Ntọala na nhazi nke mbụ na RHEL 7


N'ime nkuzi a, anyị ga-atụle usoro nhazi mbụ ịchọrọ ilekọta mgbe ntinye ọhụrụ nke Red Hat Enterprise Linux 7 na ihe nkesa metal ma ọ bụ na nkesa nkeonwe.

  1. RHEL 7 Obere Nwụnye

Ihe dị mkpa: Ndị ọrụ CentOS 7, nwere ike soro akụkọ a iji mee ntọala ntọala mbụ na CentOS 7.

Melite RHEL 7 Sistemu

Na nzọụkwụ mbụ, banye na njikwa ihe nkesa RHEL gị na akaụntụ nwere ikike mgbọrọgwụ ma ọ bụ ozugbo dị ka mgbọrọgwụ wee mee iwu dị n'okpuru ka imelite ngwa sistemụ gị nke ọma, dị ka ngwugwu arụnyere, kernel ma ọ bụ tinye patches nche ndị ọzọ.

# yum check-update
# yum update

Ka iwepu ngwungwu niile ebudatara na mpaghara yana cache YUM ndị ọzọ metụtara, mebie iwu dị n'okpuru.

# yum clean all

Wụnye akụrụngwa sistemụ na RHEL 7

Ngwa ndị a na-esote nwere ike ịba uru maka nchịkwa usoro ụbọchị kwa ụbọchị: nano (onye na-edezi ederede iji dochie lsof (ọrụ maka ijikwa netwọk mpaghara) na bash-complete (akara akara autocomplete).

Wụnye ha niile na otu-shot site na ime iwu dị n'okpuru.

# yum install nano wget curl net-tools lsof bash-completion

Mepụta netwọkụ na RHEL 7

RHEL 7 nwere ngwá ọrụ dịgasị iche iche nke enwere ike iji hazie na jikwaa netwọk, site na iji aka na-edezi faịlụ nhazi netwọk na iji iwu dịka nmcli ma ọ bụ ụzọ.

Ihe kacha mfe onye mbido nwere ike iji jikwaa ma gbanwee nhazi netwọkụ bụ nmtui ahịrị iwu eserese.

Ka ịgbanwee aha nnabata sistemụ site na nmtui utility, mebie iwu nmtui-hostname, tọọ aha nnabata igwe gị wee pịa OK ka imecha ya, dị ka egosiri na nseta ihuenyo dị n'okpuru.

# nmtui-hostname

Iji megharịa interface netwọk, mee nmtui-edit iwu, họrọ interface nke ịchọrọ dezie wee họrọ dezie site na menu nri, dị ka egosiri na nseta ihuenyo dị n'okpuru.

Ozugbo ị banyere na interface eserese nke nmtui utility nyere, ị nwere ike ịtọ ntọala IP interface netwọk dị ka egosiri na nseta ihuenyo dị n'okpuru. Mgbe ịmechara, gaa na OK site na iji igodo [tab] iji chekwaa nhazi ahụ wee kwụsị.

Iji tinye netwọk interface ọhụrụ nhazi, mebie nmtui-njikọ iwu, họrọ interface nke ị chọrọ ijikwa na see on Deactivate/ rụọ ọrụ nhọrọ decommission na ebili-elu interface na IP ntọala, dị ka ewepụtara na n'okpuru screenshots.

# nmtui-connect

Ka ilele ntọala interface netwọk, ị nwere ike nyochaa ọdịnaya nke faịlụ interface ma ọ bụ ị nwere ike ịnye iwu ndị dị n'okpuru.

# ifconfig enp0s3
# ip a
# ping -c2 google.com

Ngwa ndị ọzọ bara uru nke enwere ike iji jikwaa ọsọ, njikọ steeti ma ọ bụ nweta ozi gbasara oghere netwọk igwe bụ ethtool na mii-tool.

