നിങ്ങളുടെ VPS സെർവറിൽ CentOS ഇൻസ്റ്റാൾ ചെയ്തുകഴിഞ്ഞാൽ, കുറച്ച് കാര്യങ്ങൾ ചെയ്യേണ്ടത് വളരെ പ്രധാനമാണ് അധിക പ്രവർത്തനങ്ങൾസെർവർ സജ്ജീകരിക്കുന്നതിലും വിവിധ ആക്രമണങ്ങളിൽ നിന്ന് അതിന്റെ സംരക്ഷണം ഉറപ്പാക്കുന്നതിലും. ലേഖനത്തിൽ ഞാൻ ഏറ്റവും പ്രധാനപ്പെട്ടത് പരിഗണിക്കും, എന്റെ അഭിപ്രായത്തിൽ, ഒരു പൂർണ്ണവും സുരക്ഷിതവുമായ VPS സെർവർ സൃഷ്ടിക്കുന്നതിനുള്ള ഘട്ടങ്ങൾ.
ഘട്ടം #1: അക്കൗണ്ടിന്റെ പാസ്വേഡ് മാറ്റുക - റൂട്ട്
പുതിയ VPS സെർവറിന്റെ നിർമ്മാണം പൂർത്തിയായ ശേഷം, നിങ്ങൾക്ക് റൂട്ട് സൂപ്പർ യൂസറിനായി ഒരു രഹസ്യവാക്ക് നൽകും. SSH വഴി നിങ്ങളുടെ സെർവറിലേക്ക് കണക്റ്റുചെയ്തതിന് ശേഷം, നിങ്ങൾ അത് മാറ്റേണ്ടതുണ്ട്, കാരണം... ചിലപ്പോൾ നൽകിയിരിക്കുന്ന പാസ്വേഡ് ബ്രൂട്ട് ഫോഴ്സ് റെസിസ്റ്റന്റ് ആയിരിക്കില്ല.
നമുക്ക് സെറ്റ് ചെയ്യാം പുതിയ പാസ്വേഡ്റൂട്ടിനായി.
ഘട്ടം #2: ഒരു പുതിയ ഉപയോക്താവിനെ സൃഷ്ടിക്കുക
തുടക്കത്തിൽ, ശേഷം CentOS ഇൻസ്റ്റാളേഷനുകൾകൂടാതെ മറ്റ് ലിനക്സ് വിതരണങ്ങളിലും, റൂട്ട് എന്ന പേരിൽ ഒരു ഉപയോക്താവ് ലഭ്യമാണ്. റൂട്ട് സൂപ്പർഉപയോക്താവ് ഒരു സിസ്റ്റം അഡ്മിനിസ്ട്രേറ്റർ അക്കൌണ്ടാണ് കൂടാതെ സിസ്റ്റത്തിൽ പരമാവധി പ്രത്യേകാവകാശങ്ങളുമുണ്ട്. അതിന്റെ ഉയർന്ന കഴിവുകൾ കാരണം, റൂട്ട് അക്കൗണ്ട് മാത്രം ഉപയോഗിക്കാൻ ശുപാർശ ചെയ്യുന്നു പ്രത്യേക കേസുകൾ, കാരണം ഇത് വിനാശകരവും മാറ്റാനാകാത്തതുമായ പിശകുകളുടെ ആകസ്മിക കമ്മീഷനിലേക്ക് സംഭാവന ചെയ്യുന്നു, അത് ശരിയാക്കാൻ വളരെ ബുദ്ധിമുട്ടാണ്.
ഇക്കാര്യത്തിൽ, സെർവർ അഡ്മിനിസ്ട്രേറ്റർ ഒരു പുതിയ ഉപയോക്താവിനെ സൃഷ്ടിക്കുന്നു, അവർക്ക് റൂട്ട് പ്രത്യേകാവകാശങ്ങൾ ഭാഗികമായി നൽകിയിട്ടുണ്ട്. താഴെ ഞങ്ങൾ സൃഷ്ടിയും കോൺഫിഗറേഷൻ പ്രക്രിയയും നോക്കും അക്കൗണ്ട്സിസ്റ്റത്തിന്റെ പുതിയ ഉപയോക്താവ്.
നമുക്ക് ഒരു പുതിയ അക്കൗണ്ട് സൃഷ്ടിക്കാം, അതിന് കീഴിൽ ഞങ്ങൾ എല്ലായ്പ്പോഴും സെർവറിൽ പ്രവർത്തിക്കും.
adduser ഉപയോക്തൃനാമം
സിസ്റ്റത്തിലേക്ക് ലോഗിൻ ചെയ്യാൻ നമുക്ക് ഒരു പാസ്വേഡ് ചേർക്കാം.
നിങ്ങൾ പെട്ടെന്ന് നിങ്ങളുടെ പാസ്വേഡ് മറന്നാൽ, അതേ കമാൻഡ് ഉപയോഗിച്ച് നിങ്ങൾക്ക് ഒരു പുതിയ പാസ്വേഡ് സജ്ജീകരിക്കാം, കൂടാതെ പഴയ പാസ്വേഡ്പുനഃസജ്ജമാക്കും.
ഇതിനായി പുതിയ ഉപയോക്താവ്ഇൻസ്റ്റാൾ ചെയ്യാം സോഫ്റ്റ്വെയർ പാക്കേജുകൾകൂടാതെ എഡിറ്റ് ചെയ്യുക സിസ്റ്റം ഫയലുകൾ, നിങ്ങൾ അതിന് സൂപ്പർ യൂസർ അധികാരങ്ങൾ നൽകണം.
സൂപ്പർ യൂസർ ഗ്രൂപ്പിലേക്ക് ഒരു അക്കൗണ്ട് ചേർത്തുകൊണ്ട് ഇത് ചെയ്യാം - വീൽ.
gpasswd -ഒരു ഉപയോക്തൃനാമ ചക്രം
ഇപ്പോൾ പുതിയ ഉപയോക്തൃനാമത്തിന് സുഡോ യൂട്ടിലിറ്റി ഉപയോഗിച്ച് കമാൻഡുകൾ റൂട്ടായി പ്രവർത്തിപ്പിക്കാൻ കഴിയും.
ഒരു പുതിയ ഉപയോക്തൃ അക്കൗണ്ടിലേക്ക് മാറുന്നതിന്, su കമാൻഡ് ഉപയോഗിക്കുക:
ഘട്ടം #3: ഫയർവാൾ പ്രവർത്തനക്ഷമമാക്കുക
അനാവശ്യങ്ങളിൽ നിന്ന് സംരക്ഷിക്കാൻ ബാഹ്യ കണക്ഷനുകൾഞങ്ങളുടെ സെർവർ ഉപയോഗിച്ച്, നിങ്ങൾ ഒരു ഫയർവാൾ ഇൻസ്റ്റാൾ ചെയ്യുകയും പ്രവർത്തനക്ഷമമാക്കുകയും വേണം.
നമുക്ക് ഫയർവാൾ സേവനം ഇൻസ്റ്റാൾ ചെയ്യാം:
sudo yum ഫയർവാൾഡ് ഇൻസ്റ്റാൾ ചെയ്യുക
നമുക്ക് ഫയർവാൾ പ്രവർത്തനക്ഷമമാക്കുകയും സിസ്റ്റം പുനരാരംഭിക്കുമ്പോൾ ഓട്ടോസ്റ്റാർട്ട് ചെയ്യാനുള്ള സേവനങ്ങളുടെ ലിസ്റ്റിലേക്ക് ചേർക്കുകയും ചെയ്യാം:
sudo systemctl ഫയർവാൾഡ് ആരംഭിക്കുക;
sudo systemctl ഫയർവാൾഡ് പ്രവർത്തനക്ഷമമാക്കുക;
ഘട്ടം #4: SSH കോൺഫിഗറേഷൻ സജ്ജീകരിക്കുക
നെറ്റ്വർക്ക് ഉള്ളതിനാൽ ഒരു വലിയ സംഖ്യലോകമെമ്പാടും പ്രവർത്തിക്കുന്ന ബ്രൂട്ട് ഫോഴ്സ് പ്രോഗ്രാമുകൾ റൂട്ട് ഉപയോക്താവിനായി രാവും പകലും പാസ്വേഡുകൾ തിരയുന്നു, നിങ്ങളുടെ വിപിഎസും ആക്രമണത്തിന് വിധേയമാകാനുള്ള സാധ്യതയുണ്ട്. ഈ സാഹചര്യത്തിൽ, എസ്എസ്എച്ച് വഴി കണക്റ്റുചെയ്യാനുള്ള റൂട്ട് ഉപയോക്താവിന്റെ കഴിവ് പ്രവർത്തനരഹിതമാക്കുന്നതാണ് ന്യായമായ പരിഹാരം.
നമുക്ക് കോൺഫിഗറേഷൻ ഫയൽ തുറക്കാം - /etc/ssh/sshd_config:
sudo vi /etc/ssh/sshd_config
നമുക്ക് PermitRootLogin നിർദ്ദേശത്തിന്റെ മൂല്യം മാറ്റാം.
#PermitRootLogin അതെ PermitRootLogin നമ്പർ
#PermitRootLogin അതെ PermitRootLogin നമ്പർ |
നിങ്ങൾക്ക് വേണ്ടത്ര അനുഭവപരിചയമില്ലെങ്കിൽ ലിനക്സ് ഉപയോക്താവ്സിസ്റ്റങ്ങളും നിങ്ങളുടെ ഹോസ്റ്ററും നിങ്ങൾക്ക് ഒരു വിഎൻസി പാനൽ നൽകുന്നില്ല, തുടർന്ന് ssh വഴി റൂട്ട് ആക്സസ് നിരസിക്കുന്നത് ശുപാർശ ചെയ്യുന്നില്ല, കാരണം എപ്പോൾ ഗുരുതരമായ പിശക്, പരിഹരിക്കാൻ കഴിയുന്ന, റൂട്ട് അക്കൗണ്ടിൽ നിന്ന് മാത്രം, നിങ്ങൾക്ക് ഒന്നും ചെയ്യാൻ കഴിയില്ല.
ഞങ്ങൾ സ്റ്റാൻഡേർഡ് നമ്പറും മാറ്റും SSH പോർട്ട്, കാരണം സ്റ്റാൻഡേർഡ് പോർട്ട് 22 ലാണ് ബ്രൂട്ട് ഫോഴ്സ് പ്രോഗ്രാമുകൾ മുട്ടുന്നത്.
എല്ലാ തുറമുഖങ്ങളെയും മൂന്ന് ഗ്രൂപ്പുകളായി തിരിക്കാം:
- 0 - 1023 - നല്ലത് പ്രശസ്തമായ തുറമുഖങ്ങൾ, സിസ്റ്റം പോർട്ടുകളും റഫർ ചെയ്യുക;
- 1024 - 49151 - രജിസ്റ്റർ ചെയ്ത പോർട്ടുകൾ, ഉപയോക്തൃ പോർട്ടുകളും റഫർ ചെയ്യുക;
- 49152 - 65535 - ഡൈനാമിക് പോർട്ടുകൾ, സ്വകാര്യ തുറമുഖങ്ങളെയും പരാമർശിക്കുന്നു.
ആദ്യം, SSH പ്രവർത്തിക്കുന്ന പോർട്ട് നമ്പർ തിരഞ്ഞെടുക്കാം. 49152 - 65535 പരിധിക്കുള്ളിൽ ഒരു പോർട്ട് നമ്പർ മൂല്യം തിരഞ്ഞെടുക്കാൻ ശുപാർശ ചെയ്യുന്നു. ഒരു പോർട്ട് തിരഞ്ഞെടുക്കുന്നതിന്, നിങ്ങൾ ആദ്യം അത് മറ്റൊരു സേവനം കൈവശപ്പെടുത്തിയിട്ടുണ്ടോ എന്ന് പരിശോധിക്കേണ്ടതുണ്ട്. ഉദാഹരണത്തിന്, ഞാൻ പോർട്ട് നമ്പർ 63356 തിരഞ്ഞെടുക്കും.
