FirewallD është një mjet i menaxhimit të murit të zjarrit i disponueshëm si parazgjedhje në serverët CentOS 7. Ai është në thelb një mbështjellës rreth IPTables dhe vjen me një mjet konfigurimi grafik të konfigurimit të murit të zjarrit dhe një mjet të linjës së komandës firewall-cmd. Me shërbimin IPtables, çdo ndryshim kërkon fshirjen e rregullave të vjetra dhe krijimin e rregullave të reja në skedarin ` /etc/sysconfig/iptables`, ndërsa me firewalld vlejnë vetëm dallimet.
Zonat e mureve të zjarrit
FirewallD përdor shërbime dhe zona në vend të rregullave dhe zinxhirëve në Iptables. Zonat e mëposhtme janë të disponueshme si parazgjedhje:
- rënie– Hiqni të gjitha paketat hyrëse të rrjetit pa përgjigje, disponohen vetëm lidhjet dalëse të rrjetit.
- bllokoj– Refuzoni të gjitha paketat hyrëse të rrjetit me një mesazh të ndaluar nga icmp-host, disponohen vetëm lidhjet dalëse të rrjetit.
- publike– pranohen vetëm lidhjet e zgjedhura hyrëse, për përdorim në zona publike
- e jashtme– Për rrjetet e jashtme me maskaradë, pranohen vetëm lidhjet hyrëse të zgjedhura.
- dmz– DMZ, e aksesueshme publikisht me akses të kufizuar në rrjetin e brendshëm, pranohen vetëm lidhjet e zgjedhura hyrëse.
- puna
- në shtëpi– Për kompjuterët në zonën kryesore, pranohen vetëm lidhjet e zgjedhura hyrëse.
- e brendshme– Për kompjuterët në rrjetin tuaj të brendshëm, pranohen vetëm lidhjet e zgjedhura hyrëse.
- i besuar– Të gjitha lidhjet e rrjetit pranohen.
Për të marrë një listë të të gjitha zonave të disponueshme:
# firewall-cmd --get-zones work drop blloqe publike të brendshme të jashtme të besueshme të shtëpisë dmz
Për të parë një listë të zonave të paracaktuara:
# firewall-cmd --get-default-zone publike
Për të ndryshuar zonën e paracaktuar:
Shërbimet e mureve të zjarrit
Shërbimet FirewallD janë skedarë të konfigurimit XML, me informacion në lidhje me hyrjen e shërbimit për murin e zjarrit. Për të marrë një listë të të gjitha shërbimeve të disponueshme:
# firewall-cmd --merr-shërbime amanda-klient amanda-k5-klient bacula bacula-klient ceph ceph-mon dhcp dhcpv6 dhcpv6-klient dns docker-regjistri dropbox-lansync freeipa-ldap freeipa-ldaps freeipa-përsëritje e lartë HTTP HTTPS IMAP IPP IPP IPP-CLIES IPSEC ISCSI-TART KADMIN KERBEROS KASSWD LDAP LDPS MOUNTD MS-WBT MYSQL NFS NTP Openvpn PMCD PMWEBAPI PMWebapis POP3 POP3S PMWEBAPIS POP3 POPP3 klient i arsyeshëm smtp smtps snmp snmptrap kallamar ssh sinergji syslog syslog-tls telnet tftp tftp-klient tinc tor-çorape transmetim-klient vdsm vnc-server wbem-https xmpp-bosh xmpp-klient xmpp-server
Skedarët e konfigurimit XML ruhen në drejtori /usr/lib/firewalld/services/ Dhe /etc/firewalld/services/.
Vendosja e një muri zjarri me FirewallD
Si shembull, ja se si mund të konfiguroni një mur zjarri me FirewallD nëse përdorni një server në internet, SSH në portin 7022 dhe një server poste.
Së pari do të vendosim zonën e paracaktuar për DMZ.
# firewall-cmd --set-default-zone=dmz # firewall-cmd --get-default-zone dmz
Për të shtuar rregullat e vazhdueshme të shërbimit për HTTP dhe HTTPS në DMZ, ekzekutoni komandën e mëposhtme:
# firewall-cmd --zone=dmz --add-service=http --permanent # firewall-cmd --zone=dmz --add-service=https --permanent
Hap portin 25 (SMTP) dhe portin 465 (SMTPS):
firewall-cmd --zone=dmz --add-service=smtp --firewall i përhershëm-cmd --zone=dmz --add-service=smtps --permanent
Portet e hapura, IMAP, IMAPS, POP3 dhe POP3S:
Firewall-cmd --zone=dmz --add-service=imap --firewall i përhershëm-cmd --zone=dmz --add-service=imaps --firewall i përhershëm-cmd --zone=dmz --add-service= pop3 --firewall i përhershëm-cmd --zone=dmz --add-service=pop3s --permanent
Meqenëse porta SSH është ndryshuar në 7022, ne do të heqim shërbimin SSH (porta 22) dhe do të hapim portin 7022
firewall-cmd --remove-service=ssh --firewall i përhershëm-cmd --add-port=7022/tcp --permanent
Për të zbatuar ndryshimet, duhet të rinisim murin e zjarrit:
Firewall-cmd --ringarkoni
Dhe së fundi, ju mund të rendisni rregullat.
Duke filluar me CentoOS 7, është shfaqur një mjet i ri për të konfiguruar rregullat e filtrimit të trafikut muri i zjarrit. Rekomandohet ta përdorni për të menaxhuar rregullat iptables. CentOS 8 tani përdor kornizën nftables në vend të paketës standarde të filtrimit iptables, dhe kur konfiguroni rregullat e murit të zjarrit përmes firewalld-it, në fakt po konfiguroni nftables. Në këtë artikull, ne do të shqyrtojmë instalimin, konceptet bazë dhe konfigurimin e murit të zjarrit në një server që ekzekuton CentOS 8 (është e njëjta gjë në CentOS 7).
FirewallD– një mur zjarri për të mbrojtur serverin nga trafiku i padëshiruar me mbështetje për menaxhimin dinamik të rregullave (pa rinisje) dhe zbatimin e rregullave të përhershme të murit të zjarrit. Punon si frontend për dhe nftables. FirewallD mund të përdoret pothuajse në të gjitha shpërndarjet Linux.
Konceptet, zonat dhe rregullat bazë të murit të zjarrit
Përpara se të vazhdoni me instalimin dhe konfigurimin muri i zjarrit, do të njihemi me konceptin e zonave, të cilat përdoren për të përcaktuar nivelin e besimit për lidhje të ndryshme. Për zona të ndryshme muri i zjarrit mund të aplikoni rregulla të ndryshme filtrimi, të specifikoni opsionet aktive të murit të zjarrit në formën e shërbimeve të paracaktuara, protokolleve dhe porteve, përcjelljes së portit dhe rregullave të pasura.
Firewalld filtron trafikun në hyrje sipas zonave, në varësi të rregullave të zbatuara në zonë. Nëse IP- adresa e dërguesit të kërkesës përputhet me rregullat e një zone, atëherë paketa do të dërgohet përmes kësaj zone. Nëse adresa nuk përputhet me asnjë nga zonat e konfiguruara në server, paketa do të përpunohet nga zona e paracaktuar. Gjatë instalimit muri i zjarrit thirret zona e paracaktuar publike.
firewalld ka zona ku lejet për shërbime të ndryshme janë tashmë të para-konfiguruara. Ju mund t'i përdorni këto cilësime ose të krijoni zonat tuaja. Lista e zonave të paracaktuara që krijohen gjatë instalimit të murit të zjarrit (të ruajtura në drejtorinë /usr/lib/firewalld/zones/):
| rënie | niveli minimal i besimit. Të gjitha lidhjet hyrëse janë të bllokuara pa përgjigje, lejohen vetëm lidhjet dalëse; |
| bllokoj | zona është e ngjashme me atë të mëparshme, por kur kërkesat hyrëse refuzohen, dërgohet një mesazh icmp-host-i ndaluar për Ipv4 ose icmp6-adm-i ndaluar për Ipv6; |
| publike | përfaqëson rrjete publike, të pabesueshme. Ju mund të lejoni lidhjet e zgjedhura hyrëse në baza individuale; |
| e jashtme | rrjetet e jashtme kur përdorni një mur zjarri si një portë. Është konfiguruar për të maskuar NAT në mënyrë që rrjeti juaj i brendshëm të mbetet privat, por i aksesueshëm; |
| e brendshme | antonim për zonën e jashtme. Pritësi ka një nivel të mjaftueshëm besimi, një numër shërbimesh shtesë janë në dispozicion; |
| dmz | përdoret për kompjuterët e vendosur në DMZ (kompjuterë të izoluar pa akses në pjesën tjetër të rrjetit). Lejohen vetëm disa lidhje hyrëse; |
| puna | zona për makineritë e punës (shumica e kompjuterëve në rrjet janë të besuar); |
| në shtëpi | zona e rrjetit të shtëpisë. Shumica e PC-ve mund të besohen, por vetëm disa lidhje hyrëse mbështeten; |
| i besuar | besoni të gjitha makinat në rrjet. Më e hapura nga të gjitha opsionet e disponueshme, kërkon përdorim të ndërgjegjshëm. |
NË muri i zjarrit përdoren dy grupe rregullash - të përhershme dhe të përkohshme. Rregullat e përkohshme funksionojnë derisa serveri të riniset. Si parazgjedhje, kur shtoni rregulla në muri i zjarrit, rregullat konsiderohen të përkohshme ( koha e ekzekutimit). Për të shtuar një rregull në baza të përhershme, duhet të përdorni flamurin - e përhershme. Rregulla të tilla do të zbatohen pasi serveri të riniset.
