CentOS on teollisuusstandardin mukainen Linux-jakelu, joka on RedHat Enterprise Linuxin johdannainen. Voit aloittaa käyttöjärjestelmän käytön heti, kun olet asentanut sen, mutta saadaksesi järjestelmästäsi kaiken irti, sinun on suoritettava muutama päivitys, asennettava muutama paketti, konfiguroitava tietyt palvelut ja sovellukset.
Tämän artikkelin tavoitteena on ”30 asiaa, jotka on tehtävä RHEL/CentOS 7:n asennuksen jälkeen”. Kirjoitus on kirjoitettu pitäen mielessä, että olet asentanut RHEL/CentOS Minimal Install -asennuksen, jota suositaan yritys- ja tuotantoympäristössä, jos et ole, voit seurata alla olevaa opasta, joka näyttää molempien minimaaliset asennukset.
- CentOS 7 Minimalin asennus
- RHEL 7 Minimalin asennus
Seuraavassa on luettelo tärkeistä asioista, jotka olemme käsitelleet tässä oppaassa alan standardivaatimusten perusteella. Toivomme, että, näistä asioista on paljon apua palvelimesi asentamisessa.
- 1. Rekisteröi ja ota käyttöön Red Hat Subscription
- 2. Jos käytössäsi on CentOS-palvelin, siirry heti seuraaviin vaiheisiin. Verkon konfigurointi staattisella IP-osoitteella
- 3. Käynnistä verkko uudelleen. Aseta palvelimen isäntänimi
- 4. Valitse ’hostname’. Päivitä tai päivitä CentOS Minimal Install
- 5. Asenna komentorivin verkkoselain
- 6. Asenna Apache HTTP-palvelin
- 7. Asenna PHP
- 8. Varmista PHP
- . Asenna MariaDB-tietokanta
- 9. Asenna ja määritä SSH-palvelin
- 10. Asenna GCC (GNU Compiler Collection)
- 11. Asenna GCC GNU-kääntäjä. Asenna Java
- 12. Asenna Java. Asenna Apache Tomcat
- 13. Apache Tomcat 8.0.9:n asentaminen ja konfigurointi RHEL/CentOS 7.0/6.x:ssä. Asenna Nmap tarkkailemaan avoimia portteja
- 14. Lue myös: 29 käyttökelpoista Nmap-käskyä avoimien porttien valvontaan . FirewallD Configuration
- 15. Palomuurin määrittäminen. Wgetin asentaminen
- 16. Lue lisää käyttö- ja käytännön esimerkkejä wget-komennon käytöstä tiedostojen lataamiseen päätelaitteella. Telnetin asentaminen
- 17. Telnet-porttien tarkistaminen . Webminin asentaminen
- 18. Paina . Enable Third Party Repositories
- 19. Asenna 7-zip-apuohjelma
- 20. Asenna NTFS-3G-ajuri
- 21. Asenna NTFS-3G Windowsin osioihin. Asenna Vsftpd FTP-palvelin
- 22. Asenna ja konfiguroi sudo
- 23. Asenna ja ota SELinux käyttöön
- 24. Valitse selinux tilaksi enforcing. Asenna Rootkit Hunter
- 25. Asenna Rootkit Hunter. Asenna Linux Malware Detect (LMD)
- 26. Palvelimen kaistanleveyden testaaminen Speedtest-cli:llä
- 27. Lue lisää. Configure Cron Jobs
- 28. Asenna Owncloud
- 29. Ota oma pilvitallennustila käyttöön. Ota virtualisointi käyttöön Virtualboxilla
- 30. Paina OK. GRUBin suojaaminen salasanalla
1. Rekisteröi ja ota käyttöön Red Hat Subscription
RHEL 7:n minimaalisen asennuksen jälkeen on aika rekisteröidä ja ottaa järjestelmäsi käyttöön Red Hat Subscription -tietovarastoissa ja suorittaa täydellinen järjestelmäpäivitys. Tämä on voimassa vain, jos sinulla on voimassa oleva RedHat Subscription. Sinun on rekisteröitävä järjestelmäsi, jotta voit ottaa käyttöön viralliset RedHat-järjestelmän arkistot ja päivittää käyttöjärjestelmän aika ajoin.
Olemme jo käsitelleet yksityiskohtaiset ohjeet RedHat-tilauksen rekisteröinnistä ja aktiivisesta RedHat-tilauksesta alla olevassa oppaassa.
- Registeröi ja ota käyttöön Red Hat Subscription Repositories in RHEL 7
Huomautus: Tämä vaihe koskee vain RedHat Enterprise Linuxia, jolla on voimassa oleva tilaus. Jos käytössäsi on CentOS-palvelin, siirry heti seuraaviin vaiheisiin.