പോർട്ട് 63356 ഇനിപ്പറയുന്ന കമാൻഡ് ഉപയോഗിച്ച് തിരക്കിലാണോ എന്ന് പരിശോധിക്കാം:
cat /etc/services | grep 63356/tcp
കമാൻഡിന്റെ ഫലമായി നിങ്ങൾക്ക് വ്യക്തമായ പ്രതികരണം ലഭിക്കുന്നില്ലെങ്കിൽ, ഈ പോർട്ട് സൗജന്യമാണെന്ന് ഇത് സൂചിപ്പിക്കുന്നു. അല്ലെങ്കിൽ, നിങ്ങൾ തിരഞ്ഞെടുത്ത പോർട്ട് ഇതിനകം കൈവശപ്പെടുത്തിയ സേവനത്തിന്റെ പേര് പ്രതികരണത്തിൽ നിങ്ങൾ കാണും.
ഇപ്പോൾ /etc/ssh/sshd_config ഫയലിൽ നമ്മൾ പോർട്ട് ഡയറക്റ്റീവിന്റെ മൂല്യം മാറ്റുന്നു:
#പോർട്ട് 22 പോർട്ട് 63356
#പോർട്ട് 22 പോർട്ട് 63356 |
ക്രമീകരണങ്ങൾ അംഗീകരിക്കാൻ SSH സേവനം പുനരാരംഭിക്കാം.
sudo systemctl sshd പുനരാരംഭിക്കുക
പുതിയ SSH പോർട്ടിൽ കണക്ഷനുകൾ അനുവദിക്കാൻ ഫയർവാളിനോട് പറയാം - 63356
sudo firewall-cmd --zone=public --permanent --add-port=63356/tcp;
sudo firewall-cmd --reload;
ചേർത്ത പോർട്ട് കേൾക്കുന്നുണ്ടെന്ന് ഉറപ്പാക്കാം (സജീവ):
ss -lntu | grep 63356
$ss -lntu | grep 63356
tcp LISTEN 0 128 *:63356 *:*
tcp LISTEN 0 128:::63356:::*
ഇപ്പോൾ, SSH വഴി സെർവറിലേക്ക് കണക്റ്റുചെയ്യുന്നതിന്, നിങ്ങൾ എല്ലായ്പ്പോഴും പോർട്ട് നമ്പർ വ്യക്തമായി വ്യക്തമാക്കേണ്ടതുണ്ട്.
ssh username@server_ip_adress -p 63356
ഘട്ടം #5: സെർവർ നാമം മാറ്റുന്നു (ഹോസ്റ്റ് നാമം)
വാടകയ്ക്കെടുത്ത VPS സെർവറുകളിലെ $HOSTNAME വേരിയബിളിന്റെ മൂല്യം ഹോസ്റ്റർമാർ അവരുടെ വിവേചനാധികാരത്തിൽ പലപ്പോഴും സജ്ജീകരിക്കുന്നു. ഡിഫോൾട്ട് ഹോസ്റ്റ്നെയിം മറ്റെന്തെങ്കിലും ആയി മാറ്റാം. മിക്കപ്പോഴും, ഹോസ്റ്റ് നാമം ഏതെങ്കിലും തരത്തിലുള്ള ഡൊമെയ്ൻ ആണ്.
ഹോസ്റ്റ്നാമത്തെക്കുറിച്ചുള്ള മുഴുവൻ വിവരങ്ങളും ഇനിപ്പറയുന്ന കമാൻഡ് ഉപയോഗിച്ച് കണ്ടെത്താനാകും:
hostnamectl നില
$hostnamectl നില
സ്റ്റാറ്റിക് ഹോസ്റ്റ്നാമം: hostername.ru
ഐക്കണിന്റെ പേര്: കമ്പ്യൂട്ടർ-വിഎം
ചേസിസ്: vm
മെഷീൻ ഐഡി:
ബൂട്ട് ഐഡി:
വിർച്ച്വലൈസേഷൻ: kvm
ഓപ്പറേറ്റിംഗ് സിസ്റ്റം: CentOS Linux 7 (കോർ)
CPE OS പേര്: cpe:/o:centos:centos:7
കേർണൽ: Linux 3.10.0-693.2.2.el7.x86_64
വാസ്തുവിദ്യ: x86-64
നമുക്ക് സെർവറിന്റെ പേര് മാറ്റാം:
sudo hostnamectl set-hostname "example.ru"
പേര് മാറിയെന്ന് ഉറപ്പാക്കാം:
ഘട്ടം #6: സമയ മേഖല സജ്ജീകരിക്കുക
ഒരു VPS സെർവർ വാടകയ്ക്ക് എടുക്കുമ്പോൾ, അത് പ്രാദേശിക സമയംപലപ്പോഴും അത് സ്ഥിതിചെയ്യുന്ന പ്രദേശവുമായി ബന്ധപ്പെട്ടിരിക്കുന്നു. ഉദാഹരണത്തിന്, നിങ്ങളുടെ VPS സെർവർ ആംസ്റ്റർഡാമിലാണ് സ്ഥിതി ചെയ്യുന്നതെങ്കിൽ, സെർവർ മധ്യ യൂറോപ്യൻ സമയത്താണ് പ്രവർത്തിക്കുക.
നമ്മുടെ സെർവർ ഏത് സമയ മേഖലയിലാണ് പ്രവർത്തിക്കുന്നതെന്ന് പരിശോധിക്കാം:
ലഭ്യമായ സമയ മേഖലകളുടെ ഒരു ലിസ്റ്റ് നേടുക:
timedatectl പട്ടിക-സമയമേഖലകൾ
ഞാൻ മോസ്കോ സമയ മേഖലയിലാണ് താമസിക്കുന്നത്, അതിനാൽ ഒരേ സമയം സെർവർ പ്രവർത്തിക്കുന്നത് എനിക്ക് സൗകര്യപ്രദമാണ്.
നിങ്ങൾക്ക് മോസ്കോയിലെ സെർവർ സമയം ഇതുപോലെ സജ്ജമാക്കാൻ കഴിയും:
timedatectl സെറ്റ്-ടൈംസോൺ യൂറോപ്പ്/മോസ്കോ
ഘട്ടം #7: ലൊക്കേൽ സജ്ജീകരിക്കുന്നു
സിസ്റ്റം ഉപയോഗിക്കുന്ന ഭാഷയും കറൻസി, നമ്പർ ഫോർമാറ്റുകൾ, തീയതികൾ, പ്രതീക സെറ്റുകൾ എന്നിവ പോലുള്ള പ്രാദേശിക സവിശേഷതകളും ലോക്കലുകൾ നിർവചിക്കുന്നു.
ലഭ്യമായ എല്ലാ ലൊക്കേലുകളുടെയും ലിസ്റ്റ് ഡയറക്ടറിയിൽ സംഭരിച്ചിരിക്കുന്നു - /usr/share/i18n/locales
ചുവടെയുള്ള കമാൻഡ് ഉപയോഗിച്ച് നിങ്ങൾക്ക് ഉപയോഗിച്ച ലൊക്കേലുകൾ കാണാൻ കഴിയും:
$locale
LANG=en_US.UTF-8
LC_CTYPE="en_US.UTF-8"
LC_NUMERIC="en_US.UTF-8"
LC_TIME="en_US.UTF-8"
LC_COLLATE="en_US.UTF-8"
LC_MONETARY="en_US.UTF-8"
LC_MESSAGES="en_US.UTF-8"
LC_PAPER="en_US.UTF-8"
LC_NAME="en_US.UTF-8"
LC_ADDRESS="en_US.UTF-8"
LC_TELEPHONE="en_US.UTF-8"
LC_MEASUREMENT="en_US.UTF-8"
LC_IDENTIFICATION="en_US.UTF-8"
LC_ALL=
ഏതെങ്കിലും ഫോർമാറ്റിനായി നിങ്ങൾക്ക് റഷ്യൻ ഭാഷ സജ്ജീകരിക്കണമെങ്കിൽ, ഉദാഹരണത്തിന് സമയം, ഇനിപ്പറയുന്ന കമാൻഡ് ഉപയോഗിക്കുക:
sudo localectl set-locale LC_TIME=ru_RU.UTF-8
തീയതി കമാൻഡ് എക്സിക്യൂട്ട് ചെയ്യുന്നതിന്റെ ഫലമായി ഭാഷ റഷ്യൻ ഭാഷയിലേക്ക് മാറും (സെർവർ റീബൂട്ട് ചെയ്തതിന് ശേഷം).
സിസ്റ്റത്തിൽ റഷ്യൻ ഭാഷ ഇൻസ്റ്റാൾ ചെയ്യുന്നതിന്, കമാൻഡ് ഉപയോഗിക്കുക:
sudo localectl set-locale LANG=ru_RU.UTF-8
എല്ലാ പരിസ്ഥിതി വേരിയബിളുകൾക്കുമായി റഷ്യൻ ഭാഷ ക്രമീകരിക്കുന്നു:
sudo localectl set-locale LC_ALL=ru_RU.UTF-8
ലോക്കൽ ഇൻസ്റ്റാളേഷൻ പരിശോധിക്കുന്നു:
lacalectl നില
ഘട്ടം #8: SElinux പ്രവർത്തനരഹിതമാക്കുന്നു
SELinux(ഇംഗ്ലീഷ്: സെക്യൂരിറ്റി-എൻഹാൻസ്ഡ് ലിനക്സ് - മെച്ചപ്പെട്ട സുരക്ഷയുള്ള ലിനക്സ്) - ഒരു ക്ലാസിക് സെലക്ടീവ് ആക്സസ് കൺട്രോൾ സിസ്റ്റത്തിന് സമാന്തരമായി പ്രവർത്തിക്കാൻ കഴിയുന്ന നിർബന്ധിത ആക്സസ് കൺട്രോൾ സിസ്റ്റം നടപ്പിലാക്കൽ.
സെലിനക്സ് സുരക്ഷാ മാനേജ്മെന്റ് മെച്ചപ്പെടുത്തുന്നുണ്ടെങ്കിലും, അത് കൊണ്ടുവരുന്നതിനേക്കാൾ തടസ്സമാകാൻ സാധ്യതയുണ്ട്. യഥാർത്ഥ പ്രയോജനം, അതിനാൽ ഇത് ഓഫാക്കാൻ ഞാൻ ശുപാർശ ചെയ്യുന്നു.
ചുവടെയുള്ള കമാൻഡ് ഉപയോഗിച്ച് നിങ്ങൾക്ക് SElinux പ്രവർത്തനക്ഷമമാക്കിയിട്ടുണ്ടോയെന്ന് പരിശോധിക്കാം:
SElinux പ്രവർത്തനരഹിതമാക്കാൻ, ഫയൽ എഡിറ്റ് ചെയ്യുക - /etc/selinux/config കൂടാതെ SELINUX നിർദ്ദേശം സജ്ജമാക്കുക അപ്രാപ്തമാക്കിയ മൂല്യം.
CentOS അടിസ്ഥാനമാക്കിയുള്ള ഒരു സൗജന്യ വിതരണമാണ് സോഴ്സ് കോഡ്ചുവന്ന തൊപ്പി എന്റർപ്രൈസ് ലിനക്സ്, വാസ്തവത്തിൽ, ഈ ഉറവിടങ്ങളിൽ നിന്ന് ഫലത്തിൽ മാറ്റങ്ങളൊന്നുമില്ലാതെയാണ് ഇത് സൃഷ്ടിച്ചിരിക്കുന്നത്, ഡവലപ്പർമാർ എല്ലാ Red Hat ബ്രാൻഡിംഗും വെട്ടിക്കളഞ്ഞു. എന്നാൽ Red Hat-ൽ നിന്ന് വ്യത്യസ്തമായി, CentOS പൂർണ്ണമായും സൌജന്യമാണ് കൂടാതെ അവ സോഴ്സ് കോഡിൽ നിന്ന് നിർമ്മിച്ചതിനാൽ Red Hat-നായി റിലീസ് ചെയ്ത് കുറച്ച് സമയത്തിന് ശേഷം പതിവായി അപ്ഡേറ്റുകൾ സ്വീകരിക്കുന്നു.
