Thiết lập ban đầu của server Fedora 21
Khi bạn lần đầu tiên đăng nhập vào server Fedora 21 hoặc RHEL mới, nó chưa sẵn sàng để sử dụng làm hệ thống production . Có một số bước được khuyến khích nên thực hiện để tùy chỉnh và bảo mật nó, chẳng hạn như bật firewall .Hướng dẫn này sẽ chỉ cho bạn cách cài đặt mới server Fedora 21 có cấu hình bảo mật tốt hơn và sẵn sàng sử dụng.
Yêu cầu
Để làm theo hướng dẫn này, bạn cần :
- Fedora 21 Server với các SSH key root .
Bạn có thể làm theo phần này của hướng dẫn SSH key để tạo khóa nếu bạn chưa có và phần này của cùng một hướng dẫn để tự động nhúng SSH key của bạn vào account root của server khi bạn tạo Server.
Bước 1 - Tạo Tài khoản User Chuẩn
Đầu tiên, đăng nhập vào server của bạn như là user root .
ssh root@your_server_ip
Hoạt động với quyền root là một rủi ro bảo mật, vì vậy trong bước này, ta sẽ cài đặt một account user sudo không phải root để sử dụng cho hệ thống và các việc máy tính khác. Tên user được sử dụng trong hướng dẫn này là sammy , nhưng bạn có thể sử dụng bất kỳ tên nào bạn thích.
Để thêm user , hãy nhập:
adduser sammy
Chỉ định một password mạnh cho user bằng lệnh dưới đây. Bạn sẽ được yêu cầu nhập password hai lần.
passwd sammy
Sau đó, thêm user vào group bánh xe, điều này mang lại cho nó các quyền sudo.
gpasswd -a sammy wheel
Đăng xuất khỏi server của bạn và thêm SSH key của bạn vào account user mới bằng cách chạy phần sau trên máy local của bạn.
ssh-copy-id sammy@your_server_ip
Để biết thêm thông tin về cách sao chép SSH key từ máy local sang server của bạn, bạn có thể đọc phần này của hướng dẫn SSH.
Cuối cùng, đăng nhập lại với quyền là user không phải root có quyền sudo mới. Bạn sẽ không được yêu cầu nhập password vì account này hiện có SSH key .
ssh sammy@your_server_ip
Bước 2 - Không cho phép Đăng nhập root và Xác thực Mật khẩu
Trong bước này, ta sẽ làm cho thông tin đăng nhập SSH an toàn hơn bằng cách tắt thông tin đăng nhập root và xác thực password .
Để chỉnh sửa các file cấu hình, bạn cần cài đặt một editor . Ta sẽ sử dụng nano
nhưng bạn có thể sử dụng bất kỳ loại nào bạn yêu thích.
Trước tiên, hãy áp dụng mọi bản cập nhật có sẵn bằng cách sử dụng:
sudo yum update
Sau đó, để cài đặt nano
, hãy nhập:
sudo yum install -y nano
Bây giờ, hãy mở file cấu hình SSH daemon để chỉnh sửa.
sudo nano /etc/ssh/sshd_config
Bên trong file đó, hãy tìm chỉ thị PermitRootLogin
. Bỏ ghi chú ( nghĩa là xóa ký tự #
bắt đầu) và đặt thành không .
PermitRootLogin no
Tương tự, hãy tìm chỉ thị PasswordAuthentication
và đặt nó thành không .
PasswordAuthentication no
Lưu và thoát khỏi file , sau đó reload cấu hình để đưa các thay đổi vào đúng vị trí.
sudo systemctl reload sshd
Nếu bất kỳ ai cố gắng đăng nhập bằng quyền root ngay bây giờ, phản hồi sẽ bị Permission denied (publickey,gssapi-keyex,gssapi-with-mic)
.
Bước 3 - Cấu hình múi giờ
Trong bước này, bạn sẽ đọc cách thay đổi đồng hồ hệ thống thành múi giờ local của bạn. Đồng hồ mặc định được đặt thành UTC.
Tất cả các múi giờ đã biết đều nằm trong folder /usr/share/zoneinfo/
. Hãy xem các file và folder trong /usr/share/zoneinfo/
.
ls /usr/share/zoneinfo/
Để đặt đồng hồ sử dụng múi giờ local , hãy tìm quốc gia hoặc khu vực địa lý của bạn trong folder đó, định vị file vùng bên dưới nó, sau đó tạo một liên kết mềm tượng trưng từ nó đến folder /etc/localtime
. Ví dụ: nếu bạn đang ở domain trung của USA , nơi múi giờ là Trung tâm hoặc CST , file vùng sẽ là /usr/share/zoneinfo/US/Central
.
Tạo một liên kết mềm tượng trưng từ file vùng của bạn đến /etc/localtime
.
sudo ln -sf /usr/share/zoneinfo/your_zone_file /etc/localtime
Xác minh đồng hồ hiện được đặt thành giờ local bằng cách xem kết quả của lệnh date
.
date
Đầu ra sẽ giống như sau:
Wed Mar 25 14:41:20 CST 2015
CST trong kết quả đó xác nhận đó là giờ domain Trung.
