Inisyal nga Pag-setup ug Pag-configure sa Server sa RHEL 7
Sa kini nga panudlo among hisgutan ang una nga mga lakang sa pag-configure nga kinahanglan nimo nga atimanon pagkahuman sa usa ka bag-ong pag-install sa Red Hat Enterprise Linux 7 sa usa ka hubo nga metal-server o sa usa ka Virtual Private Server.
- RHEL 7 Minimal nga Pag-instalar
Importante: Ang mga tiggamit sa CentOS 7, mahimong mosunod niini nga artikulo aron makahimo og Initial Server Setup sa CentOS 7.
Pag-update sa RHEL 7 System
Sa una nga lakang pag-log in sa imong RHEL server console nga adunay usa ka account nga adunay mga pribilehiyo sa gamut o direkta ingon gamut ug dagan ang mando sa ubos aron hingpit nga ma-update ang imong mga sangkap sa sistema, sama sa mga na-install nga pakete, ang kernel o pag-apply sa uban pang mga patch sa seguridad.
# yum check-update # yum update
Aron matangtang ang tanang lokal nga na-download nga mga pakete ug uban pang may kalabutan nga YUM caches, ipatuman ang ubos nga sugo.
# yum clean all
I-install ang System Utilities sa RHEL 7
Kining mosunod nga mga utilities mahimong mapamatud-an nga mapuslanon alang sa adlaw-adlaw nga pagdumala sa sistema: nano (text editor aron ilisan ang lsof (mga utility alang sa pagdumala sa lokal nga networking) ug bash-completion (command line autocomplete).
I-install silang tanan sa usa ka shot pinaagi sa pagpatuman sa ubos nga mando.
# yum install nano wget curl net-tools lsof bash-completion
I-setup ang Networking sa RHEL 7
Ang RHEL 7 adunay daghang halapad nga mga himan nga magamit sa pag-configure ug pagdumala sa networking, gikan sa mano-mano nga pag-edit sa network configuration file hangtod sa paggamit sa mga command sama sa nmcli o ruta.
Ang pinakasayon nga utility nga magamit sa usa ka bag-ohan sa pagdumala ug pag-usab sa mga configuration sa network mao ang nmtui graphical command line.
Aron mabag-o ang hostname sa system pinaagi sa nmtui utility, ipatuman ang nmtui-hostname nga mando, itakda ang imong hostname sa makina ug pindota ang OK aron mahuman, ingon sa gihulagway sa screenshot sa ubos.
# nmtui-hostname
Aron mamanipula ang usa ka interface sa network, ipatuman ang nmtui-edit nga mando, pilia ang interface nga gusto nimo i-edit ug pilia ang pag-edit gikan sa tuo nga menu, ingon sa gipakita sa screenshot sa ubos.
Kung naa ka sa graphical interface nga gihatag sa nmtui utility mahimo nimong i-setup ang mga setting sa IP interface sa network sama sa gihulagway sa screenshot sa ubos. Kung mahuman ka, navigate sa OK gamit ang [tab] key aron i-save ang configuration ug mohunong.
Aron magamit ang interface sa network nga bag-ong configuration, ipatuman ang nmtui-connect command, pilia ang interface nga gusto nimong pagdumala ug i-hit ang Deactivate/Activate nga kapilian sa pag-decommission ug pagpataas sa interface gamit ang IP settings, sama sa gipakita sa ubos nga mga screenshot.
# nmtui-connect
Aron matan-aw ang mga setting sa interface sa network, mahimo nimong susihon ang sulud sa file sa interface o mahimo nimong i-isyu ang mga mando sa ubos.
# ifconfig enp0s3 # ip a # ping -c2 google.com
Ang ubang mapuslanong mga utilities nga magamit sa pagdumala sa katulin, link state o pagkuha og impormasyon bahin sa machine network interface mao ang ethtool ug mii-tool.
# ethtool enp0s3 # mii-tool enp0s3
Paghimo Bag-ong User Account
Sa sunod nga lakang, samtang naka-log in isip gamut sa imong server, paghimo og bag-ong user nga adunay ubos nga sugo. Kini nga tiggamit gamiton sa ulahi sa pag-login sa imong sistema ug paghimo sa mga buluhaton sa pagdumala.
# adduser tecmint_user
Human nimo idugang ang user gamit ang sugo sa ibabaw, pag-setup og lig-on nga password alang niini nga user pinaagi sa pag-isyu sa ubos nga sugo.
# passwd tecmint_user
Sa mga kaso diin gusto nimong pugson kining bag-ong user nga usbon ang password niini sa una nga pagsulay sa pag-log in, ipatuman ang sugo sa ubos.
# chage -d0 tecmint_user
Kining bag-ong user account nga adunay regular nga mga pribilihiyo sa account sa pagkakaron ug dili makahimo sa administratibong mga buluhaton pinaagi sa sudo command.
Aron malikayan ang paggamit sa root account alang sa pagbuhat sa mga pribilehiyo sa administratibo, ihatag kining bag-ong tiggamit og mga pribilehiyong administratibo pinaagi sa pagdugang sa user ngadto sa grupo sa sistema nga \wheel.