Instalimi dhe aktivizimi i murit të zjarrit në CentOS
Në CentOS 7/8, muri i zjarrit është instaluar si parazgjedhje me sistemin operativ. Nëse e keni hequr atë dhe dëshironi të instaloni murin e zjarrit, mund të përdorni menaxherin standard /dnf:
# yum instaloni murin e zjarrit -y - për Centos 7
# dnf instaloni murin e zjarrit -y - për Centos 8
Te demoni muri i zjarrit filloi automatikisht me fillimin e serverit, ju duhet ta shtoni atë në:
# systemctl aktivizoni murin e zjarrit
Dhe vraponi:
# systemctl nis murin e zjarrit
Kontrolloni statusin e shërbimit:
# firewalld i statusit systemctl
● firewalld.service - firewalld - djaloshi dinamik i murit të zjarrit Ngarkuar: i ngarkuar (/usr/lib/systemd/system/firewalld.service; aktivizuar; paracaktuar nga shitësi: aktivizuar) Aktiv: aktiv (në ekzekutim) që nga e Hëna 14-10-2019 14:54 :40 +06; Para 22 s Tetor 14 14:54:40 server.vpn.ru systemd: Fillimi i murit të zjarrit - daemon dinamik i murit të zjarrit... 14 tetor 14:54:40 server.vpn.ru systemd: Filloi muri i zjarrit - daemon dinamik i murit të zjarrit.
Ose komandoni:
# firewall-cmd --state
Komanda firewall-cmd është frontend i murit të zjarrit për nftables/iptables.
# firewall-cmd --state
Puna me rregullat e murit të zjarrit
Rregullat e parazgjedhura:
Përpara se të konfiguroni rregullat e murit të zjarrit, duhet të kontrolloni se cila zonë është e paracaktuar:
# firewall-cmd --get-default-zone
Meqenëse sapo kemi instaluar murin e zjarrit dhe nuk e kemi konfiguruar ende, ne kemi një zonë të paracaktuar publike.
Le të kontrollojmë zonën aktive. Është gjithashtu një - publik:
# firewall-cmd --get-active-zones
Ndërfaqet publike: eth0
Siç mund ta shihni, ndërfaqja e rrjetit eth0 kontrollohet nga zona publike.
Për të parë rregullat e zonës aktive, shkruani:
# firewall-cmd --list-të gjitha
Objektivi publik (aktiv): icmp-block-inversioni i paracaktuar: pa ndërfaqe: burimet eth0: shërbimet: dhcpv6-klient portet ssh: protokollet: maskaradë: pa porta përpara: portet burimore: icmp-blloqe: rregullat e pasura:
Nga lista, mund të shihni se operacionet e zakonshme që lidhen me klientin DHCP dhe ssh janë shtuar në këtë zonë.
Zonat e disponueshme
Për të parë një listë të të gjitha zonave, duhet të ekzekutoni komandën:
# firewall-cmd --get-zones
Kam marrë këtë listë:
Blloko dmz lësho jashtë shtëpisë punë të brendshme të besueshme publike
Për të kontrolluar rregullat e një zone specifike, duhet të shtoni zonën e flamurit.
# firewall-cmd --zone=home --list-all
Objektivi kryesor: icmp-block-inversioni i parazgjedhur: pa ndërfaqe: burimet: shërbimet: dhcpv6-klient mdns samba-klient portet ssh: protokollet: maskaradë: pa porta përpara: portet burimore: icmp-blloqe: rregullat e pasura:
Rregullat e të gjitha zonave mund të shihen me komandën:
# firewall-cmd --list-all-zones
Lista do të jetë mjaft e madhe, pasi mund të ketë shumë zona.
Ndryshoni zonën e paracaktuar.
Si parazgjedhje, të gjitha ndërfaqet e rrjetit ndodhen në zonë publike, por ato mund të transferohen në cilëndo nga zonat me komandën:
# firewall-cmd --zone=home -change-interface=eth0
Pas parametrit --zone= specifikoni zonën e dëshiruar.
Për të ndryshuar zonën e paracaktuar, duhet të përdorni komandën:
# firewall-cmd --set-default-zone=home
Shtoni rregullat e aplikimit
Për të hapur një port për një aplikacion, mund të shtoni një shërbim te përjashtimet. Lista e shërbimeve të disponueshme:
Prodhimi do të përmbajë një numër të madh shërbimesh. Informacione të hollësishme në lidhje me shërbimin përmbahen në të xml dosje. Këta skedarë janë të vendosur në drejtori /usr/lib/firewalld/services.
Për shembull:
# cd /usr/lib/firewalld/services
Skedari XML përmban përshkrimin e shërbimit, protokollin dhe numrin e portit që do të hapet në murin e zjarrit.
Kur shtoni rregulla, mund të përdorni parametrin --Shto-shërbim për të vënë në dispozicion një shërbim specifik:
# firewall-cmd --zone=public --add-service=http
# firewall-cmd --zone=public --add-service=https
Pas shtimit të rregullave, mund të kontrolloni nëse shërbimet janë shtuar në zonën e specifikuar:
# firewall-cmd --zone=public --list-services
dhcpv6-klient http https ssh
Nëse dëshironi t'i bëni këto rregulla të përhershme, duhet të shtoni parametrin kur shtoni - i përhershëm.
Për të hequr një shërbim nga një zonë:
# firewall-cmd --permanent --zone=public --remove-service=http
Testi dhcpv6-klient https ssh
Nëse dëshironi të shtoni shërbimin tuaj në përjashtime, mund të krijoni një skedar xml veten dhe plotësojeni. Mund të kopjoni të dhëna nga çdo shërbim, të ndryshoni emrin, përshkrimin dhe numrin e portit.
Le të kopjojmë skedarin smtp.xml në drejtorinë për të punuar me shërbimet e përdoruesve:
# cp /usr/lib/firewalld/services/smtp.xml /etc/firewalld/services
Ndryshoni përshkrimin e shërbimit në skedar.
Vetë skedari xml gjithashtu duhet të riemërohet sipas emrit të shërbimit tuaj. Pas kësaj, duhet të rindizni murin e zjarrit dhe të kontrolloni nëse shërbimi ynë është në listë:
Telefonova shërbimin provë dhe u shfaq në listë:
syslog-tls testi telnet tftp
Tani mund të shtoni shërbimin e krijuar në çdo zonë:
# firewall-cmd --zone=public --add-service=test --permanent
# firewall-cmd --zone=public --permanent --list-services
dhcpv6-klienti http https ssh test
Nëse nuk e gjetët shërbimin që ju nevojitet në listë, mund të hapni portin e dëshiruar në murin e zjarrit me komandën:
# firewall-cmd --zone=public -add-port=77/tcp - porta e hapur 77 tcp
# firewall-cmd --zone=public -add-port=77/udp - porta e hapur 77 udp
# firewall-cmd --zone=public -add-port=77-88/udp - intervali i portës së hapur 77-88 udp
# firewall-cmd --zone=public -list-ports - lista e kontrollit të porteve të lejuara
Blloko/lejo përgjigjet ICMP:
# firewall-cmd --zone=public --add-icmp-block=echo-reply
# firewall-cmd --zone= publike --remove-icmp-block=echo-reply
Fshi portin e shtuar:
# firewall-cmd --zone=public -remove-port=77/udp - hiq rregullin e përkohshëm 77 udp
# firewall-cmd --permanent --zone=public -remove-port=77/udp - hiq rregullin e perhershem
Shtimi i zonave me porosi
Ju mund të krijoni zonën tuaj (Unë do ta quaja atë tonë):
# firewall-cmd --permanent --new-zone=yonë
Pas krijimit të një zone të re, si dhe pas krijimit të një shërbimi, nevojitet një rindezje muri i zjarrit:
# firewall-cmd --ringarkoni
# firewall-cmd --get-zones
Blloko dmz lësho shtëpinë e jashtme të brendshme punën tonë të besuar nga publiku
Zona tonë në dispozicion. Mund të shtoni shërbime në të ose të hapni porte specifike.
Firewalld: bllokimi i adresave IP, krijimi i përjashtimeve
Ju mund të shtoni adresa IP të besueshme në përjashtimet e murit të zjarrit ose të bllokoni ato të padëshiruara.