2. Jos käytössäsi on CentOS-palvelin, siirry heti seuraaviin vaiheisiin. Verkon konfigurointi staattisella IP-osoitteella
Ensimmäisenä sinun on konfiguroitava staattinen IP-osoite, reititin ja DNS CentOS-palvelimelle. Käytämme ip-komentoa ifconfig-komennon korvaajana. Ifconfig-komento on kuitenkin edelleen saatavilla useimpiin Linux-jakeluihin ja se voidaan asentaa oletusvarastosta.
# yum install net-tools
Mutta kuten sanoin, käytämme ip-komentoa staattisen IP-osoitteen määrittämiseen. Varmista siis ensin, että tarkistat nykyisen IP-osoitteen.
# ip addr show
Avaa ja muokkaa nyt tiedostoa /etc/sysconfig/network-scripts/ifcfg-enp0s3 valitsemallasi editorilla. Tässä käytän Vi-editoria ja varmista, että sinun täytyy olla root-käyttäjä, jotta voit tehdä muutoksia…
# vi /etc/sysconfig/network-scripts/ifcfg-enp0s3
Jatkossa muokkaamme tiedoston neljää kenttää. Huomaa alla olevat neljä kenttää ja jätä kaikki muut koskematta. Jätä myös kaksinkertaiset lainausmerkit ennalleen ja kirjoita tietosi niiden väliin.
Muutosten tekemisen jälkeen ’ifcfg-enp0s3’ näyttää jotakuinkin alla olevan kuvan kaltaiselta. Huomaa, että IP, GATEWAY ja DNS vaihtelevat, vahvista se palveluntarjoajaltasi. Tallenna ja poistu.
Käynnistä huoltoverkko uudelleen ja tarkista, onko IP oikein vai ei, joka osoitettiin. Jos kaikki on kunnossa, pingaa nähdäksesi verkon tilan…
# service network restart
Verkon uudelleenkäynnistyksen jälkeen tarkista IP-osoite ja verkon tila…
# ip addr show# ping -c4 google.com
3. Käynnistä verkko uudelleen. Aseta palvelimen isäntänimi
Seuraavaksi on muutettava CentOS severin HOSTNAME. Tarkista tällä hetkellä määritetty HOSTNAME.
# echo $HOSTNAME
Uuden HOSTNAME:n asettamiseksi meidän on muokattava ’/etc/hostsname’ ja korvattava vanha hostname halutulla hostname:lla.
# vi /etc/hostname
Set System Hostname
Setettuasi hostname:n, varmista hostname uloskirjautumalla ulos palvelimesta ja kirjautumalla sisään uudelleen. Tarkista kirjautumisen jälkeen uusi isäntänimi.
$ echo $HOSTNAME
Vaihtoehtoisesti voit käyttää komentoa ’isäntänimi’ nähdäksesi nykyisen hotsnimen.
$ hostname
4. Valitse ’hostname’. Päivitä tai päivitä CentOS Minimal Install
Tämä ei asenna muita uusia paketteja kuin asennettujen pakettien ja tietoturvapäivitysten uusimman version päivittämisen ja asentamisen. Lisäksi Update ja Upgrade ovat melko samanlaisia lukuun ottamatta sitä, että Upgrade = Update + enable obsoletes processing during updates.
# yum update && yum upgrade
Tärkeää: Voit myös suorittaa alla olevan komennon, joka ei kysy pakettien päivittämistä eikä sinun tarvitse kirjoittaa ’y’-merkkiä muutosten hyväksymiseksi.
On kuitenkin aina hyvä tarkistaa muutokset, jotka tulevat tapahtumaan palvelimelle erityisesti tuotannossa. Näin ollen alla olevan komennon käyttäminen saattaa automatisoida päivityksen ja päivityksen puolestasi, mutta sitä ei suositella.
# yum -y update && yum -y upgrade
5. Asenna komentorivin verkkoselain
Useimmissa tapauksissa, erityisesti tuotantoympäristössä, asennamme CentOS:n yleensä komentoriville ilman graafista käyttöliittymää, tässä tilanteessa meillä on oltava komentorivin selaustyökalu, jolla voimme tarkistaa verkkosivustot terminaalin kautta. Tätä varten asennamme tunnetuimman työkalun nimeltä ’links’.
# yum install links
6. Asenna Apache HTTP-palvelin
Ei ole väliä, mihin tarkoitukseen käytät palvelinta, useimmissa tapauksissa tarvitset HTTP-palvelinta verkkosivujen, multimedian, asiakaspuolen skriptien ja monien muiden asioiden suorittamiseen.
# yum install httpd
Jos haluat vaihtaa Apache HTTP-palvelimen oletusportin (80) johonkin muuhun porttiin. Sinun on muokattava asetustiedostoa ’/etc/httpd/conf/httpd.conf’ ja etsittävä rivi, joka alkaa tyypillisesti näin:
LISTEN 80
Vaihda portin numero ’80’ mihin tahansa muuhun porttiin (vaikkapa 3221), tallenna ja poistu.
Lisää portti, jonka juuri avasit Apachelle palomuurin kautta ja lataa palomuuri uudelleen.
Salli palvelu http palomuurin kautta (Pysyvästi).
# firewall-cmd --add-service=http
Salli portti 3221 palomuurin kautta (Pysyvästi).
# firewall-cmd --permanent --add-port=3221/tcp
Lataa palomuuri uudelleen.
# firewall-cmd --reload
Kun kaikki edellä mainitut asiat on tehty, nyt on aika käynnistää Apache HTTP-palvelin uudelleen, jotta uusi porttinumero otetaan käyttöön.
# systemctl restart httpd.service
Lisää nyt Apache-palvelu järjestelmänlaajuiseksi käynnistymään automaattisesti järjestelmän käynnistyessä.
# systemctl start httpd.service# systemctl enable httpd.service
Varmista nyt Apache HTTP -palvelin linkkien komentorivityökalulla alla olevan näytön mukaisesti.
# links 127.0.0.1
7. Asenna PHP
PHP on palvelinpuolen komentosarjakieli verkkopalveluihin. Sitä käytetään usein myös yleiskäyttöisenä ohjelmointikielenä. Asenna PHP CentOS Minimal Server as.
# yum install php
Php:n asentamisen jälkeen varmista, että käynnistät Apache-palvelun uudelleen, jotta PHP:n voi renderöidä Web-selaimessa.
# systemctl restart httpd.service
Varmista PHP seuraavaksi luomalla seuraava php-skripti Apache-dokumentin juurihakemistoon.
# echo -e "<?php\nphpinfo();\n?>" > /var/www/html/phpinfo.php
Katsele nyt juuri luomamme PHP-tiedosto (phpinfo.php) Linuxin komentorivillä alla esitetyllä tavalla.
# php /var/www/html/phpinfo.phpOR# links http://127.0.0.1/phpinfo.php
8. Varmista PHP
. Asenna MariaDB-tietokanta
MariaDB on MySQL:n haarautuma. RedHat Enterprise Linux ja sen johdannaiset ovat siirtyneet MariaDB:hen MySQL:stä. Se on ensisijainen tietokannan hallintajärjestelmä. Se on taas yksi niistä työkaluista, joka on välttämätön ja tarvitset sitä ennemmin tai myöhemmin riippumatta siitä, millaisen palvelimen olet asettamassa. Asenna MariaDB CentOS Minimal Install -palvelimelle seuraavasti:
# yum install mariadb-server mariadb
Käynnistä ja konfiguroi MariaDB käynnistymään automaattisesti käynnistyksen yhteydessä.
# systemctl start mariadb.service# systemctl enable mariadb.service
Salli palvelu mysql (mariadb) palomuurin kautta.
# firewall-cmd --add-service=mysql
Nyt on aika suojata MariaDB-palvelin.
# /usr/bin/mysql_secure_installation
Lue myös:
- LAMP:n (Linux, Apache, MariaDB, PHP/PhpMyAdmin) asentaminen CentOS 7:ssa.0
- Apachen virtuaalisten isäntien luominen CentOS 7.0:ssa
9. Asenna ja määritä SSH-palvelin
SSH on lyhenne sanoista Secure Shell, joka on Linuxin oletusprotokolla etähallintaan. SSH on yksi niistä välttämättömistä ohjelmistoista, joka tulee oletuksena CentOS Minimal Serverin mukana.
Tarkista tällä hetkellä asennettu SSH-versio.
# SSH -V
Käytä Secure-protokollaa oletusarvoisen SSH-protokollan sijasta ja vaihda porttinumeroa myös ylimääräisen turvallisuuden vuoksi. Muokkaa SSH:n konfigurointitiedostoa ’/etc/ssh/sshd_config’.
Kommentoi rivin alla oleva rivi tai poista 1 Protocol-merkkijonosta, joten rivi näyttää seuraavalta:
# Protocol 2,1 (Original)Protocol 2 (Now)
Tällä muutoksella pakotat SSH:n käyttämään protokollaa 2, jota pidetään turvallisempana kuin protokollaa 1. Muista myös vaihtaa konfiguroinnissa porttinumero 22 mihin tahansa.
Poista SSH:n ’pääkäyttäjän kirjautuminen’ käytöstä ja salli yhteyden muodostaminen pääkäyttäjälle vasta kirjautumisen jälkeen tavallisella käyttäjätilillä lisäturvan lisäämiseksi. Avaa ja muokkaa konfigurointitiedostoa ’/etc/ssh/sshd_config’ ja vaihda PermitRootLogin yes t PermitRootLogin no.
# PermitRootLogin yes (Original) PermitRootLogin no (Now)
Käynnistä SSH-palvelu uudelleen, jotta se huomioi tehdyt muutokset.
# systemctl restart sshd.service
Lue myös:
- 5 parasta käytäntöä SSH-palvelimen suojaamiseen ja suojaamiseen
- SSH-salasanaton sisäänkirjautuminen SSH-avainten avulla 5 helpolla askeleella
- ”Ei salasanaa SSH-avaimilla todennus” PuTTY:n avulla
10. Asenna GCC (GNU Compiler Collection)
GCC on lyhenne sanoista GNU Compiler Collection ja se on GNU-projektin kehittämä kääntäjäjärjestelmä, joka tukee eri ohjelmointikieliä. Sitä ei asenneta oletusarvoisesti CentOS Minimal Installissa. Asenna gcc-kääntäjä suorittamalla alla oleva komento.
# yum install gcc
Tarkista asennetun gcc:n versio.
# gcc --version
11. Asenna GCC GNU-kääntäjä. Asenna Java
Java on yleiskäyttöinen luokkapohjainen, oliosuuntautunut ohjelmointikieli. Sitä ei ole asennettu oletusarvoisesti CentOS Minimal Serveriin. Asenna Java alla olevasta arkistosta.
# yum install java
Tarkista asennetun Javan versio.
# java -version
12. Asenna Java. Asenna Apache Tomcat
Tomcat on Apachen suunnittelema servlet-säiliö, joka on tarkoitettu Java HTTP -verkkopalvelimen suorittamiseen. Asenna tomcat alla esitetyllä tavalla, mutta on huomautettava, että sinun on asennettava Java ennen tomcatin asentamista.
# yum install tomcat
Asennettuasi tomcatin käynnistä tomcat-palvelu.
# systemctl start tomcat
Tarkista tomcatin versio.
# /usr/sbin/tomcat version
Lisää palvelu tomcat ja oletusportti (8080) palomuurin kautta ja lataa asetukset uudelleen.
# firewall-cmd --zone=public --add-port=8080/tcp --permanent# firewall-cmd --reload
Nyt on aika turvata tomcat-palvelin, luo käyttäjä ja salasana, jolla pääset käsiksi palvelimeen ja voit hallita sitä. Meidän täytyy muokata tiedostoa ’/etc/tomcat/tomcat-users.xml’. Katso osio, joka näyttää seuraavalta:
Tässä lisäsimme käyttäjän ”tecmint” tomcatin hallintaan/hallintaan käyttäen salasanaa ”tecmint”. Pysäytä ja käynnistä palvelu tomcat, jotta muutokset tulevat voimaan, ja anna tomcat-palvelun käynnistyä järjestelmän käynnistyksen yhteydessä.
# systemctl stop tomcat# systemctl start tomcat# systemctl enable tomcat.service
Lue myös: Apache Tomcat 8.0.9:n asentaminen ja konfigurointi RHEL/CentOS 7.0/6.x:ssä
13. Apache Tomcat 8.0.9:n asentaminen ja konfigurointi RHEL/CentOS 7.0/6.x:ssä. Asenna Nmap tarkkailemaan avoimia portteja
Nmap for Network Mapper luo verkon kartan havaitsemalla isännän, jolla se on käynnissä, sekä analysoimalla verkkoa. nmap ei sisälly oletusasennukseen, vaan se on asennettava arkistosta.
# yum install nmap
Luettelo kaikista isännän avoimista porteista ja vastaavista niitä käyttävistä palveluista.
# nmap 127.0.01
Voit myös käyttää firewall-cmd:tä kaikkien porttien listaamiseen, mutta minusta nmap on hyödyllisempi.
# firewall-cmd --list-ports
Lue myös: 29 käyttökelpoista Nmap-käskyä avoinna olevien porttien valvontaan
14. Lue myös: 29 käyttökelpoista Nmap-käskyä avoimien porttien valvontaan
. FirewallD Configuration
firewalld on palomuuripalvelu, joka hallitsee palvelinta dynaamisesti. Firewalld korvasi iptablesin CentOS 7:ssä. Firewalld on asennettu oletusarvoisesti RedHat Enterprise Linuxiin ja sen johdannaisiin oletusarvoisesti. iptablesissa jokainen muutos tullakseen voimaan täytyy huuhtoa kaikki vanhat säännöt ja luoda uudet säännöt.
Mutta firewalldissa ei tarvita huuhtelua ja uusien sääntöjen luomista, vaan muutokset otetaan käyttöön lennossa.
Tarkista, onko Firewalld käynnissä vai ei.
# systemctl status firewalldOR# firewall-cmd --state
Luettelon saaminen kaikista vyöhykkeistä.