മിക്കപ്പോഴും CentOS ആയി ഉപയോഗിക്കുന്നു ഓപ്പറേറ്റിംഗ് സിസ്റ്റംസെർവറുകൾക്കായി. മുമ്പത്തെ ലേഖനങ്ങളിലൊന്നിൽ, ഇത് എങ്ങനെ ചെയ്യാമെന്ന് ഞങ്ങൾ പരിശോധിച്ചു. ഇന്ന് ഞങ്ങൾ ഇൻസ്റ്റാളേഷന് ശേഷം ഒരു CentOS 7 സെർവർ സജ്ജീകരിക്കുന്നത് നോക്കും. നിങ്ങളുടെ സെർവർ ഉപയോഗത്തിന് തയ്യാറാകുന്നതിന് നിങ്ങൾ മാറ്റേണ്ട എല്ലാ അടിസ്ഥാന ക്രമീകരണങ്ങളും ഞങ്ങൾ പരിശോധിക്കും.
1. ഒരു സ്റ്റാറ്റിക് ഐപി വിലാസം സജ്ജീകരിക്കുന്നു
നിങ്ങൾ ആദ്യം ചെയ്യേണ്ടത് നിങ്ങളുടെ നെറ്റ്വർക്ക് സജ്ജീകരിക്കുക എന്നതാണ്. ഓൺ വ്യക്തിഗത കമ്പ്യൂട്ടറുകൾഒരു IP വിലാസം ലഭിക്കുന്നതിന് ഞങ്ങൾ DHCP ഉപയോഗിക്കുന്നു, കമ്പ്യൂട്ടർ ആരംഭിക്കുമ്പോഴെല്ലാം വ്യത്യസ്ത വിലാസം ഉണ്ടായിരിക്കും, സെർവർ എല്ലായ്പ്പോഴും ഒരേ വിലാസത്തിൽ പ്രവർത്തിക്കണം, അതിനാൽ ഞങ്ങൾ അതിന് ഒരു സ്റ്റാറ്റിക് ഐപി നൽകുന്നു. നിങ്ങൾ ഡിഎൻഎസും ഡിഫോൾട്ട് ഗേറ്റ്വേയും കോൺഫിഗർ ചെയ്യേണ്ടതുണ്ട്. എന്നാൽ ആദ്യം നെറ്റ്-ടൂൾസ് യൂട്ടിലിറ്റി ഇൻസ്റ്റാൾ ചെയ്യുക:
yum നെറ്റ്-ടൂളുകൾ ഇൻസ്റ്റാൾ ചെയ്യുക
ആദ്യം ലഭ്യമായവ നോക്കാം നെറ്റ്വർക്ക് ഇന്റർഫേസുകൾനിലവിലെ IP വിലാസവും:
ഇപ്പോൾ നിങ്ങൾക്ക് /etc/sysconfig/network-scripts/ifcfg-enp0s3 എന്ന ഫയലിലൂടെ ഇന്റർഫേസ് കോൺഫിഗർ ചെയ്യാൻ തുടരാം, ഉദാഹരണത്തിന്, vi എഡിറ്റർ ഉപയോഗിച്ച്:
vi /etc/sysconfig/network-scripts/ifcfg-enp0s3
IPADDR = your_ip
GATEWAY = gateway_for_network_access
DNS1 = IP_address_DNS1
DNS2 = IP_address_DNS2
മാറ്റങ്ങൾ വരുത്തിയ ശേഷം, ഈ ഫയൽ ഇതുപോലെ കാണപ്പെടും:
പുതിയ ക്രമീകരണങ്ങൾ പ്രയോഗിക്കുന്നതിന് നെറ്റ്വർക്ക് റീബൂട്ട് ചെയ്യുക മാത്രമാണ് അവശേഷിക്കുന്നത്:
സേവന ശൃംഖല പുനരാരംഭിക്കുക
തുടർന്ന്, ആവശ്യമെങ്കിൽ, നിങ്ങൾക്ക് അതേ രീതിയിൽ ഐപി വിലാസം മാറ്റാം.
2. കമ്പ്യൂട്ടറിന്റെ പേര്
ഇനി നമ്മൾ ചെയ്യേണ്ടത് കമ്പ്യൂട്ടറിന്റെ പേര് മാറ്റുക എന്നതാണ്. നിലവിലെ കമ്പ്യൂട്ടറിന്റെ പേര് HOSTNAME വേരിയബിളിൽ സംഭരിച്ചിരിക്കുന്നു:
ഇത് മാറ്റാൻ നിങ്ങൾ /etc/hostname ഫയൽ എഡിറ്റ് ചെയ്യുകയും അവിടെയുള്ള പഴയ പേര് പുതിയൊരെണ്ണം നൽകുകയും വേണം.
vi /etc/hostname
നിങ്ങൾക്ക് hostnamectl കമാൻഡും ഉപയോഗിക്കാം:
hostnamectl set-hostname "hostname"
3. CentOS അപ്ഡേറ്റ്
ഇൻസ്റ്റാളേഷന് ശേഷം അപ്ഡേറ്റ് ചെയ്യുന്നത് പതിവാണ് സോഫ്റ്റ്വെയർഎല്ലാ സുരക്ഷാ അപ്ഡേറ്റുകളും ഇൻസ്റ്റാൾ ചെയ്യാൻ ഏറ്റവും പുതിയ പതിപ്പിലേക്ക്. റിപ്പോസിറ്ററികളിലെ പാക്കേജുകളുടെ ലിസ്റ്റ് അപ്ഡേറ്റ് ചെയ്യുന്നതിനും പുതിയ പതിപ്പുകൾ ഇൻസ്റ്റാൾ ചെയ്യുന്നതിനും, ഇനിപ്പറയുന്ന കമാൻഡ് പ്രവർത്തിപ്പിക്കുക:
yum അപ്ഡേറ്റ് && yum അപ്ഗ്രേഡ്
4. ഒരു ബ്രൗസർ ഇൻസ്റ്റാൾ ചെയ്യുക
മിക്ക കേസുകളിലും, GUI ഇല്ലാതെ കമാൻഡ് ലൈനിൽ നിന്ന് CentOS ഉപയോഗിക്കേണ്ടതുണ്ട്, അതിനാൽ ഇന്റർനെറ്റിൽ എന്തെങ്കിലും കണ്ടെത്തുന്നതിനോ കമാൻഡ് ലൈനിൽ നിന്ന് സൈറ്റുകളുടെ പ്രവർത്തനക്ഷമത പരിശോധിക്കുന്നതിനോ നിങ്ങൾക്ക് ഒരു ബ്രൗസർ ആവശ്യമായി വന്നേക്കാം. ബ്രൗസർ ലിങ്കുകൾ ഇൻസ്റ്റാൾ ചെയ്യാൻ, ടൈപ്പ് ചെയ്യുക:
yum ലിങ്കുകൾ ഇൻസ്റ്റാൾ ചെയ്യുക
Lynx അല്ലെങ്കിൽ Elinks പോലെയുള്ള Linux-നുള്ള മറ്റ് കൺസോൾ ബ്രൗസറുകൾ നിങ്ങൾക്ക് കണ്ടെത്താനാകും.
5. സമയ മേഖല ക്രമീകരിക്കുക
സമയ മേഖല ശരിയായി സജ്ജീകരിക്കുന്നത് സെർവറിന് വളരെ പ്രധാനമാണ്. ഇത് ലോഗ് ആശയക്കുഴപ്പം ഇല്ലാതാക്കുകയും നിങ്ങളുടെ ആപ്ലിക്കേഷനുകൾ പ്രദർശിപ്പിക്കാൻ അനുവദിക്കുകയും ചെയ്യും ശരിയായ തീയതിസമയവും. കോൺഫിഗറേഷനായി timedatectl യൂട്ടിലിറ്റി ഉപയോഗിക്കുന്നു.
ആദ്യം സമയ മേഖലകളുടെ ഒരു ലിസ്റ്റ് നേടുക:
timedatectl പട്ടിക-സമയമേഖലകൾ
തുടർന്ന് നിങ്ങൾക്ക് ആവശ്യമുള്ളത് ഇൻസ്റ്റാൾ ചെയ്യുക, ഉദാഹരണത്തിന്, Europe/Kyiv:
timedatectl set-timezone Europe/Kyiv
തുടർന്ന് പരിശോധിക്കുക:
7. ലൊക്കേൽ സജ്ജീകരിക്കുന്നു
നിങ്ങളുടെ സിസ്റ്റത്തിൽ ഉപയോഗിക്കേണ്ട ഭാഷയും എൻകോഡിംഗും ലൊക്കേൽ നിർണ്ണയിക്കുന്നു, ഉദാഹരണത്തിന്, റഷ്യൻ ഭാഷ പ്രാപ്തമാക്കുന്നതിന്, മൂല്യം ru_RU.UTF-8 ആയി സജ്ജമാക്കുക.
localectl set-locale LANG=ru_RU.UTF-8
അപ്പോൾ എന്താണ് സംഭവിച്ചതെന്ന് നോക്കാം:
തുടർന്ന് കീബോർഡ് ലേഔട്ട് സജ്ജമാക്കുക:
ലോക്കൽ സെറ്റ്-കീമാപ്പ് ഞങ്ങളെ
8. SELinux പ്രവർത്തനരഹിതമാക്കുക
ഫയലുകളിലേക്കുള്ള ആക്സസ് നിയന്ത്രിക്കാൻ രൂപകൽപ്പന ചെയ്തിട്ടുള്ളതാണ് SELinux നയങ്ങളുടെ ഒരു കൂട്ടം ലിനക്സ് സിസ്റ്റം, എന്നാൽ നിങ്ങൾ അവ ഉപയോഗിക്കാൻ പോകുന്നില്ലെങ്കിൽ, ഈ സവിശേഷത പ്രവർത്തനരഹിതമാക്കാം. ഇത് ചെയ്യുന്നതിന്, പ്രവർത്തിപ്പിക്കുക:
sed -i "s/(^SELINUX=).*/SELINUX=disabled/" /etc/selinux/config
തുടർന്ന് നിങ്ങളുടെ കമ്പ്യൂട്ടർ പുനരാരംഭിച്ച് സവിശേഷത യഥാർത്ഥത്തിൽ പ്രവർത്തനരഹിതമാക്കിയിട്ടുണ്ടോയെന്ന് പരിശോധിക്കുക:
9. ഒരു ഉപയോക്താവിനെ സൃഷ്ടിക്കുക
ഒരു സൂപ്പർ യൂസറായി സിസ്റ്റം ഉപയോഗിക്കുന്നത് സുരക്ഷിതമല്ല, അത് ഉപേക്ഷിക്കുന്നത് കൂടുതൽ സുരക്ഷിതമല്ല തുറന്ന പ്രവേശനം ssh വഴി റൂട്ട് അക്കൗണ്ടിലേക്ക്. ആദ്യം സൃഷ്ടിക്കുക സാധാരണ ഉപയോക്താവ്അതിനായി ഒരു പാസ്വേഡ് സജ്ജമാക്കുക:
useradd ഉപയോക്തൃനാമം
# പാസ്വേഡ് പാസ്വേഡ്
തുടർന്ന് അഡ്മിനിസ്ട്രേറ്ററായി പ്രവർത്തിക്കാൻ ഉപയോക്താവിനെ അനുവദിക്കുന്നതിന് ഉപയോക്താവിനെ വീൽ ഗ്രൂപ്പിലേക്ക് ചേർക്കുക:
usermod -G വീൽ ഉപയോക്തൃനാമം
ഇപ്പോൾ അവശേഷിക്കുന്നത് സുഡോ ക്രമീകരണങ്ങൾ ശരിയാക്കുക എന്നതാണ്; ഇത് ചെയ്യുന്നതിന്, അത് ഇതിനകം ഇല്ലെങ്കിൽ ഇനിപ്പറയുന്ന വരി ചേർക്കുക:
%വീൽ ALL = (എല്ലാം) എല്ലാം
10. മൂന്നാം കക്ഷി റിപ്പോസിറ്ററികൾ പ്രവർത്തനക്ഷമമാക്കുക
ഒരു പ്രൊഡക്ഷൻ സെർവറിലേക്ക് തേർഡ് പാർട്ടി റിപ്പോസിറ്ററികൾ ചേർക്കുന്നത് നല്ല ആശയമല്ല, ചില സന്ദർഭങ്ങളിൽ മോശമായ പ്രത്യാഘാതങ്ങൾക്ക് ഇടയാക്കും. എന്നിരുന്നാലും, ചിലപ്പോൾ നിങ്ങൾക്ക് ഔദ്യോഗിക റിപ്പോസിറ്ററികളിൽ ഇല്ലാത്ത പ്രോഗ്രാമുകൾ ആവശ്യമായി വന്നേക്കാം. അതിനാൽ, നിരവധി റിപ്പോസിറ്ററികൾ എങ്ങനെ ചേർക്കാമെന്ന് നോക്കാം.
