RHCSA 系列:保护 SSH、设置主机名和启用网络服务 - 第 8 部分
作为系统管理员,您经常需要登录到远程系统才能使用终端仿真器执行各种管理任务。您很少会坐在真实的(物理)终端前,因此您需要设置一种方法来远程登录到要求您管理的计算机。
事实上,这可能是您在物理终端前要做的最后一件事。出于安全原因,使用 Telnet 来实现此目的并不是一个好主意,因为所有流量都以未加密的纯文本形式通过线路。
此外,在本文中,我们还将回顾如何将网络服务配置为在启动时自动启动,并了解如何静态或动态设置网络和主机名解析。
安装 SSH 通信并确保其安全
为了能够使用 SSH 远程登录到 RHEL 7 机器,您必须安装 openssh、openssh -clients 和 openssh-servers 软件包。以下命令不仅会安装远程登录程序,还会安装安全文件传输工具以及远程文件复制实用程序:
yum update && yum install openssh openssh-clients openssh-servers
请注意,安装服务器对应项是一个好主意,因为您可能希望在某个时刻使用同一台计算机作为客户端和服务器。
安装后,如果您想保护对 SSH 服务器的远程访问,则需要考虑一些基本事项。 /etc/ssh/sshd_config
文件中应存在以下设置。
1. 将 sshd 守护进程侦听的端口从 22(默认值)更改为高端口(2000 或更高),但首先请确保所选端口未被使用。
例如,假设您选择端口 2500。使用 netstat 检查所选端口是否正在使用:
netstat -npltu | grep 2500
如果 netstat 没有返回任何内容,您可以安全地使用 sshd 端口 2500,并且您应该按如下所示更改配置文件中的端口设置:
Port 2500
2. 仅允许协议 2:
Protocol 2
3. 将身份验证超时配置为 2 分钟,不允许 root 登录,并将允许通过 ssh 登录的用户列表限制在最低限度:
LoginGraceTime 2m
PermitRootLogin no
AllowUsers gacanepa
4. 如果可能,请使用基于密钥的身份验证而不是密码身份验证:
PasswordAuthentication no
RSAAuthentication yes
PubkeyAuthentication yes
这假设您已经在客户端计算机上使用您的用户名创建了密钥对,并将其复制到您的服务器,如此处所述。
- 启用 SSH 无密码登录
配置网络和名称解析
1. 每个系统管理员都应该熟悉以下系统范围的配置文件:
- /etc/hosts 用于解析小型网络中的名称 <---> IP。
/etc/hosts
文件中的每一行都具有以下结构:
IP address - Hostname - FQDN
例如,
192.168.0.10 laptop laptop.gabrielcanepa.com.ar
2. /etc/resolv.conf
指定 DNS 服务器的 IP 地址和搜索域,用于在以下情况下将给定查询名称补全为完全限定域名:未提供域名后缀。
一般情况下,你不需要编辑这个文件,因为它是由系统管理的。但是,如果您想要更改 DNS 服务器,请注意您需要在每行中遵循以下结构:
nameserver - IP address
例如,
nameserver 8.8.8.8
3. 3. /etc/host.conf
指定在网络中解析主机名的方法和顺序。换句话说,告诉名称解析器要使用哪些服务以及按什么顺序。
尽管此文件有多个选项,但最常见和基本的设置包括如下行:
order bind,hosts
这表明解析器应首先查找 resolv.conf 中指定的名称服务器,然后查找 /etc/hosts 文件进行名称解析。
4. /etc/sysconfig/network
包含所有网络接口的路由和全局主机信息。可以使用以下值:
NETWORKING=yes|no
HOSTNAME=value
其中值应为完全限定域名 (FQDN)。
GATEWAY=XXX.XXX.XXX.XXX
其中 XXX.XXX.XXX.XXX 是网络网关的 IP 地址。
GATEWAYDEV=value
在具有多个网卡的机器中,value是网关设备,例如enp0s3。
5. /etc/sysconfig/network-scripts
内的文件(网络适配器配置文件)。
在前面提到的目录中,您会发现几个名为的纯文本文件。
ifcfg-name
其中 name 是 ip link show 返回的 NIC 名称:
例如:
除了环回接口之外,您的 NIC 也可以采用类似的配置。请注意,某些变量(如果设置)将覆盖此特定接口的 /etc/sysconfig/network
中存在的变量。本文中的每一行都带有注释以供澄清,但在实际文件中,您应该避免注释:
HWADDR=08:00:27:4E:59:37 # The MAC address of the NIC
TYPE=Ethernet # Type of connection
BOOTPROTO=static # This indicates that this NIC has been assigned a static IP. If this variable was set to dhcp, the NIC will be assigned an IP address by a DHCP server and thus the next two lines should not be present in that case.
IPADDR=192.168.0.18
NETMASK=255.255.255.0
GATEWAY=192.168.0.1
NM_CONTROLLED=no # Should be added to the Ethernet interface to prevent NetworkManager from changing the file.
NAME=enp0s3
UUID=14033805-98ef-4049-bc7b-d4bea76ed2eb
ONBOOT=yes # The operating system should bring up this NIC during boot
设置主机名
在Red Hat Enterprise Linux 7中,hostnamectl命令用于查询和设置系统的主机名。
要显示当前主机名,请键入:
hostnamectl status
要更改主机名,请使用
hostnamectl set-hostname [new hostname]
例如,
hostnamectl set-hostname cinderella
为了使更改生效,您需要重新启动 hostnamed 守护进程(这样您就不必注销并再次登录来应用更改):
systemctl restart systemd-hostnamed
此外,RHEL 7还包括可用于相同目的的nmcli实用程序。要显示主机名,请运行:
nmcli general hostname
并更改它:
nmcli general hostname [new hostname]
例如,
nmcli general hostname rhel7
启动时启动网络服务
最后,让我们看看如何确保网络服务在启动时自动启动。简而言之,这是通过创建指向服务配置文件的 [Install] 部分中指定的某些文件的符号链接来完成的。
对于firewalld (/usr/lib/systemd/system/firewalld.service):
[Install]
WantedBy=basic.target
Alias=dbus-org.fedoraproject.FirewallD1.service
要启用该服务:
systemctl enable firewalld
另一方面,禁用firewalld 可以删除符号链接:
systemctl disable firewalld
结论
在本文中,我们总结了如何通过 SSH 安装和保护与 RHEL 服务器的连接,如何更改其名称,以及最后如何确保网络服务启动启动。如果您发现某个服务无法正常启动,可以使用systemctl status -l [service]和journalctl -xn来排除故障。
请随时使用下面的评论表告诉我们您对本文的看法。也欢迎提问。我们期待您的回音!