Erstes Server -Setup und Konfigurationen auf RHEL 7

In diesem Tutorial werden wir die ersten Konfigurationsschritte besprechen, die Sie nach einer neuen Installation von Red Hat Enterprise Linux 7 Auf einem bare Metall-Server oder auf einem virtuellen privaten Server.

Anforderungen

1. Rhel 7 minimale Installation

Wichtig: CentOS 7 Benutzer können diesem Artikel folgen, um ein erstes Server -Setup auf CentOS 7 durchzuführen.

Aktualisieren Sie das RHEL 7 -System

Im ersten Schritt melden Sie sich bei Ihrem an Rhel Serverkonsole mit einem Konto mit Root -Berechtigungen oder direkt als Root und führen Sie den folgenden Befehl aus, um Ihre Systemkomponenten vollständig zu aktualisieren, z. B. die installierten Pakete, den Kernel oder andere Sicherheitspatches anwenden.

# yum Check-update # yum Update 

Um alle lokal heruntergeladenen Pakete und anderen verwandten Yum -Caches zu entfernen, führen Sie den folgenden Befehl aus.

# yum reinigen alle 

Installieren Sie Systemversorgungsunternehmen auf RHEL 7

Diese folgenden Versorgungsunternehmen können sich für die tägliche Systemverwaltung als nützlich erweisen: Nano (Texteditor, um den VI -Editor zu ersetzen), WGet, Locken (Dienstprogramme zum Herunterladen von Paketen über das Netzwerk meistens) Net-Tools, LSOF (Dienstprogramme für die Verwaltung lokaler Netzwerke) und Bash-Abschluss (Befehlszeile automatisch vervollständigt).

Installieren Sie sie alle in One-Shot, indem Sie den folgenden Befehl ausführen.

# YUM Installation Nano WGet Curl Net-Tools LSOF Bash-Completion 

Setup Networking in RHEL 7 einrichten

Rhel 7 verfügt über eine breite Palette von Tools, mit denen das Netzwerk konfiguriert und verwaltet werden kann, von der manuellen Bearbeitung der Netzwerkkonfigurationsdatei bis zur Verwendung von Befehlen wie IP, ifConfig, NMtui, nmcli oder Route.

Das einfachste Dienstprogramm, das ein Anfänger verwenden kann, um Netzwerkkonfigurationen zu verwalten und zu ändern, ist NMtui Grafische Befehlszeile.

Um den System Hostnamen über zu ändern NMtui Dienstprogramm, ausführen NMtui-Hostname Befehl, setzen Sie Ihren Maschinenhostnamen und drücken Sie OK zu beenden, wie im folgenden Screenshot dargestellt.

# NMtui-Hostname 

Setzen Sie Hostname in RHEL 7

Um eine Netzwerkschnittstelle zu manipulieren, führen Sie aus NMtui-Edit Befehl, wählen Sie die Schnittstelle, die Sie bearbeiten und im rechten Menü bearbeiten möchten, wie im folgenden Screenshot gezeigt.

Konfigurieren Sie das Netzwerk in RHEL 7

Sobald Sie sich in der grafischen Schnittstelle befinden, bereitgestellt von NMtui Dienstprogramm Sie können die IP -Einstellungen der Netzwerkschnittstelle wie im folgenden Screenshot einrichten. Wenn Sie fertig sind, navigieren Sie zu OK Verwendung [Tab] Schlüssel, um die Konfiguration zu speichern und zu beenden.

IP -Adresse einrichten der Netzwerk -IP -Adresse einrichten

Um die neue Konfiguration der Netzwerkschnittstelle anzuwenden, führen Sie aus NMtui-Connect Befehl, wählen Sie die Schnittstelle, die Sie verwalten und drücken möchten Deaktivieren/aktivieren Option zur Stilllegung und Aufhebung der Schnittstelle mit den IP-Einstellungen, wie in den folgenden Screenshots angezeigt.

