Serye sa RHCSA: Pagsiguro sa SSH, Pag-set sa Hostname ug Pagpaandar sa Mga Serbisyo sa Network - Bahin 8


Ingon usa ka tagdumala sa sistema kanunay ka nga kinahanglan nga mag-log on sa mga hilit nga sistema aron mahimo ang lainlaing mga buluhaton sa pagdumala gamit ang usa ka terminal emulator. Panagsa ra ka maglingkod sa atubangan sa usa ka tinuod (pisikal) nga terminal, mao nga kinahanglan nimo nga maghimo usa ka paagi aron maka-log on sa layo sa mga makina nga hangyoon ka nga dumalahon.

Sa tinuud, tingali kana ang katapusan nga butang nga kinahanglan nimong buhaton sa atubangan sa usa ka pisikal nga terminal. Alang sa mga hinungdan sa seguridad, ang paggamit sa Telnet alang niini nga katuyoan dili maayo nga ideya, tungod kay ang tanan nga trapiko moagi sa wire sa wala ma-encrypt, yano nga teksto.

Dugang pa, sa niini nga artikulo atong repasohon usab kung giunsa ang pag-configure sa mga serbisyo sa network aron awtomatiko nga magsugod sa boot ug mahibal-an kung giunsa ang pag-set up sa network ug hostname nga resolusyon sa statically o dinamikong.

Pag-instalar ug Pagsiguro sa SSH Communication

Aron maka-log on ka sa layo sa usa ka kahon sa RHEL 7 gamit ang SSH, kinahanglan nimo nga i-install ang openssh, openssh-clients ug openssh-servers nga mga pakete. Ang mosunod nga sugo dili lamang mag-instalar sa hilit nga programa sa pag-login, kondili usab ang luwas nga himan sa pagbalhin sa file, ingon man ang hilit nga file copy utility:

# yum update && yum install openssh openssh-clients openssh-servers

Timan-i nga maayo nga ideya nga i-install ang mga katugbang sa server ingon nga gusto nimo gamiton ang parehas nga makina sama sa kliyente ug server sa usa ka punto o sa lain.

Pagkahuman sa pag-instalar, adunay usa ka pares nga sukaranan nga mga butang nga kinahanglan nimong tagdon kung gusto nimo nga makuha ang hilit nga pag-access sa imong SSH server. Ang mosunod nga mga setting kinahanglang anaa sa /etc/ssh/sshd_config file.

1. Usba ang pantalan diin ang sshd daemon maminaw gikan sa 22 (ang default nga bili) ngadto sa taas nga pantalan (2000 o mas dako), apan siguroha una nga ang gipili nga pantalan wala gigamit.

Pananglitan, ibutang nato nga imong pilion ang port 2500. Gamita ang netstat aron masusi kung ang gipili nga pantalan gigamit o wala:

# netstat -npltu | grep 2500

Kung ang netstat wala magbalik bisan unsa, mahimo nimong luwas nga magamit ang port 2500 para sa sshd, ug kinahanglan nimo nga usbon ang setting sa Port sa configuration file sama sa mosunod:

Port 2500

2. Itugot lang ang protocol 2:

Protocol 2

3. I-configure ang authentication timeout ngadto sa 2 minutos, ayaw itugot ang root logins, ug limitahan sa labing gamay ang listahan sa mga user nga gitugotan sa pag-login pinaagi sa ssh:

LoginGraceTime 2m
PermitRootLogin no
AllowUsers gacanepa

4. Kung mahimo, gamita ang key-based imbes nga password authentication:

PasswordAuthentication no
RSAAuthentication yes
PubkeyAuthentication yes

Nagtuo kini nga nakahimo ka na og key pair sa imong user name sa imong kliyente nga makina ug gikopya kini sa imong server sama sa gipatin-aw dinhi.

  1. Enable SSH Passwordless Login

Pag-configure sa Networking ug Resolution sa Ngalan

1. Ang matag tigdumala sa sistema kinahanglan nga makahibalo pag-ayo sa mosunod nga mga file sa pag-configure sa tibuok sistema:

  1. /etc/hosts kay gigamit sa pagsulbad sa mga ngalan <---> IPs sa gagmayng network.

Matag linya sa /etc/hosts file adunay mosunod nga istruktura:

IP address - Hostname - FQDN

Pananglitan,

192.168.0.10	laptop	laptop.gabrielcanepa.com.ar

2. Ang /etc/resolv.conf nagtino sa mga IP address sa mga DNS server ug sa domain sa pagpangita, nga gigamit sa pagkompleto sa gihatag nga ngalan sa pangutana sa usa ka hingpit nga kwalipikado nga domain name kung walay domain suffix nga gihatag.

Ubos sa normal nga mga kahimtang, dili nimo kinahanglan nga usbon kini nga file tungod kay kini gidumala sa sistema. Bisan pa, kung gusto nimo usbon ang mga DNS server, pahibaloa nga kinahanglan nimo nga sundon ang mosunud nga istruktura sa matag linya:

nameserver - IP address

Pananglitan,

nameserver 8.8.8.8

3. 3. Ang /etc/host.conf nagtino sa mga pamaagi ug sa han-ay diin ang mga hostname masulbad sulod sa usa ka network. Sa laing pagkasulti, gisultihan ang ngalan nga solver kung unsang mga serbisyo ang gamiton, ug sa unsang pagkasunod-sunod.

