خطوات أضافية توصية للخوادم الجديدة لCentOS 7

مقدمة

بعد تنفيذ التكوين الأدنى لخادم جديد، هناك بعض الخطوات الإضافية التي يُوصى بشدة بتنفيذها في معظم الحالات. في هذا الدليل، سنواصل تكوين خوادمنا من خلال التعامل مع بعض الإجراءات الموصى بها ولكنها اختيارية.

المتطلبات والأهداف

قبل بدء هذا الدليل، يجب عليك تنفيذ دليل تكوين الخادم الأولي لـ CentOS 7. هذا ضروري من أجل إعداد حسابات المستخدمين، وتكوين ترفيع الأذونات باستخدام sudo، وإغلاق SSH من أجل الأمان.

بعد اكتمال الدليل أعلاه، يمكنك المتابعة مع هذا المقال. في هذا الدليل، سنركز على تكوين بعض العناصر الاختيارية ولكنها موصى بها. سيتضمن ذلك إعداد الجدار الناري للنظام وملف السواب، وتكوين تزامن بروتوكول الوقت الشبكي.

تكوين الجدار الناري الأساسي

الجدران النارية توفر مستوى أساسي من الأمان لخادمك. هذه التطبيقات مسؤولة عن رفض الاتصال بكل منفذ على خادمك مع استثناءات للمنافذ/الخدمات التي قمت بالموافقة عليها. يتم توزيع CentOS مع جدار ناري يُدعى firewalld. يمكن استخدام أداة تُدعى firewall-cmd لتكوين سياسات جدارك الناري. استراتيجيتنا الأساسية ستكون في تثبيت كل ما لا نحتاجه بسبب ما نحمله مفتوحًا. أولاً قم بتثبيت firewalld:

sudo yum install firewalld

يمتلك خدم firewalld القدرة على إجراء تعديلات دون فقدان الاتصالات الحالية، لذا يمكننا تشغيله قبل إنشاء استثنائاتنا:

sudo systemctl start firewalld

الآن بعد أن تم تشغيل الخدمة، يمكننا استخدام الأداة firewall-cmd للحصول على وتعيين معلومات السياسة للجدار الناري. تستخدم تطبيق firewalld مفهوم “المناطق” لتسمية ملاءمة الأجهزة الأخرى على الشبكة. هذا التسمية يمنحنا القدرة على تخصيص قواعد مختلفة اعتمادًا على مدى ثقتنا بالشبكة.

في هذا الدليل، سنقوم فقط بتعديل السياسات للمنطقة الافتراضية. عندما نقوم بإعادة تحميل جدارنا، ستكون هذه هي المنطقة التي سيتم تطبيقها على واجهاتنا. يجب أن نبدأ بإضافة استثناءات إلى جدارنا الناري للخدمات الموافق عليها. الأساسية من بينها هي SSH، حيث نحتاج إلى الحفاظ على الوصول الإداري البعيد للخادم.

إذا لم تقم بتعديل المنفذ الذي يعمل عليه خادم SSH، يمكنك تمكين الخدمة باسمه عن طريق كتابة:

sudo firewall-cmd --permanent --add-service=ssh

إذا قمت بتغيير المنابع السككية لسيرفرك، سيتوجب أن تحدد المنابع الجديدة بوضوح. سيتوجب أيضًا أن تضم إجراء البروتوكول الذي يستخدمه الخدمة. أكتب فقط التالي إذا كان مرشدك السيرفر قد تم إعادة تشغيله لإستخدام المنابع الجديدة:

sudo firewall-cmd --permanent --remove-service=ssh
sudo firewall-cmd --permanent --add-port=4444/tcp

هذا هو القدر الأقل لإبقاء تواصلك بالإدارة بالسيرفر. إذا كنت تخطط لتشغيل خدمات إضافية، يجب أن تفتح الجدار لها أيضًا.

