30 věcí, které je třeba udělat po minimální instalaci RHEL/CentOS 7

Posted on by admin

CentOS je standardní linuxová distribuce, která je derivátem RedHat Enterprise Linuxu. Operační systém můžete začít používat ihned po instalaci, ale abyste jej mohli využívat naplno, je třeba provést několik aktualizací, nainstalovat několik balíčků, nakonfigurovat některé služby a aplikace.

Tento článek je zaměřen na „30 věcí, které je třeba udělat po instalaci RHEL/CentOS 7“. Příspěvek je napsán s ohledem na to, že jste nainstalovali RHEL/CentOS Minimal Install, který je preferován v podnikovém a produkčním prostředí, pokud ne, můžete se řídit níže uvedeným průvodcem, který vám ukáže minimální instalace obou systémů.

  1. Instalace CentOS 7 Minimal
  2. Instalace RHEL 7 Minimal

Následuje seznam důležitých věcí, které jsme v tomto průvodci popsali na základě standardních požadavků v oboru. Doufáme, že vám tyto věci budou velmi nápomocné při nastavování serveru.

7. Nainstalujte PHP
11. Nainstalujte PHP. Instalace jazyka Java
12. Jak nainstalovat PHP? 13. Nainstalujte Apache Tomcat
14. Nainstalujte webový prohlížeč. Konfigurace brány firewallD
15. Instalace nástroje Wget
16. Instalace sítě Telnet
17. Instalace služby Webmin
19. Instalace nástroje 7-zip
20. Instalace nástroje 7-zip
21. 20. Instalace ovladače NTFS-3G
21. Instalace softwaru NTFS-3G. Instalace FTP serveru Vsftpd
22. Nainstalujte a nakonfigurujte sudo
23. Instalace a povolení SELinuxu
24. 25. Nainstalujte a zapněte program Rootkit Hunter
26. Nainstalujte a zapněte program Rootkit Hunter
27. 27. Konfigurace úloh Cron
28. Konfigurace úloh Cron. 29. Nainstalovat Owncloud
30. Nainstalovat a zprovoznit nástroje a nástroje pro správu dat. Ochrana GRUBu heslem

1. Registrace a povolení Red Hat Subscription

Po minimální instalaci RHEL 7 je čas zaregistrovat a povolit systém do úložišť Red Hat Subscription a provést úplnou aktualizaci systému. To platí pouze v případě, že máte platné předplatné RedHat Subscription. Musíte se zaregistrovat, abyste mohli povolit oficiální repozitáře systému RedHat a čas od času aktualizovat operační systém.

Podrobným návodem, jak zaregistrovat a aktivovat předplatné RedHat, jsme se již zabývali v níže uvedeném návodu.

  1. Registrace a aktivace repozitářů předplatného Red Hat v systému RHEL 7

Poznámka: Tento krok se týká pouze systému RedHat Enterprise Linux, který má platné předplatné. Pokud používáte server CentOS, okamžitě přejděte k dalším krokům.

2. V případě, že máte server CentOS, přejděte ihned k dalším krokům. Konfigurace sítě se statickou IP adresou

První, co musíte udělat, je nakonfigurovat statickou IP adresu, směrování a DNS pro váš server CentOS. Budeme používat příkaz ip, který nahrazuje příkaz ifconfig. Příkaz ifconfig je však stále k dispozici pro většinu distribucí Linuxu a lze jej nainstalovat z výchozího úložiště.

# yum install net-tools

Ale jak jsem řekl, budeme používat příkaz ip pro konfiguraci statické adresy IP. Proto nejprve zkontrolujte aktuální IP adresu.

# ip addr show

Nyní otevřete a upravte soubor /etc/sysconfig/network-scripts/ifcfg-enp0s3 pomocí zvoleného editoru. Zde používám editor Vi a ujistěte se, že pro provádění změn musíte být uživatelem root…

# vi /etc/sysconfig/network-scripts/ifcfg-enp0s3

Nyní budeme upravovat čtyři pole v souboru. Všimněte si níže uvedených čtyř polí a vše ostatní nechte nedotčené. Také ponechte dvojité uvozovky tak, jak jsou, a zadávejte data mezi ně.

Po provedení změn bude ‚ifcfg-enp0s3‘ vypadat nějak jako na obrázku níže. Všimněte si, že vaše IP, GATEWAY a DNS se budou lišit, ověřte si je u svého poskytovatele internetových služeb. Uložte a ukončete.

