RHCSA Series Mengamankan SSH, Pengaturan Nama Host dan Layanan Jaringan yang Mengaktifkan - Bagian 8

Sebagai administrator sistem, Anda sering harus masuk ke sistem jarak jauh untuk melakukan berbagai tugas administrasi menggunakan emulator terminal. Anda akan jarang duduk di depan terminal (fisik) yang nyata, jadi Anda perlu mengatur cara untuk masuk dari jarak jauh ke mesin yang akan Anda kelola.

Faktanya, itu mungkin hal terakhir yang harus Anda lakukan di depan terminal fisik. Untuk alasan keamanan, menggunakan Telnet Untuk tujuan ini bukanlah ide yang bagus, karena semua lalu lintas melewati kawat di teks yang tidak terenkripsi dan polos.

Selain itu, dalam artikel ini kami juga akan meninjau cara mengkonfigurasi layanan jaringan untuk memulai secara otomatis saat boot dan belajar cara mengatur resolusi jaringan dan hostname secara statis atau dinamis.

RHCSA: Aman SSH dan Aktifkan Layanan Jaringan - Bagian 8

Menginstal dan Mengamankan Komunikasi SSH

Agar Anda dapat masuk dari jarak jauh ke a RHEL 7 menggunakan kotak Ssh, Anda harus menginstal openssh, openssh-klien Dan OpenSsh-Server paket. Perintah berikut tidak hanya akan menginstal program login jarak jauh, tetapi juga alat transfer file yang aman, serta utilitas salin file jarak jauh:

# yum update && yum install openssh openssh-clients openssh-server 

Perhatikan bahwa itu ide yang baik untuk menginstal rekan server karena Anda mungkin ingin menggunakan mesin yang sama dengan klien dan server di beberapa titik atau lainnya.

Setelah instalasi, ada beberapa hal dasar yang perlu Anda perhitungkan jika Anda ingin mengamankan akses jarak jauh ke server SSH Anda. Pengaturan berikut harus ada di /etc/ssh/sshd_config mengajukan.

1. Ubah port tempat daemon sshd akan mendengarkan 22 (nilai default) ke port tinggi (2000 atau lebih besar), tetapi pertama -tama pastikan port yang dipilih tidak digunakan.

Misalnya, anggaplah Anda memilih port 2500. Gunakan NetStat untuk memeriksa apakah port yang dipilih sedang digunakan atau tidak:

# netstat -npltu | Grep 2500 

Jika netstat tidak mengembalikan apapun, Anda dapat menggunakan port dengan aman 2500 Untuk SSHD, dan Anda harus mengubah pengaturan port di file konfigurasi sebagai berikut:

Port 2500 

2. Hanya izinkan Protokol 2:

Protokol 2 

3. Konfigurasikan batas waktu otentikasi hingga 2 menit, jangan mengizinkan login root, dan membatasi minimum daftar pengguna yang diizinkan masuk melalui SSH:

LOGINGRACETIME 2M APITROOTLOGIN NO ALLEVUSERS GACANEPA 

4. Jika memungkinkan, gunakan otentikasi berbasis kunci alih-alih kata sandi:

PasswordAuthentication no rsaAuthentication ya pubkeyAuthentication ya 

Ini mengasumsikan bahwa Anda telah membuat pasangan kunci dengan nama pengguna Anda di mesin klien Anda dan menyalinnya ke server Anda seperti yang dijelaskan di sini.

1. Aktifkan login tanpa kata sandi SSH

Mengkonfigurasi Jaringan dan Resolusi Nama

1. Setiap administrator sistem harus dikenali dengan baik dengan file konfigurasi sistem-selebar sistem berikut:

1. /etc/host digunakan untuk menyelesaikan nama IP di jaringan kecil.

Setiap baris di /etc/host File memiliki struktur berikut:

Alamat IP - Nama Host - FQDN 

Misalnya,

192.168.0.10 Laptop Laptop.Gabrielcanepa.com.ar 

2. /etc/resolv.conf Menentukan alamat IP server DNS dan domain pencarian, yang digunakan untuk menyelesaikan nama kueri yang diberikan ke nama domain yang sepenuhnya memenuhi syarat ketika tidak ada sufiks domain yang disediakan.

Dalam keadaan normal, Anda tidak perlu mengedit file ini karena dikelola oleh sistem. Namun, jika Anda ingin mengubah server DNS, disarankan agar Anda perlu tetap pada struktur berikut di setiap baris:

NameServer - Alamat IP 

Misalnya,

Nameserver 8.8.8.8 

3. 3. /etc/host.conf Menentukan metode dan urutan yang digunakan oleh nama host. Dengan kata lain, beri tahu nama resolver mana layanan yang akan digunakan, dan dalam urutan apa.

Meskipun file ini memiliki beberapa opsi, pengaturan yang paling umum dan dasar mencakup baris sebagai berikut:

Pesan Bind, Host 

Yang menunjukkan bahwa resolver harus terlebih dahulu melihat pada server nama yang ditentukan resolv.conf dan kemudian ke /etc/host File untuk Resolusi Nama.

