RHCSA -Serie Sicherung von SSH, Festlegen von Hostnamen und Aktivieren von Netzwerkdiensten - Teil 8

Als Systemadministrator müssen Sie sich häufig bei Remote -Systemen anmelden, um eine Vielzahl von Verwaltungsaufgaben mit einem Terminalemulator auszuführen. Sie werden selten vor einem echten (physischen) Terminal sitzen, sodass Sie eine Möglichkeit einrichten müssen, sich bei den Maschinen aus der Ferne anzumelden.

In der Tat kann das das Letzte sein, was Sie vor einem physischen Terminal tun müssen. Aus Sicherheitsgründen verwenden Telnet Zu diesem Zweck ist keine gute Idee, da der gesamte Verkehr in unverschlüsselten, einfachen Text durch den Draht geht.

Darüber hinaus werden in diesem Artikel auch überprüfen.

RHCSA: Sicherere SSH und aktivieren Netzwerkdienste - Teil 8

Installation und Sicherung der SSH -Kommunikation

Damit Sie sich bei A remote anmelden können Rhel 7 Box mit Ssh, Sie müssen die installieren OpenSsh, OpenSsh-Clients Und OpenSSH-Server Pakete. Der folgende Befehl installiert nicht nur das Remote -Anmeldungsprogramm, sondern auch das SCEED -Dateiübertragungs -Tool sowie das Remote -Dateikopierprogramm:

# yum update && yum install OpenSSH OpenSsh-Clients OpenSSH-Servers 

Beachten Sie, dass es eine gute Idee ist, die Server -Gegenstücke zu installieren, da Sie möglicherweise irgendwann denselben Computer wie Client und Server verwenden möchten.

Nach der Installation gibt es einige grundlegende Dinge, die Sie berücksichtigen müssen, wenn Sie den Remote -Zugriff auf Ihren SSH -Server sichern möchten. Die folgenden Einstellungen sollten in der vorhanden sein /etc/ssh/sshd_config Datei.

1. Ändern Sie den Port, an dem der SSHD -Dämon anhört 22 (den Standardwert) zu einem hohen Port (2000 oder größer), aber zunächst sicherstellen, dass der gewählte Port nicht verwendet wird.

Nehmen wir beispielsweise an, Sie wählen den Port 2500. Verwenden Sie Netstat, um zu überprüfen, ob der ausgewählte Port verwendet wird oder nicht:

# netstat -npltu | Grep 2500 

Wenn Netstat Gibt nichts zurück, Sie können Port sicher verwenden 2500 Für SSHD und Sie sollten die Porteinstellung in der Konfigurationsdatei wie folgt ändern:

Port 2500 

2. Nur erlauben Protokoll 2:

Protokoll 2 

3. Konfigurieren Sie das Timeout der Authentifizierung auf 2 Minuten, lassen Sie keine Root -Anmeldungen zu und beschränken Sie sich auf ein Minimum der Liste der Benutzer, die sich über SSH anmelden dürfen:

Logingracetime 2m generlungsrootlogin no erlaubten gacanepa 

4. Verwenden Sie nach Möglichkeit eine Schlüsselbasis anstelle einer Kennwortauthentifizierung:

PasswordAuthentication nein rsaauthentifizierung Ja PubkeyAuthentication Ja 

Dies sieht davon aus.

1. Aktivieren Sie das SSH -Passwort -Login

Konfigurieren von Netzwerken und Namensauflösung

1. Jeder Systemadministrator sollte mit den folgenden systemweiten Konfigurationsdateien gut vertraut sein:

1. /etc/hosts wird verwendet, um Namen zu beheben IPs in kleinen Netzwerken.

Jede Zeile in der /etc/hosts Die Datei hat die folgende Struktur:

IP -Adresse - Hostname - FQDN 

Zum Beispiel,

192.168.0.10 Laptop -Laptop.GabrielCanepa.com.ar 

2. /etc/resolv.Conf Gibt die IP -Adressen von DNS -Servern und der Suchdomäne an, die zum Ausfüllen eines bestimmten Abfragennamens zu einem voll qualifizierten Domänennamen verwendet werden, wenn kein Domänensuffix geliefert wird.

Unter normalen Umständen müssen Sie diese Datei nicht so bearbeiten, wie sie vom System verwaltet wird. Wenn Sie jedoch DNS -Server ändern möchten, müssen Sie in jeder Zeile an die folgende Struktur festhalten:

Namenserver - IP -Adresse 

Zum Beispiel,

Namenserver 8.8.8.8 

3. 3. /etc/host.Conf Gibt die Methoden und die Reihenfolge an, mit der Hostnamen in einem Netzwerk behoben sind. Mit anderen Worten, teilt dem Namen Resolver mit, welche Dienste zu verwenden sind und in welcher Reihenfolge.

Obwohl diese Datei mehrere Optionen hat, enthält das häufigste und grundlegendste Setup eine Zeile wie folgt:

Bindungen bestellen, Hosts 

Dies zeigt an, dass der Resolver zuerst in den in den angegebenen Namenservers suchen sollte Auflösung.Conf und dann zur /etc/hosts Datei zur Namensauflösung.