Detaily sítě

Znovu spusťte síť služeb a zkontrolujte, zda je správná IP adresa, která byla přidělena. Pokud je vše v pořádku, proveďte Ping, abyste zjistili stav sítě…

# service network restart
Restartujte službu sítě

Po restartování sítě nezapomeňte zkontrolovat IP adresu a stav sítě…

# ip addr show# ping -c4 google.com
Ověřte IP adresu
Zkontrolujte stav sítě

3. Zkontrolujte stav sítě. Nastavení názvu hostitele serveru

Dalším úkonem je změna názvu hostitele (HOSTNAME) serveru CentOS. Zkontrolujte aktuálně přiřazené HOSTNAME.

# echo $HOSTNAME
Check System Hostname

Pro nastavení nového HOSTNAME musíme upravit ‚/etc/hostsname‘ a nahradit staré hostname požadovaným.

# vi /etc/hostname
Set System Hostname

Po nastavení hostname nezapomeňte potvrdit hostname odhlášením a opětovným přihlášením. Po přihlášení zkontrolujte nové hostitelské jméno.

$ echo $HOSTNAME
Potvrdit nové hostitelské jméno

Případně můžete použít příkaz ‚hostname‘ pro zobrazení aktuálního hostitelského jména.

$ hostname

4. Po přihlášení zkontrolujte nové hostitelské jméno. Aktualizace nebo upgrade systému CentOS Minimální instalace

Tímto způsobem se nenainstalují žádné nové balíčky kromě aktualizace a instalace nejnovější verze nainstalovaných balíčků a aktualizací zabezpečení. Navíc Update a Upgrade jsou v podstatě stejné až na to, že Upgrade = Update + enable obsoletes processing during updates.

# yum update && yum upgrade
Update Minimal CentOS Server

Důležité: Můžete také spustit níže uvedený příkaz, který se nebude ptát na aktualizaci balíčků a nemusíte zadávat ‚y‘ pro přijetí změn.

Vždy je však dobré zkontrolovat změny, které se chystají na severu, speciálně v produkčním prostředí. Použití níže uvedeného příkazu tedy může aktualizaci a upgrade automatizovat za vás, ale nedoporučuje se to.

# yum -y update && yum -y upgrade

5. V případě, že je aktualizace a upgrade provedena pomocí příkazů, které jsou uvedeny níže, může být aktualizace a upgrade provedena automaticky. Instalace webového prohlížeče s příkazovým řádkem

Ve většině případů, zejména v produkčním prostředí, obvykle instalujeme systém CentOS jako příkazový řádek bez grafického uživatelského rozhraní, v této situaci musíme mít nástroj pro prohlížení příkazového řádku, abychom mohli kontrolovat webové stránky prostřednictvím terminálu. Za tímto účelem si nainstalujeme nejznámější nástroj s názvem ‚links‘.

# yum install links
Links: Procházení webových stránek v příkazovém řádku

Pro použití a příklady procházení webových stránek u nástroje links si přečtěte náš článek Procházení webových stránek v příkazovém řádku pomocí nástroje links

6. Instalace serveru Apache HTTP

Nezáleží na tom, k jakému účelu budete server používat, ve většině případů potřebujete server HTTP ke spuštění webových stránek, multimédií, skriptů na straně klienta a mnoha dalších věcí.

# yum install httpd
Instalace serveru Apache

Pokud chcete změnit výchozí port (80) serveru Apache HTTP na jakýkoli jiný port. Musíte upravit konfigurační soubor ‚/etc/httpd/conf/httpd.conf‘ a vyhledat řádek, který začíná typicky takto:

LISTEN 80

Změňte číslo portu ’80‘ na jakýkoli jiný port (například 3221), uložte a ukončete.

Změňte port Apache

Přidejte port, který jste právě otevřeli pro Apache, přes firewall a poté firewall znovu načtěte.

Povolte službu http přes firewall (trvale).

# firewall-cmd --add-service=http

Povolte port 3221 přes firewall (trvale).

# firewall-cmd --permanent --add-port=3221/tcp

Znovu načtěte firewall.

# firewall-cmd --reload

Po provedení všech výše uvedených úkonů je nyní čas restartovat server Apache HTTP, aby se nové číslo portu projevilo.

# systemctl restart httpd.service

Nyní přidejte službu Apache do celého systému, aby se automaticky spouštěla při startu systému.

# systemctl start httpd.service# systemctl enable httpd.service

Nyní ověřte server Apache HTTP pomocí nástroje příkazového řádku links, jak je znázorněno na následující obrazovce.

# links 127.0.0.1
Ověřit stav Apache

7. Nainstalujte PHP

PHP je skriptovací jazyk na straně serveru pro webové služby. Často se používá i jako univerzální programovací jazyk. Nainstalujte PHP na server CentOS Minimal Server as.

# yum install php

Po instalaci php nezapomeňte restartovat službu Apache, aby se PHP zobrazilo ve webovém prohlížeči.

# systemctl restart httpd.service

Dále ověřte PHP vytvořením následujícího php skriptu v kořenovém adresáři dokumentu Apache.

# echo -e "<?php\nphpinfo();\n?>" > /var/www/html/phpinfo.php

Nyní zobrazte soubor PHP, který jsme právě vytvořili (phpinfo.php) v příkazovém řádku Linuxu, jak je uvedeno níže.

# php /var/www/html/phpinfo.phpOR# links http://127.0.0.1/phpinfo.php
Ověřte PHP

8. Ověřte PHP. Nainstalujte databázi MariaDB

MariaDB je odnož MySQL. RedHat Enterprise Linux a jeho deriváty přešly na MariaDB z MySQL. Jedná se o primární systém pro správu databází. Je to opět jeden z těch nástrojů, které je nutné mít a které budete dříve či později potřebovat bez ohledu na to, jaký server nastavujete. Nainstalujte MariaDB na server CentOS Minimal Install podle následujícího postupu: 

# yum install mariadb-server mariadb
Instalace databáze MariaDB

Spustit a nakonfigurovat MariaDB tak, aby se automaticky spouštěla při startu systému.

# systemctl start mariadb.service# systemctl enable mariadb.service

Povolit službu mysql (mariadb) přes firewall.

# firewall-cmd --add-service=mysql

Nyní je čas zabezpečit server MariaDB.

# /usr/bin/mysql_secure_installation
Zabezpečení databáze MariaDB

Přečtěte si také:

  1. Instalace LAMP (Linux, Apache, MariaDB, PHP/PhpMyAdmin) v systému CentOS 7.0
  2. Vytvoření virtuálních hostitelů Apache v systému CentOS 7.0

9. Instalace a konfigurace serveru SSH

SSH znamená Secure Shell, což je výchozí protokol v systému Linux pro vzdálenou správu. SSH je jedním z těch základních kusů softwaru, který je standardně dodáván s minimálním serverem CentOS.

Zkontrolujte aktuálně nainstalovanou verzi SSH.

# SSH -V
Zkontrolujte verzi SSH

Použijte zabezpečený protokol nad výchozím protokolem SSH a změňte také číslo portu pro větší bezpečnost. Upravte konfigurační soubor SSH ‚/etc/ssh/sshd_config‘.

Zakomentujte řádek pod řádkem nebo odstraňte 1 z řetězce Protocol, takže řádek bude vypadat takto:

# Protocol 2,1 (Original)Protocol 2 (Now)

Tato změna donutí SSH používat protokol 2, který je považován za bezpečnější než protokol 1, a také nezapomeňte v konfiguraci změnit číslo portu 22 na libovolné.

Zabezpečení přihlašování SSH

Zakázat SSH „přihlašování root“ a povolit připojení k účtu root až po přihlášení k běžnému uživatelskému účtu pro zvýšení bezpečnosti. Za tímto účelem otevřete a upravte konfigurační soubor ‚/etc/ssh/sshd_config‘ a změňte PermitRootLogin yes na PermitRootLogin no.

# PermitRootLogin yes (Original) PermitRootLogin no (Now)
Zakázat kořenové přihlášení SSH

Nakonec restartujte službu SSH, aby se nové změny projevily.

# systemctl restart sshd.service

Přečtěte si také:

  1. 5 osvědčených postupů pro zabezpečení a ochranu serveru SSH
  2. Přihlášení SSH bez hesla pomocí klíče SSH v 5 snadných krocích
  3. Ověřování pomocí klíčů SSH bez hesla“ s nástrojem PuTTY

10. Zkontrolujte, zda je přihlášení SSH bez hesla možné. Nainstalujte GCC (GNU Compiler Collection)

GCC je zkratka pro GNU Compiler Collection, což je překladačový systém vyvinutý projektem GNU, který podporuje různé programovací jazyky. V systému CentOS Minimal Install není ve výchozím nastavení nainstalován. Chcete-li nainstalovat překladač gcc, spusťte níže uvedený příkaz.