# firewall-cmd --get-zones
Saa vyöhykkeen yksityiskohdat ennen vaihtoa.
# firewall-cmd --zone=work --list-all
Voidaksesi saada oletusvyöhykkeen.
# firewall-cmd --get-default-zone
Vaihtaaksesi toiselle vyöhykkeelle sano ’työ’.
# firewall-cmd --set-default-zone=work
Luettele kaikki vyöhykkeen palvelut.
# firewall-cmd --list-services
Lisätäksesi palvelun sano http, väliaikaisesti ja lataa firewalld uudelleen.
# firewall-cmd --add-service=http# firewall-cmd –reload
Lisätäksesi palvelun vaikkapa http, pysyvästi ja lataa firewalld uudelleen.
# firewall-cmd --add-service=http --permanent# firewall-cmd --reload
Poistaaksesi palvelun vaikkapa http, tilapäisesti.
# firewall-cmd --remove-service=http# firewall-cmd --reload
Poistaaksesi palvelun vaikkapa http, pysyvästi.
# firewall-cmd --zone=work --remove-service=http --permanent# firewall-cmd --reload
Salliaksesi portin (vaikkapa 331), tilapäisesti.
# firewall-cmd --add-port=331/tcp# firewall-cmd --reload
Sallia portti (esim. 331), pysyvästi.
# firewall-cmd --add-port=331/tcp --permanent# firewall-cmd --reload
Sulkea/poistaa portti (esim. 331), tilapäisesti.
# firewall-cmd --remove-port=331/tcp# firewall-cmd --reload
Portin (vaikkapa 331) estäminen/poistaminen pysyvästi.
# firewall-cmd --remove-port=331/tcp --permanent# firewall-cmd --reload
Firewalld:n poistaminen käytöstä.
# systemctl stop firewalld# systemctl disable firewalld# firewall-cmd --state
Voidaksesi ottaa firewalldin käyttöön.
# systemctl enable firewalld# systemctl start firewalld# firewall-cmd --state
- How to Configure ’FirewallD’ in RHEL/CentOS 7
- Käyttökelpoiset ’FirewallD’-säännöt palomuurin konfigurointiin ja hallintaan
15. Palomuurin määrittäminen. Wgetin asentaminen
wget on Linuxin komentorivipohjainen apuohjelma, joka hakee (lataa) sisältöä web-palvelimilta. Se on tärkeä työkalu, joka sinulla on oltava, kun haluat hakea web-sisältöä tai ladata mitä tahansa tiedostoja wget-komennolla.
# yum install wget
Lue 10 Wget-komentoesimerkkiä.
16. Lue lisää käyttö- ja käytännön esimerkkejä wget-komennon käytöstä tiedostojen lataamiseen päätelaitteella. Telnetin asentaminen
Telnet on verkkoprotokolla, jonka avulla käyttäjä voi kirjautua toiseen tietokoneeseen samassa verkossa TCP/IP:n kautta. Kun yhteys etätietokoneeseen on muodostettu, siitä tulee virtuaalinen päätelaite ja voit kommunikoida etäisännän kanssa omalla tietokoneellasi sinulle annettujen oikeuksien mukaisesti.
Telnet on myös erittäin hyödyllinen etätietokoneen tai -isännän kuuntelevien porttien tarkistamiseen.
# yum install telnet# telnet google.com 80
17. Telnet-porttien tarkistaminen
. Webminin asentaminen
Webmin on verkkopohjainen konfigurointityökalu Linuxille. Se toimii keskusjärjestelmänä, jonka avulla voidaan konfiguroida erilaisia järjestelmäkonfiguraatioita, kuten käyttäjiä, levykiintiöitä, palveluita ja HTTP-palvelimen, Apachen, MySQL:n jne. konfiguraatioita.
# wget http://prdownloads.sourceforge.net/webadmin/webmin-1.740-1.noarch.rpm# rpm -ivh webmin-*.rpm
Webminin asentamisen jälkeen saat päätelaitteeseen viestin, jossa sinua pyydetään kirjautumaan isäntäkoneellesi (http://ip-address:10000) root-salasanallasi porttiin numero 10000. Jos käytät headless-palvelinta, voit ohjata portin eteenpäin ja käyttää sitä koneella/palvelimella, joka on headless-palvelimella.
18. Paina
. Enable Third Party Repositories
Ei ole hyvä idea lisätä epäluotettavia arkistoja erityisesti tuotannossa ja se voi olla kohtalokasta. Kuitenkin vain esimerkkinä tässä lisätään muutama yhteisön hyväksymä luotettava arkisto kolmansien osapuolten työkalujen ja pakettien asentamista varten.
Add Extra Package for Enterprise Linux (EPEL) Repository.
