RHCSA Series sécurisant SSH, définissant le nom d'hôte et activation des services réseau - partie 8

En tant qu'administrateur système, vous devrez souvent vous connecter à des systèmes distants pour effectuer une variété de tâches d'administration à l'aide d'un émulateur de terminal. Vous serez rarement assis devant un véritable terminal (physique), vous devez donc configurer un moyen de vous connecter à distance aux machines que vous serez invitées à gérer.

En fait, c'est peut-être la dernière chose que vous devrez faire devant un terminal physique. Pour des raisons de sécurité, en utilisant Telnet À cet effet n'est pas une bonne idée, car tout le trafic passe par le fil dans un texte brut non crypté.

De plus, dans cet article, nous examinerons également comment configurer les services réseau pour démarrer automatiquement au démarrage et apprendre à configurer le réseau et la résolution du nom d'hôte statiquement ou dynamiquement.

RHCSA: Secure SSH et activer les services réseau - Partie 8

Installation et sécurisation de la communication SSH

Pour que vous puissiez vous connecter à distance à un Rhel 7 Boîte à l'aide Ssh, vous devrez installer le opensh, OpenSSH-CLIENTS et OpenSSH-Servers paquets. La commande suivante installera non seulement le programme de connexion à distance, mais également l'outil de transfert de fichiers sécurisé, ainsi que l'utilitaire de copie de fichiers distants:

# Yum Update && yum Install OpenSSH OpenSSH-CLIENTS OpenSSH-Servers 

Notez que c'est une bonne idée d'installer les homologues du serveur, car vous souhaiterez peut-être utiliser la même machine que le client et le serveur à un moment ou à un autre.

Après l'installation, il y a quelques choses de base que vous devez prendre en compte si vous souhaitez sécuriser l'accès à distance à votre serveur SSH. Les paramètres suivants doivent être présents dans le / etc / ssh / sshd_config déposer.

1. Changer le port où le démon sshd écoutera de 22 (la valeur par défaut) à un port élevé (2000 ou plus), mais assurez-vous d'abord que le port choisi n'est pas utilisé.

Par exemple, supposons que vous choisissiez le port 2500. Utilisez Netstat afin de vérifier si le port choisi est utilisé ou non:

# netStat -npltu | grep 2500 

Si netstat ne renvoie rien, vous pouvez utiliser le port en toute sécurité 2500 pour SSHD, et vous devez modifier le paramètre de port dans le fichier de configuration comme suit:

Port 2500 

2. Autoriser seulement protocole 2:

Protocole 2 

3. Configurez le délai d'authentification à 2 minutes, n'autorisez pas les connexions racine et limitez à un minimum la liste des utilisateurs qui sont autorisés à se connecter via SSH:

Loggeracetime 2m permutrootlogine No 

4. Si possible, utilisez une clé au lieu de l'authentification du mot de passe:

PasswordAuthentication Non rsaauthentication Oui pubkeyauthentication Oui 

Cela suppose que vous avez déjà créé une paire de clés avec votre nom d'utilisateur sur votre machine client et l'a copié sur votre serveur comme expliqué ici.

1. Activer la connexion sans mot de passe SSH

Configuration de la mise en réseau et de la résolution des noms

1. Chaque administrateur système doit bien connaître les fichiers de configuration suivants à l'échelle du système:

1. / etc / hôtes est utilisé pour résoudre les noms IPS dans les petits réseaux.

Chaque ligne dans le / etc / hôtes Le fichier a la structure suivante:

Adresse IP - nom d'hôte - FQDN 

Par exemple,

192.168.0.10 ordinateur portable pour ordinateur portable.gabrielcanepa.com.ardente 

2. / etc / résolv.confli Spécifie les adresses IP des serveurs DNS et le domaine de recherche, qui est utilisé pour terminer un nom de requête donné à un nom de domaine entièrement qualifié lorsqu'aucun suffixe de domaine n'est fourni.

Dans des circonstances normales, vous n'avez pas besoin de modifier ce fichier car il est géré par le système. Cependant, si vous souhaitez modifier les serveurs DNS, soyez informé que vous devez vous en tenir à la structure suivante dans chaque ligne:

NameServer - Adresse IP 

Par exemple,

Namesserver 8.8.8.8 

3. 3. / etc / hôte.confli Spécifie les méthodes et l'ordre par lequel les noms d'hôte sont résolus dans un réseau. En d'autres termes, indique le nom de nom de Resolver quels services à utiliser et dans quel ordre.

Bien que ce fichier ait plusieurs options, la configuration la plus courante et la plus de base comprend une ligne comme suit:

Order Bind, hôtes 

Ce qui indique que le résolveur doit d'abord regarder dans les serveurs de noms spécifiés dans résoudre.confli Et puis au / etc / hôtes Fichier pour la résolution du nom.

