Свежие записи
- Релиз Kali Linux 2026.1 (тема 2026 года, новые инструменты и режим BackTrack)
- Microsoft выпустила предупреждение о безопасной загрузке в 2026 году — что это значит для безопасности Windows.
- Microsoft спешно устраняет уязвимость нулевого дня в Office, которая активно используется злоумышленниками.
- Wireshark версии 4.6.1 готов к загрузке и включает в себя несколько критических исправлений безопасности
- Китайские государственные киберпреступники использовали Claude от Anthropic для автоматизации глобальных кибератак
Вступление
После установки нового сервера CentOS 8 необходимо выполнить несколько шагов по его настройке. Это повысит его безопасность и обеспечит основу для продолжения настройки.
Шаг 1. Войти в систему под пользователем root
Чтобы подключиться к серверу необходимо знать публичный IP-адрес сервера или его IP-адрес во внутренней сети.
Для подключения используем следующую команду
$
ssh root@your_server_ipПри первом подключении необходимо принять предупреждение о подлинности сервера. Далее необходимо ввести пароль.
О root
Пользователь root это основная административная запись в ОС Linux. Она имеет полные привилегии. Именно из-за этих привилегий не рекомендуется использовать ее на регулярной основе. Можно случайно разрушить всю систему
Следовательно, нам необходимо создать альтернативную учетную запись пользователя с ограниченными правами для повседневной работы. При этом эта учетная запись сможет получать повышенные привелегии при необходимости.
Шаг 2. Создание пользователя
После того, как вошли в систему под пользователем root, мы можем создать новую учетную запись, которую будем использовать для входа с этого момента.
# adduser sysadm
Я создаю пользователя с именем sysadm, но можно использовать любое.
Затем необходимо установить пароль
# passwd sysadm
Changing password for user sysadm.
New password:
Retype new password:
passwd: all authentication tokens updated successfully.
Здесь дважды вводим пароль для этого пользователя
Учтите, что при вводе пароль не отображается.
Теперь этому пользователю надо дать дополнительные права, что бы он мог использовать команду sudo.
Шаг 3. Предоставление административных привилегий
Теперь у нас есть новая учетная запись пользователя с обычными привилегиями учетной записи. Однако иногда нам может потребоваться выполнение административных задач.
Чтобы избежать необходимости выходить из системы обычного пользователя и снова входить в систему как учетная запись root , мы можем настроить так называемые «супер пользовательские» или привилегии root для нашей обычной учетной записи. Это позволит нашему обычному пользователю запускать команды с административными привилегиями, помещая слово sudoперед каждой командой.
Чтобы добавить эти привилегии нашему новому пользователю, нам нужно добавить нового пользователя в группу wheel . По умолчанию в CentOS 8 пользователи, принадлежащие к группе wheel, могут использовать эту sudo команду.
# usermod -aG wheel sysadm
Шаг 4. Настройка базового брэндмауера
Брандмауэры обеспечивают базовый уровень безопасности вашего сервера. Эти приложения несут ответственность за запрет трафика на каждый порт вашего сервера, за исключением тех портов / служб, которые вы явно одобрили. В CentOS есть служба, вызываемая firewall для выполнения этой функции. Названный инструмент firewall-cmd используется для настройки firewall политик брандмауэра.
Установка firewalld
#dnf install firewalld -y
По-умолчанию конфигурация firewalld разрешает ssh подключения. Поэтому можем сразу включить брэндмауер
# systemctl start firewalld
Для проверки используется команда status
# systemctl status firewalld
● firewalld.service – firewalld – dynamic firewall daemon
Loaded: loaded (/usr/lib/systemd/system/firewalld.service; enabled; vendor preset: enabled)
Active: active (running) since Fri 2020-10-09 22:10:49 MSK; 9min ago
Docs: man:firewalld(1)
Main PID: 785 (firewalld)
Tasks: 2 (limit: 11464)
Memory: 31.7M
CGroup: /system.slice/firewalld.service
└─785 /usr/libexec/platform-python -s /usr/sbin/firewalld –nofork –nopid
Надписи enabled и active указывают, что служба будет запускаться при старте системы и сейчас она активна.
Для настройки правил и просмотра текущего состояния используется команда firewall-cmd
# firewall-cmd –permanent –list-all
public
target: default
icmp-block-inversion: no
interfaces:
sources:
services: cockpit dhcpv6-client ssh
ports:
protocols:
masquerade: no
forward-ports:
source-ports:
icmp-blocks:
rich rules:
Для просмотра служб, которые можно добавить по названию вводеите
# firewall-cmd –get-services
Что бы добавить собавить службу, которая должна быть разрешена, используется –add-service
# firewall-cmd –permanent –add-service=http
success
Эта команда добавит службу http в правила и разрешит трафик по 80-му порту.
Для обновления конфигурации необходимо перезагрузить брэндмауер
# firewall-cmd –reload
После перезагрузки правил можем проверить:
[root@web ~]# firewall-cmd –permanent –list-all
public
target: default
icmp-block-inversion: no
interfaces:
sources:
services: cockpit dhcpv6-client http ssh
ports:
protocols:
masquerade: no
forward-ports:
source-ports:
icmp-blocks:
rich rules: