Seria RHCSA zabezpieczająca SSH, ustawianie nazwy hosta i włączanie usług sieciowych - Część 8

Jako administrator systemu często będziesz musiał zalogować się do systemów zdalnych, aby wykonywać różne zadania administracyjne za pomocą emulatora terminalowego. Rzadko będziesz siedzieć przed prawdziwym (fizycznym) terminalem, więc musisz skonfigurować sposób, aby zdalnie zalogować się do maszyn, o które będziesz poproszony o zarządzanie.

W rzeczywistości może to być ostatnia rzecz, którą będziesz musiał zrobić przed fizycznym terminalem. Ze względów bezpieczeństwa, korzystając z Telnet W tym celu nie jest dobrym pomysłem, ponieważ cały ruch przechodzi przez drut w niezaszyfrowanym, prostym tekście.

Ponadto w tym artykule przejrzymy również sposób konfigurowania usług sieciowych, aby automatycznie uruchamiać się w rozruchu i dowiedzieć się, jak konfigurować rozdzielczość sieci i nazwy hosta statycznie lub dynamicznie.

RHCSA: Bezpieczne SSH i włącz usługi sieciowe - Część 8

Instalowanie i zabezpieczenie komunikacji SSH

Abyś mógł zdalnie zalogować się do RHEL 7 pudełko za pomocą Ssh, będziesz musiał zainstalować OpenSsh, OpenSSh-Blients I SERVERSSSH-SERVERS pakiety. Poniższe polecenie nie tylko zainstaluje program logowania zdalnego, ale także bezpieczne narzędzie do przesyłania plików, a także narzędzie do kopiowania plików zdalnego:

# Yum Update && Yum Instaluj OpenSSh OpenSsh-Clients OpenSsh-Servers 

Pamiętaj, że warto zainstalować odpowiedniki serwera, ponieważ w pewnym momencie możesz użyć tego samego komputera, co zarówno klient, jak i serwer.

Po instalacji istnieje kilka podstawowych rzeczy, które należy wziąć pod uwagę, jeśli chcesz zabezpieczyć zdalny dostęp do serwera SSH. Poniższe ustawienia powinny być obecne w /etc/ssh/sshd_config plik.

1. Zmień port, w którym demon SSHD będzie słuchać z 22 (wartość domyślna) do wysokiego portu (2000 lub więcej), ale najpierw upewnij się, że wybrany port nie jest używany.

Załóżmy na przykład, że wybierasz port 2500. Użyj Netstat, aby sprawdzić, czy wybrany port jest używany, czy nie:

# netstat -npltu | GREP 2500 

Jeśli Netstat nic nie zwraca, możesz bezpiecznie użyć portu 2500 W przypadku SSHD i należy zmienić ustawienie portu w pliku konfiguracyjnym w następujący sposób:

Port 2500 

2. Pozwól tylko Protokół 2:

Protokół 2 

3. Skonfiguruj limit czasu uwierzytelniania na 2 minuty, nie zezwalaj na logowanie root i ogranicz do minimum listy użytkowników, które mogą się zalogować za pośrednictwem SSH:

Logingracetime 2M Pertrootlogin No AnitchUsers Gacanepa 

4. Jeśli to możliwe, użyj klawisza zamiast uwierzytelniania hasła:

HasłoAuthentication bez rsaauthentication tak pubkeyauthentication Tak 

Zakłada się, że utworzyłeś już parę kluczy z nazwą użytkownika na komputerze klienckim i skopiowałeś ją do serwera, jak wyjaśniono tutaj.

1. Włącz logowanie bez hasła SSH

Konfigurowanie sieci i rozdzielczości nazwy

1. Każdy administrator systemu powinien być dobrze zaznajomiony z następującymi plikami konfiguracyjnymi w całym systemie:

1. /etc/hosts służy do rozwiązywania nazwisk IPS w małych sieciach.

Każda linia w /etc/hosts Plik ma następującą strukturę:

Adres IP - nazwa hosta - fqdn 

Na przykład,

192.168.0.10 laptopa laptopa.Gabrielcanepa.com.ar 

2. /etc/resolv.conf Określa adresy IP serwerów DNS i domenę wyszukiwania, która jest używana do wypełnienia danej nazwy zapytania do w pełni kwalifikowanej nazwy domeny, gdy nie jest dostarczany bez przyrostków domeny.

W normalnych okolicznościach nie musisz edytować tego pliku, ponieważ jest zarządzany przez system. Jeśli jednak chcesz zmienić serwery DNS, należy poinformować, że musisz trzymać się następującej struktury w każdej linii:

Nazwarz - adres IP 

Na przykład,

Nazwarz 8.8.8.8 

3. 3. /etc/host.conf Określa metody i kolejność, według której nazwy hostów są rozwiązywane w sieci. Innymi słowy, opowiada o nazwie, z których usług użyć, iw jakiej kolejności.

Chociaż ten plik ma kilka opcji, najczęstsza i podstawowa konfiguracja zawiera wiersz w następujący sposób:

Zamów wiązanie, hosts 

Co wskazuje, że Resistver powinien najpierw spojrzeć w określonych serwisach nazw określonych RESPIRV.conf a potem do /etc/hosts plik do rozdzielczości nazwy.