# NMtui-Connect 

Aktive Netzwerkschnittstelle

Um die Einstellungen für Netzwerkschnittstellen anzuzeigen, können Sie den Inhalt der Schnittstellendatei überprüfen oder die folgenden Befehle ausgeben.

# ifconfig ENP0S3 # IP A # PING -C2 Google.com 

Überprüfen Sie die Netzwerkkonfiguration

Andere nützliche Versorgungsunternehmen, mit denen die Geschwindigkeit verwaltet, Status verknüpft oder Informationen zu Schnittstellen für Maschinennetze erfasst werden können Ethtool Und Mii-Tool.

# Ethtool ENP0S3 # Mii-Tool Enp0S3 

Überprüfen Sie die Netzwerkverbindung

Neues Benutzerkonto erstellen

Erstellen Sie beim nächsten Schritt einen neuen Benutzer mit dem folgenden Befehl, während Sie als Stamm in Ihren Server angemeldet sind. Dieser Benutzer wird später verwendet, um sich in Ihrem System anzumelden und Verwaltungsaufgaben auszuführen.

# Adduser tecmint_user 

Nachdem Sie den Benutzer mit dem obigen Befehl hinzugefügt haben, richten Sie ein starkes Kennwort für diesen Benutzer ein, indem Sie den folgenden Befehl ausgeben.

# Passwd tecmint_user 

Führen Sie in Fällen, in denen Sie diesen neuen Benutzer dazu zwingen möchten, sein Passwort beim ersten Anmeldung zu ändern, den folgenden Befehl.

# Chage -d0 tecmint_user 

Dieses neue Benutzerkonto mit verfügt derzeit über regelmäßige Kontorechte und kann keine Verwaltungsaufgaben über den Sudo -Befehl ausführen.

Um die Verwendung des Stammkontos für die Durchführung von Verwaltungsberechtigten zu vermeiden, gewähren Sie diesem neuen Benutzer Verwaltungsberechtigungen, indem Sie den Benutzer zu dem Benutzer hinzufügen. “RadSystemgruppe.

Die Benutzer, die zur “gehören“RadDie Gruppe ist standardmäßig in RHEL zugelassen, um Befehle mit Root -Privilegien durch die Verwendung des sudo Dienstprogramm vor dem Schreiben des für die Ausführung benötigten Befehls.

Zum Beispiel den Benutzer hinzufügen “tecmint_user" Zu "RadGruppe, führen Sie den folgenden Befehl aus.

# Usermod -Ag Wheel tecmint_user 

Melden Sie sich anschließend mit dem neuen Benutzer beim System an und versuchen Sie, das System über 'zu aktualisierensudo yum updateDer Befehl zum Testen, ob der Benutzer Root -Befugnisse erteilt haben.

# su - tecmint_user $ sudo yum update 

Konfigurieren Sie die SSH -Authentifizierung der öffentlichen Schlüssel zu RHEL 7

Konfigurieren Sie beim nächsten Schritt, um Ihre RHEL -Serve -Sicherheit zu erhöhen. Um ein SSH -Schlüsselpaar, den öffentlichen und privaten Schlüssel zu generieren, führen Sie den folgenden Befehl in Ihrer Serverkonsole aus. Stellen Sie sicher, dass Sie sich beim System mit dem Benutzer angemeldet haben.

# su -tecmint_user $ ssh -keygen -t RSA 

Während der Schlüssel generiert wird, werden Sie aufgefordert, hinzuzufügen Passphrase Um den Schlüssel zu sichern. Sie können eine starke eingeben Passphrase Oder lassen Sie die Passphrase leer, wenn Sie Aufgaben über SSH -Server automatisieren möchten.

Kopieren Sie nach der Erstellung des SSH -Schlüssels das öffentliche Schlüsselpaar auf einen Remote -Server, indem Sie den folgenden Befehl ausführen. So installieren Sie den öffentlichen Schlüssel auf dem Remote -SSH -Server, Sie benötigen ein Benutzerkonto mit Anmeldeinformationen, um sich bei diesem Server anzumelden.

$ ssh-copy-id [E-Mail geschützt] 

Jetzt sollten Sie versuchen, sich über SSH mit dem privaten Schlüssel als Authentifizierungsmethode über SSH an den Remote -Server anzumelden. Sie sollten in der Lage sein, sich automatisch anzumelden, ohne dass der SSH -Server nach einem Passwort gefragt wird.

$ ssh [E -Mail geschützt] 

Um den Inhalt Ihres öffentlichen SSH -Schlüssels zu sehen, wenn Sie den Schlüssel auf einem entfernten SSH -Server manuell installieren möchten, geben Sie den folgenden Befehl aus.

$ cat ~/.ssh/id_rsa 

Sichern ssh auf rhel 7

Um den SSH -Daemon zu sichern und den Remote -SSH -Zugriff auf das Stammkonto über Kennwort oder Schlüssel nicht zu verhindern.

$ sudo vi/etc/ssh/sshd_config 

Suche nach der Zeile #Permitrootlogin Ja, Überzeugen Sie die Linie, indem Sie die entfernen # Zeichen (Hashtag) vom Beginn der Zeile und modifizieren Sie die Zeile, um wie im folgenden Auszug auszusehen.

Erläuterung Nr 

Starten Sie anschließend den SSH -Server neu, um die neuen Einstellungen anzuwenden und die Konfiguration zu testen, indem Sie versuchen, sich mit dem Stammkonto bei diesem Server anzumelden. Der Zugriff auf Root -Konto über SSH sollte inzwischen eingeschränkt werden.

$ sudo systemctl starten sshd neu starten 

Es gibt Situationen, in denen Sie nach einer Zeit der Inaktivität möglicherweise alle Remote -SSH -Verbindungen zu Ihrem Server automatisch trennen möchten.

Um diesen Funktionssystemweit zu aktivieren, führen Sie den folgenden Befehl aus, der das hinzugefügt wird Tmout Bash -Variable zu Main bashrc Datei und zwingt jede SSH-Verbindung, danach getrennt oder ausgetrocknet zu werden 5 Minuten der Inaktivität.

$ su -c 'echo "tmout = 300" >> /etc /bashrc' 

Führen Sie den Befehl durch, um zu überprüfen, ob die Variable am Ende von korrekt hinzugefügt wurde /etc/bashrc Datei. Alle nachfolgenden SSH -Anschlüsse werden automatisch geschlossen 5 Minuten der Inaktivität von nun an.

$ schwanz /etc /bashrc 

Im folgenden Screenshot wurde die Remote-SSH-Sitzung vom Drupal-Computer zum Rhel-Server nach 5 Minuten automatisch logout.

Automatische SSH -Sitzungen automatisch abnehmen

Konfigurieren Sie die Firewall auf RHEL 7

Konfigurieren Sie im nächsten Schritt die Firewall, um das System auf Netzwerkebene weiter zu sichern. Rhel 7 wird mit Firewalld -Anwendung geliefert, um Iptables -Regeln auf dem Server zu verwalten.

Stellen Sie zunächst sicher, dass die Firewall in Ihrem System ausgeführt wird, indem Sie den folgenden Befehl ausgeben. Wenn der Firewalldämon gestoppt wird, sollten Sie ihn mit dem folgenden Befehl starten.

$ sudo systemctl status Firewall $ sudo systemctl starten firewall $ sudo systemCTL aktivieren Firewall 

Sobald die Firewall aktiviert ist und in Ihrem System ausgeführt wird, können Sie die verwenden Firewall-CMD Das Dienstprogramm für Befehlszeilen zum Festlegen der Firewall -Richtlinieninformationen und zum Ermöglichen von Datenverkehr zu bestimmten Netzwerkports, wie z. B. SSH -Daemon, Verbindung zu einem internen Webserver oder anderen zugehörigen Netzwerkdiensten.