Për të shtuar një adresë IP specifike (për shembull 8.8.8.8) në serverin tuaj nëpërmjet muri i zjarrit, përdorni komandën:
# firewall-cmd --zone=public --add-rich-rule="rule family="ipv4" adresa e burimit="8.8.8.8" prano"
Kontrolloni zonën dhe sigurohuni IP shtuar në përjashtimet në rregullat e pasura:
Objektivi publik (aktiv): icmp-block-inversioni i parazgjedhur: pa ndërfaqe: burimet eth0: shërbimet: dhcpv6-klient http https portet e testimit ssh: protokollet: maskaradë: pa porta përpara: portet burimore: icmp-blloqe: rregullat e pasura: rregulli familja = "ipv4" adresa e burimit = "8.8.8.8" prano
Të bllokosh IP, duhet të zëvendësohet pranoj në refuzoj:
# firewall-cmd --zone=public --add-rich-rule="rule family="ipv4" adresa e burimit="8.8.4.4" refuzo"
# firewall-cmd --zone=public --list-all
Objektivi publik (aktiv): icmp-block-inversioni i parazgjedhur: pa ndërfaqe: burimet eth0: shërbimet: dhcpv6-klient http https portet e testimit ssh: protokollet: maskaradë: pa porta përpara: portet burimore: icmp-blloqe: rregullat e pasura: rregull familja="ipv4" adresa e burimit="8.8.8.8" prano rregullin e familjes="ipv4" adresa e burimit="8.8.4.4" refuzo
Ju mund të lejoni një shërbim specifik vetëm për kërkesat nga një adresë IP specifike:
#firewall-cmd --permanent --add-rich-rule "rule family="ipv4" source address="10.10.1.0/24" service name="https"prano"
Nëse ju duhet urgjentisht të bllokoni të gjitha kërkesat për serverin në përgjithësi, përdorni komandën e panikut:
# firewall-cmd --panik-ndizur
Mund të çaktivizoni modalitetin e panikut ose me komandën:
# firewall-cmd --panik-off
Ose duke rifilluar serverin.
Ju mund të kyçni konfigurimin e murit të zjarrit për të parandaluar që shërbimet lokale rrënjësore të modifikojnë rregullat e murit të zjarrit që keni krijuar:
# firewall-cmd --lockdown-on
Çaktivizo modalitetin e kyçjes:
# firewall-cmd --lockdown-off
Përcjellja e portit në murin e zjarrit
Ju mund të krijoni një rregull të përcjelljes së portit në murin e zjarrit. Për të përcjellë portin 443 në 9090:
# firewall-cmd --zone=public --add-forward-port=port=443:proto=tcp:toport=9090 --i përhershëm
Për të hequr një rregull të përcjelljes së portit:
# firewall-cmd --zone=public --remove-forward-port=port=443:proto=tcp:toport=9090
FirewallD është një mjet i menaxhimit të murit të zjarrit i disponueshëm si parazgjedhje në serverët CentOS 7. Ai është në thelb një mbështjellës rreth IPTables dhe vjen me një mjet konfigurimi grafik të konfigurimit të murit të zjarrit dhe një mjet të linjës së komandës firewall-cmd. Me shërbimin IPtables, çdo ndryshim kërkon fshirjen e rregullave të vjetra dhe krijimin e rregullave të reja në skedarin ` /etc/sysconfig/iptables`, ndërsa me firewalld vlejnë vetëm dallimet.
Zonat e mureve të zjarrit
FirewallD përdor shërbime dhe zona në vend të rregullave dhe zinxhirëve në Iptables. Zonat e mëposhtme janë të disponueshme si parazgjedhje:
- rënie– Hiqni të gjitha paketat hyrëse të rrjetit pa përgjigje, disponohen vetëm lidhjet dalëse të rrjetit.
- bllokoj– Refuzoni të gjitha paketat hyrëse të rrjetit me një mesazh të ndaluar nga icmp-host, disponohen vetëm lidhjet dalëse të rrjetit.
- publike– pranohen vetëm lidhjet e zgjedhura hyrëse, për përdorim në zona publike
- e jashtme– Për rrjetet e jashtme me maskaradë, pranohen vetëm lidhjet hyrëse të zgjedhura.
- dmz– DMZ, e aksesueshme publikisht me akses të kufizuar në rrjetin e brendshëm, pranohen vetëm lidhjet e zgjedhura hyrëse.
- puna
- në shtëpi– Për kompjuterët në zonën kryesore, pranohen vetëm lidhjet e zgjedhura hyrëse.
- e brendshme– Për kompjuterët në rrjetin tuaj të brendshëm, pranohen vetëm lidhjet e zgjedhura hyrëse.
- i besuar– Të gjitha lidhjet e rrjetit pranohen.
Për të marrë një listë të të gjitha zonave të disponueshme:
# firewall-cmd --get-zones work drop blloqe publike të brendshme të jashtme të besueshme të shtëpisë dmz
Për të parë një listë të zonave të paracaktuara:
# firewall-cmd --get-default-zone publike
Për të ndryshuar zonën e paracaktuar:
Shërbimet e mureve të zjarrit
Shërbimet FirewallD janë skedarë të konfigurimit XML, me informacion në lidhje me hyrjen e shërbimit për murin e zjarrit. Për të marrë një listë të të gjitha shërbimeve të disponueshme:
# firewall-cmd --merr-shërbime amanda-klient amanda-k5-klient bacula bacula-klient ceph ceph-mon dhcp dhcpv6 dhcpv6-klient dns docker-regjistri dropbox-lansync freeipa-ldap freeipa-ldaps freeipa-përsëritje e lartë HTTP HTTPS IMAP IPP IPP IPP-CLIES IPSEC ISCSI-TART KADMIN KERBEROS KASSWD LDAP LDPS MOUNTD MS-WBT MYSQL NFS NTP Openvpn PMCD PMWEBAPI PMWebapis POP3 POP3S PMWEBAPIS POP3 POPP3 klient i arsyeshëm smtp smtps snmp snmptrap kallamar ssh sinergji syslog syslog-tls telnet tftp tftp-klient tinc tor-çorape transmetim-klient vdsm vnc-server wbem-https xmpp-bosh xmpp-klient xmpp-server
Skedarët e konfigurimit XML ruhen në drejtori /usr/lib/firewalld/services/ Dhe /etc/firewalld/services/.
Vendosja e një muri zjarri me FirewallD
Si shembull, ja se si mund të konfiguroni një mur zjarri me FirewallD nëse përdorni një server në internet, SSH në portin 7022 dhe një server poste.
Së pari do të vendosim zonën e paracaktuar për DMZ.
# firewall-cmd --set-default-zone=dmz # firewall-cmd --get-default-zone dmz
Për të shtuar rregullat e vazhdueshme të shërbimit për HTTP dhe HTTPS në DMZ, ekzekutoni komandën e mëposhtme:
# firewall-cmd --zone=dmz --add-service=http --permanent # firewall-cmd --zone=dmz --add-service=https --permanent
Hap portin 25 (SMTP) dhe portin 465 (SMTPS):
firewall-cmd --zone=dmz --add-service=smtp --firewall i përhershëm-cmd --zone=dmz --add-service=smtps --permanent
Portet e hapura, IMAP, IMAPS, POP3 dhe POP3S:
Firewall-cmd --zone=dmz --add-service=imap --firewall i përhershëm-cmd --zone=dmz --add-service=imaps --firewall i përhershëm-cmd --zone=dmz --add-service= pop3 --firewall i përhershëm-cmd --zone=dmz --add-service=pop3s --permanent
Meqenëse porta SSH është ndryshuar në 7022, ne do të heqim shërbimin SSH (porta 22) dhe do të hapim portin 7022
firewall-cmd --remove-service=ssh --firewall i përhershëm-cmd --add-port=7022/tcp --permanent
Për të zbatuar ndryshimet, duhet të rinisim murin e zjarrit:
Firewall-cmd --ringarkoni
Dhe së fundi, ju mund të rendisni rregullat.
Zonat
Daemon firewalld menaxhon grupe rregullash duke përdorur të ashtuquajturat zona.
Zonat janë në thelb grupe rregullash që rregullojnë trafikun bazuar në nivelin e besimit në një rrjet të caktuar. Zonat u caktohen ndërfaqeve të rrjetit dhe kontrollojnë sjelljen e murit të zjarrit.
Kompjuterët që lidhen shpesh me rrjete të ndryshme (si laptopët) mund të përdorin zona për të ndryshuar grupet e rregullave bazuar në mjedisin e tyre. Për shembull, kur lidheni me një rrjet publik WiFi, muri i zjarrit mund të zbatojë rregulla më të rrepta, duke lehtësuar kufizimet në një rrjet shtëpiak.
Zonat e mëposhtme ekzistojnë në murin e zjarrit:
- rënie: Niveli më i ulët i besimit në rrjet. I gjithë trafiku në hyrje hiqet pa përgjigje, mbështeten vetëm lidhjet dalëse.
- bllok: Kjo zonë është e ngjashme me atë të mëparshme, por kërkesat hyrëse hidhen me një mesazh icmp-host-prohibited ose icmp6-adm-prohibited.
- publike: Kjo zonë përfaqëson një rrjet publik që nuk mund t'i besohet, por pranon lidhjet hyrëse rast pas rasti.
- e jashtme: zona e rrjeteve të jashtme. Mbështet maskimin NAT, i cili e mban rrjetin e brendshëm të mbyllur, por ende të aksesueshëm.
- i brendshëm: ana e pasme e zonës së jashtme, rrjetet e brendshme. Kompjuterët në këtë zonë mund të besohen. Shërbimet shtesë janë në dispozicion.
- dmz: përdoret për kompjuterët e vendosur në DMZ (kompjuterë të izoluar që nuk do të kenë akses në pjesën tjetër të rrjetit); mbështet vetëm disa lidhje hyrëse.
- punë: zona e rrjetit të punës. Shumica e makinave në rrjet mund të besohen. Shërbimet shtesë janë në dispozicion.
- shtëpia: zona e rrjetit të shtëpisë. Mjedisi mund të besohet, por mbështeten vetëm lidhjet hyrëse të përcaktuara nga përdoruesi.
- besuar: Të gjitha makinat në rrjet mund të besohen.