4. /etc/sysconfig/jaringan Berisi routing dan informasi host global untuk semua antarmuka jaringan. Nilai -nilai berikut dapat digunakan:

Networking = Ya | Tidak HostName = Nilai 

Dimana nilai harus menjadi nama domain yang sepenuhnya memenuhi syarat (fqdn).

Gateway = xxx.Xxx.Xxx.Xxx 

Di mana Xxx.Xxx.Xxx.Xxx adalah alamat IP dari gateway jaringan.

Gatewaydev = nilai 

Di mesin dengan banyak NIC, nilai adalah perangkat gateway, seperti ENP0S3.

5. File di dalam /etc/sysconfig/network-script (File Konfigurasi Adapter Jaringan).

Di dalam direktori yang disebutkan sebelumnya, Anda akan menemukan beberapa file teks biasa bernama.

nama ifcfg 

Dimana nama adalah nama NIC yang dikembalikan oleh tautan IP Tampilkan:

Periksa status tautan jaringan

Misalnya:

File jaringan

Selain untuk Loopback antarmuka, Anda dapat mengharapkan konfigurasi yang serupa untuk NIC Anda. Perhatikan bahwa beberapa variabel, jika diatur, akan mengesampingkan yang ada di /etc/sysconfig/jaringan untuk antarmuka khusus ini. Setiap baris dikomentari untuk klarifikasi dalam artikel ini tetapi dalam file yang sebenarnya Anda harus menghindari komentar:

Hwaddr = 08: 00: 27: 4e: 59: 37 # Alamat MAC dari tipe NIC = Ethernet # Jenis koneksi bootproTo = statis # Ini menunjukkan bahwa NIC ini telah diberi IP statis statis. Jika variabel ini diatur ke DHCP, NIC akan diberikan alamat IP oleh server DHCP dan dengan demikian dua baris berikutnya tidak boleh ada dalam kasus itu. Ipaddr = 192.168.0.18 netmask = 255.255.255.0 gateway = 192.168.0.1 nm_controlled = no # harus ditambahkan ke antarmuka Ethernet untuk mencegah NetworkManager mengubah file. Name = ENP0S3 UUID = 14033805-98EF-4049-BC7B-D4BEA76ED2EB ONBOT = Ya # Sistem operasi harus memunculkan NIC ini selama boot 

Mengatur nama host

Di dalam Red Hat Enterprise Linux 7, itu hostnamectl Perintah digunakan untuk kedua kueri dan mengatur nama host sistem.

Untuk menampilkan nama host saat ini, ketik:

# status hostnamectl 

Periksa nama host sistem

Untuk mengubah nama host, gunakan

# hostnamectl set-hostname [nama host baru] 

Misalnya,

# hostnamectl set-hostname cinderella 

Agar perubahan mulai berlaku, Anda perlu memulai kembali Hostnamed Daemon (dengan cara itu Anda tidak perlu masuk dan aktif lagi untuk menerapkan perubahan):

# Systemctl restart systemd-hostnamed 

Atur Nama Host Sistem

Selain itu, RHEL 7 juga termasuk nmcli utilitas yang dapat digunakan untuk tujuan yang sama. Untuk menampilkan nama host, jalankan:

# NMCLI Nama Host Umum 

dan mengubahnya:

# NMCLI General HostName [nama host baru] 

Misalnya,

# NMCLI Nama Host RHEL7 

Setel nama host menggunakan perintah NMCLI

Memulai layanan jaringan saat boot

Untuk menyelesaikannya, mari kita lihat bagaimana kita dapat memastikan bahwa layanan jaringan dimulai secara otomatis saat boot. Secara sederhana, ini dilakukan dengan membuat symlink ke file tertentu yang ditentukan dalam [Install] bagian file konfigurasi layanan.

Dalam kasus Firewalld (/usr/lib/systemd/system/firewalld.melayani):

[Install] wantedby = dasar.Target alias = dbus-org.Fedoraproject.Firewalld1.melayani 

Untuk mengaktifkan layanan:

# Systemctl Aktifkan Firewalld 

Di sisi lain, menonaktifkan firewalld utama menghapus symlink:

# Systemctl Nonaktifkan firewalld 

Aktifkan Layanan di Boot Sistem

Kesimpulan

Di artikel ini kami telah merangkum cara menginstal dan mengamankan koneksi melalui Ssh ke a RHEL server, cara mengubah namanya, dan akhirnya bagaimana memastikan bahwa layanan jaringan dimulai dengan boot. Jika Anda melihat bahwa layanan tertentu telah gagal memulai dengan benar, Anda dapat menggunakan Status SystemCTL -L [Layanan] Dan journalctl -xn untuk memecahkan masalah.

Jangan ragu untuk memberi tahu kami pendapat Anda tentang artikel ini menggunakan formulir komentar di bawah ini. Pertanyaan juga diterima. Kami menantikan kabar dari Anda!