שלבים מומלצים נוספים לשרתים CentOS 7 חדשים

מדריכים
CentOS

הקדם

אחרי הגדלת ההגדרה הבסיסית המינימלית לשרת חדש, יש כמה צעדים נוספים שמומלצים ברוב המקרים. במדריך הזה, אנחנו נמשיך להגדיר את השרתים שלנו על ידי טיפול בכמה השלמות מומלצות, אבל אפשריות.

דרישות קדמות ומטרות

לפני שיחזור למדריך הזה, צריך לבצע את המדריך הגדלת השרת הראשון של CentOS 7. זה נחוץ בשביל הגדרת החשבונות המשתמשים, הגדרת העליה בזכויות בעזרת sudo, והצפנה של SSH למען הבטחון.

אחרי שסיימת את המדריך העליון, נוכל להמשיך עם המאמר הזה. במדריך זה, נרכש על המערכת שלנו עם מחסה ועם קובץ החלפה, ונגדל את ההסynchronization של הפרוטוקול הרשתי.

הגדרת מחסה בסיסי

מחסומים מספקים רמה בסיסית של בטיחות עבור השרת שלך. היישומים האלה אחראיים לדחיית התנועה לכל פורט על השרת שלך עם ייצוג לפורטים/שירותים שאישרת אותם. CentOS משופר עם מחסום שנקרא firewalld. כלי שנקרא firewall-cmd יכול להשתמש בו להגדיר את מדיניות המחסום שלך. האסטרטגיית הבסיסית שלנו תהיה לסגור הכל שאין לנו סיבה טובה להשאר פתוח. קודם לכן, היא תיתקן firewalld:

  1. sudo yum install firewalld

השירות firewalld מסוגל לבצע שינויים בלי לדחוק את החיבורים הקיימים, אז נוכל להפעיל אותו לפני שינוי היישומים:

  1. sudo systemctl start firewalld

עכשיו שהשירות מופעל ופעולה, נוכל להשתמש בכלי firewall-cmd כדי לקבל ולהגדיר מידע מדיניות המחסום. היישומים firewalld משתמשים בתפיסה של "אזורים" כדי לסמנת את אמון המארגנים של המערכות האחרות ברשת. סימון זה נותן לנו את היכולת להעניק דירוגים שונים בהתאם לאמון הרשת.

במדריך הזה, אנחנו נעדיף רק על הגדרות באזור הזרם ברת-מקור. כשאנחנו נרעד מחסום הערימה שלנו, זה יהיה האזור שיישב על המקומות שלנו. אנחנו צריכים להתחיל על ידי הוספת יישומים למחסום עבור שירותים מאושרים. הכי חיוני מהם הוא SSH, מפני שצריך לשמור על גישה רחוקה לשרת.

אם לא שינית את הפורט ב

  1. sudo firewall-cmd --permanent --add-service=ssh

אם שינית את פורט ה-SSH עבור השרת שלך, תצטרך לציין את הפורט החדש באופן מפורש. תצטרך גם לכלול את הפרוטוקול שהשרות משתמש בו. רק תקליד את מה שבא מתחת אם השרת ה-SSH שלך כבר הותחל מחדש כדי להשתמש בפורט החדש:

  1. sudo firewall-cmd --permanent --remove-service=ssh

  2. sudo firewall-cmd --permanent --add-port=4444/tcp

זהו המינימום הנחוץ כדי לשמור על גישת הניהול לשרת. אם אתה מתכנן להריץ שרותים נוספים, תצטרך גם לפתוח את החומה לשרותים אלו.