Ang mga tiggamit nga sakop sa ligid nga grupo gitugotan, sa default sa RHEL, sa pagpadagan sa mga sugo nga adunay mga pribilehiyo sa gamut pinaagi sa paggamit sa sudo utility sa dili pa isulat ang sugo nga gikinahanglan alang sa pagpatuman.
Pananglitan, aron idugang ang user nga \tecmint_user sa grupo nga \wheel, ipatuman ang sugo sa ubos.
# usermod -aG wheel tecmint_user
Pagkahuman, pag-login sa sistema kauban ang bag-ong tiggamit ug sulayi nga i-update ang sistema pinaagi sa mando nga 'sudo yum update' aron masulayan kung ang tiggamit adunay gihatag nga gahum sa gamut.
# su - tecmint_user $ sudo yum update
I-configure ang SSH Public Key Authentication sa RHEL 7
Sa sunod nga lakang aron madugangan ang imong seguridad sa serbisyo sa RHEL, i-configure ang SSH public key authentication para sa bag-ong user. Aron makamugna og SSH Key Pair, ang publiko ug pribado nga yawe, ipatuman ang mosunod nga sugo sa imong server console. Siguroha nga naka-log in ka sa sistema uban sa user nga imong gi-set up ang SSH key.
# su - tecmint_user $ ssh-keygen -t RSA
Samtang ang yawe gihimo, ikaw pagaaghaton sa pagdugang sa passphrase aron masiguro ang yawe. Mahimo nimong isulod ang kusgan nga passphrase o pilion nga biyaan ang passphrase nga blangko kung gusto nimo i-automate ang mga buluhaton pinaagi sa SSH server.
Human mamugna ang SSH key, kopyaha ang public key pair ngadto sa layo nga server pinaagi sa pagpatuman sa ubos nga sugo. Aron ma-install ang publiko nga yawe sa hilit nga SSH server kinahanglan nimo ang usa ka account sa gumagamit nga adunay mga kredensyal aron maka-log in sa kana nga server.
$ ssh-copy-id [email
Karon kinahanglan nimong sulayan ang pag-login pinaagi sa SSH sa hilit nga server gamit ang pribado nga yawe ingon pamaagi sa pag-authenticate. Kinahanglan nga makahimo ka sa awtomatikong pag-log in nga wala ang SSH server nga nangayo og password.
$ ssh [email
Aron makita ang sulod sa imong publikong SSH nga yawe kung gusto nimo nga mano-mano nga i-install ang yawe sa usa ka layo nga SSH server, i-isyu ang mosunod nga sugo.
$ cat ~/.ssh/id_rsa
Lig-on ang SSH sa RHEL 7
Aron ma-secure ang SSH daemon ug dili tugotan ang remote SSH access sa root account pinaagi sa password o key, ablihi ang SSH server main configuration file ug himoa ang mosunod nga mga kausaban.
$ sudo vi /etc/ssh/sshd_config
Pangitaa ang linya nga #PermitRootLogin oo, uncomment ang linya pinaagi sa pagtangtang sa # sign (hashtag) gikan sa sinugdanan sa linya ug usba ang linya aron tan-awon sama sa gipakita sa ubos nga kinutlo.
PermitRootLogin no
Pagkahuman, i-restart ang SSH server aron magamit ang bag-ong mga setting ug sulayan ang pagsumpo pinaagi sa pagsulay sa pag-login sa kini nga server gamit ang root account. Ang pag-access sa root account pinaagi sa SSH kinahanglan nga higpitan na karon.
$ sudo systemctl restart sshd
Adunay mga sitwasyon diin gusto nimo nga awtomatiko nga idiskonekta ang tanan nga layo nga koneksyon sa SSH sa imong server pagkahuman sa usa ka panahon nga dili aktibo.
Aron mahimo kini nga bahin sa tibuok sistema, ipatuman ang ubos nga sugo, nga nagdugang sa TMOUT bash variable ngadto sa nag-unang bashrc file ug nagpugos sa matag koneksyon sa SSH nga ma-disconnect o ma-drop-out human sa 5 minutos nga dili aktibo.
$ su -c 'echo "TMOUT=300" >> /etc/bashrc'
Pagdalagan ang tail command aron masusi kung ang variable nadugang sa husto sa katapusan sa /etc/bashrc file. Ang tanan nga sunud-sunod nga mga koneksyon sa SSH awtomatik nga sirado pagkahuman sa 5 minuto nga dili aktibo gikan karon.
$ tail /etc/bashrc
Sa ubos nga screenshot, ang hilit nga sesyon sa SSH gikan sa drupal machine ngadto sa RHEL server nga auto-logout human sa 5 minutos.
I-configure ang Firewall sa RHEL 7
Sa sunod nga lakang i-configure ang firewall aron mas masiguro ang sistema sa lebel sa network. Nagpadala ang RHEL 7 nga adunay aplikasyon sa Firewalld aron madumala ang mga lagda sa iptables sa server.
Una, siguroha nga ang firewall nagdagan sa imong sistema pinaagi sa pag-isyu sa ubos nga sugo. Kung ang Firewalld daemon gipahunong kinahanglan nimo nga sugdan kini sa mosunod nga sugo.
