| Cookie | Duration | Description |
|---|---|---|
| cookielawinfo-checkbox-analytics | 11 months | This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics". |
| cookielawinfo-checkbox-functional | 11 months | The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional". |
| cookielawinfo-checkbox-necessary | 11 months | This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary". |
| cookielawinfo-checkbox-others | 11 months | This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other. |
| cookielawinfo-checkbox-performance | 11 months | This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance". |
| viewed_cookie_policy | 11 months | The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data. |
Вступление
После установки нового сервера CentOS 8 необходимо выполнить несколько шагов по его настройке. Это повысит его безопасность и обеспечит основу для продолжения настройки.
Шаг 1. Войти в систему под пользователем root
Чтобы подключиться к серверу необходимо знать публичный IP-адрес сервера или его IP-адрес во внутренней сети.
Для подключения используем следующую команду
$
ssh root@your_server_ipПри первом подключении необходимо принять предупреждение о подлинности сервера. Далее необходимо ввести пароль.
О root
Пользователь root это основная административная запись в ОС Linux. Она имеет полные привилегии. Именно из-за этих привилегий не рекомендуется использовать ее на регулярной основе. Можно случайно разрушить всю систему
Следовательно, нам необходимо создать альтернативную учетную запись пользователя с ограниченными правами для повседневной работы. При этом эта учетная запись сможет получать повышенные привелегии при необходимости.
Шаг 2. Создание пользователя
После того, как вошли в систему под пользователем root, мы можем создать новую учетную запись, которую будем использовать для входа с этого момента.
# adduser sysadm
Я создаю пользователя с именем sysadm, но можно использовать любое.
Затем необходимо установить пароль
# passwd sysadm
Changing password for user sysadm.
New password:
Retype new password:
passwd: all authentication tokens updated successfully.
Здесь дважды вводим пароль для этого пользователя
Учтите, что при вводе пароль не отображается.
Теперь этому пользователю надо дать дополнительные права, что бы он мог использовать команду sudo.
Шаг 3. Предоставление административных привилегий
Теперь у нас есть новая учетная запись пользователя с обычными привилегиями учетной записи. Однако иногда нам может потребоваться выполнение административных задач.
Чтобы избежать необходимости выходить из системы обычного пользователя и снова входить в систему как учетная запись root , мы можем настроить так называемые «супер пользовательские» или привилегии root для нашей обычной учетной записи. Это позволит нашему обычному пользователю запускать команды с административными привилегиями, помещая слово sudoперед каждой командой.
Чтобы добавить эти привилегии нашему новому пользователю, нам нужно добавить нового пользователя в группу wheel . По умолчанию в CentOS 8 пользователи, принадлежащие к группе wheel, могут использовать эту sudo команду.
# usermod -aG wheel sysadm
Шаг 4. Настройка базового брэндмауера
Брандмауэры обеспечивают базовый уровень безопасности вашего сервера. Эти приложения несут ответственность за запрет трафика на каждый порт вашего сервера, за исключением тех портов / служб, которые вы явно одобрили. В CentOS есть служба, вызываемая firewall для выполнения этой функции. Названный инструмент firewall-cmd используется для настройки firewall политик брандмауэра.
Установка firewalld
#dnf install firewalld -y
По-умолчанию конфигурация firewalld разрешает ssh подключения. Поэтому можем сразу включить брэндмауер
# systemctl start firewalld
Для проверки используется команда status
# systemctl status firewalld
● firewalld.service – firewalld – dynamic firewall daemon
Loaded: loaded (/usr/lib/systemd/system/firewalld.service; enabled; vendor preset: enabled)
Active: active (running) since Fri 2020-10-09 22:10:49 MSK; 9min ago
Docs: man:firewalld(1)
Main PID: 785 (firewalld)
Tasks: 2 (limit: 11464)
Memory: 31.7M
CGroup: /system.slice/firewalld.service
└─785 /usr/libexec/platform-python -s /usr/sbin/firewalld –nofork –nopid
Надписи enabled и active указывают, что служба будет запускаться при старте системы и сейчас она активна.
Для настройки правил и просмотра текущего состояния используется команда firewall-cmd
# firewall-cmd –permanent –list-all
public
target: default
icmp-block-inversion: no
interfaces:
sources:
services: cockpit dhcpv6-client ssh
ports:
protocols:
masquerade: no
forward-ports:
source-ports:
icmp-blocks:
rich rules:
Для просмотра служб, которые можно добавить по названию вводеите
# firewall-cmd –get-services
Что бы добавить собавить службу, которая должна быть разрешена, используется –add-service
# firewall-cmd –permanent –add-service=http
success
Эта команда добавит службу http в правила и разрешит трафик по 80-му порту.
Для обновления конфигурации необходимо перезагрузить брэндмауер
# firewall-cmd –reload
После перезагрузки правил можем проверить:
[root@web ~]# firewall-cmd –permanent –list-all
public
target: default
icmp-block-inversion: no
interfaces:
sources:
services: cockpit dhcpv6-client http ssh
ports:
protocols:
masquerade: no
forward-ports:
source-ports:
icmp-blocks:
rich rules: