RHCSA Serisi: SSH'nin Güvenliğini Sağlama, Ana Bilgisayar Adını Ayarlama ve Ağ Hizmetlerini Etkinleştirme - Bölüm 8
Bir sistem yöneticisi olarak, bir terminal emülatörü kullanarak çeşitli yönetim görevlerini gerçekleştirmek için sıklıkla uzaktaki sistemlerde oturum açmanız gerekecektir. Nadiren gerçek (fiziksel) bir terminalin önünde oturacaksınız, bu nedenle yönetmeniz istenecek makinelerde uzaktan oturum açmanın bir yolunu ayarlamanız gerekir.
Aslında bu, fiziksel bir terminalin önünde yapmak zorunda kalacağınız son şey olabilir. Güvenlik nedeniyle, tüm trafiğin şifrelenmemiş, düz metin olarak kablo üzerinden geçmesi nedeniyle Telnet'i bu amaçla kullanmak iyi bir fikir değildir.
Ayrıca bu makalede, ağ hizmetlerinin önyükleme sırasında otomatik olarak başlayacak şekilde nasıl yapılandırılacağını da inceleyeceğiz ve ağ ve ana bilgisayar adı çözümlemesinin statik veya dinamik olarak nasıl ayarlanacağını öğreneceğiz.
SSH İletişimini Kurma ve Güvenliğini Sağlama
SSH kullanarak bir RHEL 7 kutusuna uzaktan oturum açabilmeniz için openssh, openssh'i yüklemeniz gerekir. -clients ve openssh-servers paketleri. Aşağıdaki komut yalnızca uzaktan oturum açma programını yüklemekle kalmayacak, aynı zamanda güvenli dosya aktarım aracını ve uzaktan dosya kopyalama yardımcı programını da kuracaktır:
yum update && yum install openssh openssh-clients openssh-servers
Bir noktada hem istemci hem de sunucu olarak aynı makineyi kullanmak isteyebileceğinizden, sunucu benzerlerini kurmanın iyi bir fikir olduğunu unutmayın.
Kurulumdan sonra SSH sunucunuza uzaktan erişimi güvenli hale getirmek istiyorsanız dikkate almanız gereken birkaç temel nokta vardır. /etc/ssh/sshd_config
dosyasında aşağıdaki ayarlar bulunmalıdır.
1. Sshd arka plan programının dinleyeceği bağlantı noktasını 22'den (varsayılan değer) yüksek bir bağlantı noktasına (2000 veya üzeri) değiştirin, ancak öncelikle seçilen bağlantı noktasının kullanılmadığından emin olun.
Örneğin 2500 bağlantı noktasını seçtiğinizi varsayalım. Seçilen bağlantı noktasının kullanılıp kullanılmadığını kontrol etmek için netstat'ı kullanın:
netstat -npltu | grep 2500
netstat hiçbir şey döndürmezse, sshd için 2500 bağlantı noktasını güvenle kullanabilirsiniz ve yapılandırma dosyasındaki Bağlantı Noktası ayarını aşağıdaki gibi değiştirmelisiniz:
Port 2500
2. Yalnızca protokol 2'ye izin verin:
Protocol 2
3. Kimlik doğrulama zaman aşımını 2 dakika olarak yapılandırın, kök oturum açmalara izin vermeyin ve ssh aracılığıyla oturum açmasına izin verilen kullanıcıların listesini minimumla sınırlayın:
LoginGraceTime 2m
PermitRootLogin no
AllowUsers gacanepa
4. Mümkünse şifre kimlik doğrulaması yerine anahtar tabanlı kimlik doğrulamayı kullanın:
PasswordAuthentication no
RSAAuthentication yes
PubkeyAuthentication yes
Bu, istemci makinenizde zaten kullanıcı adınızla bir anahtar çifti oluşturduğunuzu ve burada açıklandığı gibi bunu sunucunuza kopyaladığınızı varsayar.
- SSH Parolasız Girişi Etkinleştir
Ağ İletişimini ve Ad Çözümlemesini Yapılandırma
1. Her sistem yöneticisi aşağıdaki sistem çapındaki yapılandırma dosyalarını iyi bilmelidir:
- /etc/hosts, küçük ağlardaki <---> IP'lerinin adlarını çözümlemek için kullanılır.
/etc/hosts
dosyasındaki her satır aşağıdaki yapıya sahiptir:
IP address - Hostname - FQDN
Örneğin,
192.168.0.10 laptop laptop.gabrielcanepa.com.ar
2. /etc/resolv.conf
, DNS sunucularının IP adreslerini ve belirli bir sorgu adını tam nitelikli bir alan adına tamamlamak için kullanılan arama alanını belirtir. alan adı son eki sağlanmadı.
Normal şartlarda bu dosya sistem tarafından yönetildiği için düzenlemenize gerek yoktur. Ancak DNS sunucularını değiştirmek isterseniz her satırda aşağıdaki yapıya uymanız gerektiğini unutmayın:
nameserver - IP address
Örneğin,
nameserver 8.8.8.8
3. 3. /etc/host.conf
, bir ağ içinde ana bilgisayar adlarının çözümlenme yöntemlerini ve sırasını belirtir. Başka bir deyişle, ad çözümleyiciye hangi hizmetlerin hangi sırayla kullanılacağını söyler.
Bu dosyanın çeşitli seçenekleri olmasına rağmen en yaygın ve temel kurulum aşağıdaki gibi bir satır içerir:
order bind,hosts
Bu, çözümleyicinin ad çözümlemesi için önce resolv.conf
dosyasında belirtilen ad sunucularına, ardından /etc/hosts
dosyasına bakması gerektiğini gösterir.
4. /etc/sysconfig/network
, tüm ağ arayüzleri için yönlendirme ve genel ana bilgisayar bilgilerini içerir. Aşağıdaki değerler kullanılabilir:
NETWORKING=yes|no
HOSTNAME=value
Burada değer Tam Nitelikli Etki Alanı Adı (FQDN) olmalıdır.
GATEWAY=XXX.XXX.XXX.XXX
Burada XXX.XXX.XXX.XXX, ağ geçidinin IP adresidir.
GATEWAYDEV=value
Birden fazla NIC'ye sahip bir makinede değer, enp0s3 gibi ağ geçidi cihazıdır.
5. /etc/sysconfig/network-scripts
içindeki dosyalar (ağ bağdaştırıcıları yapılandırma dosyaları).
Daha önce bahsedilen dizinin içinde, adında birkaç düz metin dosyası bulacaksınız.
ifcfg-name
Burada ad, ip link show tarafından döndürülen NIC'nin adıdır:
Örneğin:
Geridöngü arayüzü dışında, NIC'leriniz için de benzer bir yapılandırma bekleyebilirsiniz. Bazı değişkenlerin, eğer ayarlanırsa, bu özel arayüz için /etc/sysconfig/network
dosyasında mevcut olanları geçersiz kılacağını unutmayın. Bu makalede her satıra açıklama amacıyla yorum yapılmıştır ancak asıl dosyada yorumlardan kaçınmalısınız:
HWADDR=08:00:27:4E:59:37 # The MAC address of the NIC
TYPE=Ethernet # Type of connection
BOOTPROTO=static # This indicates that this NIC has been assigned a static IP. If this variable was set to dhcp, the NIC will be assigned an IP address by a DHCP server and thus the next two lines should not be present in that case.
IPADDR=192.168.0.18
NETMASK=255.255.255.0
GATEWAY=192.168.0.1
NM_CONTROLLED=no # Should be added to the Ethernet interface to prevent NetworkManager from changing the file.
NAME=enp0s3
UUID=14033805-98ef-4049-bc7b-d4bea76ed2eb
ONBOOT=yes # The operating system should bring up this NIC during boot
Ana Bilgisayar Adlarını Ayarlama
Red Hat Enterprise Linux 7'de hostnamectl komutu sistemin ana bilgisayar adını hem sorgulamak hem de ayarlamak için kullanılır.
Geçerli ana bilgisayar adını görüntülemek için şunu yazın:
hostnamectl status
Ana bilgisayar adını değiştirmek için şunu kullanın:
hostnamectl set-hostname [new hostname]
Örneğin,
hostnamectl set-hostname cinderella
Değişikliklerin etkili olması için ana bilgisayar adı verilen arka plan programını yeniden başlatmanız gerekecektir (böylece değişikliği uygulamak için oturumu kapatıp tekrar açmanız gerekmez):
systemctl restart systemd-hostnamed
Ayrıca RHEL 7 aynı amaç için kullanılabilecek nmcli yardımcı programını da içerir. Ana bilgisayar adını görüntülemek için şunu çalıştırın:
nmcli general hostname
ve bunu değiştirmek için:
nmcli general hostname [new hostname]
Örneğin,
nmcli general hostname rhel7
Ağ Hizmetlerini Önyüklemede Başlatma
Bitirmek için, ağ hizmetlerinin açılışta otomatik olarak başlatılmasını nasıl sağlayabileceğimizi görelim. Basit bir ifadeyle bu, hizmet yapılandırma dosyalarının [Yükle] bölümünde belirtilen belirli dosyalara sembolik bağlantılar oluşturularak yapılır.
Firewalld durumunda (/usr/lib/systemd/system/firewalld.service):
[Install]
WantedBy=basic.target
Alias=dbus-org.fedoraproject.FirewallD1.service
Hizmeti etkinleştirmek için:
systemctl enable firewalld
Öte yandan, güvenlik duvarını devre dışı bırakmak sembolik bağlantıların kaldırılmasını sağlar:
systemctl disable firewalld
Çözüm
Bu makalede, SSH aracılığıyla bir RHEL sunucusuna bağlantıların nasıl kurulacağını ve güvenli hale getirileceğini, adının nasıl değiştirileceğini ve son olarak ağ hizmetlerinin bu sunucuda başlatılmasının nasıl sağlanacağını özetledik. bot. Belirli bir hizmetin düzgün şekilde başlatılamadığını fark ederseniz sorunu gidermek için systemctl status -l [service] ve journalctl -xn'yi kullanabilirsiniz.
Aşağıdaki yorum formunu kullanarak bu makale hakkında ne düşündüğünüzü bize bildirmekten çekinmeyin. Sorular da memnuniyetle karşılanmaktadır. Sizden haber almak için sabırsızlanıyoruz!