# ethtool enp0s3
# mii-tool enp0s3

Mepụta Akaụntụ onye ọrụ ọhụrụ

Na nzọụkwụ ọzọ, mgbe ị na-abanye dị ka mgbọrọgwụ n'ime ihe nkesa gị, mepụta onye ọrụ ọhụrụ na iwu dị n'okpuru. A ga-eji onye ọrụ a emechaa banye n'ime sistemụ gị wee rụọ ọrụ nhazi.

# adduser tecmint_user

Mgbe itinyechara onye ọrụ site na iji iwu dị n'elu, hazie paswọọdụ siri ike maka onye ọrụ a site n'inye iwu dị n'okpuru.

# passwd tecmint_user

N'ọnọdụ ebe ịchọrọ ịmanye onye ọrụ ọhụrụ a ka ọ gbanwee paswọọdụ ya na mbọ ntinye mbụ, mebie iwu dị n'okpuru.

# chage -d0 tecmint_user

Akaụntụ njirimara ọhụrụ a nwere nwere ikike akaụntụ mgbe niile ugbu a na enweghị ike ịrụ ọrụ nhazi site na iwu sudo.

Iji zere iji akaụntụ mgbọrọgwụ maka ịrụ ọrụ nchịkwa, nye onye ọrụ ọhụrụ a ikike nhazi site na ịgbakwunye onye ọrụ na otu sistemụ wheel.

A na-ahapụ ndị ọrụ nke otu wheel ahụ, site na ndabara na RHEL, ka ha jiri ohere mgbọrọgwụ mee iwu site na iji sudo utility tupu ha ede iwu achọrọ maka mmezu.

Dịka ọmụmaatụ, iji tinye onye ọrụ \tecmint_user na otu \wheel, mee iwu dị n'okpuru.

# usermod -aG wheel tecmint_user

Mgbe nke ahụ gasịrị, jiri onye ọrụ ọhụrụ banye na sistemụ wee gbalịa imelite sistemụ ahụ site na iwu 'sudo yum update' iji nwalee ma ọ bụrụ na enyere onye ọrụ ikike mgbọrọgwụ.

# su - tecmint_user
$ sudo yum update

Hazie nyocha igodo Ọhaneze SSH na RHEL 7

Na nzọụkwụ na-esote iji kwalite nchekwa nchekwa RHEL gị, hazie nyocha igodo ọha SSH maka onye ọrụ ọhụrụ. Iji mepụta SSH Key Pair, igodo ọha na nke nzuzo, mebie iwu a na njikwa ihe nkesa gị. Jide n'aka na iji onye ọrụ wee banye na sistemụ ahụ ị na-edozi igodo SSH.

# su - tecmint_user
$ ssh-keygen -t RSA

Mgbe igodo na-emepụta, a ga-akpali gị ịgbakwunye passphrase iji chekwaa igodo ahụ. Ị nwere ike itinye okwuntughe siri ike ma ọ bụ họrọ ịhapụ okwuntughe ahụ oghere ma ọ bụrụ na ịchọrọ ịmegharị ọrụ site na sava SSH.

Mgbe emechara igodo SSH, detuo ụzọ igodo ọha na sava dịpụrụ adịpụ site na ịme iwu dị n'okpuru. Iji wụnye igodo ọha na sava SSH dịpụrụ adịpụ, ị ga-achọ akaụntụ onye ọrụ nwere nzere iji banye na nkesa ahụ.

$ ssh-copy-id [email 

Ugbu a ịkwesịrị ịgbalị ịbanye site na SSH na sava dịpụrụ adịpụ site na iji igodo nzuzo dị ka usoro nyocha. Ị ga-enwe ike ịbanye na-akpaghị aka na-enweghị ihe nkesa SSH na-arịọ maka paswọọdụ.

$ ssh [email 

Ka ịhụ ọdịnaya nke igodo SSH ọha gị ma ọ bụrụ na ịchọrọ iji aka tinye igodo na sava SSH dị anya, nye iwu a.

$ cat ~/.ssh/id_rsa

Chekwaa SSH na RHEL 7

Iji chekwaa SSH daemon ma kwe ka SSH dịpụrụ adịpụ nweta akaụntụ mgbọrọgwụ site na paswọọdụ ma ọ bụ igodo, mepee faịlụ nhazi isi ihe nkesa SSH wee mee mgbanwe ndị a.