Rregullat e ruajtjes
Rregullat e murit të zjarrit janë ose të përhershme ose të përkohshme. Nëse shfaqet ndonjë rregull ose ndryshon në grup, sjellja aktuale e murit të zjarrit ndryshon menjëherë. Megjithatë, pas një rindezjeje, të gjitha ndryshimet do të humbasin nëse nuk ruhen.
Shumica e komandave firewall-cmd mund të përdorin flamurin --permanent, i cili do të ruajë rregullin, pas së cilës ai do të përdoret përgjithmonë.
Aktivizimi i murit të zjarrit të murit të zjarrit
Së pari ju duhet të aktivizoni demonin. Skedari i njësisë systemd quhet firewalld.service. Për të nisur demonin, shkruani.
sudo systemctl start firewalld.service
Sigurohuni që shërbimi po funksionon:
firewall-cmd --state
vrapimi
Muri i zjarrit është tani dhe funksionon sipas konfigurimit të paracaktuar.
Shërbimi është aktivizuar aktualisht, por nuk do të fillojë automatikisht me serverin. Për të shmangur bllokimin aksidental të vetes në serverin tuaj, së pari krijoni një grup rregullash dhe më pas konfiguroni nisjen automatike.
Rregullat e parazgjedhura të murit të zjarrit
Shikoni rregullat e parazgjedhura
Për të zbuluar se cila zonë është e paracaktuar, shkruani:
firewall-cmd --get-default-zone
publike
Për momentin, firewalld nuk ka marrë asnjë udhëzim në lidhje me zonat e tjera, përveç kësaj, asnjë ndërfaqe nuk është e lidhur me zona të tjera, kështu që tani zona publike është zona e paracaktuar, si dhe zona e vetme aktive.
Për të marrë një listë të zonave aktive, futni:
publike
ndërfaqet: eth0 eth1
Ekzistojnë dy ndërfaqe rrjeti të lidhura në zonën publike: eth0 dhe eth1. Ndërfaqet e lidhura me një zonë funksionojnë sipas rregullave të asaj zone.
Për të parë se cilat rregulla përdor një zonë si parazgjedhje, shkruani:
firewall-cmd --list-të gjitha
publike (e parazgjedhur, aktive)
ndërfaqet: eth0 eth1
burimet:
shërbimet: dhcpv6-klient ssh
portet:
maskaradë: jo
portet përpara:
blloqet icmp:
rregullat e pasura:
Pra, tani ju e dini se:
- public është zona e paracaktuar dhe e vetmja zonë aktive.
- Ndërfaqet eth0 dhe eth1 janë të lidhura me të.
- Ai mbështet trafikun DHCP (caktimi i adresës IP) dhe SSH (administrimi në distancë).
Zona të tjera të murit të zjarrit
Tani duhet të njiheni me zona të tjera.
Për të marrë një listë të të gjitha zonave të disponueshme, shkruani:
firewall-cmd --get-zones
Për të marrë cilësimet për një zonë specifike, shtoni në komandë flamurin --zone=.
firewall-cmd --zone=home --list-të gjitha
në shtëpi
ndërfaqet:
burimet:
shërbimet: dhcpv6-klient ipp-klient mdns samba-klient ssh
portet:
maskaradë: jo
portet përpara:
blloqet icmp:
rregullat e pasura:
Për të renditur përkufizimet e të gjitha zonave të disponueshme, shtoni opsionin --list-all-zones. Për shikim më të përshtatshëm, dalja mund t'i kalohet pagerit:
firewall-cmd --list-të gjitha-zonat | më pak
Konfigurimi i zonave të ndërfaqes
Fillimisht, të gjitha ndërfaqet e rrjetit janë të lidhura me zonën e paracaktuar.
Ndryshimi i zonës së ndërfaqes për një seancë
Për të ndryshuar një ndërfaqe në një zonë tjetër për një sesion, përdorni opsionet --zone= dhe --change-interface=.
Për shembull, për të zhvendosur eth0 në zonën kryesore, duhet të shkruani:
sudo firewall-cmd --zone=home --change-interface=eth0
sukses
shënim: Kur transferoni një ndërfaqe në një zonë tjetër, kini parasysh se kjo mund të ndikojë në funksionimin e disa shërbimeve. Për shembull, zona kryesore mbështet SSH, kështu që lidhjet me këtë shërbim nuk do të hiqen. Por disa zona heqin të gjitha lidhjet, duke përfshirë SSH, dhe më pas ju mund të bllokoni aksidentalisht veten nga qasja në serverin tuaj.
Për të verifikuar që ndërfaqja është e lidhur me zonën e re, shkruani:
firewall-cmd --get-active-zones
në shtëpi
ndërfaqet: eth0
publike
ndërfaqet: eth1
Pas rinisjes së murit të zjarrit, ndërfaqja do të lidhet përsëri në zonën e paracaktuar.
sudo systemctl rinis firewalld.service
firewall-cmd --get-active-zones
publike
ndërfaqet: eth0 eth1
Ndryshimi i përhershëm i zonës së ndërfaqes
Nëse asnjë zonë tjetër nuk është specifikuar në cilësimet e ndërfaqes, pas rinisjes së murit të zjarrit, ndërfaqja do të lidhet përsëri në zonën e paracaktuar. Në CentOS, konfigurime të tilla ruhen në drejtorinë /etc/sysconfig/network-scripts, në skedarë të formatit ifcfg-interface.
Për të përcaktuar një zonë për një ndërfaqe, hapni skedarin e konfigurimit të ndërfaqes, për shembull:
Shtoni variablin ZONE= në fund të skedarit dhe specifikoni një zonë tjetër si vlerë, për shembull, home:
. . .
DNS1=2001:4860:4860::8844
DNS2=2001:4860:4860::8888
DNS3=8.8.8.8
ZONE=shtëpi
Ruani dhe mbyllni skedarin.
Për të përditësuar cilësimet, rinisni shërbimin e rrjetit dhe murin e zjarrit:
sudo systemctl rinis shërbimin e rrjetit
sudo systemctl rinis firewalld.service
Pas rinisjes, ndërfaqja eth0 do të lidhet me zonën kryesore.
firewall-cmd --get-active-zones
në shtëpi
ndërfaqet: eth0
publike
ndërfaqet: eth1
Cilësimi i zonës së parazgjedhur
Ju gjithashtu mund të zgjidhni një zonë tjetër të paracaktuar.
Kjo bëhet duke përdorur parametrin --set-default-zone=. Pas kësaj, të gjitha ndërfaqet do të lidhen në një zonë tjetër:
sudo firewall-cmd --set-default-zone=home
në shtëpi
ndërfaqet: eth0 eth1
Krijoni Rregullat e Aplikimit
Shtimi i një shërbimi në një zonë
Mënyra më e lehtë është të shtoni shërbimin ose portin në zonën që përdor muri i zjarrit. Shikoni shërbimet e disponueshme:
firewall-cmd --get-services
RH-Satellite-6 amanda-klient bacula bacula-klient dhcp dhcpv6 dhcpv6-klient dns ftp disponueshmëri e lartë http https imaps ipp ipp-klient ipsec kerberos kpasswd ldap ldaps libvirt libvirt mountnppmsd postgresql proxy-dhcp rreze rpc-lidh samba samba-klient smtp ssh telnet tftp tftp-transmetim i klientit-klient vnc-server wbem-https
shënim: Më shumë informacion për çdo shërbim specifik mund të gjenden në skedarët .xml në drejtorinë /usr/lib/firewalld/services. Për shembull, informacioni rreth shërbimit SSH ruhet në /usr/lib/firewalld/services/ssh.xml dhe duket si ky:
Për të aktivizuar mbështetjen për një shërbim në një zonë të caktuar, përdorni opsionin --add-service=. Ju mund të specifikoni zonën e synuar me opsionin --zone=. Si parazgjedhje, këto ndryshime do të funksionojnë për një seancë. Për të ruajtur ndryshimet dhe për t'i përdorur ato përgjithmonë, shtoni flamurin --permanent.
Për shembull, për të nisur një server në internet për të shërbyer trafikun HTTP, së pari duhet të aktivizoni mbështetjen për këtë trafik në zonën publike për një seancë:
sudo firewall-cmd --zone=public --add-service=http
Nëse shërbimi duhet të shtohet në zonën e paracaktuar, flamuri --zone= mund të hiqet.
Verifikoni që operacioni ishte i suksesshëm:
firewall-cmd --zone=public --list-services
klienti dhcpv6 http ssh
Testoni funksionimin e shërbimit dhe murit të zjarrit. Nëse gjithçka funksionon si duhet, mund të ndryshoni grupin e rregullave të përhershme dhe t'i shtoni një rregull për të mbështetur këtë shërbim.
sudo firewall-cmd --zone=public --permanent --add-service=http
Për të parë një listë të rregullave të përhershme, shkruani:
sudo firewall-cmd --zone=public --permanent --list-services
klienti dhcpv6 http ssh
Zona publike tani mbështet HTTP dhe portin 80 përgjithmonë. Nëse serveri në internet mund të shërbejë trafikun SSL/TLS, mund të shtoni gjithashtu shërbimin https (për një seancë të vetme ose në një grup rregullash të përhershme):
sudo firewall-cmd --zone=public --add-service=https
sudo firewall-cmd --zone=public --permanent --add-service=https
Çfarë duhet të bëni nëse shërbimi i dëshiruar nuk është i disponueshëm?