إذا كنت تخطط لتشغيل مزود ويب إلكتروني تقليدي، فيجب أن تمكن الخدمة http:

sudo firewall-cmd --permanent --add-service=http

إذا كنت تخطط لتشغيل مزود ويب بتعامل SSL/TLS، يجب أن تسمح أيضًا للتردد https:

sudo firewall-cmd --permanent --add-service=https

إذا كان عليك تشغيل خدمة بريد إلكتروني SMTP، يمكنك أن تكتب:

sudo firewall-cmd --permanent --add-service=smtp

لرؤية أي خدمات إضافية التي يمكن تشغيلها بالإسم، تقوم ب:

sudo firewall-cmd --get-services

عندما تنتهي، يمكنك رؤية قائمة بالأستثناء التي ستتم تنفيذها بتقييم:

sudo firewall-cmd --permanent --list-all

عندما تكون جاهزًا لتنفيذ التغييرات، تحميل جدار التعقيب مجددًا:

sudo firewall-cmd --reload

بعد الاختبار، إذا كان كل شيء يعمل كما يتوقع، يجب أن تتأكد من أن الجدار التعقيبي سيبدء في التشغيل بعد البدء:

sudo systemctl enable firewalld

تذكر أنه سيتوجب عليك بوضوح تفتيح الجدار (مع الخدمات أو المنابع) لأي خدمات إضافية التي قد تخطط لتكوينها في المستقبل.

تكوين الأوقات المناظرة والبروتوكول التنظيم

الخطوة التالية هي تعديل إعدادات التوطين المحلي لخادمك وتكوين اتحاد ساعة الشبكة (NTP).

الخطوة الأولى ستضمن أن يعمل خادمك تحت المنطقة الزمنية الصحيحة. الخطوة الثانية ستكون لتكوين نظامك لتزامن ساعة النظام مع الوقت المعياري الذي يحتفظ به شبكة عالمية من خوادم NTP. هذا سيساعد في منع بعض السلوكيات غير المتسقة التي يمكن أن تنشأ من ساعات غير متزامنة.

تكوين المناطق الزمنية

الخطوة الأولى هي ضبط منطقة الزمن لخادمنا. هذا عملية بسيطة جدًا يمكن تحقيقها باستخدام الأمر timedatectl:

أولاً، انظر إلى المناطق الزمنية المتاحة عن طريق كتابة:

sudo timedatectl list-timezones

هذا سيقدم لك قائمة بالمناطق الزمنية المتاحة لخادمك. عندما تجد المنطقة/المنطقة الزمنية المناسبة لخادمك، قم بتعيينها عن طريق كتابة:

sudo timedatectl set-timezone region/timezone

على سبيل المثال، لتعيينها على الوقت الشرقي للولايات المتحدة، يمكنك كتابة:

sudo timedatectl set-timezone America/New_York

سيتم تحديث نظامك لاستخدام المنطقة الزمنية المختارة. يمكنك التحقق من ذلك عن طريق كتابة:

sudo timedatectl

تكوين اتحاد ساعة NTP

الآن بعد أن قمت بتعيين المنطقة الزمنية الخاصة بك، يجب علينا تكوين NTP. سيمكن هذا لجهاز الكمبيوتر الخاص بك أن يبقى متزامنًا مع الخوادم الأخرى، مما يؤدي إلى مزيد من التوقعية في العمليات التي تعتمد على وجود الوقت الصحيح.

لتزامن NTP، سنستخدم خدمة تُسمى ntp، والتي يمكننا تثبيتها من مستودعات CentOS الافتراضية:

sudo yum install ntp

التالي، يجب عليك بدء الخدمة لهذه الجلسة. سنقوم أيضًا بتمكين الخدمة بحيث تبدأ تلقائيًا في كل مرة تبدأ الخادم:

sudo systemctl start ntpd
sudo systemctl enable ntpd

ستقوم الآن الخادم الخاص بك بتصحيح ساعة النظام الخاصة به تلقائيًا لتتماشى مع الخوادم العالمية.

إنشاء ملف Swap

إضافة “swap” إلى خادم لينكس يمكّن النظام من نقل المعلومات التي تكون غير مكتشفة بانتظام من زيادة البرنامج الجاري من RAM إلى موقع على القرص. الوصول إلى البيانات المخزنة على القرص أبطأ بكثير من الوصول إلى RAM، ولكن وجود swap متاح يمكن أن يكون الفرق الكبير بين الحفاظ على حياة التطبيق الخاص بك وإنهياره. هذا مفيد بشكل خاص إذا كنت تخطط لاستضافة أي قواعد بيانات على النظام الخاص بك.