# yum install gcc
Install GCC GNU Compiler

Zkontrolujte verzi nainstalovaného překladače gcc.

# gcc --version
Check GCC Version

11. Zkontrolujte verzi nainstalovaného překladače GCC. Nainstalujte jazyk Java

Java je objektově orientovaný programovací jazyk pro všeobecné použití založený na třídách. V systému CentOS Minimal Server není ve výchozím nastavení nainstalován. Nainstalujte Javu z úložiště, jak je uvedeno níže.

# yum install java
Install Java

Zkontrolujte verzi nainstalované Javy.

# java -version
Check Java Version

12. Nainstalujte Javu z úložiště, jak je uvedeno níže. Nainstalujte Apache Tomcat

Tomcat je servletový kontejner navržený společností Apache pro provozování webového serveru HTTP Java. Nainstalujte tomcat podle níže uvedeného postupu, je však nutné zdůraznit, že před instalací tomcatu musíte mít nainstalovanou Javu.

# yum install tomcat
Instalace Apache Tomcat

Po instalaci tomcatu nastartujte službu tomcat.

# systemctl start tomcat

Zkontrolujte verzi tomcatu.

# /usr/sbin/tomcat version
Zkontrolujte verzi tomcatu

Přidejte službu tomcat a výchozí port (8080) přes firewall a znovu načtěte nastavení.

# firewall-cmd --zone=public --add-port=8080/tcp --permanent# firewall-cmd --reload

Teď je čas zabezpečit server tomcat, vytvořit uživatele a heslo pro přístup a správu. Musíme upravit soubor ‚/etc/tomcat/tomcat-users.xml‘. Podívejte se na část, která vypadá takto:

Zabezpečení serveru Tomcat

Zde jsme přidali uživatele „tecmint“ pro správu/management serveru Tomcat pomocí hesla „tecmint“. Zastavte a spusťte službu tomcat, aby se změny projevily, a povolte, aby se služba tomcat spouštěla při startu systému.

# systemctl stop tomcat# systemctl start tomcat# systemctl enable tomcat.service

Přečtěte si také: Instalace a konfigurace Apache Tomcat 8.0.9 v systému RHEL/CentOS 7.0/6.x

13. Instalace nástroje Nmap pro sledování otevřených portů

Nmap pro mapování sítě vytváří mapu sítě zjišťováním hostitele, na kterém je spuštěn, a také analýzou sítě. nmap není součástí výchozí instalace a musíte jej nainstalovat z úložiště.

# yum install nmap
Instalace nástroje Nmap pro sledování sítě

Seznam všech otevřených portů a příslušných služeb, které je na hostiteli používají.

# nmap 127.0.01
Monitorování otevřených portů

Můžete také použít firewall-cmd pro výpis všech portů, nicméně nmap považuji za užitečnější.

# firewall-cmd --list-ports
Kontrola otevřených portů ve firewallu

Přečtěte si také: 29 užitečných příkazů Nmap pro monitorování otevřených portů

14. Zjistěte, zda jsou otevřené porty na hostitelském počítači dostupné. Konfigurace firewalluD

firewalld je služba firewallu, která dynamicky spravuje server. Firewalld v systému CentOS 7 odstranil iptables. Firewalld je ve výchozím nastavení nainstalován v systému RedHat Enterprise Linux a jeho derivátech. U iptables je třeba každou změnu, aby se projevila, propláchnout všemi starými pravidly a vytvořit nová pravidla.

U firewaldu však není propláchnutí a opětovné vytvoření nových pravidel nutné a změny se aplikují pouze za běhu.

Zjistit, zda Firewalld běží nebo ne.

# systemctl status firewalldOR# firewall-cmd --state
Zjistit stav Firewalld

Zjistit seznam všech zón.

# firewall-cmd --get-zones
Zkontrolovat zóny Firewalld

Zjistit podrobnosti o zóně před přepnutím.

# firewall-cmd --zone=work --list-all
Zkontrolovat podrobnosti o zóně

Pro získání výchozí zóny.

# firewall-cmd --get-default-zone
Výchozí zóna Firewalld

Pro přepnutí do jiné zóny řekněte „práce“.

# firewall-cmd --set-default-zone=work
Sezóna Firewalld

Pro výpis všech služeb v zóně.

# firewall-cmd --list-services
Seznam služeb zóny Firewalld

Pro přidání služby řekněte http, dočasně a znovu načtěte firewalld.

