Zusätzliche empfohlene Schritte für neue CentOS 7-Server

Nach dem Einrichten der Mindestkonfiguration für einen neuen Server werden in den meisten Fällen einige zusätzliche Schritte dringend empfohlen. In diesem Handbuch setzen wir die Konfiguration unserer Server fort, indem wir einige empfohlene, aber optionale Verfahren ausführen.

Bevor Sie diese Anleitung starten, sollten Sie die AnleitungCentOS 7 initial server setupdurchgehen. Dies ist erforderlich, um Ihre Benutzerkonten einzurichten, die Erhöhung von Berechtigungen mitsudo zu konfigurieren und SSH aus Sicherheitsgründen zu sperren.

Nachdem Sie den obigen Leitfaden ausgefüllt haben, können Sie mit diesem Artikel fortfahren. In diesem Handbuch konzentrieren wir uns auf die Konfiguration einiger optionaler, aber empfohlener Komponenten. Dazu müssen wir unser System mit einer Firewall und einer Auslagerungsdatei einrichten und die Synchronisierung des Network Time Protocol konfigurieren.

Firewalls bieten eine grundlegende Sicherheitsstufe für Ihren Server. Diese Anwendungen sind dafür verantwortlich, den Datenverkehr zu jedem Port auf Ihrem Server mit Ausnahme der von Ihnen genehmigten Ports / Dienste zu verweigern. CentOS wird mit einer Firewall namensfirewalld ausgeliefert. Mit einem Tool namensfirewall-cmd können Sie Ihre Firewall-Richtlinien konfigurieren. Unsere grundlegende Strategie wird darin bestehen, alles zu sperren, was uns keinen guten Grund gibt, offen zu bleiben. Installieren Sie zuerstfirewalld:

Der Dienstfirewalldkann Änderungen vornehmen, ohne aktuelle Verbindungen zu trennen, sodass wir ihn aktivieren können, bevor wir unsere Ausnahmen erstellen:

Nachdem der Dienst ausgeführt wird, können wir das Dienstprogrammfirewall-cmdverwenden, um Richtlinieninformationen für die Firewall abzurufen und festzulegen. Die Anwendungfirewalldverwendet das Konzept der „Zonen“, um die Vertrauenswürdigkeit der anderen Hosts in einem Netzwerk zu kennzeichnen. Diese Kennzeichnung gibt uns die Möglichkeit, unterschiedliche Regeln zuzuweisen, je nachdem, wie sehr wir einem Netzwerk vertrauen.

In diesem Handbuch werden nur die Richtlinien für die Standardzone angepasst. Wenn wir unsere Firewall neu laden, wird dies die Zone sein, die auf unsere Schnittstellen angewendet wird. Wir sollten zunächst Ausnahmen zu unserer Firewall für genehmigte Dienste hinzufügen. Das wichtigste davon ist SSH, da der Remote-Verwaltungszugriff auf den Server beibehalten werden muss.

Wenn Sienot den Port geändert haben, auf dem der SSH-Dämon ausgeführt wird, können Sie den Dienst nach Namen aktivieren, indem Sie Folgendes eingeben:

Wenn Siechangedals SSH-Port für Ihren Server haben, müssen Sie den neuen Port explizit angeben. Sie müssen auch das vom Dienst verwendete Protokoll angeben. Geben Sie Folgendes nur ein, wenn Ihr SSH-Server bereits neu gestartet wurde, um den neuen Port zu verwenden:

Dies ist das absolute Minimum, um den Administratorzugriff auf den Server aufrechtzuerhalten. Wenn Sie weitere Dienste ausführen möchten, müssen Sie auch für diese die Firewall öffnen.