النصائح حول أفضل حجم لمساحة swap تختلف بشكل كبير اعتمادًا على المصدر المستشير. بشكل عام، كمية مساوية أو ضعف كمية RAM على النظام الخاص بك هي نقطة انطلاق جيدة.

تخصيص المساحة التي تريد استخدامها لملف swap باستخدام أداة fallocate. على سبيل المثال، إذا كنا بحاجة إلى ملف 4 غيغابايت، يمكننا إنشاء ملف swap في /swapfile عن طريق كتابة:

sudo fallocate -l 4G /swapfile

بعد إنشاء الملف، نحتاج إلى تحديد الوصول إلى الملف بحيث لا يستطيع المستخدمون الآخرون أو العمليات الاخرى رؤية ما يكتب هناك:

sudo chmod 600 /swapfile

لدينا الآن ملف بال permisos الصحيحين. لإخبار نظامنا بتشكيل الملف للمقاومة، يمكننا أن نكتب:

sudo mkswap /swapfile

حالياً، أخبر النظام بأنه يمكنه استخدام الملف المقاومين بالكتابة بتأكيد بالكتابة:

sudo swapon /swapfile

يستخدم نظامنا الملف المقاومين لهذه الجلسة، لكن علينا تعديل ملف نظامي حتى يفعل ذلك تلقائيًا في التشغيل الأول. يمكنك القيام بذلك بتقاطع:

sudo sh -c 'echo "/swapfile none swap sw 0 0" >> /etc/fstab'

مع هذا الإضافة، يجب أن يستخدم نظامك الملف المقاومين تلقائيًا في كل بدء الجلسة.

أين يذهب الأمر من هنا؟

لديك الآن إنشاء مباشر جيد لمختبرك اللينكس. من هنا، يوجد عدة أماكن يمكنك الذهاب إليها. أولاً، قد تود التقطيع لمختبرك بالتكوين الحالي.

قم بتقطيع تكوين التكوين الحالي لمختبرك

إذا كنت سعيدًا بتكوينك وتود استخدامه كقاعدة للتثبيتات المستقبلية، يمكنك أخذ تقطيع لمختبركك من واجهة تحكم ديجيتال أورف. بدءًا من أكتوبر 2016، يكلف التقطيعات $0.05 لكل غيغابايت لشهر وفقًا لمساحة التخزين المستخدمة ضمن نظام الملفات.

لفعل ذلك، قم بإغلاق خوادمك من خلال الخط الأوامري. وبينما يمكنك أخذ صورة تمامة للنظام الجاري، فإن التعطيل الكهربائي يضمن أن تكون جميع الملفات على القرص في حالة واحدة:

sudo poweroff

الآن، في لوحة محاكمة DigitalOcean، يمكنك أخذ صورة من زيارة التصويرات لخوادمك:

بعد أخذ صورة التصوير، سيكون باستطاعتك استخدام تلك الصورة كقاعدة للتثبيت المستقبلي بمجرد تحديدها من زيارة “تصويراتي” أثناء إنشاء الصورة خلال العملية:

موارد إضافية وخطوات المقبل

من هنا، مسارك يعتمد تمامًا على ما تريد فعله بخوادمك. قائمة الأدوات أدناه ليست كاملة بأي حد، لكنها تمثل بعض أكثر التكوينات الشائعة التي يتجه المستخدمون إليها بعد الآن:

• تكوين قاعدة LAMP (Linux, Apache, MySQL/MariaDB, PHP)
• تكوين قاعدة LEMP (Linux, Nginx, MySQL/MariaDB, PHP)
• تثبيت نظام WordPress المعامل
• تثبيت Node.js
• تثبيت Puppet لإدارة بنية خاصتك

ختام

بعد هذه المرحلة ينبغي أن تعرف كيفية إعداد أساس قوي لسيرفرك الجديد. ويمكن الأمل أن يكون لديك فكرة جيدة حول خطواتك القادمة. يمكنك بالحرية البحث في الموقع للمزيد من الأفكار التي يمكنك تطبيقها على سيرفركك.