy baglanyşdyrmak ýa-da maşyn tor interfeýsleri barada maglumat almak üçin ulanyp boljak beýleki peýdaly enjamlar ettool we mii-guraldyr.
# ethtool enp0s3 # mii-tool enp0s3
Täze ulanyjy hasaby dörediň
Indiki ädimde, serweriňize kök hökmünde gireniňizde, aşakdaky buýruk bilen täze ulanyjy dörediň. Bu ulanyjy soňra ulgamyňyza girmek we administratiw meseleleri ýerine ýetirmek üçin ulanylar.
# adduser tecmint_user
Aboveokardaky buýrugy ulanyp, ulanyjyny goşanyňyzdan soň, aşakdaky buýrugy bermek bilen bu ulanyjy üçin güýçli parol düzüň.
# passwd tecmint_user
Bu täze ulanyjyny ilkinji giriş synanyşygynda parolyny üýtgetmäge mejbur etmek isleýän ýagdaýyňyzda aşakdaky buýrugy ýerine ýetiriň.
# chage -d0 tecmint_user
Bu täze ulanyjy hasaby häzirlikçe yzygiderli hasap artykmaçlyklaryna eýedir we sudo buýrugy arkaly administratiw işleri ýerine ýetirip bilmez.
Dolandyryş aýratynlyklaryny ýerine ýetirmek üçin kök hasaby ulanmazlyk üçin, bu täze ulanyja ulanyjyny tigir ulgam toparyna goşmak bilen administratiw artykmaçlyklary beriň.
“Tigir” toparyna girýän ulanyjylara, RHEL-de, ýerine ýetirmek üçin zerur buýrugy ýazmazdan ozal sudo kömekçi programmasyny ulanyp, kök aýratynlyklary bolan buýruklary işletmäge rugsat berilýär.
Mysal üçin, ulanyjyny teker toparyna\tekmint_user goşmak üçin aşakdaky buýrugy ýerine ýetiriň.
# usermod -aG wheel tecmint_user
Ondan soň, täze ulanyjy bilen ulgama giriň we ulanyjynyň kök ygtyýarlyklarynyň bardygyny ýa-da ýokdugyny barlamak üçin ulgamy “sudo yum update” buýrugy bilen täzelemäge synanyşyň.
# su - tecmint_user $ sudo yum update
RHEL 7-de SSH köpçülikleýin açar tassyklamasyny sazlaň
RHEL hyzmatyny ýokarlandyrmak üçin indiki ädimde, täze ulanyjy üçin SSH açar tassyklamasyny düzüň. Jemgyýetçilik we şahsy açar SSH açar jübütini döretmek üçin serwer konsolyňyzda aşakdaky buýrugy ýerine ýetiriň. SSH açaryny gurýan ulanyjy bilen sistema girendigiňize göz ýetiriň.
# su - tecmint_user $ ssh-keygen -t RSA
Düwme döredilende, açary goramak üçin parol sözüni goşmak soralar. SSH serweri arkaly meseleleri awtomatlaşdyrmak isleseňiz, güýçli parol girizip bilersiňiz ýa-da parol sözüni boş goýup bilersiňiz.
SSH açary döredilenden soň, aşakdaky buýrugy ýerine ýetirip, açyk açar jübütini uzak serwere göçüriň. Uzakdaky SSH serwerine açyk açary gurmak üçin, şol serwere girmek üçin şahsyýetnamasy bolan ulanyjy hasaby gerek bolar.
$ ssh-copy-id [email
Indi tassyklamak usuly hökmünde şahsy açary ulanyp, SSH arkaly uzakdaky serwere girmäge synanyşmaly. SSH serwerinden parol soramazdan awtomatiki girip bilmeli.
$ ssh [email
Jemgyýetçilik SSH açaryňyzyň mazmunyny görmek üçin açary uzakdaky SSH serwerine el bilen gurmak isleseňiz, aşakdaky buýrugy beriň.
$ cat ~/.ssh/id_rsa
RHEL 7-de ygtybarly SSH
SSH daemonyny goramak we uzakdan SSH-iň parol ýa-da açar arkaly kök hasabyna girmegini gadagan etmek üçin SSH serweriniň esasy konfigurasiýa faýlyny açyň we aşakdaky üýtgeşmeleri giriziň.
$ sudo vi /etc/ssh/sshd_config
#PermitRootLogin setirini gözläň hawa, setiriň başyndan # belgisini (hastagy) aýyryp, setiri aşakdaky bölekde görkezilişi ýaly üýtgediň.
PermitRootLogin no
Ondan soň, täze sazlamalary ulanmak we kök hasaby bilen bu serwere girmäge synanyşyp konfigurasiýany barlamak üçin SSH serwerini täzeden açyň. SSH arkaly kök hasaby açmak häzirlikçe çäklendirilmeli.
$ sudo systemctl restart sshd
Birneme hereketsizlikden soň ähli uzakdaky SSH birikmelerini serweriňize awtomatiki aýyrmak isleýän ýagdaýlaryňyz bar.
Bu aýratynlygy tutuş ulgamda işletmek üçin, esasy bashrc faýlyna TMOUT bash üýtgeýjisini goşýan we 5 minutlyk hereketsizlikden soň her SSH birikmesini kesmäge ýa-da taşlamaga mejbur edýän aşakdaky buýrugy ýerine ýetiriň.
$ su -c 'echo "TMOUT=300" >> /etc/bashrc'
Üýtgeýjiniň/etc/bashrc faýlynyň soňunda dogry goşulandygyny ýa-da ýokdugyny barlamak üçin guýruk buýrugyny işlediň. Soňky ähli SSH birikmeleri mundan beýläk 5 minut hereketsizlikden soň awtomatiki usulda ýapylar.