എന്റർപ്രൈസ് ലിനക്സ് റിപ്പോസിറ്ററി (EPEL) ചേർക്കാൻ പ്രവർത്തിപ്പിക്കുക:
yum ഇൻസ്റ്റാൾ epel-release
# rpm -Uvh http://www.elrepo.org/elrepo-release-7.0-2.el7.elrepo.noarch.rpm
10. SSH സജ്ജീകരണം
മിക്കപ്പോഴും ഞങ്ങൾ സെർവറുകളുമായി നേരിട്ട് പ്രവർത്തിക്കേണ്ടതില്ല, മറിച്ച് നെറ്റ്വർക്കിലൂടെ, SSH വഴിയാണ്. സാധാരണയായി SSH സേവനം ഇതിനകം ഇൻസ്റ്റാൾ ചെയ്യുകയും സജീവമാക്കുകയും ചെയ്തിട്ടുണ്ട്, പക്ഷേ അതിനായി ശരിയായ പ്രവർത്തനംനിങ്ങൾ ചെയ്യേണ്ട ചില ക്രമീകരണങ്ങളുണ്ട്. ആദ്യം നിങ്ങൾ ഉപയോഗിക്കാൻ മാത്രം കോൺഫിഗർ ചെയ്യേണ്ടതുണ്ട് സുരക്ഷിത പ്രോട്ടോക്കോൾ, ഇത് ചെയ്യുന്നതിന്, /etc/ssh/ssh_config ഫയൽ തുറന്ന് പ്രോട്ടോക്കോൾ 2.1 ലൈൻ ഇല്ലാതാക്കുക. പകരം ചേർക്കുക:
നിങ്ങൾ സൂപ്പർ യൂസറായി ലോഗിൻ പ്രവർത്തനരഹിതമാക്കേണ്ടതുണ്ട്:
PermitRootLogin നമ്പർ
11. അപ്പാച്ചെ വെബ് സെർവർ ഇൻസ്റ്റാൾ ചെയ്യുക
മെഷീൻ ഒരു വെബ് സെർവറായി ഉപയോഗിക്കാൻ നിങ്ങൾ ആഗ്രഹിക്കുന്നുവെങ്കിൽ, നിങ്ങൾക്ക് അപ്പാച്ചെ ആവശ്യമാണ്. ഇത് ഉപയോഗിച്ച് നിങ്ങൾക്ക് വെബ്സൈറ്റുകൾ, മൾട്ടിമീഡിയ ഉള്ളടക്കം, ക്ലയന്റ് പ്രോഗ്രാമുകൾ എന്നിവയും അതിലേറെയും ഹോസ്റ്റുചെയ്യാനാകും. ഇൻസ്റ്റാൾ ചെയ്യാൻ:
yum ഇൻസ്റ്റാൾ httpd
ഇൻസ്റ്റാളേഷൻ പൂർത്തിയായിക്കഴിഞ്ഞാൽ, തുടരുന്നതിന് മുമ്പ് നിങ്ങളുടെ ഫയർവാളിൽ HTTP പ്രവർത്തനക്ഷമമാക്കേണ്ടതുണ്ട്:
firewall-cmd --add-service=http
# firewall-cmd -permanent -add-port=3221/tcp
# firewall-cmd --reload
സ്റ്റാർട്ടപ്പിലേക്ക് അപ്പാച്ചെ ചേർക്കുന്നത് മാത്രമാണ് ഇപ്പോൾ അവശേഷിക്കുന്നത്:
systemctl ആരംഭിക്കുക httpd.service
# systemctl httpd.service പ്രവർത്തനക്ഷമമാക്കുക
12. PHP ഇൻസ്റ്റാൾ ചെയ്യുക
PHP ആണ് ആധുനിക ഭാഷവെബ് ആപ്ലിക്കേഷനുകളും സ്ക്രിപ്റ്റുകളും. ഇത് പലപ്പോഴും ഒരു പ്രോഗ്രാമിംഗ് ഭാഷയായി ഉപയോഗിക്കുന്നു പൊതു ഉപയോഗം. ഇൻസ്റ്റാൾ ചെയ്യാൻ:
ഇൻസ്റ്റാളേഷന് ശേഷം നിങ്ങൾ അപ്പാച്ചെ പുനരാരംഭിക്കേണ്ടതുണ്ട്:
echo -e"" > /var/www/html/phpinfo.php
തുടർന്ന് നിങ്ങളുടെ ബ്രൗസറിൽ സൃഷ്ടിച്ച ഫയൽ തുറക്കുക:
ലിങ്കുകൾ http://127.0.0.1/phpinfo.php
13. ഡാറ്റാബേസ് ഇൻസ്റ്റലേഷൻ
MySQL സോഴ്സ് കോഡിനെ അടിസ്ഥാനമാക്കിയുള്ള ഒരു ഡാറ്റാബേസാണ് MariaDB. Red Hat അടിസ്ഥാനമാക്കിയുള്ള Linux വിതരണങ്ങൾ MySQL-ന് പകരം MariaDB ഉപയോഗിക്കുന്നു. ഡാറ്റാബേസ് - പകരം വയ്ക്കാനാവാത്ത കാര്യംസെർവറിൽ, അതിനാൽ ഇൻസ്റ്റാളേഷന് ശേഷം CentOS കോൺഫിഗർ ചെയ്യുന്നത് അത് ഇൻസ്റ്റാൾ ചെയ്യുന്നത് ഉൾപ്പെടുത്തണം. MariaDB ഇൻസ്റ്റാൾ ചെയ്യാൻ, ടൈപ്പ് ചെയ്യുക:
yum mariadb-server mariadb ഇൻസ്റ്റാൾ ചെയ്യുക
തുടർന്ന് പ്രവർത്തിപ്പിച്ച് സ്റ്റാർട്ടപ്പിലേക്ക് ചേർക്കുക:
systemctl mariadb.service ആരംഭിക്കുക
# systemctl mariadb.service പ്രവർത്തനക്ഷമമാക്കുക
ഫയർവാളിൽ സേവനം അനുവദിക്കുക:
firewall-cmd --add-service=mysql
സജ്ജീകരണ സ്ക്രിപ്റ്റ് പ്രവർത്തിപ്പിക്കുക മാത്രമാണ് അവശേഷിക്കുന്നത്:
/usr/bin/mysql_secure_installation
14. GCC ഇൻസ്റ്റാൾ ചെയ്യുക
GCC എന്നാൽ GNU Compiler Collection എന്നതിന്റെ ചുരുക്കെഴുത്ത്, ലിനക്സിൽ പ്രോഗ്രാമുകൾ നിർമ്മിക്കുന്നതിനുള്ള മാനദണ്ഡമായി കണക്കാക്കപ്പെടുന്ന ഒരു കൂട്ടം കംപൈലറുകൾ. എന്നാൽ ഇത് സ്ഥിരസ്ഥിതിയായി CentOS-ൽ വരുന്നില്ല, അതിനാൽ ഇൻസ്റ്റാൾ ചെയ്യാൻ, ടൈപ്പ് ചെയ്യുക:
അപ്പോൾ നിങ്ങൾക്ക് GCC പതിപ്പ് നോക്കാം:
15. ജാവ ഇൻസ്റ്റാൾ ചെയ്യുക
ജാവ ഒരു പൊതു ഉദ്ദേശ്യ ലക്ഷ്യത്തെ അടിസ്ഥാനമാക്കിയുള്ള പ്രോഗ്രാമിംഗ് ഭാഷയാണ്. ഇത് സ്ഥിരസ്ഥിതിയായി ഇൻസ്റ്റാൾ ചെയ്തിട്ടില്ല, അതിനാൽ ഇൻസ്റ്റാളേഷന് ശേഷം CentOS 7 കോൺഫിഗർ ചെയ്യുന്നതിൽ ഇത് ഇൻസ്റ്റാൾ ചെയ്യുന്നത് ഉൾപ്പെട്ടേക്കാം. ഇത് ചെയ്യുന്നതിന്, പ്രവർത്തിപ്പിക്കുക:
yum ജാവ ഇൻസ്റ്റാൾ ചെയ്യുക
തുടർന്ന് പതിപ്പ് പരിശോധിക്കുക:
നിഗമനങ്ങൾ
ഈ ലേഖനത്തിൽ, ഇൻസ്റ്റാളേഷന് ശേഷം ഒരു CentOS 7 സെർവർ എങ്ങനെ കോൺഫിഗർ ചെയ്യാമെന്ന് ഞങ്ങൾ പരിശോധിച്ചു. നിങ്ങൾക്ക് കാണാനാകുന്നതുപോലെ, ഉൽപ്പാദനത്തിൽ സെർവർ ഉപയോഗിക്കുന്നതിന് മുമ്പ് ചെയ്യേണ്ടത് ഉചിതമായ നിരവധി അടിസ്ഥാന ഘട്ടങ്ങളുണ്ട്. നിങ്ങൾക്ക് എന്തെങ്കിലും ചോദ്യങ്ങളുണ്ടെങ്കിൽ, അഭിപ്രായങ്ങളിൽ ചോദിക്കുക!
എനിക്ക് VDS-ൽ പുതുതായി ഇൻസ്റ്റാൾ ചെയ്ത CentOS 7 സെർവർ ഉണ്ട് കെവിഎം വിർച്ച്വലൈസേഷൻ. നിങ്ങളുടെ വിവേചനാധികാരത്തിൽ ഏത് ശേഷിയിലും അത് ഉപയോഗിക്കുന്നതിന് അടിസ്ഥാന സെർവർ സജ്ജീകരണം എങ്ങനെ ചെയ്യണമെന്ന് ഞാൻ സംസാരിക്കും. ഇതൊരു വെബ് സെർവർ, VPN സെർവർ, മോണിറ്ററിംഗ് സെർവർ ആകാം. സെർവറിനൊപ്പം പ്രവർത്തിക്കാനുള്ള സുരക്ഷയും എളുപ്പവും വർദ്ധിപ്പിക്കുന്ന CentOS സിസ്റ്റത്തിന്റെ പ്രാരംഭ ക്രമീകരണങ്ങളെക്കുറിച്ച് ഞാൻ സംസാരിക്കും. മുൻ പതിപ്പുകളെ അപേക്ഷിച്ച് സിസ്റ്റത്തിന്റെ 7-ാം പതിപ്പിൽ ചില മാറ്റങ്ങൾ ഉണ്ടായിട്ടുണ്ടെന്ന് ഞാൻ ശ്രദ്ധിക്കുന്നു.
ആമുഖം
CentOS 7-ന്റെ പ്രാരംഭ സജ്ജീകരണം
അതിനാൽ, ഞങ്ങൾക്ക് ഉണ്ട്: # uname -a Linux zeroxzed.ru 3.10.0-123.20.1.el7.x86_64 #1 SMP വ്യാഴാഴ്ച 29 18:05:33 UTC 2015 x86_64 x86_64 x86_64 Gx86_64ആദ്യം, നമുക്ക് അപ്ഡേറ്റ് ചെയ്യാം അടിസ്ഥാന സംവിധാനം:
# yum -y അപ്ഡേറ്റ്
അഡ്മിനിസ്ട്രേഷന്റെ എളുപ്പത്തിനായി, ഞാൻ എല്ലായ്പ്പോഴും ഇൻസ്റ്റാൾ ചെയ്യുന്നു അർദ്ധരാത്രി കമാൻഡർ, അല്ലെങ്കിൽ വെറും mc:
# ifconfig
നിങ്ങൾ ഉത്തരം കാണും:
ബാഷ്: ifconfig: കമാൻഡ് കണ്ടെത്തിയില്ല
എഴുതിയത് ഇത്രയെങ്കിലുംഇത് ആദ്യം കണ്ടപ്പോൾ, ഞാൻ ശരിക്കും ഞെട്ടി. കമാൻഡ് എഴുതിയതിൽ എനിക്ക് തെറ്റ് പറ്റിയെന്ന് ഞാൻ കരുതി, എല്ലാം പലതവണ പരിശോധിച്ചെങ്കിലും ഫലമുണ്ടായില്ല. ifconfig ഉം മറ്റ് നെറ്റ്വർക്ക് യൂട്ടിലിറ്റികളും പ്രവർത്തിപ്പിക്കുന്നതിന് എനിക്ക് ഒരു പാക്കേജ് വെവ്വേറെ ഇൻസ്റ്റാൾ ചെയ്യേണ്ടതായി വന്നു.