4. /etc/sysconfig/network Enthält Routing- und globale Hostinformationen für alle Netzwerkschnittstellen. Die folgenden Werte können verwendet werden:

Networking = yes | nein hostname = Wert 

Wobei der Wert der voll qualifizierte Domain -Name sein sollte (FQDN).

Gateway = xxx.Xxx.Xxx.Xxx 

Wo Xxx.Xxx.Xxx.Xxx ist die IP -Adresse des Gateways des Netzwerks.

GatewayDev = Wert 

In einer Maschine mit mehreren NICs, Wert ist das Gateway -Gerät, wie z ENP0S3.

5. Dateien im Inneren /etc/sysconfig/network-scripts (Konfigurationsdateien für Netzwerkadapter).

In dem zuvor erwähnten Verzeichnis finden Sie mehrere genannte Klartextdateien.

IFCFG-NAME 

Wo der Name der Name der NIC ist, wie zurückgegeben von IP -Link anzeigen:

Überprüfen Sie den Status des Netzwerkverbindungsstatus

Zum Beispiel:

Netzwerkdateien

Anders als für die Loopback Schnittstelle können Sie eine ähnliche Konfiguration für Ihre NICs erwarten. Beachten Sie, dass einige Variablen, falls festgelegt, die vorhandenen in den vorhanden /etc/sysconfig/network für diese bestimmte Schnittstelle. Jede Zeile wird zur Klärung in diesem Artikel kommentiert. In der tatsächlichen Datei sollten Sie jedoch Kommentare vermeiden:

Hwaddr = 08: 00: 27: 4e: 59: 37 # Die MAC -Adresse des NIC -Typs = Ethernet # Typ des Verbindungsstartprotes = static # Dies zeigt an, dass dieser NIC eine statische IP zugewiesen wurde. Wenn diese Variable auf DHCP eingestellt wurde, wird der NIC von einem DHCP -Server eine IP -Adresse zugewiesen, und daher sollten die nächsten beiden Zeilen in diesem Fall nicht vorhanden sein. Ipaddr = 192.168.0.18 NetMask = 255.255.255.0 Gateway = 192.168.0.1 nm_controlled = no # sollte zur Ethernet -Schnittstelle hinzugefügt werden, um zu verhindern, dass NetworkManager die Datei ändert. Name = enp0s3 uUid = 14033805-98EF-4049-BC7B-D4BEA76ED2EB Onboot = Ja # Das Betriebssystem sollte diese NIC während des Bootes auferlegen 

Hostnamen einstellen

In Red Hat Enterprise Linux 7, Die hostnamectl Der Befehl wird verwendet, um sowohl den Hostnamen des Systems abzufragen als auch festzulegen.

Um den aktuellen Hostnamen anzuzeigen, geben Sie ein:

# Hostnamectl Status 

Überprüfen Sie das System Hostname

Verwenden Sie den Hostnamen, um den Hostnamen zu ändern

# Hostnamectl Set-Hostname [New Hostname] 

Zum Beispiel,

# Hostnamectl Set-Hostname Aschenputtel 

Damit die Änderungen wirksam werden müssen, müssen Sie die neu starten hostnamen Daemon (Auf diese Weise müssen Sie sich nicht wieder abmelden, um die Änderung anzuwenden):

# SystemCTL Neustart systemd-hostnamen 

Setzen Sie das System Hostname

Zusätzlich, Rhel 7 enthält auch die nmcli Nützlichkeit, der für denselben Zweck verwendet werden kann. Um den Hostnamen anzuzeigen, rennen Sie:

# NMCLI General Hostname 

und um es zu ändern:

# NMCLI General Hostname [neues Hostname] 

Zum Beispiel,

# NMCLI General Hostname RHEL7 

Stellen Sie den Hostnamen mit dem Befehl nmcli fest

Starten von Netzwerkdiensten am Boot

Lassen Sie uns zum Abschluss sehen, wie wir sicherstellen können, dass Netzwerkdienste automatisch mit dem Start gestartet werden. In einfachen Worten wird dies durchgeführt, indem Symlinks für bestimmte Dateien erstellt werden, die in der angegeben sind [Installieren] Abschnitt der Servicekonfigurationsdateien.

Im Fall von Firewall (/usr/lib/systemd/system/firewalld.Service):

[Install] shodenBy = Basic.Ziel alias = dbus-org.Fedoraproject.Firewalld1.Service 

Um den Service zu aktivieren:

# SystemCTL Aktivieren Sie die Firewalld 

Auf der anderen Seite deaktivieren Sie die Firewall -Berechtigungen zur Entfernung der Symlinks:

# Systemctl Deaktivieren Sie die Firewalld 

Aktivieren Sie den Service am System Boot

Abschluss

In diesem Artikel haben wir zusammengefasst, wie Sie Verbindungen installieren und sichern können Ssh zu einem Rhel Server, wie Sie seinen Namen ändern und schließlich sicherstellen, dass die Netzwerkdienste mit dem Start gestartet werden. Wenn Sie feststellen, dass ein bestimmter Dienst nicht ordnungsgemäß gestartet wurde, können Sie verwenden Systemctl Status -l [Service] Und Journalctl -xn Fehlerbehebung.

Lassen Sie uns gerne wissen, was Sie über diesen Artikel mit dem folgenden Kommentarformular denken. Fragen sind auch willkommen. Wir freuen uns von Ihnen zu hören!