# yum install epel-release
Add Community Enterprise Linux Repository.
# rpm -Uvh http://www.elrepo.org/elrepo-release-7.0-2.el7.elrepo.noarch.rpm
Attention! Third Party Repositorya lisättäessä on noudatettava erityistä varovaisuutta.
19. Asenna 7-zip-apuohjelma
CentOS Minimal -asennuksessa et saa apuohjelmaa kuten unzip tai unrar. Meillä on mahdollisuus asentaa jokainen apuohjelma tarpeen mukaan tai apuohjelma, joka palvelee kaikkia. 7-zip on tällainen apuohjelma, joka pakkaa ja purkaa kaikentyyppisiä tunnettuja tiedostoja.
# yum install p7zip
Huom: Paketti on ladattu ja asennettu Fedora EPEL 7 Repositorysta.
20. Asenna NTFS-3G-ajuri
Pieni mutta erittäin hyödyllinen NTFS-ajuri nimeltä NTFS-3G on saatavilla useimpiin UNIX:n kaltaisiin jakeluihin. Se on hyödyllinen Windowsin NTFS-tiedostojärjestelmän liittämiseen ja käyttämiseen. Vaikka muitakin vaihtoehtoja, kuten Tuxera NTFS, on saatavilla, NTFS-3G on yleisimmin käytetty.
# yum install ntfs-3g
Ntfs-3G:n asentamisen jälkeen voit liittää Windowsin NTFS-osiot (jossa /dev/sda5 on windows-asemani) seuraavalla komennolla.
# mount -ro ntfs-3g /dev/sda5 /mnt# cd /mnt# ls -l
21. Asenna NTFS-3G Windowsin osioihin. Asenna Vsftpd FTP-palvelin
VSFTPD, joka on lyhenne sanoista Very Secure File Transfer Protocol Daemon, on FTP-palvelin UNIX-tyyppiseen järjestelmään. Se on yksi tehokkaimmista ja turvallisimmista nykyisin saatavilla olevista FTP-palvelimista.
# yum install vsftpd
Muokkaa konfigurointitiedostoa, joka sijaitsee osoitteessa ’/etc/vsftpd/vsftpd.conf’, suojataksesi vsftpd:n.
# vi /etc/vsftpd/vsftpd.conf
Muokkaa muutamaa kenttää ja jätä muut ennalleen, ellet tiedä mitä olet tekemässä.
anonymous_enable=NOlocal_enable=YESwrite_enable=YESchroot_local_user=YES
Voit myös muuttaa porttinumeroa ja avata vsftpd:n portin palomuurin kautta.
# firewall-cmd --add-port=21/tcp# firewall-cmd --reload
Seuraavaksi käynnistä vsftpd uudestaan ja ota käyttöön, että se käynnistyy käynnistyksen yhteydessä.
# systemctl restart vsftpd# systemctl enable vsftpd
22. Asenna ja konfiguroi sudo
sudo, jota kutsutaan yleisesti nimellä super do sekä sopiva käyttäjä do, on UNIX-tyyppisen käyttöjärjestelmän ohjelma, jolla voi suorittaa ohjelman toisen käyttäjän suojausoikeuksilla. Katsotaanpa, miten sudo konfiguroidaan…
# visudo
Se avaa tiedoston /etc/sudoers muokattavaksi…
Antaa kaikki oikeudet (vastaavat kuin root) käyttäjälle (vaikkapa tecmint), joka on jo luotu.
tecmint ALL=(ALL) ALL
Anna kaikki oikeudet (yhtä suuri kuin root) käyttäjälle (vaikkapa tecmint), paitsi oikeus käynnistää palvelin uudelleen ja sammuttaa se.
Avaa taas sama tiedosto ja muokkaa sitä alla olevalla sisällöllä.
cmnd_Alias nopermit = /sbin/shutdown, /sbin/reboot
Lisää sitten alias loogisella (!) operaattorilla.
tecmint ALL=(ALL) ALL,!nopermit
Anna ryhmälle (vaikkapa debian) oikeus suorittaa muutama pääkäyttäjän oikeudet omaava komento vaikkapa (lisää käyttäjä ja poista käyttäjä) .
cmnd_Alias permit = /usr/sbin/useradd, /usr/sbin/userdel
Ja lisää sen jälkeen oikeus ryhmälle debian.
debian ALL=(ALL) permit
23. Asenna ja ota SELinux käyttöön
SELinux, joka on lyhenne sanoista Security-Enhanced Linux, on kernel-tason tietoturvamoduuli.
# yum install selinux-policy
Tarkista SELinux-tila.
# getenforce
Tuloste on enforcing mode, mikä tarkoittaa, että SELinux-käytäntö on voimassa.
