Тот, кто познал себя, познал своего господа (Магомет).

Дополнительные рекомендуемые шаги для новых серверов на CentOS 7

1 Звезда2 Звезды3 Звезды4 Звезды5 Звезд (2 оценок, среднее: 4,50 из 5)
Загрузка...

Статья опубликована: 3 февраля 2017

Дополнительные рекомендуемые шаги для новых серверов на CentOS 7
После настройки минимальной конфигурации для нового сервера, есть некоторые дополнительные шаги, которые настоятельно рекомендуется в большинстве случаев. В этом руководстве, мы продолжим конфигурацию наших серверов путем устранения некоторых рекомендуемых, но необязательных процедур.

Предпосылки и цели

Перед тем, как начать это руководство, вы должны произвести начальную настройку сервера на CentOS 7. Это необходимо для того, чтобы настроить учетные записи пользователей, настройки привилегий с sudo, а также защитить SSH для обеспечения безопасности.

После того, как вы завершили руководство выше, вы можете продолжить с этой статьей. В этом руководстве мы будем концентрироваться на настройке некоторых необязательных, но рекомендуемые компонентов. Они будет включать в себя настройки нашей системы с брандмауэром и файл подкачки и настройки сетевого протокола времени синхронизации.

Настройка основного брандмауэра

Межсетевые экраны обеспечивают базовый уровень безопасности для вашего сервера. Эти приложения несут ответственность за блокировкой трафика на каждом порту на вашем сервере с исключениями для портов/услуг, которые вы одобрили. CentOS поставляется с брандмауэром под названием firewalld. Инструмент под названием firewall-cmd может использоваться для настройки политик брандмауэра. Наша основная стратегия будет блокировать все, что у нас нет причины держать открытыми.

Служба firewalld имеет возможность вносить изменения без падения текущих соединений, поэтому мы можем включить его, прежде чем создавать свои исключения:

 

Теперь, когда сервис запущен и работает, мы можем использовать утилиту firewall-cmd для получения и установки информационной политики брандмауэра. Приложение firewalld использует понятие “zones” для обозначения достоверности других хостов в сети. Эта маркировка дает нам возможность назначать различные правила в зависимости от того, насколько мы доверяем сети.

В этом руководстве мы будем регулировать только политику для зоны по умолчанию. Когда мы перезагрузить наш брандмауэр, то это будет зона будет применена к нашим интерфейсам. Мы должны начать с добавления исключения из нашего брандмауэра для утвержденных услуг. Наиболее важным из них является SSH, так как мы должны сохранить удаленный административный доступ к серверу.

Если вы не изменили порт,  и демон SSH запущен, вы можете включить службу по имени, набрав:

 

Если вы изменили порт SSH для вашего сервера, вы должны будете указать новый порт в явном виде. Вам также необходимо включить протокол, который служба использует. Введите следующую команду только если ваш сервер SSH уже запущен, чтобы использовать новый порт:

 

 

Это голый минимум, который необходим, чтобы сохранить административный доступ к серверу. Если вы собираетесь использовать дополнительные услуги, вам необходимо открыть брандмауэр там где необходимо.

Если вы планируете запускать обычный HTTP веб – сервер, вам нужно будет активировать услугу http:

 

Если вы планируете запустить веб – сервер с включенным SSL/TLS, вы должны разрешить трафик , а также https:

 

Если вам необходимо разрешить SMTP электронной почты, вы можете ввести:

 

Чтобы увидеть, какие дополнительные услуги, вы можете включить по имени, типу:

 

Когда вы закончите, вы можете увидеть список исключений, которые будут реализованы с помощью набора текста:

 

Когда вы будете готовы осуществить изменения, перезагрузите брандмауэр:

 

Если после тестирования, все работает, как и ожидалось, вы должны убедиться, что брандмауэр будет запускаться при загрузке:

 

Помните, что вам придется явно открыть брандмауэр (со службами или портами) для каких-либо дополнительных услуг, которые вы можете настроить позже.

Настройка часового пояса и синхронизация протокола сетевого времени

Следующим шагом является настройка параметров локализации для сервера и настройки синхронизации сетевого протокола времени (NTP).