$ tail /etc/bashrc
Aşakdaky skrinshotda, drupal maşyndan RHEL serwerine çenli uzakdaky SSH sessiýasy 5 minutdan soň awtomatiki usulda çykdy.
Firewall-y RHEL 7-de sazlaň
Indiki ädimde ulgamy ulgam derejesinde has ygtybarly üpjün etmek üçin gorag diwaryny düzüň. RHEL 7 serwerdäki iptables düzgünlerini dolandyrmak üçin Firewalld programmasy bilen iberilýär.
Ilki bilen, aşakdaky buýrugy bermek bilen gorag diwary ulgamyňyzda işleýändigine göz ýetiriň. “Firewalld” daimi duruzylsa, ony aşakdaky buýruk bilen başlamaly.
$ sudo systemctl status firewalld $ sudo systemctl start firewalld $ sudo systemctl enable firewalld
Gorag diwary işledilenden we ulgamyňyzda işledilenden soň, gorag diwary syýasaty baradaky maglumatlary düzmek we SSH daemony, içerki web serwerine ýa-da başga birine birikdirilen käbir belli port portlaryna traffige rugsat bermek üçin firewall-cmd buýruk setirini ulanyp bilersiňiz. baglanyşykly ulgam hyzmatlary.
Sebäbi häzirki wagtda serwerimizde diňe SSH daemonyny işleýäris, aşakdaky buýrugy bermek bilen SSH hyzmat porty üçin traffige rugsat bermek üçin gorag diwary syýasatyny sazlap bileris.
$ sudo firewall-cmd --add-service=ssh --permanent $ sudo firewall-cmd --reload
Uçuşda gorag diwary düzgünini goşmak üçin indiki gezek serwer işe başlanda düzgüni ulanmazdan aşakdaky buýruk sintaksisini ulanyň.
$ sudo firewall-cmd --add-service=sshd
Serweriňize HTTP serweri, poçta serweri ýa-da beýleki ulgam hyzmatlary ýaly beýleki ulgam hyzmatlaryny gursaňyz, anyk baglanyşyklara aşakdaky ýaly rugsat bermek üçin düzgünler goşup bilersiňiz.
$ sudo firewall-cmd --permanent --add-service=http $ sudo firewall-cmd --permanent --add-service=https $ sudo firewall-cmd --permanent --add-service=smtp
Gorag diwarynyň ähli düzgünlerini sanamak üçin aşakdaky buýrugy işlediň.
$ sudo firewall-cmd --permanent --list-all
RHEL 7-de gerekmejek hyzmatlary aýyryň
RHEL serweriňizde işleýän ähli ulgam hyzmatlarynyň (TCP we UDP) sanawyny almak üçin aşakdaky nusgada görkezilişi ýaly ss buýrugyny beriň.
$ sudo ss -tulpn
Ss buýrugy, Postfix baş hyzmaty we NTP protokoly üçin jogapkär serwer ýaly ulgamyňyzda başlanan we işleýän käbir gyzykly hyzmatlary ýüze çykarar.
Bu serweri poçta serwerini düzmek islemeýän bolsaňyz, aşakdaky buýruklary bermek bilen Postfiks daemonyny duruzmaly, öçürmeli we aýyrmaly.
$ sudo systemctl stop postfix.service $ sudo yum remove postfix
Recentlyakynda, NTP protokolyna käbir nejis DDOS hüjümleri habar berildi. Içerki müşderileriň bu serwer bilen wagty sinhronlamak üçin RHEL serweriňizi NTP serweri hökmünde işlemegi meýilleşdirmeýän bolsaňyz, aşakdaky buýruklary çykaryp, Hroniýa daemonyny doly öçürmeli we aýyrmaly.
$ sudo systemctl stop chronyd.service $ sudo yum remove chrony
Againene-de ulgamyňyzda beýleki ulgam hyzmatlarynyň işleýändigini ýa-da ýokdugyny anyklamak we olary öçürmek we aýyrmak üçin ss buýrugyny işlediň.
$ sudo ss -tulpn
Serweriňiz üçin takyk wagt bermek we wagtyňyzy ýokary derejeli deň-duş serweri bilen sinhronlamak üçin, aşakdaky buýruklary ýerine ýetirip, ntpdate kömekçi programmasyny gurup we umumy NTP serweri bilen sinhronlap bilersiňiz.
$ sudo yum install ntpdate $ sudo ntpdate 0.uk.pool.ntp.org
Her gün ulanyjynyň päsgel bermezden ýerine ýetirilmegi üçin ntpdate wagty sinhronlamak buýrugyny awtomatlaşdyrmak üçin, aşakdaky mazmun bilen ýary gije işlemek üçin täze “crontab” işini düzüň.
$ sudo crontab -e
“Crontab” faýlyň bölegi:
@daily /usr/sbin/ntpdate 0.uk.pool.ntp.org
Bu hemmesi! Indi, RHEL serweri, web serwerini, maglumat bazasynyň serwerini, faýl paýlaşma hyzmatyny ýa-da başga belli programmalary gurmak we düzmek ýaly ýörite ulgam hyzmatlary ýa-da amaly programmalar üçin zerur goşmaça programma üpjünçiligini gurmaga taýyn.
RHEL 7 serwerini has ygtybarly we berkitmek üçin aşakdaky makalalary gözden geçiriň.
- Harden we ygtybarly RHEL 7 üçin Mega gollanmasy - 1-nji bölüm
- Harden we ygtybarly RHEL 7 üçin Mega gollanmasy - 2-nji bölüm
Bu RHEL 7 ulgamynda web sahypalaryny ýerleşdirmek isleýän bolsaňyz, LEMP stakasyny nädip gurmalydygyny we sazlamalydygyny öwreniň.