Firewall-i i zjarrit përfshin shumë nga shërbimet më të zakonshme si parazgjedhje. Megjithatë, disa aplikacione kërkojnë shërbime që nuk mbështeten nga muri i zjarrit. Në këtë rast, ju mund ta bëni atë në dy mënyra.
Metoda 1: Vendosja e portit
Mënyra më e lehtë në këtë situatë është hapja e portës së aplikacionit në zonën e kërkuar të murit të zjarrit. Thjesht duhet të specifikoni portin ose gamën e porteve dhe protokollin.
Për shembull, një aplikacion që përdor portin 5000 dhe TCP duhet të shtohet në zonën publike. Për të aktivizuar mbështetjen e aplikacionit për sesion, përdorni parametrin --add-port= dhe specifikoni protokollin tcp ose udp.
sudo firewall-cmd --zone=public --add-port=5000/tcp
Verifikoni që operacioni ishte i suksesshëm:
firewall-cmd --list-portet
5000/tcp
Ju gjithashtu mund të specifikoni një gamë serike portash duke ndarë portin e parë dhe të fundit të diapazonit me një vizë. Për shembull, nëse aplikacioni përdor portat UDP 4990-4999, për t'i shtuar ato në zonën publike, do të shkruani:
sudo firewall-cmd --zone=public --add-port=4990-4999/udp
Pas testimit, mund t'i shtoni këto rregulla në cilësimet e përhershme të murit të zjarrit.
sudo firewall-cmd --zone=public --permanent --add-port=5000/tcp
sudo firewall-cmd --zone=public --permanent --add-port=4990-4999/udp
sudo firewall-cmd --zone=public --permanent --list-ports
sukses
sukses
4990-4999/udp 5000/tcp
Metoda 2: Përkufizimi i shërbimit
Shtimi i porteve në zona është i lehtë, por nëse keni shumë nga këto aplikacione, mund të jetë e vështirë të mbani gjurmët se për çfarë shërben secili port. Për të shmangur këtë situatë, mund të përcaktoni shërbime në vend të porteve.
Shërbimet janë thjesht koleksione portash me një emër dhe përshkrim specifik. Shërbimet janë më të lehta për të menaxhuar cilësimet, por ato janë më komplekse se vetë portet.
Hapi i parë është të kopjoni skriptin ekzistues nga drejtoria /usr/lib/firewalld/services në drejtorinë /etc/firewalld/services (këtu muri i zjarrit kërkon cilësimet e personalizuara).
Për shembull, mund të kopjoni përkufizimin e shërbimit SSH dhe ta përdorni për të përcaktuar shembullin e shërbimit të kushtëzuar. Emri i skriptit duhet të përputhet me emrin e shërbimit dhe të ketë një shtesë .xml.
sudo cp /usr/lib/firewalld/services/service.xml /etc/firewalld/services/example.xml
Redaktoni skedarin e kopjuar.
sudo nano /etc/firewalld/services/shembull.xml
Skedari përmban përkufizimin SSH:
Një pjesë e madhe e përkufizimit të një shërbimi janë meta të dhënat. Ju mund të ndryshoni emrin e shkurtër të shërbimit në etiketa
Le të kthehemi te shembulli i shërbimit; le të themi se kërkon që të hapet porta TCP 7777 dhe porta UDP 8888. Përkufizimi do të duket si ky:
Ruani dhe mbyllni skedarin.
Rinisni murin e zjarrit:
sudo firewall-cmd --ringarkoj
Shërbimi tani do të shfaqet në listën e shërbimeve të disponueshme:
firewall-cmd --get-services
RH-Satellite-6 amanda-klient bacula bacula-klient dhcp dhcpv6 dhcpv6-klient dns shembull ftp me disponueshmëri të lartë http https imaps ipp ipp-klient ipsec kerberos kpasswd ldap ldaps libdvirt-pmspntdt hapur pmwebapi pmwebapis pop3s postgresql proxy-dhcp rreze rpc-lidh samba samba-klient smtp ssh telnet tftp tftp-transmetim i klientit-klient vnc-server wbem-https
Krijimi i zonave
Firewall ofron shumë zona të paracaktuara, të cilat në shumicën e rasteve janë të mjaftueshme për të punuar. Por në disa situata, bëhet e nevojshme të krijohet një zonë me porosi.
Për shembull, mund të krijoni një zonë ueb publike për një server në internet dhe një zonë privateDNS për një shërbim DNS.
Kur krijoni një zonë, duhet ta shtoni atë në cilësimet e përhershme të murit të zjarrit.
Provoni të krijoni zonat e internetit publike dhe private DNS:
sudo firewall-cmd --permanent --new-zone=publicweb
sudo firewall-cmd --permanent --new-zone=privateDNS
Verifikoni që zonat ekzistojnë:
sudo firewall-cmd --permanent --get-zones
Në sesionin aktual, zonat e reja nuk do të jenë të disponueshme:
firewall-cmd --get-zones
bllok dmz rënie e jashtme në shtëpi punë e brendshme e besueshme publike
Për të hyrë në zonat e reja, duhet të rinisni murin e zjarrit:
sudo firewall-cmd --ringarkoj
firewall-cmd --get-zones
blloko dmz lësho shtëpinë e jashtme të brendshme privateDNS publike në ueb publike punë e besuar
Tani mund të caktoni shërbimet dhe portat e kërkuara në zonat e reja. Për shembull, mund të shtoni SSH, HTTP dhe HTTPS në zonën e uebit publik.
sudo firewall-cmd --zone=publicweb --add-service=ssh
sudo firewall-cmd --zone=publicweb --add-service=http
sudo firewall-cmd --zone=publicweb --add-service=https
firewall-cmd --zone=publicweb --list-all
ueb publik
ndërfaqet:
burimet:
shërbimet: http https ssh
portet:
maskaradë: jo
portet përpara:
blloqet icmp:
rregullat e pasura:
Ju mund të shtoni DNS në zonën privateDNS:
sudo firewall-cmd --zone=privateDNS --add-service=dns
firewall-cmd --zone=privateDNS --list-all
privateDNS
ndërfaqet:
burimet:
shërbimet: dns
portet:
maskaradë: jo
portet përpara:
blloqet icmp:
rregullat e pasura:
Më pas mund të lidhni ndërfaqet e rrjetit me zonat e reja:
sudo firewall-cmd --zone=publicweb --change-interface=eth0
sudo firewall-cmd --zone=privateDNS --change-interface=eth1
Tani mund të provoni konfigurimin. Nëse gjithçka funksionon si duhet, mund t'i shtoni këto rregulla në cilësimet e përhershme.
sudo firewall-cmd --zone=publicweb --permanent --add-service=ssh
sudo firewall-cmd --zone=publicweb --permanent --add-service=http
sudo firewall-cmd --zone=publicweb --permanent --add-service=https
sudo firewall-cmd --zone=privateDNS --permanent --add-service=dns
Më pas mund të konfiguroni ndërfaqet e rrjetit për t'u lidhur automatikisht me zonën e duhur.
Për shembull, eth0 do të lidhet me ueb-in publik:
sudo nano /etc/sysconfig/network-scripts/ifcfg-eth0
. . .
IPV6_AUTOCONF=nr
DNS1=2001:4860:4860::8844
DNS2=2001:4860:4860::8888
DNS3=8.8.8.8
ZONE=ueb publik
Dhe ndërfaqja eth1 do të lidhet me privateDNS:
sudo nano /etc/sysconfig/network-scripts/ifcfg-eth1
. . .
NETMASK=255.255.0.0
DEFROUTE = "jo"
NM_CONTROLLED="po"
ZONE=DNS private
Rinisni shërbimet e rrjetit dhe murin e zjarrit:
sudo systemctl rinisni rrjetin
sudo systemctl rinisni murin e zjarrit
Kontrolloni zonat:
firewall-cmd --get-active-zones
privateDNS
ndërfaqet: eth1
ueb publik
ndërfaqet: eth0
Verifikoni që shërbimet e kërkuara po funksionojnë në zonat:
firewall-cmd --zone=publicweb --list-services
http http ssh
firewall-cmd --zone=privateDNS --list-services
dns
Zonat e përdoruesve janë plotësisht funksionale. Ju mund ta bëni cilindo prej tyre zonën e paracaktuar. Për shembull:
sudo firewall-cmd --set-default-zone=publicweb
Fillimi automatik i murit të zjarrit
Tani që i keni kontrolluar të gjitha cilësimet dhe jeni siguruar që të gjitha rregullat po funksionojnë siç pritej, mund ta vendosni murin e zjarrit në fillimin automatik.
Për ta bërë këtë, futni:
sudo systemctl aktivizoni murin e zjarrit
Firewall tani do të fillojë me serverin.
konkluzioni
Firewall i firewalld është një mjet shumë fleksibël. Zonat ju lejojnë të ndryshoni shpejt politikën e murit të zjarrit.
Tani e dini se si funksionon muri i zjarrit, jeni njohur me konceptet bazë të një muri zjarri, mund të krijoni zona të personalizuara dhe të shtoni shërbime.
Etiketa: ,Sot do t'ju prezantoj me vizionin tim për konfigurimin fillestar të një serveri universal në një OS të njohur. Unë do të flas se si të bëni një konfigurim bazë të serverit centos menjëherë pas instalimit për ta përdorur atë në çdo kapacitet që ju zgjidhni. Këto këshilla praktike rrisin sigurinë dhe komoditetin e punës me serverin. Artikulli do të jetë i rëndësishëm për dy botimet e fundit të Centos - 7 dhe 8.
