Configurarea unui server cu CentOS 7

Blog: OS
Cand creati un nou server, sunt cativa pasi de configurare pe care ar trebui sa ii urmati mai intai ca parte a setarii de baza. Aceasta va creste securitatea si gradul de utilizare a server-ului si va va oferi o baza solida pentru actiunile ulterioare.

Cand creati un nou server, sunt cativa pasi de configurare pe care ar trebui sa ii urmati mai intai ca parte a setarii de baza. Aceasta va creste securitatea si gradul de utilizare a server-ului si va va oferi o baza solida pentru actiunile ulterioare. Pasul Unu – Autentificarea Root Pentru a va autentifica pe server, va trebui sa cunoasteti adresa IP publica si parola contului de utilizator “root”. Daca nu v-ati conectat inca la server-ul dvs. mergeti mai departe si autentificati-va ca utilizator cu drepturi root folosind urmatoarea comanda (inlocuiti cuvintele subliniate cu adresa IP publica a dvs.):

ssh root@SERVER_IP_ADDRESS

Finalizati procesul de autentificare acceptand avertizarea despre autenticitatea host-ului, daca va este solicitata, apoi oferind autentificarea root (parola si cheia privata). Daca este prima data cand va conectati la server, cu parola, vi se va cere sa schimbati parola root.

Despre Root: Utilizatorul root este un utilizator administrativ intr-un mediu Linux care are privilegii extinse.

Din cauza privilegiilor crescute ale contului root, suntem descurajati sa il folosim in mod regulat. Acest lucru se datoreaza faptului ca puterea oferita de drepturile root poate face schimbari distructive, chiar si din greseala.

Pasul urmator este sa configuram un alt cont de utilizator cu drepturi limitate pentru munca de zi cu zi. Va vom arata cum sa obtinem privilegii crescute pentru situatiile cand veti avea nevoie de ele.

Pasul Doi – Crearea Unui Nou Utilizator Odata autentificat ca root, ne vom pregati sa adaugam un nou cont de utilizator pe care sa il folosim de acum inainte. in acest exemplu, vom crea un nou cont de utilizator numit “demo”, dar puteti inlocui numele cu unul care va place:

adduser demo

In continuare, atribuiti o parola noului utilizator (inca o data, substituiti “demo” cu utilizatorul pe care tocmai l-ati creat):

passwd demo

Introduce-ti o parola puternica  si repetati-o pentru a o verifica.

Pasul Trei – Drepturile Root Acum, avem un nou cont de utilizator cu drepturi obisnuite. Cu toate aceste, vom avea nevoie uneori sa indeplinim sarcini administrative.  Pentru a evita sa deconectarea de la utilizatorul normal si autentificarea in contul cu drepturi root, putem putem configura un “super user” sau drepturi root pentru contul obisnuit. Aceasta va permite utilizatorului obisnuit sa execute comenzi cu drepturi administrative prin adaugarea cuvantului sudo inaintea fiecarei comenzi.

Pentru a adauga aceste drepturi noului utilizator, va trebui sa il adaugam in grupul “wheel”. Implicit, pe CentOS 7, utilizatorii care apartin grupului “wheel” li se permite sa foloseasca comanda sudo. Ca root, rulati aceasta comanda pentru a adauga noul utilizator la grupul wheel (inlocuiti cuvintele ingrosate cu noul utilizator):

gpasswd -a demo wheel

Acum noul utilizator poate rula comenzi cu drepturi de “super user”. Pentru mai multe informatii despre modul in care functioneaza consultati tutorialul sudoers.

Pasul Patru – Adaugarea Autentificarii cu Cheia Publica (Recomandat) Urmatorul pas in securizarea server-ului este configurarea autentificarii cu cheia publica pentru noul utilizator. Configurand aceasta veti creste securitatea server-ului prin solicitarea unei chei private SSH la autentificare. Generarea unei Perechi de Chei Daca nu aveti deja o pereche de chei SSH, care e alcatuita dintr-o cheie publica si una privata, va trebui sa generati una. Daca aveti deja o cheie pe care doriti sa o folositi, sariti la pasul Copiati Cheia Publica. Pentru a genera o noua pereche de chei introduceti urmatoarea comanda:

ssh-keygen

Presupunand ca utilizatorul este numit „localuser”, o sa vedeti un mesaj care va arata ca urmatorul:

ssh-keygen output

Generating public/private rsa key pair.
Enter file in which to save the key (/Users/localuser/.ssh/id_rsa):