$ sudo vi /etc/ssh/sshd_config

Chọọ ahịrị ahịrị #PermitRootLogin ee, mebie ahịrị ahụ site na iwepu akara # (hashtag) site na mmalite nke ahịrị wee gbanwee ahịrị ka ọ dị ka egosiri na ntinye n'okpuru.

PermitRootLogin no

Mgbe nke ahụ gasịrị, malitegharịa ihe nkesa SSH iji tinye ntọala ọhụrụ ahụ ma nwalee nhazi ahụ site n'ịgbalị ịbanye na nkesa a na akaụntụ mgbọrọgwụ. Ekwesịrị igbochi ohere ịnweta akaụntụ mgbọrọgwụ site na SSH ugbu a.

$ sudo systemctl restart sshd

Enwere ọnọdụ ebe ị nwere ike ịkwupụ njikọ SSH niile dịpụrụ adịpụ na ihe nkesa gị na-akpaghị aka mgbe oge adịghị arụ ọrụ.

Iji mee ka usoro ihe omume a dị n'obosara, mebie iwu dị n'okpuru ebe a, nke na-agbakwụnye TMOUT bash variable na faịlụ bashrc isi ma mee ka njikọ SSH ọ bụla kwụsị ma ọ bụ wepụ ya mgbe nkeji 5 adịghị arụ ọrụ.

$ su -c 'echo "TMOUT=300" >> /etc/bashrc'

Gbaa iwu ọdụ ka ịlele ma agbakwunyere mgbanwe ahụ nke ọma na njedebe /etc/bashrc faịlụ. Njikọ SSH niile na-esote ga-emechi na-akpaghị aka ka nkeji 5 enweghị ọrụ site ugbu a gawa.

$ tail /etc/bashrc

N'ime nseta ihuenyo dị n'okpuru, nnọkọ SSH dịpụrụ adịpụ site na igwe drupal gaa na nkesa RHEL abụrụla ọpụpụ akpaaka ka nkeji ise gachara.

Hazie Firewall na RHEL 7

Na nzọụkwụ ọzọ hazi firewall ka ị nwetakwuo nchekwa na usoro na netwọk larịị. Ụgbọ mmiri RHEL 7 nwere ngwa Firewalld iji jikwaa iwu iptables na sava ahụ.

Nke mbụ, jide n'aka na firewall na-agba ọsọ na sistemụ gị site na ịnye iwu dị n'okpuru. Ọ bụrụ na akwụsịre Firewalld daemon ị ga-eji iwu a malite ya.

$ sudo systemctl status firewalld
$ sudo systemctl start firewalld
$ sudo systemctl enable firewalld

Ozugbo agbanyere firewall ma na-arụ ọrụ na sistemụ gị, ị nwere ike iji akara ahịrị firewall-cmd iji tọọ ozi amụma firewall wee kwe ka okporo ụzọ gaa na ọdụ ụgbọ mmiri netwọkụ akọwapụtara, dị ka SSH daemon, njikọ emere na sava weebụ ma ọ bụ ndị ọzọ. ọrụ netwọk metụtara.

N'ihi na ugbu a, anyị na-agba ọsọ SSH daemon na sava anyị, anyị nwere ike ịhazigharị amụma firewall iji kwe ka okporo ụzọ maka ọdụ ụgbọ mmiri SSH site n'inye iwu na-esonụ.

$ sudo firewall-cmd --add-service=ssh --permanent
$ sudo firewall-cmd --reload

Ka ịgbakwunye iwu firewall na-efe efe, na-etinyeghị iwu oge ọzọ ebido sava ahụ, jiri syntax iwu dị n'okpuru.