אם אתה מתכנן להריץ שרת רשת מקובל תוך הכל, תצטרך לאפשר את השרות http:

  1. sudo firewall-cmd --permanent --add-service=http

אם אתה מתכנן להריץ שרת רשת עם SSL/TLS מופעל, יש לאפשר גם תנועה עבור https:

  1. sudo firewall-cmd --permanent --add-service=https

אם אתה צריך אימייל SMTP מופעל, יכול להקליד:

  1. sudo firewall-cmd --permanent --add-service=smtp

כדי לראות שרותים נוספים שאתה יכול לאפשר באמצעות שם, הקלד:

  1. sudo firewall-cmd --get-services

כשתסיים, תוכל לראות את רשימת החריגים שיושמו על ידי הקלדת:

  1. sudo firewall-cmd --permanent --list-all

כשתהיה מוכן ליישם את השינויים, רענן את החומה:

  1. sudo firewall-cmd --reload

אם, אחרי הבדיקה, הכל עובד כפי שצפוי, עליך לוודא שהחומה תיזוז בעת ההפעלה:

  1. sudo systemctl enable firewalld

זכור שתצטרך לפתוח את החומה (עם שרותים או פורטים) עבור שרותים נוספים שאולי תגדיר מאוחר יותר.

הגדרת אזורי זמן וסנכרון תקופתי רשת

השלב הבא הוא להתאים את ההגדרות לאופן האיכות המקומי עבור שרתך ולהגדיר את הסנכרון של פרוטוקול זמן רשת (NTP).

השלב הראשון יוודא ששרתך פועל תחת האזור הזמן הנכון. השלב השני יגדיר את המערכת שלך לסנכרן את שעון המערכת שלה לזמן הסטנדרטי שמתומך על ידי רשת גלובלית של שרתי NTP. זה יעזור למנוע כמה התנהגויות לא עיקביות שיכולות לצאת משעונים לא מסונכרנים.

הגדרת אזורי זמן

השלב הראשון שלנו הוא להגדיר את אזור הזמן של שרתנו. זהו תהליך מאוד פשוט שניתן לביצוע באמצעות הפקודה timedatectl:

ראשית, הביט באזורי הזמן הזמינים על ידי הקלדות:

  1. sudo timedatectl list-timezones

זה יתן לך רשימה של אזורי הזמן הזמינים עבור שרתך. כשמצאת את האזור/הגדרת האזור הזמן הנכון עבור שרתך, הגדר אותו על ידי הקלדות:

  1. sudo timedatectl set-timezone region/timezone

למשל, להגדיר אותו לזמן המזרחי של ארצות הברית, ניתן להקליד:

  1. sudo timedatectl set-timezone America/New_York

המערכת שלך תעודכן להשתמש באזור הזמן הנבחר. ניתן לאשר זאת על ידי הקלדות:

  1. sudo timedatectl

הגדרת סנכרון NTP

אז שכעת הגדרת את אזור הזמן שלך, עלינו להגדיר את NTP. זה יאפשר למחשב שלך להישאר בסנכרון עם שרתים אחרים, מה שיביא ליכולת חזות יותר טובה בפעולות שמסתמכות על הזמן הנכון.

לסנכרון NTP, נשתמש בשרות הנקרא ntp, שניתן להתקין מאגרי ההפצה המוגדרים של CentOS:

  1. sudo yum install ntp

לאחר מכן, עליך להפעיל את השרות עבור ההפעלה הנוכחית. נגןל כן את השרות כך שיהיה מופעל אוטומטית כל פעם שהשרת מתחיל:

  1. sudo systemctl start ntpd

  2. sudo systemctl enable ntpd

השרת שלך יתקן את השעון המערכתי שלו אוטומטית כדי להתאים עם השרתים הגלובליים.

יצירת קובץ סוואפ

הוספת "swap" לשרת Linux מאפשרת למערכת להזיז את המידע הנדיר באופן נגיעה של תוכנה רצה מה-RAM למיקום על הדיסק. נגיעה למידע שמאוחסן על הדיסק היא איטית יותר מאשר נגיעה ל-RAM, אבל זמינות swap לעיתים קרובות היא ההבדל בין ההישרדות של היישום שלך והקריסה. זה יותר מועיל אם אתה מתכנן לאכוף מסדי נתונים על המערכת שלך.