CentOS 7-ൽ ifconfig-ന് പകരം ഇപ്പോൾ ഒരു യൂട്ടിലിറ്റി ഉണ്ട് ip. നിയന്ത്രണത്തിനായി പ്രത്യേക പ്രോഗ്രാമുകൾ ഉള്ളത് എന്തുകൊണ്ടാണെന്ന് എനിക്ക് മനസ്സിലാകുന്നില്ല നെറ്റ്വർക്ക് ക്രമീകരണങ്ങൾ, ifconfig ഇതിനകം തന്നെ ടാസ്ക്കിനെ നന്നായി നേരിടുന്നുണ്ടെങ്കിൽ. കൂടാതെ, ഞാൻ എപ്പോഴും അത് ഇഷ്ടപ്പെട്ടു വിവിധ വിതരണങ്ങൾ Linux എല്ലാം ഏകദേശം ഒരുപോലെയാണ്. ifconfig ഉപയോഗിച്ച് നിങ്ങൾക്ക് ലിനക്സിൽ മാത്രമല്ല, freebsd ലും നെറ്റ്വർക്ക് ക്രമീകരിക്കാൻ കഴിയും. ഇത് സുഖകരമാണ്. ഓരോ വിതരണത്തിനും അതിന്റേതായ ഉപകരണം ഉള്ളപ്പോൾ, ഇത് അസൗകര്യമാണ്. അതിനാൽ സാധാരണ ifconfig ഇൻസ്റ്റാൾ ചെയ്യാൻ ഞാൻ നിർദ്ദേശിക്കുന്നു.
നമുക്ക് ഇതുചെയ്യാം:
# yum -y net-tools.x86_64 ഇൻസ്റ്റാൾ ചെയ്യുക
ഇപ്പോൾ, nslookup അല്ലെങ്കിൽ, ഉദാഹരണത്തിന്, ഹോസ്റ്റ് കമാൻഡുകൾ പ്രവർത്തിക്കുന്നതിന്, നമ്മൾ bind-utils പാക്കേജ് ഇൻസ്റ്റാൾ ചെയ്യേണ്ടതുണ്ട്. ഇത് ചെയ്തില്ലെങ്കിൽ, കമാൻഡ് ഉപയോഗിക്കുക:
#പരിശോധിക്കുക
ഔട്ട്പുട്ട് ഇതായിരിക്കും:
ബാഷ്: nslookup: കമാൻഡ് കണ്ടെത്തിയില്ല
അതിനാൽ നമുക്ക് bind-utils ഇൻസ്റ്റാൾ ചെയ്യാം:
# yum -y bind-utils ഇൻസ്റ്റാൾ ചെയ്യുക
SELinux പ്രവർത്തനരഹിതമാക്കുക. അതിന്റെ ഉപയോഗവും കോൺഫിഗറേഷനും ഒരു പ്രത്യേക കാര്യമാണ്. ഞാൻ ഇപ്പോൾ ഇത് ചെയ്യില്ല. അതിനാൽ നമുക്ക് അത് ഓഫ് ചെയ്യാം:
# mcedit /etc/sysconfig/selinux
മൂല്യം മാറ്റുക
SELINUX=അപ്രാപ്തമാക്കി
മാറ്റങ്ങൾ പ്രാബല്യത്തിൽ വരുന്നതിന്, റീബൂട്ട് ചെയ്യുക:
# റീബൂട്ട്
നെറ്റ്വർക്ക് പാരാമീറ്ററുകൾ വ്യക്തമാക്കുന്നു
ശേഖരണങ്ങൾ ചേർക്കുന്നു
വിവിധ സോഫ്റ്റ്വെയറുകൾ ഇൻസ്റ്റാൾ ചെയ്യാൻ, നിങ്ങൾ CentOS-ൽ റിപ്പോസിറ്ററികൾ ബന്ധിപ്പിക്കേണ്ടതുണ്ട്. EPEL, rpmforge എന്നിവയാണ് ഏറ്റവും ജനപ്രിയമായത്, അതിനാൽ നമുക്ക് അവ ചേർക്കാം. ആദ്യം ഞങ്ങൾ EPEL ഇൻസ്റ്റാൾ ചെയ്യുന്നു. എല്ലാം ഇതിനൊപ്പം ലളിതമാണ്, ഇത് സ്റ്റാൻഡേർഡ് റിപ്പോസിറ്ററിയിൽ നിന്ന് ചേർത്തു:
# yum -y ഇൻസ്റ്റാൾ എപൽ-റിലീസ്
rpmforge ഇൻസ്റ്റാൾ ചെയ്യുക:
# rpm --ഇറക്കുമതി http://apt.sw.be/RPM-GPG-KEY.dag.txt # yum -y ഇൻസ്റ്റാൾ http://pkgs.repoforge.org/rpmforge-release/rpmforge-release-0.5.3 -1.el7.rf.x86_64.rpm
CentOS 7-ൽ iftop, മുകളിൽ, htop ഇൻസ്റ്റാൾ ചെയ്യുന്നു
അവസാനമായി, സെർവറിന്റെ പ്രവർത്തന സമയത്ത് ഉപയോഗപ്രദമായേക്കാവുന്ന കുറച്ച് ഉപയോഗപ്രദമായ യൂട്ടിലിറ്റികൾ നമുക്ക് ചേർക്കാം.
iftop നെറ്റ്വർക്ക് ഇന്റർഫേസ് ലോഡ് തത്സമയം കാണിക്കുന്നു, ഇതിൽ നിന്ന് സമാരംഭിക്കാനാകും വ്യത്യസ്ത കീകൾ, ഞാൻ ഇതിൽ വിശദമായി വസിക്കില്ല, ഇന്റർനെറ്റിൽ ഈ വിഷയത്തെക്കുറിച്ചുള്ള വിവരങ്ങൾ ഉണ്ട്. ഞങ്ങൾ വെച്ചു:
# yum -y iftop ഇൻസ്റ്റാൾ ചെയ്യുക
രസകരമായ രണ്ട് ടാസ്ക് മാനേജർമാർ, ഞാൻ മിക്കപ്പോഴും htop ഉപയോഗിക്കുന്നു, പക്ഷേ ചിലപ്പോൾ മുകളിൽ ഉപയോഗപ്രദമാകും. നമുക്ക് രണ്ടും ഇൻസ്റ്റാൾ ചെയ്യാം, സ്വയം നോക്കുക, നിങ്ങൾക്ക് ഏറ്റവും ഇഷ്ടപ്പെട്ടതെന്താണെന്ന് കണ്ടെത്തുക, നിങ്ങൾക്ക് അനുയോജ്യമായത് ഏതാണ്:
# yum -y htop ഇൻസ്റ്റാൾ ചെയ്യുക # yum -y മുകളിൽ ഇൻസ്റ്റാൾ ചെയ്യുക
htop ഇതുപോലെ കാണപ്പെടുന്നു:
എനിക്ക് അത്രമാത്രം. അടിസ്ഥാന സജ്ജീകരണം CentOS 7 പൂർത്തിയായി, നിങ്ങൾക്ക് പ്രധാന പ്രവർത്തനം ഇൻസ്റ്റാൾ ചെയ്യാനും കോൺഫിഗർ ചെയ്യാനും കഴിയും.
ഉപസംഹാരം
ഒരു സെർവർ തയ്യാറാക്കുമ്പോൾ ഞാൻ സാധാരണയായി ചെയ്യുന്ന ചില പ്രാരംഭ സജ്ജീകരണ ഘട്ടങ്ങളിലൂടെ ഞങ്ങൾ കടന്നുപോയി. ഞാൻ കേവല സത്യമായി നടിക്കുന്നില്ല; എനിക്ക് എന്തെങ്കിലും നഷ്ടപ്പെടുകയോ അല്ലെങ്കിൽ പൂർണ്ണമായും ശരിയല്ലാത്ത എന്തെങ്കിലും ചെയ്യുകയോ ചെയ്യാം. യുക്തിസഹവും അർത്ഥവത്തായതുമായ അഭിപ്രായങ്ങളും നിർദ്ദേശങ്ങളും ലഭിക്കുന്നതിൽ ഞാൻ സന്തുഷ്ടനാണ്.
കോൺഫിഗറേഷനുശേഷം സെർവറിനെ മോണിറ്ററിംഗ് സിസ്റ്റത്തിലേക്ക് ഉടനടി ബന്ധിപ്പിക്കുന്നത് ഉപയോഗപ്രദമാണ്. അല്ലെങ്കിൽ നിങ്ങൾക്ക് ഇതിനകം ഒന്നുമില്ലെങ്കിൽ അത് സജ്ജീകരിക്കുക. മോണിറ്ററിംഗ് സജ്ജീകരിക്കുന്നതിനെക്കുറിച്ച് എനിക്ക് വിശദമായ ലേഖനങ്ങളുടെ ഒരു പരമ്പരയുണ്ട്:
- ഒരു zabbix മോണിറ്ററിംഗ് സെർവർ സജ്ജീകരിക്കുന്നതിനുള്ള ഒരു ഉദാഹരണം, അല്ലെങ്കിൽ അതിൽ ഒരു ഏജന്റ് ഇൻസ്റ്റാൾ ചെയ്തുകൊണ്ട് നിരീക്ഷണത്തിലേക്ക് സെന്റോകളെ മാത്രം ബന്ധിപ്പിക്കുക.
- ഒരു മൂന്നാം കക്ഷി smtp സെർവർ വഴി zabbix ഇമെയിൽ അറിയിപ്പുകൾ സജ്ജീകരിക്കുന്നു.
- nginx + php-fpm അടിസ്ഥാനമാക്കിയുള്ള ഒരു വെബ് സെർവറിന്റെ വിശദമായ നിരീക്ഷണം.
- zabbix അടിസ്ഥാനമാക്കിയുള്ള വെബ്സൈറ്റ് നിരീക്ഷണ സംവിധാനം.
- zabbix-ൽ mysql റെപ്ലിക്കേഷൻ നിരീക്ഷിക്കുന്നു.
CentOS 7 സജ്ജീകരണ വീഡിയോ
ഓഗസ്റ്റ് 15, 2014 12:57 pm 12,380 കാഴ്ചകൾ | അഭിപ്രായങ്ങളൊന്നും ഇല്ല
നിങ്ങൾ ആദ്യം ഒരു പുതിയ വെർച്വൽ പ്രൈവറ്റ് സെർവറിലേക്ക് ലോഗിൻ ചെയ്യുമ്പോൾ, അതിന്റെ സുരക്ഷ വർദ്ധിപ്പിക്കുന്ന നിരവധി ഘട്ടങ്ങൾ നിങ്ങൾ ചെയ്യേണ്ടതുണ്ട്. IN ഈ മാനുവൽഒരു പുതിയ ഉപയോക്താവിനെ എങ്ങനെ സൃഷ്ടിക്കാമെന്നും അതിന് ഉചിതമായ പ്രത്യേകാവകാശങ്ങൾ നൽകാമെന്നും SSH കോൺഫിഗർ ചെയ്യാമെന്നും ഞങ്ങൾ സംസാരിക്കും.