Da wir im Moment gerade einen SSH -Daemon auf unserem Server ausführen.

$ sudo firewall-cmd --add-service = ssh --permanent $ sudo firewall-cmd-Reload 

Um eine Firewall-Regel auf Fly hinzuzufügen, verwenden Sie die folgende Befehlssyntax, ohne die Regel anzuwenden, wenn der Server beim nächsten Start des Servers angewendet wird.

$ sudo firewall-cmd --add-service = sshd 

Wenn Sie andere Netzwerkdienste auf Ihrem Server installieren, wie z.

$ sudo firewall-cmd --permanent --add-service = http $ sudo firewall-cmd --permanent --add-service = https $ sudo firewall-cmd --permanent --add-service = SMTP 

Um alle Firewall -Regeln aufzulisten, führen Sie den folgenden Befehl aus.

$ sudo firewall-cmd-Permanent-List-All 

Entfernen Sie unnötige Dienste in RHEL 7

Um eine Liste aller Netzwerkdienste (TCP und UDP) zu erhalten, die standardmäßig auf Ihrem Rhel -Server ausgeführt werden, geben Sie die aus ss Befehl, wie in der folgenden Probe dargestellt.

$ sudo ss -tulpn 

Der ss Der Befehl enthüllt einige interessante Dienste, die standardmäßig in Ihrem System gestartet werden, wie z Postfix Master Service und der Server, der für das NTP -Protokoll verantwortlich ist.

Wenn Sie nicht planen, diesen Server einen Mailserver zu konfigurieren, sollten Sie den Postfix -Daemon anhalten, deaktivieren und entfernen, indem Sie die folgenden Befehle ausgeben.

$ sudo systemctl stop postfix.Service $ sudo yum entfernen Sie Postfix 

In letzter Zeit wurde einige böse DDOS -Angriffe gegen das NTP -Protokoll gemeldet. Wenn Sie nicht vorhaben, Ihren RHEL -Server so zu konfigurieren, dass es als NTP -Server ausgeführt wird, damit interne Clients die Zeit mit diesem Server synchronisieren können, sollten Sie den Chrony -Daemon vollständig deaktivieren und entfernen, indem Sie die folgenden Befehle ausgeben.

$ sudo systemctl stoppen Chronyd.Service $ sudo yum entfernen Sie Chrony 

Wieder rennen ss Befehl, um festzustellen, ob andere Netzwerkdienste in Ihrem System ausgeführt werden, und deaktivieren und entfernen Sie sie.

$ sudo ss -tulpn 

Um die genaue Zeit für Ihren Server bereitzustellen und die Zeit mit einem Peer -Server der oberen Zeit zu synchronisieren, können Sie die installieren NTPDATE Dienstprogramm und Synchronisation mit einem öffentlichen NTP -Server durch Ausführung der folgenden Befehle.

$ sudo yum install ntpdate $ sudo ntpdate 0.Vereinigtes Königreich.Schwimmbad.NTP.Org 

Um die zu automatisieren NTPDATE Zeitsynchronisierende Befehl, die täglich ohne Benutzerintervention ausgeführt werden soll, planen Sie einen neuen Crontab -Job, der um Mitternacht mit den folgenden Inhalten ausgeführt werden soll.

$ sudo crontab -e 

Crontab -Dateiauszug:

@daily/usr/sbin/ntpdate 0.Vereinigtes Königreich.Schwimmbad.NTP.Org 

Das ist alles! Jetzt ist Ihr RHEL -Server für die Installation zusätzlicher Software vorbereitet, die für benutzerdefinierte Netzwerkdienste oder Anwendungen benötigt wird, z.

Um den RHEL 7 -Server weiter zu sichern und zu Harden.

1. Der Mega -Leitfaden zum Härten und sichern RHEL 7 - Teil 1
2. Der Mega -Leitfaden zum Härten und sichern RHEL 7 - Teil 2

Wenn Sie vorhaben, Websites auf diesem RHEL 7 -System bereitzustellen.