Apasati „return” pentru a accepta acest nume si aceasta cale (sau introduceti un nume nou). in continuare vi se va solicita o parola pentru a securiza cheia. Fie introduceti o parola, fie lasati spatiul liber. Observatie: Daca lasati spatiul pentru parola liber, o sa va puteti autentifica folosind cheia privata fara a fi nevoie de parola. Daca introduceti o parola, o sa aveti nevoie  de ambele pentru a va loga, atat de cheia privata cat si de parola.

Securizandu-va cheile cu parole este mai sigur, dar ambele metode au utilizarile lor fiind mai sigure decat clasica autentificare cu parola.

Aceasta genereaza o cheie privata, id_rsa, si o cheie publica, id_rsa.pub, in directorul .ssh al utilizatorului localuser.

Nu uitati ca acea cheie privata nu trebuie dezvaluita nici unei persoane care nu are acces la serverul dumneavoastra.

Copierea Cheii Publice Dupa generarea unei perechi de chei SSH, va trebui sa copiati cheia publica pe noul server. Va vom prezenta doua metode simple pentru a face acest lucru.

Metoda 1: Folosirea copiei id-ului ssh Daca computerul dumneavoastra are script-ul ssh-copy-id instalat, il puteti folosi pentru a instala cheia publica pentru orice utilizator pentru care aveti acreditare.

Rulati scriptul ssh-copy-id specificand utilizatorul si adresa IP a server-ului pe care doriti instalarea acestei chei, ca mai jos:

ssh-copy-id demo@SERVER_IP_ADDRESS

Dupa furnizarea parolei, cheia publica va fi adaugata in fisierul utilizatorilor la distanta .ssh/authorized_keys. Cheia privata corespunzatoare poate fi folosita pentru a va loga in server.

Metoda 2: Instalarea manuala a cheii Presupunand ca ati generat o pereche de chei SSH folosind pasul anterior, utilizati urmatoarea comanda pe computerul dumneavoastra pentru a imprima cheia publica (id_rsa.pub):

cat ~/.ssh/id_rsa.pub

Aceasta ar trebui sa va afiseze cheia publica SSH, care ar trebui sa arate ca mai jos:

id_rsa.pub contents

ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQDBGTO0tsVejssuaYR5R3Y/i73SppJAhme1dH7W2c47d4gOqB4izP0+fRLfvbz/tnXFz4iOP/H6eCV05hqUhF+KYRxt9Y8tVMrpDZR2l75o6+xSbUOMu6xN+uVF0T9XzKcxmzTmnV7Na5up3QM3DoSRYX/EP3utr2+zAqpJIfKPLdA74w7g56oYWI9blpnpzxkEd3edVJOivUkpZ4JoenWManvIaSdMTJXMy3MtlQhva+j9CgguyVbUkdzK9KKEuah+pFZvaugtebsU+bllPTB0nlXGIJk98Ie9ZtxuY3nCKneB+KjKiXrAvXUPCI9mWkYS/1rggpFmu3HbXBnWSUdf localuser@machine.local

Selectati cheia publica si copiati-o in clipboard. Adaugarea cheii publice pentru utilizatorul nou de la distanta Pentru activarea utilizarii cheii SSH necesara autentificarii utilizatorilor la distanta, trebuie sa adaugati cheia publica intr-un fisier special  directorul home al utilizatorului. Pe server, ca utilizatorul root, introduceti urmatoarea comanda pentru a comuta temporar la noul utilizator (inlocuiti cu propriul nume de utilizator):

su - demo

Acum veti fi in directorul home al utilizatorului dumneavoastra. Creati un nou director numit .ssh si restrictionati accesul cu ajutorul urmatoarelor comenzi:

  • mkdir .ssh

  • chmod 700 .ssh

Deschideti un fisier in .ssh denumit authorized_keys cu un editor de text. Vom folosi editorul vi pentru a edita fisierul:

vi .ssh/authorized_keys

Introduceti insert mode, tastand i, apoi introduceti cheia publica (care ar trebui sa fie copiata in clipboard) lipind-o in editor. Acum apasati ESC pentru a parasi insert mode. Introduceti :x apoi apasati ENTER pentru a salva si inchide fisierul. Acum restrictionati permisiunea fisierului authorized_keys cu aceasta comanda:

chmod 600 .ssh/authorized_keys

Tastati aceasta comanda o data pentru a va intoarce la utilizatorul root:

exit

Acum cheia publica este instalata si puteti folosi cheile SSH pentru a va loga ca utilizator. Pasul Cinci – Configurarea SSH Deamon. Acum ca avem noul cont, putem securiza server-ul inca putin prin modificarea configurarii SSH deamon ( programul care ne permite sa ne conecta la distanta) pentru a refuza accesul de la distanta la contul root:

Incepeti prin a deschide fisierul de configurare cu editorul text ca root:

vi /etc/ssh/sshd_config

Aici avem optiunea de a dezactiva autentificarea root prin SSH. Aceasta este, in general, o setare mai sigura deoarece acum putem accesa server-ul prin intermediul contului de utilizator normal putand  folosi privilegiile cand este necesar. Pentru a dezactiva autentificarile root de la distanta, trebuie sa gasim linia care arata ca cea de mai jos:

/etc/ssh/sshd_config (inainte)

#PermitRootLogin yes

Indiciu: Pentru a linia, tastati /PermitRoot apoi apasati ENTER. Acesta ar trebui sa aduca cursorul pe caracterul „P” din linie. Eliminati linia stergand simbolul “#”(apasati Shift-x). Acum mutati cursorul pe “yes” tastand c. inlocuiti “yes” tastand cw, apoi tastand „no”. Apasati Escape cand ati terminat de editat. Ar trebui  sa arate ca mai jos:

/etc/ssh/sshd_config (dupa)

PermitRootLogin no

Dezactivarea autentificarii root de la distanta este recomandata pentru fiecare server. Tastati :x apoi ENTER pentru a salva si inchide fisierul. Reload SSH Acum ca am modificarile, va trebui sa repornim serviciul SSH pentru a folosi noua configurare. Pentru a reporni SSH tastati:

systemctl reload sshd

Acum, inainte de a va deconecta de la server, va trebui sa testati noua configurare. Nu trebuie sa va deconectati pana nu aveti confirmarea ca se pot stabili noi conexiuni cu succes. Deschideti o noua fereastra. in noua fereastra, va trebui sa incepem o noua conexiune la server. De aceasta data vom folosi noul cont pe care l-am creat. Pentru server-ul pe care l-am configurat mai sus, conectati-va folosind comanda. inlocuiti cu propriile informatii in cazul in care este necesar:

ssh demo@SERVER_IP_ADDRESS

Observatie: Daca folositi PuTTY pentru a va conecta la servere, asigurati-va ca actualizati numarul sesiunilor port pentru a se potrivi cu setarea curenta a server-ului. Vi se va cere parola noului utilizator pe care ati configurat-o. Dupa aceasta, va veti autentifica cu noul utilizator. Retineti, pentru a rula comenzi cu drepturi root, tastati inainte “sudo ”ca mai  jos:

sudo command_to_run

Daca totul este in regula, puteti parasi sesiunea tastand:

exit

Ce puteti face mai departe? in acest moment aveti o baza solida pentru server-ul dvs. Acum aveti posibilitatea sa instalati orice software aveti nevoie pe server. Daca nu sunteti siguri inca ce doriti sa faceti cu server-ul dvs., puteti citi cu atentie celelalte articole de pe blog. Cele mai populare idei sunt configurarea grupului LAMP sau a grupului LEMP, care va permit sa gazduiti site-uri web.

Din aceeasi categorie

Te muti la noi?

Migrarea catre un nou furnizor de hosting poate fi extrem de complicata . Fii relaxat si lasa-i expertii nostri sa o faca! Vom muta site-ul existent în 48 de ore, fara intrerupere . Inclus GRATUIT la achizitionarea oricarui pachet de gazduire BTS Telecom.