$ sudo systemctl status firewalld $ sudo systemctl start firewalld $ sudo systemctl enable firewalld
Sa higayon nga ang firewall ma-enable ug modagan sa imong sistema, mahimo nimong gamiton ang firewall-cmd command line utility aron itakda ang impormasyon sa polisiya sa firewall ug tugotan ang trapiko sa pipila ka piho nga mga pantalan sa network, sama sa SSH daemon, koneksyon nga gihimo sa usa ka internal nga web server o uban pa. may kalabutan nga mga serbisyo sa network.
Tungod kay karon nagpadagan lang kami usa ka SSH daemon sa among server, mahimo namon nga ayohon ang palisiya sa firewall aron tugutan ang trapiko alang sa pantalan sa serbisyo sa SSH pinaagi sa pag-isyu sa mosunod nga mando.
$ sudo firewall-cmd --add-service=ssh --permanent $ sudo firewall-cmd --reload
Aron makadugang ug firewall nga lagda on-fly, nga walay pag-apply sa lagda sa sunod nga pagsugod sa server, gamita ang ubos nga command syntax.
$ sudo firewall-cmd --add-service=sshd
Kung mag-install ka sa ubang mga serbisyo sa network sa imong server, sama sa HTTP server, mail server o uban pang serbisyo sa network, mahimo nimong idugang ang mga lagda aron tugutan ang piho nga mga koneksyon sama sa mosunod.
$ sudo firewall-cmd --permanent --add-service=http $ sudo firewall-cmd --permanent --add-service=https $ sudo firewall-cmd --permanent --add-service=smtp
Aron ilista ang tanan nga mga lagda sa firewall ipadagan ang sugo sa ubos.
$ sudo firewall-cmd --permanent --list-all
Kuhaa ang Wala Gikinahanglan nga Serbisyo sa RHEL 7
Aron makakuha og lista sa tanang serbisyo sa network (TCP ug UDP) nga nagdagan sa imong RHEL server sa default, i-isyu ang ss command, ingon sa gihulagway sa ubos nga sample.
$ sudo ss -tulpn
Ang ss command magpadayag sa pipila ka makapaikag nga mga serbisyo nga nagsugod ug nagdagan nga default sa imong sistema, sama sa Postfix master service ug ang server nga responsable sa NTP protocol.
Kung wala ka nagplano nga i-configure kini nga server nga usa ka mail server, kinahanglan nimo nga hunongon, pag-disable ug tangtangon ang Postfix daemon pinaagi sa pag-isyu sa mga sugo sa ubos.
$ sudo systemctl stop postfix.service $ sudo yum remove postfix
Bag-ohay lang, adunay gitaho nga pipila ka daotan nga pag-atake sa DDOS sa NTP protocol. Kung wala ka nagplano nga i-configure ang imong RHEL server nga modagan ingon usa ka NTP server aron ang mga internal nga kliyente mag-sync sa oras sa kini nga server, kinahanglan nimo nga hingpit nga i-disable ug tangtangon ang Chrony daemon pinaagi sa pag-isyu sa mga mando sa ubos.
$ sudo systemctl stop chronyd.service $ sudo yum remove chrony
Pag-usab, padagana ang ss command aron mahibal-an kung ang ubang mga serbisyo sa network nagdagan sa imong sistema ug i-disable ug tangtangon kini.
$ sudo ss -tulpn
Aron mahatagan ang tukma nga oras para sa imong server ug i-synchronize ang oras sa usa ka taas nga oras nga peer server, mahimo nimong i-install ang ntpdate utility ug oras sa pag-sync sa usa ka publiko nga NTP server, pinaagi sa pagpatuman sa mga mando sa ubos.
$ sudo yum install ntpdate $ sudo ntpdate 0.uk.pool.ntp.org
Aron ma-automate ang ntpdate time synchronize command nga ipatuman kada adlaw nga walay interbensyon sa user, pag-iskedyul ug bag-ong crontab nga trabaho nga modagan sa tungang gabii uban sa mosunod nga sulod.
$ sudo crontab -e
Crontab file nga kinutlo:
@daily /usr/sbin/ntpdate 0.uk.pool.ntp.org
Kana lang! Karon, ikaw RHEL server andam na alang sa pag-instalar sa dugang nga software nga gikinahanglan alang sa custom nga mga serbisyo sa network o mga aplikasyon, sama sa pag-instalar ug pag-configure sa usa ka web server, usa ka database server, usa ka file share nga serbisyo o uban pang piho nga mga aplikasyon.
Aron mas luwas ug matig-a ang RHEL 7 server, susiha kining mosunod nga mga artikulo.
- Ang Mega nga Giya Aron Paggahi ug Pagsiguro sa RHEL 7 – Bahin 1
- Ang Mega nga Giya Aron Paggahi ug Pagsiguro sa RHEL 7 – Bahin 2
Kung nagplano ka nga mag-deploy og mga website sa kini nga sistema sa RHEL 7, hibal-i kung giunsa ang pag-setup ug pag-configure sa LEMP stack.