- Listoni cilësimet fillestare të centos që bëj në një server të sapo instaluar.
- Trego shembuj të konfigurimeve që përdor në një konfigurim tipik.
- Jepni këshilla për vendosjen e centos bazuar në përvojën tuaj me sistemin.
- Jepni një listë të programeve dhe shërbimeve tipike që ndihmojnë në administrimin e serverit.
Ky artikull është pjesë e një serie të vetme artikujsh rreth serverit.
Prezantimi
Pas publikimit të lëshimit të ri të Centos 8, u bë e vështirë të përshkruash konfigurimin fillestar të të dy serverëve në një artikull të vetëm, por nuk doja ta veçoja artikullin, pasi ka shumë lidhje hyrëse për të nga vende të ndryshme. Është më i përshtatshëm për të ruajtur materialin e përbashkët për të dy lëshimet, gjë që do ta bëj. Në të njëjtën kohë, ndryshimet midis dy versioneve do të jenë qartë të dukshme, të cilat për disa vjet pas lëshimit të centos 8 do të jenë të rëndësishme dhe do të duhet të përdorni të dy versionet, në varësi të situatës.
Centos 7 përdor një menaxher paketash yum, dhe në Centos 8 - dnf. Në të njëjtën kohë, ata lanë një lidhje simbolike nga yum në dnf, kështu që ju mund të shkruani edhe emrin e parë dhe të dytin. Për konsistencë, unë do të përdor yum kudo, por ju paralajmëroj, vetëm që të kuptoni pse e bëj në këtë mënyrë. Në fakt, CentOS 8 përdor dnf, i cili është një menaxher i ndryshëm, më modern i paketave që ju lejon të punoni me versione të ndryshme të të njëjtit softuer. Për këtë, përdoren depo të veçanta, të cilat u shfaqën për centos 8.
Konfigurimi fillestar i CentOS
Personalisht, unë nis çdo konfigurim të sistemit, qoftë ai centos apo një tjetër, pas instalimit duke përditësuar plotësisht sistemin. Nëse imazhi i instalimit ishte i freskët, ose instalimi është kryer përmes rrjetit, atëherë ka shumë të ngjarë që nuk do të ketë përditësime. Më shpesh janë, pasi imazhet e instalimit nuk përditësohen gjithmonë rregullisht.
Ne përditësojmë sistemin
# përditësim
Për lehtësinë e administrimit, unë gjithmonë instaloj Midnight Commander, ose thjesht mc:
# yum install mc
Dhe menjëherë për të unë aktivizoj theksimin sintaksor të të gjithë skedarëve që nuk tregohen në mënyrë eksplicite në skedar /usr/share/mc/sintaksë/Sintaksë sintaksë për skriptet sh dhe bash. Kjo sintaksë e përgjithshme është e përshtatshme për skedarët e konfigurimit që përdoren më shpesh në server. Mbishkrimi i skedarit i panjohur.sintaksë. Ky është modeli që do të aplikohet në skedarët .conf dhe .cf, pasi atyre nuk u është bashkangjitur në mënyrë eksplicite asnjë sintaksë.
# cp /usr/share/mc/syntax/sh.syntax /usr/share/mc/syntax/unknown.syntax
Më pas, do të na duhen shërbimet e rrjetit. Në varësi të grupit të paketave fillestare që zgjidhni gjatë instalimit të sistemit, do të keni një ose një grup tjetër shërbimesh të rrjetit. Këtu është një listë e atyre me të cilat jam mësuar personalisht - ifconfig, netstat, nslookup dhe disa të tjera. Nëse keni nevojë për to, ashtu si unë, atëherë ju sugjeroj t'i instaloni veçmas, nëse nuk janë instaluar tashmë. Nëse nuk ju nevojiten vërtet dhe nuk i përdorni, mund të anashkaloni instalimin e tyre. Le të kontrollojmë se çfarë kemi në sistem për momentin
#ifconfig
Nëse e shihni përgjigjen:
Bash: ifconfig: komanda nuk u gjet
Do të thotë që programi nuk është i instaluar. Në vend të ifconfig në CentOS tani është një mjet i dobishëm ip. Kjo vlen jo vetëm për centos. Kjo është fotografia në pothuajse të gjitha shpërndarjet moderne të njohura Linux. Unë jam mësuar me ifconfig për një kohë të gjatë, megjithëse nuk e kam përdorur shumë kohët e fundit. Gjithmonë më ka pëlqyer që në shpërndarje të ndryshme Linux gjithçka është pothuajse e njëjtë. Duke përdorur ifconfig, mund të konfiguroni rrjetin jo vetëm në linux, por edhe në freebsd. Është komode. Dhe kur çdo çantë e shpërndarjes ka mjetin e vet, kjo nuk është e përshtatshme. Edhe pse tani kjo nuk është më shumë e rëndësishme, pasi unë nuk punoj më me Freebsd, dhe mjeti ip është në të gjitha shpërndarjet linux. Sidoqoftë, nëse keni nevojë për ifconfig, mund ta instaloni paketën rrjeta-mjete që përfshin:
# yum instaloni net-tools
Në mënyrë që komandat nslookup të funksionojnë për ne ose, për shembull, host, ju duhet të instaloni paketën lidh-utils. Nëse kjo nuk është bërë, atëherë komanda:
# nslookup
Do të ketë një dalje:
Bash: nslookup: komanda nuk u gjet
Pra, instaloni bind-utils:
# yum install bind-utils
Çaktivizo SELinux
Çaktivizo SELinux. Përdorimi dhe konfigurimi i tij është një bisedë më vete. Tani nuk do ta bëj. Pra, le ta fikim:
# mcedit /etc/sysconfig/selinux
ndryshoni vlerën
SELINUX=i çaktivizuar
Mund të rindizni që ndryshimet të hyjnë në fuqi:
# rindezje
Dhe nëse doni të aplikoni çaktivizimin e SELinux pa rindezje, atëherë ekzekutoni komandën:
# setenforce 0Kam shumë kritika për çaktivizimin e SELinux gjatë gjithë kohës. E di si funksionon, di si ta konfiguroj. Nuk është me të vërtetë shumë e vështirë dhe jo e vështirë për t'u zotëruar. Kjo është zgjedhja ime e vetëdijshme, megjithëse ndonjëherë e shkul atë. Formati im i punës me sistemin është i tillë që më shpesh nuk kam nevojë për SELinux, kështu që nuk humbas kohë për të dhe e çaktivizoj atë në konfigurimin bazë të centos. Siguria e sistemit është punë komplekse, veçanërisht në botën moderne të zhvillimit të uebit, ku mikroshërbimet dhe kontejnerët sundojnë topin. SELinux është një mjet i veçantë që nuk nevojitet gjithmonë dhe kudo. Prandaj, nuk ka vend në këtë artikull. Kushdo që ka nevojë për të, do të aktivizojë veçmas SELinux dhe do ta konfigurojë atë.
Specifikoni parametrat e rrjetit
Ne vazhdojmë konfigurimin bazë të centos pas instalimit. Tani le ta bëjmë nëse për ndonjë arsye nuk e kemi bërë gjatë instalimit, ose nëse keni nevojë t'i ndryshoni ato. Në përgjithësi, rrjeti në Centos është konfiguruar duke përdorur menaxher i rrjetit dhe dobia e saj e konsolës nmtui. Ajo vjen me konfigurimin bazë të sistemit. Ekziston një ndërfaqe grafike e thjeshtë dhe intuitive, kështu që nuk ka asgjë për të treguar. Unë jam mësuar më shumë për të konfiguruar rrjetin përmes skedarëve të konfigurimit të skripteve të rrjetit. Në versionin e 7-të të centos, ato janë jashtë kutisë, në versionin e 8-të janë hequr. Për t'i përdorur ato për të konfiguruar rrjetin, duhet të instaloni veçmas paketën rrjet-skriptet.
# yum instaloni skriptet e rrjetit
Tani mund të përfundoni konfigurimin e rrjetit. Për ta bërë këtë, hapni skedarin /etc/sysconfig/network-scripts/ifcfg-eth0
# mcedit /etc/sysconfig/network-scripts/ifcfg-eth0
Nëse merrni cilësimet e rrjetit përmes dhcp, atëherë grupi minimal i cilësimeve në skedarin e konfigurimit do të jetë si më poshtë.
TYPE="Ethernet" BOOTPROTO="dhcp" DEFROUTE="po" IPV4_FAILURE_FATAL="jo" NAME="eth0" DEVICE="eth0" ONBOOT="po"
Për të vendosur një adresë ip statike, cilësimet do të jenë si më poshtë.