Wenn Sie einen herkömmlichen HTTP-Webserver ausführen möchten, müssen Sie den Diensthttpaktivieren:

Wenn Sie einen Webserver mit aktiviertem SSL / TLS ausführen möchten, sollten Sie den Datenverkehr auch fürhttpszulassen:

Wenn Sie SMTP-E-Mail aktivieren müssen, können Sie Folgendes eingeben:

Geben Sie Folgendes ein, um zusätzliche Dienste anzuzeigen, die Sie nach Namen aktivieren können:

Wenn Sie fertig sind, können Sie die Liste der Ausnahmen anzeigen, die implementiert werden, indem Sie Folgendes eingeben:

Wenn Sie bereit sind, die Änderungen zu implementieren, laden Sie die Firewall neu:

Wenn nach dem Testen alles wie erwartet funktioniert, sollten Sie sicherstellen, dass die Firewall beim Booten gestartet wird:

Denken Sie daran, dass Sie die Firewall (mit Diensten oder Ports) für zusätzliche Dienste, die Sie später konfigurieren, explizit öffnen müssen.

Im nächsten Schritt müssen Sie die Lokalisierungseinstellungen für Ihren Server anpassen und die NTP-Synchronisierung (Network Time Protocol) konfigurieren.

Der erste Schritt stellt sicher, dass Ihr Server in der richtigen Zeitzone arbeitet. Im zweiten Schritt wird Ihr System so konfiguriert, dass die Systemuhr mit der Standardzeit synchronisiert wird, die von einem globalen Netzwerk von NTP-Servern verwaltet wird. Dies hilft, ein inkonsistentes Verhalten zu vermeiden, das durch nicht synchronisierte Uhren entstehen kann.

Durch das Hinzufügen von "Swap" zu einem Linux-Server kann das System die Informationen, auf die seltener zugegriffen wird, eines laufenden Programms aus dem RAM an einen Speicherort auf der Festplatte verschieben. Der Zugriff auf auf der Festplatte gespeicherte Daten ist viel langsamer als der Zugriff auf den Arbeitsspeicher. Die Verfügbarkeit von Swap kann jedoch häufig den Unterschied zwischen der Beibehaltung und dem Absturz Ihrer Anwendung ausmachen. Dies ist besonders nützlich, wenn Sie vorhaben, Datenbanken auf Ihrem System zu hosten.

Die Empfehlungen zur besten Größe für einen Swap Space variieren je nach Quelle erheblich. Im Allgemeinen ist eine Menge gleich oder doppelt so viel RAM auf Ihrem System ein guter Ausgangspunkt.

Weisen Sie mit dem Dienstprogrammfallocateden Speicherplatz zu, den Sie für Ihre Auslagerungsdatei verwenden möchten. Wenn wir beispielsweise eine 4-Gigabyte-Datei benötigen, können wir eine Auslagerungsdatei erstellen, die sich bei/swapfile befindet, indem wir Folgendes eingeben:

Nach dem Erstellen der Datei müssen wir den Zugriff auf die Datei einschränken, damit andere Benutzer oder Prozesse nicht sehen können, was dort geschrieben steht:

Wir haben jetzt eine Datei mit den richtigen Berechtigungen. Um unserem System mitzuteilen, dass die Datei für den Austausch formatiert werden soll, können wir Folgendes eingeben:

Teilen Sie dem System nun mit, dass es die Auslagerungsdatei verwenden kann, indem Sie Folgendes eingeben:

Unser System verwendet die Auslagerungsdatei für diese Sitzung, aber wir müssen eine Systemdatei so ändern, dass unser Server dies beim Booten automatisch tut. Sie können dies tun, indem Sie Folgendes eingeben:

Mit diesem Zusatz sollte Ihr System Ihre Auslagerungsdatei bei jedem Start automatisch verwenden.

Sie haben jetzt ein sehr anständiges Setup für Ihren Linux-Server. Von hier aus gibt es einige Orte, an die Sie gehen können. Zunächst möchten Sie möglicherweise einen Snapshot Ihres Servers in der aktuellen Konfiguration erstellen.

Zu diesem Zeitpunkt sollten Sie wissen, wie Sie eine solide Grundlage für Ihre neuen Server konfigurieren. Hoffentlich haben Sie auch eine gute Idee für Ihre nächsten Schritte. Sie können die Site nach weiteren Ideen durchsuchen, die Sie auf Ihrem Server implementieren können.