העצות לגבי הגודל האידאלי למרחב swap משתנות בהרבה תלוי במקור המבקש. באופן כללי, כמות שווה או כפולה מכמות ה-RAM במערכת שלך היא נקודת התחלה טובה.

הקצאת את המרחב שברצונך להשתמש לתוך קובץ swap באמצעות כלי fallocate. לדוגמה, אם נזקק לקובץ בן 4 גיגה בייט, ניתן ליצ

  1. sudo fallocate -l 4G /swapfile

אחרי יצירת הקובץ, אנחנו צריכים להגביל את הגישה לקובץ כך שמשתמשים אחרים או תהליכים לא יוכלו לראות מה שנכתב שם:

  1. sudo chmod 600 /swapfile

יש לנו עכשיו קובץ עם ה permisisons הנכונים. כדי לבקש מהמערכת לעיבד את הקובץ לשימוש בתור קובץ החלל, נוכל להקליד:

  1. sudo mkswap /swapfile

עכשיו, נוכל לספר למערכת שהיא יכולה להשתמש בקובץ ההחלף בעזרת:

  1. sudo swapon /swapfile

המערכת שלנו משתמשת בקובץ ההחלף בהפגנה זו, אך אנחנו צריכים לשנות קובץ מערכת כך שהשרת שלנו יעשה את זה באופן אוטומטי בהתחלה. ניתן לעשות זאת על ידי הקלדת:

  1. sudo sh -c 'echo "/swapfile none swap sw 0 0" >> /etc/fstab'

עם ההוספה הזו, המערכת שלך צריכה להשתמש בקובץ ההחלף שלך באופן אוטומטי בכל התחלה הבאה.

היכן לגשת ממש הנה?

עכשיו יש לך התחלת מערכת מעולה עבור שרת לינוקס. ממש כאן, יש כמה מקומות בהם אתה יכול ללכת. קודם כל, אולי תרצה לצילום הדמה של ההגדרה הנוכחית שלך.

צילום הדמה של ההגדרה הנוכחית שלך

אם אתה מרוצה מההגדרה שלך ורוצה להשתמש בזה כבסיס להתקעקעות העתיד, אתה יכול לצילום הדמה של השרת שלך דרך לוח בקרת דיגיטלליבר. מאז אוקטובר 2016, צילומי הדמות עולים ב- $0.05 לג 'יגה-בייט לחודש בהתבסס על החלל המשתמש בתוך ה

על מנת לעשות זאת, תכב את השרת שלך בשורת הפקודות. למרות שזה אפשרי לצלם תמונה של מערכת רודיאלית, כך שתוכל להפעיל אותה מחדש, כביכול להבטיח שהקבצים על הדיסק מוגדלים במצב התאמה:

  1. sudo poweroff

עכשיו, בלוח בקר דיגיטלי-אוקיינוס, תוכל לצלם תמונה על ידי ביקור בשירה "תמונות" של השרת שלך:

אחרי שתצלם את התמונה שלך, תוכל להשתמש בתמונה הזו כבסיס להתקינות עתידות על ידי בחירתה מהשירה "תמונות שלי" בזמן היצירה של התמונות:

משאבים נוספים והשלכות הבאות

מכאן, הדרך שלך תלויה בדבר שאתה רוצה לעשות עם השרת שלך. רשימת הורידים הבאה אינה בשום אופן מוגבלת, אך היא מייצגת אחדים מההגדרות היותר נפוצות של המשתמשים מתקדמים אליהן:

סיכום

עד כדי כך, אתה צריך לדעת איך להגדיר יסוד חזק עבור השרתים החדשים שלך. בתקווה, גם יש לך רעיון טוב יותר עבור הצעדים הבאים. השתמש בחופש באתר לחפש עוד רעיונות שניתן ליישם על השרת שלך.

Source:
https://www.digitalocean.com/community/tutorials/additional-recommended-steps-for-new-centos-7-servers