1: റൂട്ട് ഉപയോക്താവായി ലോഗിൻ ചെയ്യുക
നിങ്ങളുടെ ഐപി വിലാസവും റൂട്ട് പാസ്വേഡും ലഭിച്ചുകഴിഞ്ഞാൽ, പ്രധാന ഉപയോക്താവായി (റൂട്ട്) സെർവറിലേക്ക് ലോഗിൻ ചെയ്യുക. ഇത് ചെയ്യുന്നതിന്, കമാൻഡ് ഉപയോഗിക്കുക (അനുവദിച്ച IP നിങ്ങളുടെ IP വിലാസം ഉപയോഗിച്ച് മാറ്റിസ്ഥാപിക്കുക):
ടെർമിനൽ ഇതുപോലുള്ള ഒന്ന് തിരികെ നൽകും:
"111.22.33.444 (111.22.33.444)" എന്ന ഹോസ്റ്റിന്റെ ആധികാരികത സ്ഥാപിക്കാൻ കഴിയില്ല.
ECDSA കീ വിരലടയാളം 79:95:46:1a:ab:37:11:8e:86:54:36:38:bb:3c:fa:c0 ആണ്.
കണക്റ്റുചെയ്യുന്നത് തുടരണമെന്ന് തീർച്ചയാണോ (അതെ/ഇല്ല)?
അതെ തിരഞ്ഞെടുത്ത് നിങ്ങളുടെ റൂട്ട് പാസ്വേഡ് നൽകുക.
കുറിപ്പ്: റൂട്ട് അക്കൗണ്ട് പതിവായി ഉപയോഗിക്കുന്നത് ശുപാർശ ചെയ്യുന്നില്ല; സ്ഥിരമായ ജോലിക്കായി മറ്റൊരു ഉപയോക്താവിനെ സൃഷ്ടിക്കാൻ ഈ ഗൈഡ് നിങ്ങളെ സഹായിക്കും.
2: നിങ്ങളുടെ പാസ്വേഡ് മാറ്റുക
ഓൺ ഈ നിമിഷംറൂട്ട് പാസ്വേഡ് ഉപയോഗിക്കുന്നു, സ്ഥിരസ്ഥിതിയായി സജ്ജീകരിച്ച് സെർവർ രജിസ്റ്റർ ചെയ്തതിന് ശേഷം സ്വീകരിക്കുന്നു. നിങ്ങളുടെ സ്വന്തം പാസ്വേഡ് ഉപയോഗിച്ച് മാറ്റിസ്ഥാപിക്കുക എന്നതാണ് ആദ്യം ചെയ്യേണ്ടത്.
നിങ്ങൾ സജ്ജമാക്കിയ പാസ്വേഡുകളെ സംബന്ധിച്ച്, CentOS സിസ്റ്റംവളരെ ശ്രദ്ധയോടെ. അതിനാൽ, ഒരു പുതിയ പാസ്വേഡ് നൽകിയതിന് ശേഷം, ഒരു മോശം പാസ്വേഡ് അറിയിപ്പ് ദൃശ്യമാകാം. നിങ്ങൾക്ക് ഒന്നുകിൽ കൂടുതൽ ഇൻസ്റ്റാൾ ചെയ്യാം സങ്കീർണ്ണമായ പാസ്വേഡ്, അല്ലെങ്കിൽ സന്ദേശം അവഗണിക്കുക: വാസ്തവത്തിൽ, CentOS വളരെ ലളിതമായി അല്ലെങ്കിൽ സ്വീകരിക്കും ചെറിയ പാസ്വേഡ്, കൂടുതൽ സങ്കീർണ്ണമായ കോമ്പിനേഷൻ ഉപയോഗിക്കാൻ ഇത് നിർദ്ദേശിക്കുമെങ്കിലും.
3: ഒരു പുതിയ ഉപയോക്താവിനെ സൃഷ്ടിക്കുക
സെർവറിൽ പ്രവേശിച്ച് റൂട്ട് പാസ്വേഡ് മാറ്റിയ ശേഷം, നിങ്ങൾ വീണ്ടും റൂട്ടായി VPS-ലേക്ക് ലോഗിൻ ചെയ്യേണ്ടതുണ്ട്. ഒരു പുതിയ ഉപയോക്താവിനെ എങ്ങനെ സൃഷ്ടിക്കാമെന്നും അതിനായി ഒരു പാസ്വേഡ് സജ്ജീകരിക്കാമെന്നും ഈ വിഭാഗം കാണിക്കും.
അതിനാൽ, ഒരു പുതിയ ഉപയോക്താവിനെ സൃഷ്ടിക്കുക; ഇത് ചെയ്യുന്നതിന്, ഇനിപ്പറയുന്ന കമാൻഡ് ഉപയോഗിക്കുക (നിങ്ങളുടെ ഉപയോക്തൃനാമം ഉപയോഗിച്ച് ഡെമോ മാറ്റിസ്ഥാപിക്കുക):
adduser ഡെമോ
ഇപ്പോൾ ഈ ഉപയോക്താവിനായി ഒരു പാസ്വേഡ് സൃഷ്ടിക്കുക (വീണ്ടും, നിങ്ങൾ ഇപ്പോൾ സൃഷ്ടിച്ച ഉപയോക്താവിന്റെ പേര് ഉപയോഗിച്ച് ഡെമോ മാറ്റിസ്ഥാപിക്കുക):
പാസ്വേഡ് ഡെമോ
4: റൂട്ട് പ്രത്യേകാവകാശങ്ങൾ
ഇപ്പോൾ, എല്ലാ അഡ്മിനിസ്ട്രേറ്റർ അവകാശങ്ങളും റൂട്ട് ഉപയോക്താവിനുള്ളതാണ്. പുതിയ അക്കൗണ്ട് ശാശ്വതമായി ഉപയോഗിക്കുന്നതിന്, നിങ്ങൾ എല്ലാ റൂട്ട് പ്രത്യേകാവകാശങ്ങളും പുതിയ ഉപയോക്താവിന് (ഡെമോ) കൈമാറേണ്ടതുണ്ട്.
റൂട്ട് പ്രത്യേകാവകാശങ്ങൾ ഉപയോഗിച്ച് ടാസ്ക്കുകൾ നിർവഹിക്കുന്നതിന്, നിങ്ങൾ sudo ഉപയോഗിച്ച് കമാൻഡ് ആരംഭിക്കേണ്ടതുണ്ട്. ഈ വാചകം രണ്ട് കാരണങ്ങളാൽ ഉപയോഗപ്രദമാണ്: 1) ഉപയോക്താവ് വരുത്തിയ വിനാശകരമായ പിശകുകളിൽ നിന്ന് ഇത് സിസ്റ്റത്തെ സംരക്ഷിക്കുന്നു; 2) സുഡോ ഉപയോഗിച്ച് ലോഞ്ച് ചെയ്ത എല്ലാ കമാൻഡുകളും ഇത് /var/log/secure ഫയലിൽ സംഭരിക്കുന്നു, അത് പിന്നീട് കാണാൻ കഴിയും.
ഇപ്പോൾ നിങ്ങൾ സുഡോ ക്രമീകരണങ്ങൾ മാറ്റേണ്ടതുണ്ട്; ഈ ഉപയോഗത്തിന് ടെക്സ്റ്റ് എഡിറ്റർ CentOS ഡിഫോൾട്ട്, അതിനെ vi എന്ന് വിളിക്കുന്നു:
ഇതുപോലെ കാണപ്പെടുന്ന ഉപയോക്തൃ പ്രത്യേക സ്പെസിഫിക്കേഷൻ വിഭാഗം കണ്ടെത്തുക:
#ഉപയോക്തൃ പ്രിവിലേജ് സ്പെസിഫിക്കേഷൻ
റൂട്ട് ALL=(എല്ലാം) ALL
റൂട്ട് പ്രത്യേകാവകാശങ്ങളുള്ള വരിക്ക് ശേഷം, നൽകുക അടുത്ത വരിഇത് പുതിയ ഉപയോക്താവിന് എല്ലാ പ്രത്യേകാവകാശങ്ങളും കൈമാറും (vi-യിൽ ടൈപ്പ് ചെയ്യാൻ തുടങ്ങുന്നതിന്, i അമർത്തുക):
ഡെമോ ALL=(എല്ലാം) ALL
വാചകം നൽകുന്നത് പൂർത്തിയാക്കാൻ, Esc അമർത്തുക; ഫയൽ സേവ് ചെയ്യാനും അടയ്ക്കാനും:, wq, എന്റർ എന്ന് ടൈപ്പ് ചെയ്യുക.
5: SSH സജ്ജീകരിക്കുക (ഓപ്ഷണൽ)
ഇപ്പോൾ നമുക്ക് സെർവർ സുരക്ഷിതമാക്കേണ്ടതുണ്ട്. അംഗീകാര പ്രക്രിയ കൂടുതൽ ദുഷ്കരമാക്കിക്കൊണ്ട് നിങ്ങളുടെ സെർവർ എങ്ങനെ സംരക്ഷിക്കാമെന്ന് ഈ അധിക വിഭാഗം നിങ്ങളോട് പറയും.
കോൺഫിഗറേഷൻ ഫയൽ തുറക്കുക:
sudo vi /etc/ssh/sshd_config
ഇനിപ്പറയുന്ന വിഭാഗങ്ങൾ കണ്ടെത്തി അതിനനുസരിച്ച് മാറ്റങ്ങൾ വരുത്തുക:
പോർട്ട് 25000
PermitRootLogin നമ്പർ
തുറമുഖം: ഡിഫോൾട്ട് പോർട്ട് 22 ആണെങ്കിലും, നിങ്ങൾക്കത് 1025 മുതൽ 65536 വരെയുള്ള ഏത് നമ്പറിലേക്കും മാറ്റാം. ഈ ഗൈഡ് SSHD പോർട്ട് 25000 ഉപയോഗിക്കുന്നു. ദയവായി ശ്രദ്ധിക്കുക: പുതിയ നമ്പർ SSH വഴി സെർവറിലേക്ക് ലോഗിൻ ചെയ്യേണ്ടതിനാൽ, പോർട്ട് ഓർത്തിരിക്കേണ്ടതാണ്/എഴുതിയിരിക്കണം.
PermitRootLogin:റൂട്ട് ലോഗിൻ പ്രവർത്തനരഹിതമാക്കാൻ yes എന്ന് മാറ്റുക. ഇപ്പോൾ നിങ്ങൾക്ക് ഒരു പുതിയ ഉപയോക്താവിനെ ഉപയോഗിച്ച് മാത്രമേ സെർവറിൽ പ്രവേശിക്കാൻ കഴിയൂ.
അതിനാൽ SSH മാത്രമേ ഉപയോഗിക്കാൻ കഴിയൂ നിർദ്ദിഷ്ട ഉപയോക്താവ്, ഡോക്യുമെന്റിന്റെ ചുവടെ ഈ വരി ചേർക്കുക (നിങ്ങളുടെ ഉപയോക്തൃനാമം ഉപയോഗിച്ച് ഡെമോ മാറ്റിസ്ഥാപിക്കുക):
ഉപയോക്താക്കളുടെ ഡെമോ അനുവദിക്കുക
തുടർന്ന് നിങ്ങളുടെ മാറ്റങ്ങൾ സംരക്ഷിച്ച് ഫയൽ അടയ്ക്കുക.
പുനരാരംഭിക്കുകഎസ്.എസ്.എച്ച്
സജീവമാക്കാൻ മാറ്റങ്ങൾ വരുത്തി, SSHD സേവനം പുനരാരംഭിക്കുക:
sudo systemctl sshd.service റീലോഡ് ചെയ്യുക
പുതിയ ക്രമീകരണങ്ങൾ പരിശോധിക്കുന്നതിന് (ഇതുവരെ റൂട്ട് അക്കൗണ്ടിൽ നിന്ന് ലോഗ് ഔട്ട് ചെയ്യരുത്), ഒരു ടെർമിനൽ തുറന്ന് ഒരു പുതിയ ഉപയോക്താവായി സെർവറിലേക്ക് ലോഗിൻ ചെയ്യുക (ശരിയായ IP വിലാസവും പോർട്ടും നൽകാൻ ഓർമ്മിക്കുക):
ssh -p 25000 ഡെമോ @111.22.33.444
ഒരു അറിയിപ്പ് ദൃശ്യമാകണം:
സോണുകൾ
സോണുകൾ എന്ന് വിളിക്കപ്പെടുന്ന നിയമങ്ങൾ ഉപയോഗിച്ച് ഫയർവാൾഡ് ഡെമൺ നിയന്ത്രിക്കുന്നു.