TYPE="Ethernet" BOOTPROTO="asnjë" DEFROUTE="po" IPV4_FAILURE_FATAL="jo" NAME="eth0" DEVICE="eth0" ONBOOT="po" IPADDR=192.168.167.117 DNS1=196.7W123. 192.168.167.113
Në fushën IPADDR, shkruani adresën tuaj, në maskën e rrjetit PREFIX, në portën GATEWAY, adresën DNS të serverit dns. Ruani skedarin dhe rinisni rrjetin për të aplikuar cilësimet:
# systemctl rinis rrjetin
Vendosja e një muri zjarri
Shtimi i depove
Kur vendosni centos, shpesh keni nevojë për softuer që nuk është në rrepën standarde. Për të instaluar paketa shtesë, ju duhet . Më e njohura është EPEL. Dikur ka pasur rpmforge, por ka disa vite që është mbyllur. Të gjithë e harruan atë. Ne lidhim depon e EPEL. Gjithçka është e thjeshtë me të, ai shtohet nga rrepa standarde:
# yum install epel-release
Gjithashtu për CentOS 7, depoja REMI është jashtëzakonisht e dobishme, e cila ju lejon të instaloni versione më të fundit të php, ndryshe nga ato në depo standarde. Më lejoni t'ju kujtoj se ky është versioni php 5.4, i cili nuk është më i mirë dhe është hequr nga mbështetja.
# rpm -Uhv http://rpms.remirepo.net/enterprise/remi-release-7.rpm
Për Centos 8 remi nuk është ende relevante, por mendoj se është e përkohshme. Në parim, këto dy depo në cento zakonisht më mjaftojnë në rastin e përgjithshëm. Të tjerët janë të lidhur tashmë për nevoja specifike për të instaluar softuer të ndryshëm.
Konfigurimi i ruajtjes së historisë në bash_history
Kalimi në vendosjen e sistemit centos në server. Do të jetë e dobishme të bëhen disa ndryshime në mekanizmin standard për ruajtjen e historisë së komandave. Ai shpesh ndihmon kur ju duhet të mbani mend një nga komandat e futura më parë. Cilësimet e paracaktuara kanë disa kufizime që janë të papërshtatshme. Këtu është lista e tyre:
- Si parazgjedhje, ruhen vetëm 1000 komandat e fundit. Nëse ka më shumë prej tyre, atëherë të vjetrat do të fshihen dhe do të zëvendësohen me të reja.
- Nuk jepen data për ekzekutimin e komandave, por vetëm një listë e tyre sipas radhës në të cilën janë ekzekutuar.
- Skedari me listën e komandave përditësohet pas përfundimit të seancës. Gjatë seancave paralele, disa komanda mund të humbasin.
- Absolutisht të gjitha komandat ruhen, megjithëse nuk ka kuptim të ruani disa.
Lista e komandave të ekzekutuara të fundit ruhet në drejtorinë kryesore të përdoruesit në një skedar .bash_histori(pika në fillim). Mund të hapet me çdo redaktues dhe të shikohet. Për një shfaqje më të përshtatshme të listës, mund të futni komandën në tastierë:
# histori
dhe shikoni një listë të numëruar. Ju mund të gjeni shpejt një komandë specifike duke filtruar vetëm linjat që ju nevojiten, si kjo:
# histori | grep yum
Pra, do të shohim të gjitha opsionet për ekzekutimin e komandës yum, të cilat ruhen në histori. Le të rregullojmë mangësitë e listuara të cilësimeve standarde për ruajtjen e historisë së komandës në CentOS. Për ta bërë këtë, ju duhet të redaktoni skedarin .bashrc, i cili ndodhet në të njëjtën direktori me skedarin e historisë. Shtoni linjat e mëposhtme në të:
Eksporto HISTSIZE=10000 eksporto HISTTIMEFORMAT="%h %d %H:%M:%S " PROMPT_COMMAND="histori -a" eksporto HISTIGNORE="ls:ll:history:w:htop"
Opsioni i parë rrit madhësinë e skedarit në 10,000 rreshta. Mund të bëni më shumë, megjithëse kjo madhësi zakonisht është e mjaftueshme. Parametri i dytë specifikon që data dhe ora e ekzekutimit të komandës duhet të ruhen. Linja e tretë detyron menjëherë pas ekzekutimit të komandës ta ruajë atë në histori. Në rreshtin e fundit, ne krijojmë një listë përjashtimesh për ato komanda që nuk kanë nevojë të regjistrohen në histori. Unë dhashë një shembull të listës më të thjeshtë. Ju mund t'i shtoni asaj sipas gjykimit tuaj.
Për të aplikuar ndryshimet, duhet të dilni dhe të lidheni përsëri ose të ekzekutoni komandën:
# burim ~/.bashrc
Me vendosjen e ruajtjes së historisë së komandave, kjo është ajo. Në skedarin .bashrc, mund të konfiguroni shumë gjëra interesante. Dikur më pëlqente dhe eksperimentova, por më pas braktisa gjithçka, sepse nuk ka kuptim. Kur punoj me serverët e klientëve, më së shpeshti shoh bash-in e paracaktuar, kështu që është më mirë të mësohesh me të dhe të punosh në të. Dhe cilësimet dhe zbukurimet e veçanta janë shumë kompjuterë dhe serverë personalë. Jo punëtorë. Kështu që nuk më duhet të konfiguroj asgjë tjetër sipas standardit në serverin centos në këtë drejtim.
Përditësimi automatik i sistemit
Për të ruajtur sigurinë e serverit në nivelin e duhur, është e nevojshme të paktën ta përditësoni atë në kohën e duhur - si vetë kerneli me shërbimet e sistemit, ashtu edhe paketat e tjera. Mund ta bëni me dorë, por për punë më efikase është më mirë të vendosni ekzekutimin automatik. Nuk është e nevojshme të instaloni përditësime automatikisht, por të paktën kontrolloni për pamjen e tyre. Unë zakonisht e ndjek këtë strategji.
Yum cron
Për të kontrolluar automatikisht për përditësime në Centos 7, programi do të na ndihmojë yum cron. Instalohet tradicionalisht nëpërmjet yum nga depoja standarde.
# yum instalo yum cron
Pas instalimit të yum-cron, krijohet një detyrë automatike për të ekzekutuar programin në /etc/cron.ditore Dhe /etc/cron.orëshe. Si parazgjedhje, programi shkarkon përditësimet që gjen, por nuk i zbaton ato. Në vend të kësaj, një njoftim përditësimi i dërgohet administratorit në kutinë postare të rrënjës lokale. Pastaj hyni manualisht dhe vendosni nëse do të instaloni përditësime apo jo në një moment të përshtatshëm për ju. Kjo mënyrë funksionimi më duket më e përshtatshme, kështu që nuk i ndryshoj këto cilësime.
Ju mund të konfiguroni yum-cron përmes skedarëve të konfigurimit të vendosur në /etc/yum/yum-cron.conf Dhe yum-cron-hourly.konf. Janë të komentuara mirë, ndaj nuk kanë nevojë për shpjegime të hollësishme. I kushtoj vëmendje seksionit , ku mund të specifikoni opsionet për dërgimin e mesazheve. Parazgjedhja është dërgimi i postës përmes hostit lokal. Këtu mund të ndryshoni cilësimet dhe të dërgoni mesazhe përmes një serveri postar të palëve të treta. Por në vend të kësaj, unë personalisht preferoj të konfiguroj globalisht për të gjithë serverin përcjelljen e postës rrënjë lokale në një kuti postare të jashtme përmes autorizimit në një server tjetër smtp.
Dnf-automatike
Siç thashë më herët, Centos 8 përdor një menaxher të ndryshëm paketash - dnf. Konfigurimi i përditësimeve të paketave atje bëhet përmes programit dnf-automatike. Le ta instalojmë dhe ta konfigurojmë.
# yum instalo dnf-automatike
Menaxhimi i planifikuar i nisjes nuk trajtohet më nga cron, por nga systemd me programuesin e tij të integruar. Ju mund të shikoni kohëmatësit automatikë të fillimit me komandën:
# systemctl list-timers *dnf-*
Nëse nuk ka asnjë detyrë atje, atëherë mund të shtoni kohëmatësin manualisht:
# systemctl aktivizo --tani dnf-automatic.timer
Kohëmatësi i paracaktuar është vendosur të nisë automatikisht dnf një orë pas nisjes së serverit dhe të përsëritet çdo ditë. Konfigurimi i kohëmatësit jeton këtu - /etc/systemd/system/multi-user.target.wants/dnf-automatic.timer.
Konfigurimi për dnf-automatic jeton në /etc/dnf/automatic.conf. Si parazgjedhje, shkarkon vetëm përditësime, por nuk i zbaton ato. Konfigurimi është komentuar mirë, kështu që mund ta personalizoni ashtu siç dëshironi. Nuk kërkohen shpjegime të veçanta. Personalizoni përditësimet e paketave të sistemit sipas dëshirës tuaj. Siç thashë, i shkarkoj vetëm automatikisht. Unë e mbaj gjithmonë nën kontroll instalimin me kontroll manual.
Çaktivizo vërshimin e mesazheve në /var/log/messages
Duke vazhduar konfigurimin e centos, ne do të rregullojmë një shqetësim të vogël. Në instalimin e paracaktuar të versionit 7 të sistemit, i gjithë regjistri i sistemit tuaj /var/log/mesazhe pas njëfarë kohe serveri do të bllokohet me të dhënat e mëposhtme.
