RHCSA Series protegendo o SSH, configurando o nome do host e habilitando serviços de rede - Parte 8

Como administrador do sistema, você geralmente precisa fazer logon nos sistemas remotos para executar uma variedade de tarefas de administração usando um emulador de terminal. Você raramente se sentará na frente de um terminal real (físico), então precisa configurar uma maneira de fazer logon remotamente para as máquinas que você será solicitado a gerenciar.

De fato, essa pode ser a última coisa que você terá que fazer na frente de um terminal físico. Por razões de segurança, usando Telnet Para esse fim, não é uma boa ideia, pois todo o tráfego passa pelo fio em texto simples e não criptografado.

Além disso, neste artigo, também revisaremos como configurar os serviços de rede para iniciar automaticamente para inicializar e aprender como configurar a rede e a resolução do nome do host estaticamente ou dinamicamente.

RHCSA: Seguro SSH e Ativar Serviços de Rede - Parte 8

Instalando e protegendo a comunicação SSH

Para você poder fazer logon remotamente para um RHEL 7 caixa usando Ssh, você terá que instalar o OpenSsh, Openssh-clients e OpenSsh-Servers pacotes. O comando a seguir não apenas instalará o programa de login remoto, mas também a ferramenta de transferência de arquivos segura, bem como o utilitário de cópia de arquivo remoto:

# yum update && yum install OpenSsh OpenSsh-clients OpenSsh-Servers 

Observe que é uma boa ideia instalar as contrapartes do servidor, pois você pode usar a mesma máquina que o cliente e o servidor em algum momento ou outro.

Após a instalação, há algumas coisas básicas que você precisa levar em consideração se quiser garantir o acesso remoto ao seu servidor SSH. As seguintes configurações devem estar presentes no /etc/ssh/sshd_config arquivo.

1. Mude a porta onde o daemon sshd ouvirá 22 (o valor padrão) para uma porta alta (2000 ou maior), mas primeiro verifique se a porta escolhida não está sendo usada.

Por exemplo, vamos supor que você escolha a porta 2500. Use o NetStat para verificar se a porta escolhida está sendo usada ou não:

# netstat -npltu | Grep 2500 

Se netstat não retorna nada, você pode usar com segurança a porta 2500 Para SSHD, e você deve alterar a configuração da porta no arquivo de configuração da seguinte forma:

Porta 2500 

2. Somente permitir Protocolo 2:

Protocolo 2 

3. Configure o tempo limite da autenticação para 2 minutos, não permita logins de raiz e restrinja ao mínimo a lista de usuários que podem fazer login via SSH:

LogingRacETime 2M Permitrootlogina sem permissões Gacanepa 

4. Se possível, use a autenticação de chave em vez de senha:

PasswordAuthentication Não RsaaAuthentication Sim PubKeyauthentication Sim 

Isso pressupõe que você já criou um par de chaves com seu nome de usuário em sua máquina cliente e copiou -o para o servidor, conforme explicado aqui.

1. Ativar login sem senha ssh

Configurando redes e resolução de nomes

1. Todo administrador do sistema deve estar bem familiarizado com os seguintes arquivos de configuração em todo o sistema:

1. /etc/hosts é usado para resolver nomes IPS em pequenas redes.

Cada linha no /etc/hosts O arquivo tem a seguinte estrutura:

Endereço IP - nome do host - FQDN 

Por exemplo,

192.168.0.10 laptop laptop.GABRIELCANCANEPA.com.ar 

2. /etc/resolv.conf Especifica os endereços IP dos servidores DNS e o domínio de pesquisa, que é usado para concluir um determinado nome de consulta em um nome de domínio totalmente qualificado quando nenhum sufixo de domínio é fornecido.

Em circunstâncias normais, você não precisa editar este arquivo, pois é gerenciado pelo sistema. No entanto, se você deseja alterar os servidores DNS, esteja avisado de que você precisa seguir a seguinte estrutura em cada linha:

NameServer - endereço IP 

Por exemplo,

NameServer 8.8.8.8 

3. 3. /etc/host.conf Especifica os métodos e a ordem pela qual os nomes de hosts são resolvidos em uma rede. Em outras palavras, diz ao resolvedor de nome quais serviços usar e em que ordem.

Embora este arquivo tenha várias opções, a configuração mais comum e básica inclui uma linha da seguinte maneira:

Ordem Bind, hosts 

O que indica que o resolvedor deve primeiro procurar nos servidores de nomes especificados em resolv.conf E então para o /etc/hosts Arquivo para resolução de nome.