ഒരു പ്രത്യേക നെറ്റ്വർക്കിലെ വിശ്വാസത്തിന്റെ നിലവാരത്തെ അടിസ്ഥാനമാക്കി ട്രാഫിക് നിയന്ത്രിക്കുന്ന നിയമങ്ങളുടെ കൂട്ടമാണ് സോണുകൾ. നെറ്റ്വർക്ക് ഇന്റർഫേസുകളിലേക്ക് സോണുകൾ നിയോഗിക്കുകയും ഫയർവാളിന്റെ സ്വഭാവം നിയന്ത്രിക്കുകയും ചെയ്യുന്നു.
വ്യത്യസ്ത നെറ്റ്വർക്കുകളിലേക്ക് (ലാപ്ടോപ്പുകൾ പോലുള്ളവ) ഇടയ്ക്കിടെ കണക്റ്റ് ചെയ്യുന്ന കമ്പ്യൂട്ടറുകൾക്ക് പരിസ്ഥിതിയെ ആശ്രയിച്ച് റൂൾ സെറ്റുകൾ മാറ്റാൻ സോണുകൾ ഉപയോഗിക്കാം. ഉദാഹരണത്തിന്, ബന്ധിപ്പിക്കുമ്പോൾ പൊതു ശൃംഖല വൈഫൈ ഫയർവാൾഹോം നെറ്റ്വർക്കിൽ കർശനമായ നിയമങ്ങൾ നടപ്പിലാക്കാനും നിയന്ത്രണങ്ങൾ അഴിച്ചുവിടാനും കഴിയും.
ഫയർവാൾഡിന് ഇനിപ്പറയുന്ന മേഖലകളുണ്ട്:
- ഡ്രോപ്പ്: നെറ്റ്വർക്ക് ട്രസ്റ്റിന്റെ ഏറ്റവും താഴ്ന്ന നില. എല്ലാം ഇൻകമിംഗ് ട്രാഫിക്പ്രതികരണമില്ലാതെ പുനഃസജ്ജമാക്കുക, ഔട്ട്ഗോയിംഗ് കണക്ഷനുകൾ മാത്രമേ പിന്തുണയ്ക്കൂ.
- തടയുക: ഈ സോൺ മുമ്പത്തേതിന് സമാനമാണ്, എന്നാൽ ഇൻകമിംഗ് അഭ്യർത്ഥനകൾ icmp-host-prohibited അല്ലെങ്കിൽ icmp6-adm-prohibited എന്ന സന്ദേശത്തോടെ ഉപേക്ഷിക്കപ്പെടും.
- പൊതു: ഈ സോൺ ഒരു പൊതു ശൃംഖലയെ പ്രതിനിധീകരിക്കുന്നു, അത് വിശ്വസിക്കാൻ കഴിയില്ല, എന്നാൽ ഒരു സ്വകാര്യ അടിസ്ഥാനത്തിൽ ഇൻകമിംഗ് കണക്ഷനുകൾ അനുവദിക്കുന്നു.
- ബാഹ്യ: മേഖല ബാഹ്യ നെറ്റ്വർക്കുകൾ. NAT മാസ്ക്വറേഡിംഗിനെ പിന്തുണയ്ക്കുന്നു, അതിനാൽ ആന്തരിക നെറ്റ്വർക്ക് അടച്ചിട്ടുണ്ടെങ്കിലും ഇപ്പോഴും ആക്സസ് ചെയ്യാനാകും.
- ആന്തരികം: പിൻ വശംബാഹ്യ മേഖലകൾ, ആന്തരിക നെറ്റ്വർക്കുകൾ. ഈ മേഖലയിലെ കമ്പ്യൂട്ടറുകളെ വിശ്വസിക്കാം. അധിക സേവനങ്ങൾ ലഭ്യമാണ്.
- dmz: ഒരു DMZ-ൽ സ്ഥിതി ചെയ്യുന്ന കമ്പ്യൂട്ടറുകൾക്കായി ഉപയോഗിക്കുന്നു (ബാക്കി നെറ്റ്വർക്കിലേക്ക് ആക്സസ് ഇല്ലാത്ത ഒറ്റപ്പെട്ട കമ്പ്യൂട്ടറുകൾ); ചില ഇൻകമിംഗ് കണക്ഷനുകളെ മാത്രം പിന്തുണയ്ക്കുന്നു.
- ജോലി: വർക്ക് നെറ്റ്വർക്ക് സോൺ. നെറ്റ്വർക്കിലെ മിക്ക മെഷീനുകളും വിശ്വസിക്കാൻ കഴിയും. അധിക സേവനങ്ങൾ ലഭ്യമാണ്.
- വീട്: ഹോം നെറ്റ്വർക്ക് സോൺ. പരിസ്ഥിതിയെ വിശ്വസിക്കാം, പക്ഷേ പിന്തുണയ്ക്കുക മാത്രം ഉപയോക്താവ് നിർവചിച്ചുഇൻകമിംഗ് കണക്ഷനുകൾ.
- വിശ്വസനീയം: നെറ്റ്വർക്കിലെ എല്ലാ മെഷീനുകളും വിശ്വസിക്കാൻ കഴിയും.
സംരക്ഷിക്കൽ നിയമങ്ങൾ
ഫയർവാൾഡ് നിയമങ്ങൾ ശാശ്വതമോ താൽക്കാലികമോ ആകാം. സെറ്റിൽ എന്തെങ്കിലും നിയമങ്ങൾ പ്രത്യക്ഷപ്പെടുകയോ മാറുകയോ ചെയ്താൽ, ഫയർവാളിന്റെ നിലവിലെ സ്വഭാവം ഉടനടി മാറുന്നു. എന്നിരുന്നാലും, ഒരു റീബൂട്ടിന് ശേഷം, അവ സംരക്ഷിച്ചില്ലെങ്കിൽ എല്ലാ മാറ്റങ്ങളും നഷ്ടപ്പെടും.
മിക്ക firewall-cmd കമാൻഡുകൾക്കും --permanent ഫ്ലാഗ് ഉപയോഗിക്കാം, അത് റൂൾ സംരക്ഷിക്കും, അതിനുശേഷം അത് ശാശ്വതമായി ഉപയോഗിക്കും.
ഫയർവാൾഡ് പ്രവർത്തനക്ഷമമാക്കുക
ആദ്യം നിങ്ങൾ ഡെമൺ പ്രവർത്തനക്ഷമമാക്കേണ്ടതുണ്ട്. systemd യൂണിറ്റ് ഫയലിനെ firewalld.service എന്ന് വിളിക്കുന്നു. ഡെമൺ ആരംഭിക്കാൻ, നൽകുക.
sudo systemctl firewalld.service ആരംഭിക്കുക
സേവനം പ്രവർത്തിക്കുന്നുണ്ടെന്ന് ഉറപ്പാക്കുക:
firewall-cmd --state
പ്രവർത്തിക്കുന്ന
ഫയർവാൾ ഇപ്പോൾ അതിന്റെ ഡിഫോൾട്ട് കോൺഫിഗറേഷൻ അനുസരിച്ച് പ്രവർത്തിക്കുന്നു.
സേവനം നിലവിൽ പ്രവർത്തനക്ഷമമാണ്, പക്ഷേ സെർവറിൽ സ്വയമേവ ആരംഭിക്കില്ല. നിങ്ങളുടെ സ്വന്തം സെർവറിൽ ആകസ്മികമായി നിങ്ങളെ തടയുന്നത് ഒഴിവാക്കാൻ, ആദ്യം ഒരു കൂട്ടം നിയമങ്ങൾ സൃഷ്ടിച്ച് ഓട്ടോറൺ കോൺഫിഗർ ചെയ്യുക.
ഡിഫോൾട്ട് ഫയർവാൾ നിയമങ്ങൾ
സ്ഥിരസ്ഥിതി നിയമങ്ങൾ കാണുക
ഡിഫോൾട്ട് ഏത് സോൺ ആണെന്ന് കണ്ടെത്താൻ, നൽകുക:
firewall-cmd --get-default-zone
പൊതു
ഈ സമയത്ത്, മറ്റ് സോണുകളെ സംബന്ധിച്ച് ഫയർവാൾഡിന് നിർദ്ദേശങ്ങളൊന്നും ലഭിച്ചിട്ടില്ല, കൂടാതെ മറ്റ് സോണുകളുമായി ബന്ധപ്പെട്ട ഇന്റർഫേസുകളൊന്നും ഇല്ല, അതിനാൽ പബ്ലിക് സോൺ ഇപ്പോൾ ഡിഫോൾട്ട് സോണും ഒരേയൊരു സജീവ മേഖലയുമാണ്.
സജീവ സോണുകളുടെ ഒരു ലിസ്റ്റ് ലഭിക്കാൻ, നൽകുക:
പൊതു
ഇന്റർഫേസുകൾ: eth0 eth1
പബ്ലിക് സോണുമായി ബന്ധപ്പെട്ട രണ്ട് നെറ്റ്വർക്ക് ഇന്റർഫേസുകളുണ്ട്: eth0, eth1. ഒരു സോണുമായി ബന്ധിപ്പിച്ചിട്ടുള്ള ഇന്റർഫേസുകൾ ആ സോണിന്റെ നിയമങ്ങൾക്കനുസൃതമായി പ്രവർത്തിക്കുന്നു.
ഒരു സോൺ ഡിഫോൾട്ടായി ഏതൊക്കെ നിയമങ്ങളാണ് ഉപയോഗിക്കുന്നതെന്ന് കാണാൻ, നൽകുക:
firewall-cmd --list-all
പൊതു (സ്ഥിരസ്ഥിതി, സജീവം)
ഇന്റർഫേസുകൾ: eth0 eth1
ഉറവിടങ്ങൾ:
സേവനങ്ങൾ: dhcpv6-client ssh
തുറമുഖങ്ങൾ:
മുഖംമൂടി: ഇല്ല
ഫോർവേഡ്-പോർട്ടുകൾ:
icmp ബ്ലോക്കുകൾ:
സമ്പന്നമായ നിയമങ്ങൾ:
അതിനാൽ ഇപ്പോൾ നിങ്ങൾക്കറിയാം:
- പബ്ലിക് ആണ് ഡിഫോൾട്ട് സോണും ഏക സജീവ മേഖലയും.
- eth0, eth1 ഇന്റർഫേസുകൾ അതിനോട് ബന്ധപ്പെട്ടിരിക്കുന്നു.
- ഇത് DHCP (IP വിലാസ അസൈൻമെന്റ്), SSH (റിമോട്ട് അഡ്മിനിസ്ട്രേഷൻ) ട്രാഫിക്കിനെ പിന്തുണയ്ക്കുന്നു.
മറ്റ് ഫയർവാൾ സോണുകൾ
ഇപ്പോൾ നിങ്ങൾ മറ്റ് സോണുകളുമായി പരിചയപ്പെടണം.
ലഭ്യമായ എല്ലാ സോണുകളുടെയും ഒരു ലിസ്റ്റ് ലഭിക്കാൻ, നൽകുക:
firewall-cmd --get-zones
ഒരു നിർദ്ദിഷ്ട സോണിനുള്ള പരാമീറ്ററുകൾ ലഭിക്കുന്നതിന്, കമാൻഡിലേക്ക് --zone= ഫ്ലാഗ് ചേർക്കുക.
firewall-cmd --zone=home --list-all
വീട്
ഇന്റർഫേസുകൾ:
ഉറവിടങ്ങൾ:
സേവനങ്ങൾ: dhcpv6-client ipp-client mdns samba-client ssh
തുറമുഖങ്ങൾ:
മുഖംമൂടി: ഇല്ല
ഫോർവേഡ്-പോർട്ടുകൾ:
icmp ബ്ലോക്കുകൾ:
സമ്പന്നമായ നിയമങ്ങൾ:
ലഭ്യമായ എല്ലാ സോണുകളുടെയും നിർവചനങ്ങൾ ലിസ്റ്റ് ചെയ്യുന്നതിന്, --list-all-zones ഓപ്ഷൻ ചേർക്കുക. കൂടുതൽ സൗകര്യപ്രദമായ കാഴ്ചഔട്ട്പുട്ട് ഒരു പേജറിലേക്ക് അയയ്ക്കാൻ കഴിയും:
firewall-cmd --list-all-zones | കുറവ്
ഇന്റർഫേസ് സോണുകൾ സജ്ജീകരിക്കുന്നു
തുടക്കത്തിൽ, എല്ലാ നെറ്റ്വർക്ക് ഇന്റർഫേസുകളും ഡിഫോൾട്ട് സോണിലേക്ക് നൽകിയിരിക്കുന്നു.