16 tetor 14:01:01 xs-files systemd: Created slice user-0.slice. 16 tetor 14:01:01 xs-files systemd: Fillimi user-0.slice. 16 tetor 14:01:01 xs-files systemd: Filloi sesioni 14440 i përdoruesit root. 16 tetor 14:01:01 xs-files systemd: Fillimi i sesionit 14440 të rrënjës së përdoruesit. 16 tetor 14:01:01 xs-files systemd: Removed slice user-0.slice. 16 tetor 14:01:01 xs-files systemd: Ndalimi i përdoruesit-0.slice. 16 tetor 15:01:01 xs-files systemd: Created slice user-0.slice. 16 tetor 15:01:01 xs-files systemd: Fillimi user-0.slice. 16 tetor 15:01:01 xs-files systemd: Filloi sesioni 14441 i përdoruesit root. 16 tetor 15:01:01 xs-files systemd: Fillimi i sesionit 14441 të rrënjës së përdoruesit. 16 tetor 15:01:01 xs-files systemd: Filloi sesioni 14442 i përdoruesit root. 16 tetor 15:01:01 xs-files systemd: Fillimi i sesionit 14442 të rrënjës së përdoruesit. 16 tetor 15:01:01 xs-files systemd: Removed slice user-0.slice. 16 tetor 15:01:01 xs-files systemd: Ndalimi i përdoruesit-0.slice. 16 tetor 16:01:01 xs-files systemd: Created slice user-0.slice. 16 tetor 16:01:01 xs-files systemd: Fillimi user-0.slice. 16 tetor 16:01:01 xs-files systemd: Filloi sesioni 14443 i përdoruesit root. 16 tetor 16:01:01 xs-files systemd: Fillimi i sesionit 14443 të rrënjës së përdoruesit. 16 tetor 16:01:01 xs-files systemd: Fetë e hequr user-0.slice.
Në Centos 8, nuk i vura re, kështu që nuk ka asgjë për të bërë atje. Mesazhet nuk kanë ndonjë përdorim praktik, kështu që ne do t'i çaktivizojmë ato. Për ta bërë këtë, ne do të krijojmë një rregull të veçantë për rsyslog, ku listojmë të gjitha shabllonet e mesazheve që do të presim. Le ta vendosim këtë rregull në një skedar të veçantë /etc/rsyslog.d/ignore-systemd-session-slice.conf.
# cd /etc/rsyslog.d && mcedit ignore-systemd-session-slice.conf if $programname == "systemd" dhe ($msg përmban "Sesioni fillestar" ose $msg përmban "Sesionin e filluar" ose $msg përmban "Created slice" ose $msg përmban "Starting user-" ose $msg përmban "Fillimi i pjesës së përdoruesit të" ose $msg përmban "Sesioni i hequr" ose $msg përmban "Fetë e hequr përdoruesi të" ose $msg përmban "Ndalimi i pjesës së përdoruesit të" ) pastaj ndaloni
Ruani skedarin dhe rinisni rsyslog për të aplikuar cilësimet.
# systemctl rinis rsyslog
Duhet të kuptohet se në këtë rast ne po çaktivizojmë përmbytjen në skedarin e logit vetëm në serverin lokal. Nëse ruani regjistrat në , atëherë ky rregull do të duhet të konfigurohet në të.
Instalimi i iftop, atop, htop, lsof në CentOS
Dhe së fundi, në fund të konfigurimit, le të shtojmë disa shërbime të dobishme që mund të jenë të dobishme gjatë funksionimit të serverit.
iftop tregon në kohë reale ngarkimin e ndërfaqes së rrjetit, mund të fillohet me çelësa të ndryshëm, nuk do të ndalem në këtë në detaje, ka informacione për këtë temë në internet. Ne vendosim:
# yum install iftop
Dhe dy menaxherë interesantë të detyrave, unë përdor htop shumicën e kohës, por ndonjëherë në krye më vjen mirë. Ne i vendosim të dyja, shikoni vetë, kuptoni se çfarë ju pëlqen më shumë, ju përshtatet:
# yum install htop # yum install atop
Për të shfaqur informacione se cilat skedarë përdoren nga procese të caktuara, unë ju këshilloj të instaloni programin lsof. Me shumë mundësi do të jetë i dobishëm herët a vonë kur të diagnostikoni funksionimin e serverit.
# yum instaloni wget bzip2 traceroute gdisk
Kjo është e gjitha për mua. Konfigurimi bazë i CentOS ka përfunduar, mund të filloni instalimin dhe konfigurimin e funksionalitetit kryesor.
Vendosja e postës së sistemit
Për të përfunduar konfigurimin e serverit CentOS, le të sigurohemi që posta e adresuar në rrënjën lokale të dërgohet përmes një serveri të jashtëm poste në kutinë postare të zgjedhur. Nëse kjo nuk është bërë, atëherë do të shtohet lokalisht në një skedar /var/spool/mail/root. Dhe mund të ketë informacione të rëndësishme dhe të dobishme. Le ta konfigurojmë që të dërgohet në kutinë postare të administratorit të sistemit.
Unë fola për këtë në detaje në një artikull të veçantë -. Këtu, vetëm komandat dhe konfigurimi i shpejtë janë të shkurtra. Instaloni paketat e kërkuara:
# yum instalo mailx cyrus-sasl cyrus-sasl-lib cyrus-sasl-plain postfix
Ne vizatojmë diçka si kjo konfigurim për postfix.
Cat /etc/postfix/main.cf ## KONFIGIMI I PARASHKAKTUAR FILLON ###################### queue_directory = /var/spool/postfix command_directory = /usr/sbin daemon_directory=/usr/libexec/postfix data_directory=/var/lib/postfix mail_owner=postfix inet_interfaces=localhost inet_protocols=të gjitha panjohur_local_recipient_reject_code=550 pseudonimi_maps=2buthapesevel_a______________ =/bin:/usr/bin:/usr/local/bin:/usr/X11R6/bin ddd $daemon_directory/$process_name $process_id & sleep 5 sendmail_path = /usr/sbin/sendmail.postfix newaliases_path = /usr/bin/ newaliases.postfix mailq_path = /usr/bin/mailq.postfix setgid_group = postdrop html_directory = pa manpage_directory = /usr/share/man sample_directory = /usr/share/doc/postfix-2.10.1/samples readme_share =/us doc/postfix-2.10.1/README_FILES ## FUNDI I KONFIGIMIT DEFAULT ###################### # Emri i serverit del nga komanda emri i hostit myhostname = centos-test. xs .lokale # Këtu n në lidhje me logjikën, duhet të lihet vetëm domeni, por në këtë rast është më mirë të lini emrin e plotë të serverit në mënyrë që emri i plotë i serverit të shfaqet në fushën e dërguesit #, është më i përshtatshëm të analizoni mesazhet e shërbimit mydomain = centos-test.xs.local mydestination = $myhostname myorigin = $mydomain # Adresa e serverit përmes të cilit do të dërgojmë postë relayhost = mailsrv.mymail.ru:25 smtp_use_tls = po smtp_sasl_auth_enable = po sword_ssapsl/sm /sasl_passwd smtp_sasl_security_options = joanonim smtp_tls_security_level = mund
Ne krijojmë një skedar me informacion në lidhje me emrin e përdoruesit dhe fjalëkalimin për autorizim.
# mcedit /etc/postfix/sasl_passwd mailsrv.mymail.ru:25 [email i mbrojtur]:fjalëkalimi
Ne krijojmë një skedar db.
# harta postare /etc/postfix/sasl_passwd
Tani mund të rinisni postfix dhe të kontrolloni nëse funksionon.
# systemctl rinisni postfiks
Tek pseudonimi standard për root in /etc/aliases, shtoni adresën e jashtme ku do të kopjohet posta e adresuar në root. Për ta bërë këtë, modifikoni skedarin e specifikuar, duke ndryshuar rreshtin e fundit.
#rrënja: marc
rrënjë: rrënjë, [email i mbrojtur]
Përditësoni bazën e të dhënave të certifikatave:
#newaliases
Le të dërgojmë një letër përmes tastierës në rrënjën lokale:
# df -h | mail -s "Përdorimi i diskut" rrënjë
Letra duhet të shkojë në një kuti postare të jashtme. Nëse përdorni një kuti postare nga Yandex, ka shumë të ngjarë të merrni një gabim në regjistrin e serverit të postës dhe letra nuk do të dërgohet.
Relay=smtp.yandex.ru:25, vonesë=0.25, vonesa=0/0/0.24/0.01, dsn=5.7.1, status=bounced (host smtp.yandex.ru tha: 553 5.7.1 Adresa e dërguesit u refuzua: nuk është në pronësi të përdoruesit të autorizuar. (në përgjigje të komandës MAIL FROM))
Ky gabim do të thotë që ju nuk keni të njëjtën kuti postare si dërguesi i postës që përdorni për autorizim. Si ta rregulloni këtë, unë them në një artikull të veçantë -. Me sistemet e tjera të postës ku nuk ka një kontroll të tillë, gjithçka duhet të jetë në rregull dhe kështu.
Kjo përfundon konfigurimin e postës lokale. Tani të gjitha letrat e adresuara në rrënjën lokale, për shembull, raportet nga cron, do të dublikohen në një kuti postare të jashtme dhe do të dërgohen përmes një serveri të plotë të postës. Pra, letrat do të dorëzohen normalisht pa hyrë në postë të padëshiruar (edhe pse jo domosdoshmërisht, ka edhe filtra heuristikë).
konkluzioni
Ne kemi kaluar disa hapa fillestarë për të vendosur një server CentOS, të cilin zakonisht e bëj kur përgatit një server menjëherë pas instalimit. Unë nuk pretendoj të jem një e vërtetë absolute, mbase po më mungon diçka ose po bëj diçka jo si duhet. Do të jem i lumtur për komente dhe vërejtje të arsyeshme dhe domethënëse me sugjerime.
..