4. /etc/sysconfig/rede Contém informações de roteamento e host global para todas as interfaces de rede. Os seguintes valores podem ser usados:

Networking = sim | não hostName = Valor 

Onde o valor deve ser o nome de domínio totalmente qualificado (FQDN).

Gateway = xxx.Xxx.Xxx.Xxx 

Onde Xxx.Xxx.Xxx.Xxx é o endereço IP do gateway da rede.

GatewayDev = valor 

Em uma máquina com várias NICs, valor é o dispositivo de gateway, como ENP0S3.

5. Arquivos dentro /etc/sysconfig/scripts de rede (Arquivos de configuração de adaptadores de rede).

Dentro do diretório mencionado anteriormente, você encontrará vários arquivos de texto simples nomeados.

IFCFG-NAME 

Onde o nome é o nome da NIC, conforme devolvido por Link IP Show:

Verifique o status do link da rede

Por exemplo:

Arquivos de rede

Diferente do loopback Interface, você pode esperar uma configuração semelhante para seus NICs. Observe que algumas variáveis, se definidas, substituirão as presentes em /etc/sysconfig/rede Para esta interface em particular. Cada linha é comentada para esclarecimentos neste artigo, mas no arquivo real você deve evitar comentários:

Hwaddr = 08: 00: 27: 4e: 59: 37 # o endereço MAC do tipo NIC = Ethernet # Tipo de conexão bootProto = estático # Isso indica que essa NIC recebeu um IP estático IP estático. Se essa variável foi definida como DHCP, o NIC receberá um endereço IP por um servidor DHCP e, portanto, as próximas duas linhas não devem estar presentes nesse caso. Ipaddr = 192.168.0.18 máscara de rede = 255.255.255.0 gateway = 192.168.0.1 nm_controlled = nenhum # deve ser adicionado à interface Ethernet para impedir que o NetworkManager altere o arquivo. Nome = ENP0S3 UUID = 14033805-98EF-4049-BC7B-D4BEA76ED2EB ONBOOT = SIM # O sistema operacional deve criar essa NIC durante a inicialização 

Definir nomes de host

Em Red Hat Enterprise Linux 7, o hostnamectl O comando é usado para consultar e definir o nome do host do sistema.

Para exibir o nome do host atual, digite:

# Status do hostnamectl 

Verifique o nome do host do sistema

Para mudar o nome do host, use

# hostnamectl set-hostname [new hostName] 

Por exemplo,

# hostnamectl set-hostname cinderela 

Para que as mudanças entrem em vigor, você precisará reiniciar o HostNamed Daemon (dessa maneira você não terá que fazer logoff e novamente para aplicar a alteração):

# SystemCtl reinicie o SystemD-HostNamed 

Defina o nome do host do sistema

Além disso, RHEL 7 também inclui o nmcli utilidade que pode ser usada para o mesmo propósito. Para exibir o nome do host, execute:

# nmcli general hostName 

E para mudar:

# nmcli general hostName [novo nome do host] 

Por exemplo,

# nmcli general hostname rhel7 

Defina o nome do host usando o comando nmcli

Iniciando serviços de rede na inicialização

Para encerrar, vamos ver como podemos garantir que os serviços de rede sejam iniciados automaticamente na inicialização. Em termos simples, isso é feito criando links simbólicos para certos arquivos especificados no [Instalar] Seção dos arquivos de configuração de serviço.

No caso de Firewalld (/usr/lib/Systemd/System/Firewalld.serviço):

[Install] wantedby = básico.Alias ​​alvo = dbus-org.FedoraProject.Firewalld1.serviço 

Para ativar o serviço:

# SystemCtl Ativar firewalld 

Por outro lado, desativar o Firewalld autoriza a remoção dos symblinks:

# SystemCtl Desativar o firewalld 

Ativar serviço na inicialização do sistema

Conclusão

Neste artigo, resumimos como instalar e proteger conexões via Ssh para um RHEL servidor, como alterar seu nome e, finalmente, como garantir que os serviços de rede sejam iniciados na inicialização. Se você perceber que um determinado serviço não conseguiu iniciar corretamente, você pode usar status do Systemctl -l [Serviço] e Journalctl -xn Para solucionar problemas.

Sinta -se à vontade para nos informar o que você pensa sobre este artigo usando o formulário de comentário abaixo. Perguntas também são bem -vindas. Estamos ansiosos para ouvir de você!