# firewall-cmd --add-service=http# firewall-cmd –reload
Přidat službu http dočasně

Pro přidání služby řekněme http, trvale a znovunačtení firewaldu.

# firewall-cmd --add-service=http --permanent# firewall-cmd --reload
Přidat službu http trvale

Pro odstranění služby řekněme http, dočasně.

# firewall-cmd --remove-service=http# firewall-cmd --reload
Odstranit službu Firewalld dočasně

Pro odstranění služby řekněme http, trvale.

# firewall-cmd --zone=work --remove-service=http --permanent# firewall-cmd --reload
Odstranit službu trvale

Pro povolení portu (řekněme 331), dočasně.

# firewall-cmd --add-port=331/tcp# firewall-cmd --reload
Otevřít port dočasně

Pro povolení portu (například 331), trvale.

# firewall-cmd --add-port=331/tcp --permanent# firewall-cmd --reload
Otevřít port trvale

Pro zablokování/odstranění portu (například 331), dočasně.

# firewall-cmd --remove-port=331/tcp# firewall-cmd --reload
Odstranit port dočasně

Pro zablokování/odstranění portu (například 331), trvale. 

# firewall-cmd --remove-port=331/tcp --permanent# firewall-cmd --reload
Odstranit port trvale

Pro zakázání firewaldu.

# systemctl stop firewalld# systemctl disable firewalld# firewall-cmd --state
Zakázání služby Firewalld

Povolení služby Firewalld.

# systemctl enable firewalld# systemctl start firewalld# firewall-cmd --state
Povolit Firewalld
  1. Jak nakonfigurovat ‚FirewallD‘ v RHEL/CentOS 7
  2. Použitelná pravidla ‚FirewallD‘ pro konfiguraci a správu firewallu

15. V případě, že je FirewallD v RHEL/CentOS 7 v provozu, je třeba jej zapnout. Instalace nástroje Wget

wget je nástroj založený na příkazovém řádku systému Linux, který načítá (stahuje) obsah z webových serverů. Je to důležitý nástroj, který musíte mít k načítání webového obsahu nebo stahování libovolných souborů pomocí příkazu wget.

# yum install wget
Instalace nástroje Wget

Pro další použití a praktické příklady použití příkazu wget ke stahování souborů na terminálu si přečtěte 10 příkladů příkazu Wget.

16. Příkaz Wget je určen pro stahování souborů na terminálu. Instalace Telnetu

Telnet je síťový protokol, který umožňuje uživateli přihlásit se do jiného počítače ve stejné síti prostřednictvím protokolu TCP/IP. Po navázání spojení se vzdáleným počítačem se z něj stane virtuální terminál a umožní vám komunikovat se vzdáleným hostitelem v rámci vašeho počítače podle toho, jaká oprávnění vám byla poskytnuta.

Telnet je také velmi užitečný pro kontrolu naslouchajících portů na vzdáleném počítači nebo hostiteli.

# yum install telnet# telnet google.com 80
Kontrola portů Telnetu

17. Jakmile se připojíte ke vzdálenému počítači, můžete se připojit ke vzdálenému počítači. Instalace Webminu

Webmin je webový konfigurační nástroj pro Linux. Funguje jako centrální systém pro konfiguraci různých systémových nastavení, jako jsou uživatelé, diskové kvóty, služby a konfigurace serveru HTTP, Apache, MySQL atd.

# wget http://prdownloads.sourceforge.net/webadmin/webmin-1.740-1.noarch.rpm# rpm -ivh webmin-*.rpm
Instalace Webmin

Po instalaci Webmin se na terminálu zobrazí zpráva, abyste se přihlásili k hostiteli (http://ip-address:10000) pomocí hesla roota na portu číslo 10000. Pokud používáte bezhlavý server, můžete tento port přesměrovat a přistupovat k němu na stroji/serveru, který je bezhlavý.

18. Povolení repozitářů třetích stran

Není dobrý nápad přidávat nedůvěryhodné repozitáře speciálně ve výrobě a může to mít fatální následky. Nicméně jen pro příklad zde přidáme několik komunitou schválených důvěryhodných repozitářů pro instalaci nástrojů a balíčků třetích stran.

Add Extra Package for Enterprise Linux (EPEL) Repository.

# yum install epel-release

Add Community Enterprise Linux Repository.

# rpm -Uvh http://www.elrepo.org/elrepo-release-7.0-2.el7.elrepo.noarch.rpm
Install Epel Repo

Pozor! Při přidávání repozitáře třetí strany je třeba dbát zvýšené opatrnosti.