Bisan kung kini nga file adunay daghang mga kapilian, ang labing kasagaran ug sukaranan nga pag-setup naglakip sa usa ka linya sama sa mosunod:

order bind,hosts

Nga nagpaila nga ang solver kinahanglan una nga motan-aw sa mga nameserver nga gitakda sa resolv.conf ug dayon sa /etc/hosts file alang sa resolusyon sa ngalan.

4. /etc/sysconfig/network adunay routing ug global host information para sa tanang network interface. Ang mosunod nga mga bili mahimong gamiton:

NETWORKING=yes|no
HOSTNAME=value

Diin ang bili kinahanglan mao ang Fully Qualified Domain Name (FQDN).

GATEWAY=XXX.XXX.XXX.XXX

Diin ang XXX.XXX.XXX.XXX mao ang IP address sa gateway sa network.

GATEWAYDEV=value

Sa usa ka makina nga adunay daghang NIC, ang bili mao ang gateway device, sama sa enp0s3.

5. Mga file sulod sa /etc/sysconfig/network-scripts (network adapters configuration files).

Sa sulod sa direktoryo nga gihisgutan kaniadto, makit-an nimo ang daghang yano nga mga file sa teksto nga ginganlan.

ifcfg-name

Diin ang ngalan mao ang ngalan sa NIC nga gibalik sa ip link show:

Pananglitan:

Gawas sa interface sa loopback, makadahom ka og susamang configuration para sa imong NICs. Timan-i nga pipila ka mga baryable, kung itakda, mo-override niadtong anaa sa /etc/sysconfig/network para niining partikular nga interface. Ang matag linya gikomentohan alang sa pagpatin-aw niini nga artikulo apan sa aktuwal nga file kinahanglan nimong likayan ang mga komento:

HWADDR=08:00:27:4E:59:37 # The MAC address of the NIC
TYPE=Ethernet # Type of connection
BOOTPROTO=static # This indicates that this NIC has been assigned a static IP. If this variable was set to dhcp, the NIC will be assigned an IP address by a DHCP server and thus the next two lines should not be present in that case.
IPADDR=192.168.0.18
NETMASK=255.255.255.0
GATEWAY=192.168.0.1
NM_CONTROLLED=no # Should be added to the Ethernet interface to prevent NetworkManager from changing the file.
NAME=enp0s3
UUID=14033805-98ef-4049-bc7b-d4bea76ed2eb
ONBOOT=yes # The operating system should bring up this NIC during boot

Pagbutang sa mga Hostname

Sa Red Hat Enterprise Linux 7, ang hostnamectl command gigamit sa pagpangutana ug pagtakda sa hostname sa system.

Aron ipakita ang kasamtangan nga hostname, i-type ang:

# hostnamectl status

Aron usbon ang hostname, gamita

# hostnamectl set-hostname [new hostname]

Pananglitan,

# hostnamectl set-hostname cinderella

Aron ma-epekto ang mga pagbag-o kinahanglan nimo nga i-restart ang hostname nga daemon (sa ingon nga paagi dili ka kinahanglan nga mag-log-off ug mag-usab aron magamit ang pagbag-o):

# systemctl restart systemd-hostnamed

Dugang pa, ang RHEL 7 naglakip usab sa nmcli utility nga magamit alang sa parehas nga katuyoan. Aron ipakita ang hostname, pagdagan:

# nmcli general hostname

ug sa pag-ilis niini:

# nmcli general hostname [new hostname]

Pananglitan,

# nmcli general hostname rhel7

Pagsugod sa Mga Serbisyo sa Network sa Boot

Sa pagtapos, tan-awon naton kung giunsa naton masiguro nga ang mga serbisyo sa network awtomatikong nagsugod sa pag-boot. Sa yano nga mga termino, kini gihimo pinaagi sa paghimo og mga symlink sa pipila ka mga file nga gitakda sa [Install] nga seksyon sa mga file sa pag-configure sa serbisyo.

Sa kaso sa firewalld (/usr/lib/systemd/system/firewalld.service):

[Install]
WantedBy=basic.target
Alias=dbus-org.fedoraproject.FirewallD1.service

Aron mahimo ang serbisyo:

# systemctl enable firewalld

Sa laing bahin, ang pagpugong sa firewalld adunay katungod sa pagtangtang sa mga symlink:

# systemctl disable firewalld

Konklusyon

Niini nga artikulo gi-summarize namo kung unsaon pag-instalar ug pagsiguro sa mga koneksyon pinaagi sa SSH ngadto sa RHEL server, unsaon pag-ilis sa ngalan niini, ug sa katapusan kung unsaon pagsiguro nga ang mga serbisyo sa network nagsugod sa boot. Kung namatikdan nimo nga ang usa ka serbisyo napakyas sa pagsugod sa husto, mahimo nimong gamiton ang systemctl status -l [serbisyo] ug journalctl -xn aron masulbad kini.

Mobati nga gawasnon nga ipahibalo kanamo kung unsa ang imong gihunahuna bahin sa kini nga artikulo gamit ang porma sa komento sa ubos. Gidawat usab ang mga pangutana. Kami nagpaabut nga makadungog gikan kanimo!