Первым шагом будем гарантировать, что ваш сервер работает на правильном часовом поясе. Второй шаг настроим систему, чтобы синхронизировать свои системные часы на зимнее время поддерживаемое глобальной сетью серверов NTP. Это поможет предотвратить некоторые непоследовательное поведение, которое может возникнуть в результате вышедших из синхронизации часов.

Настройка часовых поясов

Наш первый шаг, это установить часовой пояс нашего сервера. Это очень простая процедура, которая может быть выполнена с помощью команды timedatectl:

Во-первых, обратите внимание на доступные часовые пояса, набрав:

 

Это даст вам список часовых поясов, доступных для вашего сервера. Когда вы найдете настройки область/часовой пояс, который является правильным для вашего сервера, установите его, набрав:

 

Например, чтобы установить его в России по восточному времени, вы можете ввести:

 

Ваша система будет обновлена, чтобы использовать выбранный часовой пояс. Вы можете подтвердить это, набрав:

Настройка NTP синхронизации

Теперь, когда у вас есть набор временных зон, мы должны настроить NTP. Это позволит вашему компьютеру остаться в синхронизации с другими серверами, что приводит к большей предсказуемости в операциях, которые полагаются на имеющие правильное время.

Для NTP синхронизации, мы будем использовать сервис под названием ntp, который мы можем установить из репозиториев CentOS по умолчанию:

 

Далее, вам нужно, чтобы запустить службу для этой сессии. Мы также включить службу таким образом, чтобы он автоматически запускалась каждый раз при загрузке сервера:

 

Ваш сервер теперь будет автоматически корректировать его системные часы для выравнивания с глобальными серверами.

Создание файла подкачки

Добавление “swap” на сервер Linux позволяет системе реже перемещать запущенные программы из оперативной памяти в папку на диске. Доступ к данным, хранящимся на диске гораздо медленнее (не относиться к ssd), чем доступ к оперативной памяти, что снижает продуктивность сервера. Это особенно полезно, если вы планируете вести какие-либо базы данных в вашей системе.

Советы по оптимальному размеру для подкачки значительно варьируется в зависимости от источника. Как правило, равной или вдвое большей объема оперативной памяти вашей системы является хорошей отправной точкой.

Выделяют пространство, которое вы хотите использовать для файла подкачки с помощью утилиты fallocate. Например, если нам нужен файл 4Gb, мы можем создать файл подкачки, расположенный в /swapfile, выполнив:

 

После создания файла, нам нужно ограничить доступ к файлу, так чтобы не могли видеть другие пользователи или процессы:

Теперь у нас есть файл с правильными разрешениями. Для того, чтобы сообщить системе отформатировать файл подкачки, мы можем ввести:

Теперь, скажите системе, что она может использовать файл подкачки, набрав:

Наша система использует файл подкачки для этой сессии, но мы должны изменить системный файл, так чтобы наш сервер делал это автоматически при загрузке. Вы можете сделать это, набрав:

 

С этим дополнением, ваша система должна использовать файл подкачки автоматически при каждой загрузке.

Дополнительные ресурсы и последующие шаги

Отсюда, ваш путь целиком и полностью зависит от того, что вы хотите сделать с вашим сервером. Приведенный ниже список руководств никоим образом не является исчерпывающим, но представляет некоторые из наиболее распространенных конфигураций, к которым чаще всего обращаются пользователи:

Вывод

К этому моменту, вы должны знать, как настроить прочный фундамент для ваших новых серверов. Будем надеяться, что у вас также есть хорошая идея для ваших дальнейших шагов. Не стесняйтесь исследовать сайт для большего количества идей, которые можно реализовать на вашем сервере.


Читайте также

    Добавить комментарий

    Войти с помощью: 

    Ваш e-mail не будет опубликован. Обязательные поля помечены *

    Заполните форму и наш менеджер перезвонит Вам в самое ближайшее время!

    badge
    Обратный звонок 1
    Отправить
    galka

    Спасибо! Ваша заявка принята

    close
    galka

    Спасибо! Ваша заявка принята

    close