19. Při přidávání repozitáře třetí strany je třeba dbát zvýšené opatrnosti. Instalace nástroje 7-zip

V minimální instalaci systému CentOS nedostanete nástroje jako unzip nebo unrar. Máme možnost nainstalovat každou utilitu podle potřeby nebo utilitu, která slouží pro všechny. Takovou utilitou je 7-zip, který komprimuje a extrahuje soubory všech známých typů.

# yum install p7zip
Instalace nástroje 7zip

Upozornění: Balíček je stažen a nainstalován z repozitáře Fedora EPEL 7.

20. Instalace ovladače NTFS-3G

Pro většinu distribucí podobných systému UNIX je k dispozici malý, ale velmi užitečný ovladač NTFS s názvem NTFS-3G. Je užitečný pro připojování a přístup k souborovému systému NTFS systému Windows. Ačkoli jsou k dispozici i jiné alternativy, například Tuxera NTFS, NTFS-3G je nejpoužívanější.

# yum install ntfs-3g
Instalace NTFS-3G pro připojení oddílu systému Windows

Po instalaci ntfs-3g můžete připojit oddíly NTFS systému Windows (kde /dev/sda5 je můj disk se systémem Windows) pomocí následujícího příkazu.

# mount -ro ntfs-3g /dev/sda5 /mnt# cd /mnt# ls -l

21. Připojení oddílu NTFS systému Windows (kde /dev/sda5 je můj disk se systémem Windows) Instalace FTP serveru Vsftpd

VSFTPD, což je zkratka Very Secure File Transfer Protocol Daemon, je FTP server pro systém typu UNIX. Je to jeden z nejefektivnějších a nejbezpečnějších FTP serverů, které jsou dnes k dispozici.

# yum install vsftpd
Instalace Vsftpd FTP

Upravte konfigurační soubor umístěný na adrese ‚/etc/vsftpd/vsftpd.conf‘ pro zabezpečení vsftpd.

# vi /etc/vsftpd/vsftpd.conf

Upravte několik polí a ostatní nechte tak, jak jsou, pokud nevíte, co děláte.

anonymous_enable=NOlocal_enable=YESwrite_enable=YESchroot_local_user=YES

Můžete také změnit číslo portu a otevřít port vsftpd přes firewall.

# firewall-cmd --add-port=21/tcp# firewall-cmd --reload

Dále restartujte vsftpd a povolte, aby se spouštěl při startu systému.

# systemctl restart vsftpd# systemctl enable vsftpd

22. Instalace a konfigurace sudo

sudo, kterému se běžně říká super do stejně jako vhodné uživatelské do, je program pro operační systém typu UNIX, který umožňuje spustit program s bezpečnostními právy jiného uživatele. Podívejme se, jak nakonfigurovat sudo…

# visudo

Otevře soubor /etc/sudoers pro editaci…

soubor sudoers

Přidělí všechna oprávnění (rovnající se root) uživateli (řekněme tecmint), který již byl vytvořen.

tecmint ALL=(ALL) ALL

Přidělte všechna oprávnění (rovnající se root) uživateli (řekněme tecmint), kromě oprávnění restartovat a vypnout server.

Znovu otevřete stejný soubor a upravte jej níže uvedeným obsahem. 

cmnd_Alias nopermit = /sbin/shutdown, /sbin/reboot

Poté přidejte alias pomocí operátoru Logical (!).

tecmint ALL=(ALL) ALL,!nopermit

Přidělte skupině (řekněme debian) oprávnění ke spuštění několika příkazů s právy roota, řekněme (přidat uživatele a odstranit uživatele) .

cmnd_Alias permit = /usr/sbin/useradd, /usr/sbin/userdel

A pak přidejte oprávnění skupině debian.

debian ALL=(ALL) permit

23. Přidejte oprávnění ke skupině debian. Nainstalujte a povolte SELinux

SELinux, což je zkratka pro Security-Enhanced Linux, je bezpečnostní modul na úrovni jádra.

# yum install selinux-policy
Nastavte politiku SElinux

Zkontrolujte režim SELinux.

# getenforce
Check SELinux Mode

Výstupem je vynucovací režim, což znamená, že politika SELinux je v platnosti.

Pro ladění nastavte dočasně režim SELinux na permissive. Není třeba restartovat počítač.

# setenforce 0

Po ladění nastavte selinux opět na vynucující, aniž byste museli restartovat počítač.