Bước 4 - Kích hoạt firewall
Server Fedora 21 mới không có ứng dụng firewall đang hoạt động. Trong bước này, ta sẽ tìm hiểu cách bật ứng dụng firewall IPTables và đảm bảo các luật thời gian chạy vẫn tồn tại sau khi khởi động lại.
Gói IPTables đã được cài đặt, nhưng để kích hoạt nó, bạn cần cài đặt gói iptables-services
.
sudo yum install -y iptables-services
Sau đó, bạn có thể kích hoạt IPTables để nó tự động khởi động khi server khởi động .
sudo systemctl enable iptables
Tiếp theo, khởi động IPTables.
sudo systemctl start iptables
IPTables trên Fedora 21 đi kèm với một bộ luật mặc định. Một trong những luật đó cho phép lưu lượng SSH. Để xem các luật mặc định, hãy nhập:
sudo iptables -L
Đầu ra sẽ đọc:
Chain INPUT (policy ACCEPT) target prot opt source destination ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED ACCEPT icmp -- anywhere anywhere ACCEPT all -- anywhere anywhere ACCEPT tcp -- anywhere anywhere state NEW tcp dpt:ssh REJECT all -- anywhere anywhere reject-with icmp-host-prohibited Chain FORWARD (policy ACCEPT) target prot opt source destination REJECT all -- anywhere anywhere reject-with icmp-host-prohibited Chain OUTPUT (policy ACCEPT) target prot opt source destination
Các luật đó là luật thời gian chạy và sẽ bị mất nếu hệ thống được khởi động lại. Để lưu các luật thời gian chạy hiện tại vào file để chúng tồn tại sau khi khởi động lại, hãy nhập:
sudo /usr/libexec/iptables/iptables.init save
Các luật hiện được lưu vào một file có tên iptables
trong folder /etc/sysconfig
.
Bước 5 (Tùy chọn) - Cho phép Truy cập HTTP và HTTPS
Trong phần này, ta sẽ trình bày cách chỉnh sửa các luật firewall để cho phép các dịch vụ cho các cổng 80 (HTTP) và 443 (HTTPS).
Các luật IPTables mặc định cho phép lưu lượng SSH theo mặc định, nhưng HTTP và người anh em họ tương đối an toàn hơn của nó, HTTPS, là các dịch vụ mà nhiều ứng dụng sử dụng, vì vậy bạn cũng có thể cần cho phép chúng vượt qua firewall .
Để tiếp tục, hãy mở file luật firewall bằng lệnh :
sudo nano /etc/sysconfig/iptables
Tất cả những gì bạn cần làm là thêm hai luật , một cho cổng 80 và một cho cổng 443, sau luật cho lưu lượng SSH (cổng 22). Các dòng màu đỏ bên dưới là những dòng bạn sẽ thêm vào; các dòng trước và sau được đưa vào cho ngữ cảnh để giúp bạn tìm nơi thêm các luật mới.
-A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT -A INPUT -p tcp -m state --state NEW -m tcp --dport 80 -j ACCEPT -A INPUT -p tcp -m state --state NEW -m tcp --dport 443 -j ACCEPT -A INPUT -j REJECT --reject-with icmp-host-prohibited
Để kích hoạt bộ luật mới, hãy khởi động lại IPTables.
sudo systemctl restart iptables
Bước 6 (Tùy chọn) - Cài đặt Mlocate
Lệnh locate
là một tiện ích rất hữu ích để tra cứu vị trí của các file trong hệ thống. Ví dụ, để tìm một file có tên là example , bạn sẽ nhập:
locate example
Thao tác đó sẽ quét hệ thống file và in vị trí hoặc các vị trí của file trên màn hình của bạn. Có nhiều cách nâng cao hơn để sử dụng locate
.
Để làm cho lệnh có sẵn trên server của bạn, trước tiên bạn cần cài đặt gói mlocate
.
sudo yum install -y mlocate
Sau đó, chạy lệnh updatedb
để cập nhật database tìm kiếm.
sudo updatedb
Sau đó, bạn có thể sử dụng locate
để tìm các file nào theo tên.
Kết luận
Sau khi hoàn thành bước cuối cùng, server Fedora 21 của bạn sẽ được cấu hình , bảo mật hợp lý và sẵn sàng để sử dụng!
Các tin liên quan
Cách giám sát tác nhân OSSEC bằng server OSSEC trên Ubuntu 14.042015-03-12
Cách thiết lập server OSRM trên Ubuntu 14.04
2015-02-20
Cách cài đặt Linux Dash trên Ubuntu 14.04
2015-02-18
Cách bảo vệ server Linux của bạn chống lại lỗ hổng GHOST
2015-01-28
Cách cài đặt và cấu hình Postfix làm server SMTP chỉ gửi trên Ubuntu 14.04
2015-01-23
Cách cấu hình xác thực dựa trên khóa SSH trên server FreeBSD
2015-01-14
Giới thiệu so sánh về FreeBSD cho người dùng Linux
2015-01-14
Tại sao bạn có thể không muốn chạy mail server của riêng mình
2014-12-11
Cách kiểm tra lưu lượng mạng trong server LAMP với sysdig trên CentOS 7
2014-12-05
Giới thiệu về quyền của Linux
2014-11-14