$ sudo firewall-cmd --add-service=sshd

Ọ bụrụ na ị wụnye ọrụ netwọk ndị ọzọ na nkesa gị, dị ka HTTP nkesa, ihe nkesa ozi ma ọ bụ ọrụ netwọk ndị ọzọ, ị nwere ike tinye iwu na-ekwe ka kpọmkwem njikọ dị ka ndị a.

$ sudo firewall-cmd --permanent --add-service=http
$ sudo firewall-cmd --permanent --add-service=https
$ sudo firewall-cmd --permanent --add-service=smtp

Ka ịdepụta iwu firewall niile gbasoro iwu dị n'okpuru.

$ sudo firewall-cmd --permanent --list-all

Wepu ọrụ anaghị achọ na RHEL 7

Iji nweta ndepụta nke ọrụ netwọk niile (TCP na UDP) na-agba ọsọ na sava RHEL gị na ndabara, nye iwu ss, dị ka egosiri na nlele n'okpuru.

$ sudo ss -tulpn

Iwu ss ga-ekpughere ụfọdụ ọrụ na-atọ ụtọ nke malitere ma na-arụ na ndabara na sistemụ gị, dị ka ọrụ Postfix master service na ihe nkesa na-ahụ maka usoro NTP.

Ọ bụrụ na ị naghị eme atụmatụ ịhazi ihe nkesa a ka ọ bụrụ ihe nkesa ozi, ị kwesịrị ịkwụsị, gbanyụọ ma wepụ Postfix daemon site na ịnye iwu ndị a.

$ sudo systemctl stop postfix.service 
$ sudo yum remove postfix

N'oge na-adịbeghị anya, akọpụtala ụfọdụ mwakpo DDOS jọgburu onwe ya maka usoro NTP. Ọ bụrụ na ị naghị eme atụmatụ ịhazi ihe nkesa RHEL gị ka ọ na-agba ọsọ dị ka ihe nkesa NTP ka ndị ahịa n'ime ha nwee ike ịmekọrịta oge na ihe nkesa a, ị ga-ewepụ kpamkpam ma wepụ Chrony daemon site na ịnye iwu ndị dị n'okpuru.

$ sudo systemctl stop chronyd.service 
$ sudo yum remove chrony

Ọzọ, gbaa ss iwu iji chọpụta ma ọrụ netwọkụ ndị ọzọ na-arụ ọrụ na sistemụ gị wee gbanyụọ ma wepụ ha.

$ sudo ss -tulpn

Iji weta oge ziri ezi maka ihe nkesa gị wee mekọrịta oge na ihe nkesa ndị ọgbọ dị elu, ị nwere ike ịwụnye ngwa ntpdate na oge mmekọrịta na sava NTP ọha, site na ime iwu ndị a.

$ sudo yum install ntpdate
$ sudo ntpdate 0.uk.pool.ntp.org

Iji megharịa oge ntpdate mekọrịta iwu a ga-egbu kwa ụbọchị na-enweghị onye ọrụ ọ bụla, hazie ọrụ crontab ọhụrụ iji na-agba n'etiti abalị yana ọdịnaya ndị a.

$ sudo crontab -e

Ihe ndekọ faịlụ Crontab:

@daily /usr/sbin/ntpdate 0.uk.pool.ntp.org

Ọ gwụla! Ugbu a, gị ihe nkesa RHEL dị njikere maka ịwụnye sọftụwia ọzọ achọrọ maka ọrụ netwọkụ ma ọ bụ ngwa, dị ka ịwụnye na ịhazi sava weebụ, sava nchekwa data, ọrụ òkè faịlụ ma ọ bụ ngwa ndị ọzọ akọwapụtara.

Iji chekwaa ma mee ka ihe nkesa RHEL 7 sie ike, lelee akụkọ ndị a.

  1. Nduzi Mega Maka Harden na Chekwaa RHEL 7 – Nkebi nke 1
  2. Nduzi Mega Maka Harden na Chekwaa RHEL 7 - Nkebi nke 2

Ọ bụrụ na ị na-eme atụmatụ ibuga webụsaịtị na sistemụ RHEL 7 a, mụta ka esi ahazi na hazie nchịkọta LEMP.