# setenforce 1

24. Nainstalujte Rootkit Hunter

Rootkit Hunter zkráceně Rkhunter je aplikace, která skenuje rootkity a další potenciálně škodlivé exploity v systémech Linux.

# yum install rkhunter
Instalace programu Rootkit Hunter

Spuštění programu rkhunter jako naplánované úlohy, ze souboru se skriptem nebo ručně pro skenování škodlivých exploitů v systému Linux.

# rkhunter --check
Skenování rootkitů
Výsledky skenování rootkitů

25. V případě, že chcete skenovat škodlivé exploity v systému Linux, použijte program RootKit Hunter. Nainstalujte Linux Malware Detect (LMD)

Linux Malware Detect (LMD) je open source skener malwaru pro Linux vydaný pod licencí GNU GPLv2, který je
speciálně navržen pro hrozby, kterým čelí v hostitelských prostředích. Kompletní informace o instalaci, konfiguraci a používání LMD naleznete na adrese:

  1. Instalace a používání (LMD) s ClamAV jako antivirovým enginem

26. Instalace a používání LMD. Testování šířky pásma serveru pomocí nástroje Speedtest-cli

Speedtest-cli je nástroj napsaný v jazyce Python pro testování šířky pásma internetu včetně rychlosti stahování a odesílání. Kompletní informace o instalaci a použití nástroje speedtest-cli naleznete v našem článku na adrese Kontrola rychlosti přenosové rychlosti linuxového serveru z příkazového řádku

27. Konfigurace úloh Cron

Jedná se o jeden z nejpoužívanějších softwarových nástrojů. Funguje jako plánovač úloh, tj. naplánuje nyní úlohu, která se v budoucnu sama provede. Je užitečný při zaznamenávání a udržování nedosažených záznamů a také při několika dalších rutinních pracích, jako je pravidelné zálohování. Celý plán se zapisuje do souboru /etc/crontab.

Soubor crontab obsahuje 6 následujících polí:

Minutes HourDay of MonthMonth of YearWeek DayCommand(0-59) (0-23) (1-31) (1/jan-12/dec) (0-6/sun-sat) Command/script
Pole crontab

Chcete-li spustit úlohu cron (řekněme spustit /home/$USER/script.sh) každý den v 04:30 hod.

Minutes Hour Day of Month month of year Week Day command30 4 * * * speedtest-cli

Přidejte následující položku do souboru crontab ‚/etc/crontab/‘.

30 4 * * * /home/$user/script.sh

Po přidání výše uvedeného řádku do crontabu se bude spouštět automaticky každý den v 04:30 a výstup závisí na tom, co je v souboru skript. Skript lze navíc nahradit příkazy. Další příklady úloh cron naleznete v článku 11 příkladů úloh cron v systému Linux

28. Instalace aplikace Owncloud

Owncloud je aplikace pro synchronizaci dat, sdílení souborů a vzdálené ukládání souborů založená na protokolu HTTP. Podrobnější informace o instalaci owncloudu naleznete v tomto článku : Vytvoření osobního/soukromého cloudového úložiště v Linuxu

29. Povolení virtualizace pomocí Virtualboxu

Virtualizace je proces vytváření virtuálního operačního systému, hardwaru a sítě, je jednou z nejvyhledávanějších technologií těchto dnů. Podrobně se budeme zabývat tím, jak virtualizaci nainstalovat a nakonfigurovat.

Náš server CentOS Minimal je bezhlavý server. Připravíme jej na hostování virtuálních počítačů, které jsou přístupné přes HTTP, instalací následujících balíčků.

# yum groupinstall 'Development Tools' SDL kernel-devel kernel-headers dkms
Instalace vývojových nástrojů

Změňte pracovní adresář na ‚/etc/yum.repos.d/‘ a stáhněte repozitář Virtualbox.

# wget -q http://download.virtualbox.org/virtualbox/debian/oracle_vbox.asc

Instalace právě staženého klíče.

# rpm --import oracle_vbox.asc

Aktualizace a instalace Virtualbox.

# yum update && yum install virtualbox-4.3

Dále stáhněte a nainstalujte rozšiřující balíček Virtualbox.

Instalace rozšiřujícího balíčku Virtualbox
Instalace rozšiřujícího balíčku Virtualbox

Vytvořte uživatele ‚vbox‘ pro správu Virtualboxu a přidejte ho do skupiny vboxusers.

# adduser vbox# passwd vobx# usermod -G vboxusers vbox

Instalace serveru HTTPD.