Aseta selinux-tila tilapäisesti sallivaksi (permissive) debuggausta varten. Uudelleenkäynnistystä ei tarvita.
# setenforce 0
Virheenkorjauksen jälkeen aseta selinux tilaan enforcing uudelleen ilman uudelleenkäynnistystä.
# setenforce 1
24. Valitse selinux tilaksi enforcing. Asenna Rootkit Hunter
Rootkit Hunter lyhennettynä Rkhunter on sovellus, joka skannaa rootkitit ja muut mahdollisesti haitalliset exploitit Linux-järjestelmissä.
# yum install rkhunter
Ajoita rkhunter ajastettuna työnä, komentosarjatiedostosta tai manuaalisesti haitallisten hyväksikäyttökohteiden skannaamiseksi Linux-järjestelmissä.
# rkhunter --check
# yum install rkhunter
25. Asenna Rootkit Hunter. Asenna Linux Malware Detect (LMD)
Linux Malware Detect (LMD) on GNU GPLv2 -lisenssillä julkaistu avoimen lähdekoodin Linux-haittaohjelmaskanneri, joka on
erityisesti suunniteltu isännöintiympäristöissä esiintyviä uhkia varten. LMD:n täydellinen asennus, konfigurointi ja käyttö löytyvät osoitteesta:
- Asennus ja käyttö (LMD) ClamAV:n kanssa virustorjuntamoottorina
26. Palvelimen kaistanleveyden testaaminen Speedtest-cli:llä
speedtest-cli on python-kielellä kirjoitettu työkalu, jolla voi testata internetin kaistanleveyttä, mukaan lukien lataus- ja latausnopeutta. Speedtest-cli-työkalun täydellisen asennuksen ja käytön löydät artikkelistamme osoitteesta Tarkista Linux-palvelimen kaistanleveyden nopeus komentoriviltä
27. Lue lisää. Configure Cron Jobs
Tämä on yksi yleisimmin käytetyistä ohjelmistoapuohjelmista. Se toimii työnsuunnittelijana eli ajoittaa työn nyt, joka suoritetaan tulevaisuudessa itse. Se on hyödyllinen kirjaamisessa ja tallenteiden ylläpitämisessä saavuttamattomana sekä useissa muissa rutiinitöissä, kuten säännöllisessä varmuuskopioinnissa. Kaikki aikataulutus kirjoitetaan /etc/crontab-tiedostoon.
Crontab-tiedosto sisältää 6 kenttää seuraavasti:
Minutes HourDay of MonthMonth of YearWeek DayCommand(0-59) (0-23) (1-31) (1/jan-12/dec) (0-6/sun-sat) Command/script
Tahdotaan suorittaa cron-työ (vaikkapa run /home/$USER/script.sh) joka päivä klo 04:30.
Minutes Hour Day of Month month of year Week Day command30 4 * * * speedtest-cli
Lisää seuraava merkintä crontab-tiedostoon ’/etc/crontab/’.
30 4 * * * /home/$user/script.sh
Kun olet lisännyt yllä olevan rivin crontab-tiedostoon, se suoritetaan automaattisesti joka päivä kello 04:30 aamulla, ja tulostus riippuu siitä, mitä script-tiedostossa on. Lisäksi skripti voidaan korvata komennoilla. Lisää esimerkkejä cron-tehtävistä saat lukemalla 11 esimerkkiä cron-tehtävistä Linuxissa
28. Asenna Owncloud
Owncloud on HTTP-pohjainen tietojen synkronointi-, tiedostojen jako- ja etätallennussovellus. Jos haluat lisätietoja Owncloudin asentamisesta, voit tutustua tähän artikkeliin : Henkilökohtaisen/yksityisen pilvitallennustilan luominen Linuxissa
29. Ota oma pilvitallennustila käyttöön. Ota virtualisointi käyttöön Virtualboxilla
Virtualisointi on prosessi, jossa luodaan virtuaalisia käyttöjärjestelmiä, laitteistoja ja verkkoja, on yksi näiden päivien halutuimmista teknologioista. Keskustelemme siitä, miten virtualisointi asennetaan ja konfiguroidaan yksityiskohtaisesti.
Meidän CentOS Minimal -palvelimemme on headless-palvelin. Valmistellaan sitä isännöimään virtuaalikoneita, joihin pääsee käsiksi HTTP:n kautta asentamalla seuraavat paketit.
# yum groupinstall 'Development Tools' SDL kernel-devel kernel-headers dkms
Vaihda työhakemisto muotoon ’/etc/yum.repos.d/’ ja lataa Virtualbox-varasto.
# wget -q http://download.virtualbox.org/virtualbox/debian/oracle_vbox.asc
Asenna äsken ladattu avain.
# rpm --import oracle_vbox.asc
Päivitä ja asenna Virtualbox.