4. / etc / sysconfig / réseau Contient le routage et les informations de l'hôte global pour toutes les interfaces réseau. Les valeurs suivantes peuvent être utilisées:

Réseautage = oui | non hostname = valeur 

Où la valeur doit être le nom de domaine entièrement qualifié (FQDN).

Passerelle = xxx.Xxx.Xxx.Xxx 

Où Xxx.Xxx.Xxx.Xxx est l'adresse IP de la passerelle du réseau.

GatewayDev = valeur 

Dans une machine avec plusieurs NIC, valeur est le dispositif de passerelle, comme ENP0S3.

5. Fichiers à l'intérieur / etc / Sysconfig / Script de réseau (Fichiers de configuration des adaptateurs réseau).

À l'intérieur du répertoire mentionné précédemment, vous trouverez plusieurs fichiers de texte brut nommés.

IFCFG-Name 

Où le nom est le nom du NIC tel que retourné par Lien IP Show:

Vérifier l'état du lien réseau

Par exemple:

Fichiers réseau

À part pour le boucler Interface, vous pouvez vous attendre à une configuration similaire pour vos NIC. Notez que certaines variables, si elles sont définies, l'emporteront sur ceux présents dans / etc / sysconfig / réseau pour cette interface particulière. Chaque ligne est commentée pour clarification dans cet article, mais dans le fichier réel, vous devez éviter les commentaires:

Hwaddr = 08: 00: 27: 4E: 59: 37 # L'adresse MAC du type de NIC = Ethernet # Type de connexion BootProto = statique # Cela indique que ce réseau a été attribué une IP statique. Si cette variable était définie sur DHCP, le NIC se verra attribuer une adresse IP par un serveur DHCP et donc les deux lignes suivantes ne devraient pas être présentes dans ce cas. IPaddr = 192.168.0.18 Masque de réseau = 255.255.255.0 passerelle = 192.168.0.1 nm_controlled = aucun # ne doit être ajouté à l'interface Ethernet pour empêcher NetworkManager de modifier le fichier. Name = ENP0S3 UUID = 14033805-98EF-4049-BC7B-D4BEA76ED2EB ONOOT = OUI # Le système d'exploitation devrait afficher ce NIC pendant le démarrage 

Définition des noms d'hôte

Dans Red Hat Enterprise Linux 7, le hostnamectl La commande est utilisée pour interroger et définir le nom d'hôte du système.

Pour afficher le nom d'hôte actuel, Type:

# statut hostNamectl 

Vérifier le nom d'hôte système

Pour changer le nom d'hôte, utilisez

# hostNamectl set-hostname [nouveau nom d'hôte] 

Par exemple,

# hostnamectl set-hostname Cendrillon 

Pour que les modifications prennent effet, vous devrez redémarrer nommé hôte démon (de cette façon, vous n'aurez pas à vous déconnecter de temps en temps afin d'appliquer le changement):

# systemctl redémarrer Systemd-HostNamed 

Définir le nom d'hôte système

En outre, Rhel 7 comprend également le nmcli utilité qui peut être utilisée dans le même but. Pour afficher le nom d'hôte, exécutez:

# NMCLI HOSTNAME GÉNÉRAL 

Et pour le changer:

# nmcli General Hostname [nouveau nom d'hôte] 

Par exemple,

# NMCLI HOSTNAME GÉNÉRAL RHEL7 

Définir le nom d'hôte à l'aide de la commande nmcli

Démarrage des services réseau sur le démarrage

Pour conclure, voyons comment nous pouvons nous assurer que les services réseau sont démarrés automatiquement sur le démarrage. En termes simples, cela se fait en créant des liens symboliques sur certains fichiers spécifiés dans le [Installer] Section des fichiers de configuration du service.

Dans le cas d pare-feu (/ usr / lib / systemd / system / Firewalld.service):

[Installer] WantedBy = Basic.Alias ​​cible = DBUS-ORG.fedoraproject.Firewalld1.service 

Pour activer le service:

# SystemCTL Activer Firewalld 

D'un autre côté, la désactivation de Firewalld permet de supprimer les liens symboliques:

# SystemCTL Désactiver le pare-feu 

Activer le service au démarrage du système

Conclusion

Dans cet article, nous avons résumé comment installer et sécuriser les connexions via Ssh à un Rhel serveur, comment changer son nom, et enfin comment s'assurer que les services réseau sont démarrés sur le démarrage. Si vous remarquez qu'un certain service n'a pas commencé correctement, vous pouvez utiliser systemctl status -l [service] et journalctl -xn pour le dépanner.

N'hésitez pas à nous faire savoir ce que vous pensez de cet article en utilisant le formulaire de commentaire ci-dessous. Les questions sont également les bienvenues. Nous avons hâte d'avoir de tes nouvelles!