4. /etc/sysconfig/sieć Zawiera informacje o routingu i globalnym hostie dla wszystkich interfejsów sieciowych. Można użyć następujących wartości:

Networking = Tak | Nie nazwa hosta = wartość 

Gdzie wartość powinna być w pełni kwalifikowaną nazwą domeny (FQDN).

Gateway = xxx.Xxx.Xxx.Xxx 

Gdzie Xxx.Xxx.Xxx.Xxx to adres IP bramy sieci.

GatewayDev = wartość 

W maszynie z wieloma sieciami NICS, wartość jest urządzeniem bramy, takiego jak ENP0S3.

5. Pliki w środku /etc/sysconfig/scripts (Pliki konfiguracyjne adapterów sieciowych).

W wspomnianym wcześniej katalogu znajdziesz kilka zwykłych plików tekstowych.

ifcfg-nazwa 

Gdzie nazwa jest nazwą NIC, jak zwróciła przez Pokaż linku IP:

Sprawdź status łącza sieciowego

Na przykład:

Pliki sieciowe

Inne niż dla Pętla interfejs, możesz spodziewać się podobnej konfiguracji dla swoich NICS. Zauważ, że niektóre zmienne, jeśli ustawione, zastąpią te obecne /etc/sysconfig/sieć dla tego konkretnego interfejsu. Każda linia jest komentowana w celu wyjaśnienia w tym artykule, ale w rzeczywistym pliku należy unikać komentarzy:

Hwaddr = 08: 00: 27: 4e: 59: 37 # adres MAC NIC type = ethernet # Typ połączenia bootproto = statyczny # to wskazuje, że ta karta NIC przypisano statyczne IP. Jeśli ta zmienna została ustawiona na DHCP, NIC zostanie przypisany adres IP przez serwer DHCP, a zatem kolejne dwa wiersze nie powinny być obecne w takim przypadku. IPaddr = 192.168.0.18 Mash = 255.255.255.0 bramy = 192.168.0.1 nm_controlled = No # należy dodać do interfejsu Ethernet, aby zapobiec zmianie pliku NetworkManager. Nazwa = ENP0S3 UUID = 14033805-98EF-4049-BC7B-D4BEA76ED2EB ONBOOT = Tak # System operacyjny powinien wyświetlić tę kartę NIC podczas rozruchu 

Ustawianie nazw hostów

W Red Hat Enterprise Linux 7, hostnamektl Polecenie służy zarówno do zapytania, jak i ustawienia nazwy hosta systemu.

Aby wyświetlić bieżącą nazwę hosta, wpisz:

# Status hostnamectl 

Sprawdź nazwę hosta systemu

Aby zmienić nazwę hosta, użyj

# hostnamEctl set-hostname [nowa nazwa hosta] 

Na przykład,

# hostnamectl set-hostname coperella 

Aby zmiany w obowiązywaniu będziesz musiał ponownie uruchomić hostnamed Daemon (w ten sposób nie będziesz musiał się wylogować i ponownie, aby zastosować zmianę):

# Systemctl restartuj systemd-hostnamed 

Ustaw nazwę hosta systemu

Ponadto, RHEL 7 obejmuje również NMCLI narzędzie, które można użyć w tym samym celu. Aby wyświetlić nazwę hosta, uruchom:

# nmcli ogólna nazwa hosta 

I to zmienić:

# nmcli ogólna nazwa hosta [nowa nazwa hosta] 

Na przykład,

# nmcli ogólna nazwa hosta Rhel7 

Ustaw nazwę hosta za pomocą polecenia NMCLI

Rozpoczęcie usług sieciowych na rozruch

Podsumowując, zobaczmy, w jaki sposób możemy upewnić się, że usługi sieciowe zostaną automatycznie uruchamiane podczas rozruchu. Mówiąc prosto, odbywa się to poprzez tworzenie symbolicznych do niektórych plików określonych w [Zainstalować] Sekcja plików konfiguracji usługi.

W przypadku Firewalld (/usr/lib/systemd/system/firewalld.praca):

[Instalacja] Wantedby = podstawowa.Alias ​​docelowy = dbus-org.Fedoraproject.Firewalld1.praca 

Aby włączyć usługę:

# Systemctl Włącz zaporę ogniową 

Z drugiej strony wyłączenie zapory uprawy uprawnia usunięcie symlinów:

# Systemctl wyłącz zaporę ogniową 

Włącz usługę w rozruchu systemowym

Wniosek

W tym artykule podsumowaliśmy, jak instalować i zabezpieczyć połączenia za pośrednictwem Ssh do Rhel serwer, jak zmienić swoją nazwę, a wreszcie, jak upewnić się, że usługi sieciowe zostaną uruchomione przy rozruchu. Jeśli zauważysz, że pewna usługa nie zaczął się poprawnie, możesz użyć Status SystemCtl -l [Service] I Journalctl -xn Aby to rozwiązać.

Daj nam znać, co myślisz o tym artykule za pomocą poniższego formularza komentarza. Pytania są również mile widziane. Oczekujemy na kontakt zwrotny!