# yum update && yum install virtualbox-4.3
Seuraavaksi lataa ja asenna Virtualbox-laajennuspaketti.
Luo käyttäjä ’vbox’ hallitsemaan virtualboxia ja lisää se ryhmään vboxusers.
# adduser vbox# passwd vobx# usermod -G vboxusers vbox
Asenna HTTPD-palvelin.
# yum install httpd
Asenna PHP (soap-laajennuksella).
# yum install php php-devel php-common php-soap php-gd
Lataa PHP virtualBox.
# wget http://sourceforge.net/projects/phpvirtualbox/files/phpvirtualbox-4.3-1.zip
Pura zip ja kopioi purettu kansio HTTP-työkansioon.
# unzip phpvirtualbox-4.*.zip# cp phpvirtualbox-4.3-1 -R /var/www/html
Nimeä seuraavaksi tiedosto /var/www/html/phpvirtualbox/config.php-example uudelleen muotoon var/www/html/phpvirtualbox/config.php.
# mv config.php.example config.php
Avaa konfigurointitiedosto muokattavaksi ja lisää siihen ’käyttäjätunnus’ ja ’salasana’, jotka loimme juuri edellä olevassa vaiheessa.
# vi config.php
Viimeiseksi käynnistä VirtualBox ja HTTP-palvelin uudelleen.
# service vbox-service restart# service httpd restart
Siirrä nyt portti eteenpäin ja käytä sitä otsikkopalvelimella.
30. Paina OK. GRUBin suojaaminen salasanalla
Suojaa käynnistyslataajasi salasanalla, jotta saat lisäturvaa heti käynnistyksen yhteydessä. Lisäksi saat suojauskerroksen fyysisellä tasolla. Suojaa palvelimesi lukitsemalla GRUB käynnistyksen aikana, jotta vältät luvattoman käytön.
Tee ensin varmuuskopio kahdesta tiedostosta, jotta jos jokin menee pieleen, sinulla on mahdollisuus palata takaisin. Luo varmuuskopio tiedostosta ’/etc/grub2/grub.cfg’ nimellä ’/etc/grub2/grub.cfg.old’.
# cp /boot/grub2/grub.cfg /boot/grub2/grub.cfg.old
Luo myös varmuuskopio tiedostosta ’/etc/grub.d/10_linux’ nimellä ’/etc/grub.d/10_linux.old’.
# cp /etc/grub.d/10_linux /etc/grub.d/10_linux.old
Avaa nyt ’/etc/grub.d/10_linux’ ja lisää alla oleva rivi tiedoston loppuun.
cat <<EOFset superusers="tecmint"Password tecmint [email protected]
Huomaa, että korvaa yllä olevassa tiedostossa käyttäjätunnukseksi ”tecmint” ja salasanaksi ”[email protected]” käyttäjänimelläsi ja salasanallasi.
Luo nyt uusi grub.cfg-tiedosto antamalla seuraava komento.
# grub2-mkconfig --output=/boot/grub2/grub.cfg
Luotuasi uuden grub.cfg-tiedoston käynnistä kone uudelleen ja paina ’e’ muokataksesi. Huomaat, että se vaatii sinua syöttämään ’voimassa olevat tunnukset’, jotta voit muokata käynnistysvalikkoa.
Sisäänkirjautumistietojen syöttämisen jälkeen pystyt muokkaamaan grub-käynnistysvalikkoa.
Myös voit generoida salattua salasanaa pelkän salasanan tilalle, kuten yllä olevassa vaiheessa on esitetty. Luo ensin salattu salasana alla ehdotetulla tavalla.
# grub2-mkpasswd-pbkdf2
Avaa nyt tiedosto ’/etc/grub.d/10_linux’ ja lisää tiedoston loppuun alla oleva rivi.
cat <<EOFset superusers="tecmint"Password_pbkdf2 tecmintgrub.pbkdf2.sha512**************************************************EOF
Korvaa salasana järjestelmässäsi luodulla. Älä unohda tarkistaa salasanaa ristiin.
Huomaa myös, että myös tässä tapauksessa sinun on luotava grub.cfg-tiedosto, kuten edellä on kuvattu. Käynnistä uudelleen ja seuraavan kerran, kun painat ’e’-näppäintä muokataksesi, sinua pyydetään antamaan käyttäjätunnus ja salasana.
Olemme yrittäneet kattaa suurimman osan tarvittavista asennuksen jälkeisistä kohdista alan standardijakeluissa RHEL 7 ja CentOS 7. Jos huomaat, että olemme jättäneet tiettyjä kohtia huomiotta tai sinun täytyy laajentaa tätä viestiä uudella asennuksen jälkeisellä asialla, voit jakaa sen kanssamme, otamme pisteesi mukaan tähän artikkeliin laajentamalla sitä.