# yum install httpd

Instalace PHP (s příponou soap).

# yum install php php-devel php-common php-soap php-gd

Stáhněte PHP virtualBox.

# wget http://sourceforge.net/projects/phpvirtualbox/files/phpvirtualbox-4.3-1.zip

Rozbalte zip a rozbalenou složku zkopírujte do pracovního adresáře HTTP.

# unzip phpvirtualbox-4.*.zip# cp phpvirtualbox-4.3-1 -R /var/www/html

Dále přejmenujte soubor /var/www/html/phpvirtualbox/config.php-example na var/www/html/phpvirtualbox/config.php.

# mv config.php.example config.php

Otevřete konfigurační soubor, který upravte a přidejte do něj ‚username‘ a ‚password‘, které jsme právě vytvořili v předchozím kroku.

# vi config.php

Nakonec restartujte VirtualBox a HTTP server.

# service vbox-service restart# service httpd restart

Nyní přesměrujte port a přistupujte k němu na serveru se záhlavím.



PHP Virtualbox Login


PHP Virtualbox Dashboard


 30. Zjistěte, zda je možné se do Virtualboxu přihlásit. Ochrana zavaděče GRUB heslem


Zaheslujte zavaděč, abyste získali další úroveň zabezpečení přímo při zavádění systému. Také získáte ochrannou vrstvu ochrany na fyzické úrovni. Chraňte svůj server uzamčením GRUBu při zavádění, abyste zabránili jakémukoli neoprávněnému přístupu.


Nejprve si vytvořte zálohu dvou souborů, abyste v případě, že se něco pokazí, měli možnost vrátit se zpět. Vytvořte zálohu souboru ‚/etc/grub2/grub.cfg‘ jako ‚/etc/grub2/grub.cfg.old‘.


# cp /boot/grub2/grub.cfg /boot/grub2/grub.cfg.old


Také vytvořte zálohu souboru ‚/etc/grub.d/10_linux“ jako ‚/etc/grub.d/10_linux.old‘.


# cp /etc/grub.d/10_linux /etc/grub.d/10_linux.old


Nyní otevřete ‚/etc/grub.d/10_linux‘ a na konec souboru přidejte níže uvedený řádek.


cat <<EOFset superusers="tecmint"Password tecmint [email protected]


Heslo chrání Grub


Všimněte si, že ve výše uvedeném souboru nahraďte „tecmint“ jako uživatelské jméno a „[email protected]“ jako heslo svým uživatelským jménem a heslem.


Nyní vygenerujte nový soubor grub.cfg vydáním následujícího příkazu.


# grub2-mkconfig --output=/boot/grub2/grub.cfg


Generate Grub File


Po vytvoření nového souboru grub.cfg restartujte počítač a stiskněte ‚e‘ pro úpravu. Zjistíte, že pro úpravu zaváděcí nabídky je nutné zadat ‚platné přihlašovací údaje‘.


Zaváděcí nabídka chráněná heslem


Po zadání přihlašovacích údajů budete moci upravit zaváděcí nabídku grubu.


Soubor s nabídkou grubu


Můžete také vygenerovat šifrované heslo místo obyčejného hesla, jak je uvedeno ve výše uvedeném kroku. Nejprve vygenerujte šifrované heslo, jak je navrženo níže.


# grub2-mkpasswd-pbkdf2


Vygenerujte šifrované heslo Grub


Nyní otevřete soubor ‚/etc/grub.d/10_linux‘ a na konec souboru přidejte níže uvedený řádek.


cat <<EOFset superusers="tecmint"Password_pbkdf2 tecmintgrub.pbkdf2.sha512**************************************************EOF


Šifrované heslo Grub


Nahraďte heslo heslem vygenerovaným ve vašem systému. Nezapomeňte heslo křížově zkontrolovat.


Také upozorňujeme, že i v tomto případě je třeba vygenerovat soubor grub.cfg, jak je popsáno výše. Restartujte počítač a při příštím stisknutí klávesy ‚e‘ pro editaci budete vyzváni k zadání uživatelského jména a hesla.


Snažili jsme se pokrýt většinu nezbytných bodů po instalaci standardních distribucí RHEL 7 a CentOS 7. Pokud zjistíte, že jsme některé body vynechali, nebo potřebujete tento příspěvek rozšířit o nové poinstalační věci, můžete se s námi podělit, váš bod zahrneme do tohoto článku jeho rozšířením.




			







		

		
Napsat komentář 
Vaše e-mailová adresa nebude zveřejněna.