ഒരു സെഷനായി ഇന്റർഫേസ് സോൺ മാറ്റുന്നു
ഒരു സെഷനായി മറ്റൊരു സോണിലേക്ക് ഒരു ഇന്റർഫേസ് നീക്കുന്നതിന്, --zone=, --change-interface= എന്നീ ഓപ്ഷനുകൾ ഉപയോഗിക്കുക.
ഉദാഹരണത്തിന്, ഹോം സോണിലേക്ക് eth0 നീക്കാൻ, നിങ്ങൾ നൽകണം:
sudo firewall-cmd --zone=home --change-interface=eth0
വിജയം
കുറിപ്പ്: ഒരു ഇന്റർഫേസ് മറ്റൊരു സോണിലേക്ക് മാറ്റുമ്പോൾ, ഇത് ചില സേവനങ്ങളുടെ പ്രവർത്തനത്തെ ബാധിച്ചേക്കാമെന്ന് നിങ്ങൾ കണക്കിലെടുക്കേണ്ടതുണ്ട്. ഉദാഹരണത്തിന്, ഹോം സോൺ SSH പിന്തുണയ്ക്കുന്നു, അതിനാൽ ഈ സേവനത്തിൽ നിന്നുള്ള കണക്ഷനുകൾ ഉപേക്ഷിക്കപ്പെടില്ല. എന്നാൽ ചില സോണുകൾ SSH ഉൾപ്പെടെയുള്ള എല്ലാ കണക്ഷനുകളും പുനഃസജ്ജമാക്കുന്നു, തുടർന്ന് നിങ്ങളുടെ സ്വന്തം സെർവറിൽ നിന്ന് അബദ്ധത്തിൽ സ്വയം ലോക്ക് ചെയ്യാവുന്നതാണ്.
ഇന്റർഫേസ് പുതിയ സോണിലേക്ക് ബന്ധിപ്പിച്ചിട്ടുണ്ടെന്ന് ഉറപ്പാക്കാൻ, നൽകുക:
firewall-cmd --get-active-zones
വീട്
ഇന്റർഫേസുകൾ: eth0
പൊതു
ഇന്റർഫേസുകൾ: eth1
ഫയർവാൾ റീബൂട്ട് ചെയ്ത ശേഷം, ഇന്റർഫേസ് സ്ഥിരസ്ഥിതി സോണിലേക്ക് തിരികെ ബന്ധിപ്പിക്കും.
sudo systemctl firewalld.service പുനരാരംഭിക്കുക
firewall-cmd --get-active-zones
പൊതു
ഇന്റർഫേസുകൾ: eth0 eth1
ഇന്റർഫേസ് സോൺ ശാശ്വതമായി മാറ്റുന്നു
ഇന്റർഫേസ് ക്രമീകരണങ്ങളിൽ മറ്റൊരു സോണും വ്യക്തമാക്കിയിട്ടില്ലെങ്കിൽ, ഫയർവാൾ പുനരാരംഭിച്ചതിന് ശേഷം, ഇന്റർഫേസ് ഡിഫോൾട്ട് സോണിലേക്ക് തിരികെ ബന്ധിപ്പിക്കും. CentOS-ൽ, അത്തരം കോൺഫിഗറേഷനുകൾ ifcfg-interface ഫോർമാറ്റിലുള്ള ഫയലുകളിൽ /etc/sysconfig/network-scripts ഡയറക്ടറിയിൽ സംഭരിച്ചിരിക്കുന്നു.
ഒരു ഇന്റർഫേസിന്റെ സോൺ നിർവചിക്കുന്നതിന്, ആ ഇന്റർഫേസിന്റെ കോൺഫിഗറേഷൻ ഫയൽ തുറക്കുക, ഉദാഹരണത്തിന്:
ഫയലിന്റെ അവസാനം, ZONE= വേരിയബിൾ ചേർത്ത് മറ്റൊരു സോൺ മൂല്യമായി വ്യക്തമാക്കുക, ഉദാഹരണത്തിന്, ഹോം:
. . .
DNS1=2001:4860:4860::8844
DNS2=2001:4860:4860::8888
DNS3=8.8.8.8
ZONE=വീട്
ഫയൽ സംരക്ഷിച്ച് അടയ്ക്കുക.
ക്രമീകരണങ്ങൾ അപ്ഡേറ്റ് ചെയ്യുന്നതിന്, നെറ്റ്വർക്ക് സേവനവും ഫയർവാളും പുനരാരംഭിക്കുക:
sudo systemctl network.service പുനരാരംഭിക്കുക
sudo systemctl firewalld.service പുനരാരംഭിക്കുക
പുനരാരംഭിച്ചതിന് ശേഷം, eth0 ഇന്റർഫേസ് ഹോം സോണിലേക്ക് അസൈൻ ചെയ്യപ്പെടും.
firewall-cmd --get-active-zones
വീട്
ഇന്റർഫേസുകൾ: eth0
പൊതു
ഇന്റർഫേസുകൾ: eth1
ഡിഫോൾട്ട് സോൺ ക്രമീകരണം
നിങ്ങൾക്ക് മറ്റൊരു ഡിഫോൾട്ട് സോൺ തിരഞ്ഞെടുക്കാനും കഴിയും.
ഇത് ചെയ്യുന്നതിന്, --set-default-zone= പരാമീറ്റർ ഉപയോഗിക്കുക. ഇതിനുശേഷം, എല്ലാ ഇന്റർഫേസുകളും മറ്റൊരു സോണിലേക്ക് അസൈൻ ചെയ്യപ്പെടും:
sudo firewall-cmd --set-default-zone=home
വീട്
ഇന്റർഫേസുകൾ: eth0 eth1
ആപ്ലിക്കേഷൻ നിയമങ്ങൾ സൃഷ്ടിക്കുന്നു
ഒരു സോണിലേക്ക് ഒരു സേവനം ചേർക്കുന്നു
ഫയർവാൾ ഉപയോഗിക്കുന്ന സോണിലേക്ക് ഒരു സേവനമോ പോർട്ടോ ചേർക്കുക എന്നതാണ് ഏറ്റവും എളുപ്പമുള്ള മാർഗം. ലഭ്യമായ സേവനങ്ങൾ കാണുക:
firewall-cmd --get-services
RH-Satellite-6 amanda-client bacula bacula-client dhcp dhcpv6 dhcpv6-client dns ftp ഉയർന്ന ലഭ്യത http https imaps ipp ipp-client ipsec kerberos kpasswd ldap ldaps libvirt libvirt-tls mdns mountd ms-wbt mysql nfs ntp openvpn pmcd pmproxy pmwebapi pmwebapis pop3s postgresql mbdhcpcppcpcpxy- p ssh ടെൽനെറ്റ് t ftp tftp-ക്ലയന്റ് ട്രാൻസ്മിഷൻ- ക്ലയന്റ് vnc-server wbem-https
കുറിപ്പ്: കൂടുതൽ വിവരങ്ങൾഓരോ നിർദ്ദിഷ്ട സേവനത്തെയും കുറിച്ചുള്ള വിവരങ്ങൾ /usr/lib/firewalld/services ഡയറക്ടറിയിലെ .xml ഫയലുകളിൽ കാണാം. ഉദാഹരണത്തിന്, SSH സേവനത്തെക്കുറിച്ചുള്ള വിവരങ്ങൾ /usr/lib/firewalld/services/ssh.xml-ൽ സംഭരിച്ചിരിക്കുന്നതും ഇതുപോലെ കാണപ്പെടുന്നു:
ഒരു പ്രത്യേക സോണിൽ സേവന പിന്തുണ പ്രവർത്തനക്ഷമമാക്കുന്നതിന്, --add-service= ഓപ്ഷൻ ഉപയോഗിക്കുക. --zone= ഓപ്ഷൻ ഉപയോഗിച്ച് നിങ്ങൾക്ക് ടാർഗെറ്റ് സോൺ വ്യക്തമാക്കാം. സ്ഥിരസ്ഥിതിയായി, ഈ മാറ്റങ്ങൾ ഒരു സെഷനിൽ പ്രവർത്തിക്കും. മാറ്റങ്ങൾ സംരക്ഷിക്കാനും അവ ശാശ്വതമായി ഉപയോഗിക്കാനും --permanent ഫ്ലാഗ് ചേർക്കുക.
ഉദാഹരണത്തിന്, സേവനത്തിനായി ഒരു വെബ് സെർവർ ആരംഭിക്കുന്നതിന് HTTP ട്രാഫിക്, ആദ്യം നിങ്ങൾ ഒരു സെഷനിൽ പൊതുമേഖലയിൽ ഈ ട്രാഫിക്കിനുള്ള പിന്തുണ പ്രവർത്തനക്ഷമമാക്കേണ്ടതുണ്ട്:
sudo firewall-cmd --zone=public --add-service=http
ഡിഫോൾട്ട് സോണിലേക്ക് സേവനം ചേർക്കണമെങ്കിൽ, --zone= ഫ്ലാഗ് ഒഴിവാക്കാവുന്നതാണ്.
ഓപ്പറേഷൻ വിജയകരമാണെന്ന് സ്ഥിരീകരിക്കുക:
firewall-cmd --zone=public --list-services
dhcpv6-client http ssh
സേവനവും ഫയർവാളും പരിശോധിക്കുക. എല്ലാം ശരിയായി പ്രവർത്തിക്കുന്നുണ്ടെങ്കിൽ, നിങ്ങൾക്ക് സ്ഥിരമായ റൂൾസെറ്റ് എഡിറ്റുചെയ്യാനും ഈ സേവനത്തെ പിന്തുണയ്ക്കുന്നതിന് ഒരു നിയമം ചേർക്കാനും കഴിയും.
sudo firewall-cmd --zone=public --permanent --add-service=http
സ്ഥിരമായ നിയമങ്ങളുടെ ഒരു ലിസ്റ്റ് കാണുന്നതിന്, നൽകുക:
sudo firewall-cmd --zone=public --permanent --list-services
dhcpv6-client http ssh
പബ്ലിക് സോൺ ഇപ്പോൾ HTTP, പോർട്ട് 80 എന്നിവയെ ശാശ്വതമായി പിന്തുണയ്ക്കുന്നു. വെബ് സെർവറിന് SSL/TLS ട്രാഫിക്ക് നൽകാൻ കഴിയുമെങ്കിൽ, നിങ്ങൾക്ക് https സേവനവും ചേർക്കാം (ഒറ്റ സെഷനോ സ്ഥിരമായ ഒരു കൂട്ടം നിയമങ്ങളിലോ):
sudo firewall-cmd --zone=public --add-service=https
sudo firewall-cmd --zone=public --permanent --add-service=https
ആവശ്യമായ സേവനം ലഭ്യമല്ലെങ്കിൽ എന്തുചെയ്യും?
ഫയർവാൾഡ് ഫയർവാളിൽ സ്ഥിരസ്ഥിതിയായി ഏറ്റവും സാധാരണമായ നിരവധി സേവനങ്ങൾ ഉൾപ്പെടുന്നു. എന്നിരുന്നാലും, ചില ആപ്ലിക്കേഷനുകൾക്ക് ഫയർവാൾഡ് പിന്തുണയ്ക്കാത്ത സേവനങ്ങൾ ആവശ്യമാണ്. ഈ സാഹചര്യത്തിൽ, നിങ്ങൾക്ക് രണ്ട് വഴികളിലൂടെ മുന്നോട്ട് പോകാം.
രീതി 1: പോർട്ട് ക്രമീകരണം
ആവശ്യമായ ഫയർവാൾ സോണിൽ ആപ്ലിക്കേഷൻ പോർട്ട് തുറക്കുക എന്നതാണ് ഇതിനുള്ള എളുപ്പവഴി. നിങ്ങൾ പോർട്ട് അല്ലെങ്കിൽ പോർട്ടുകളുടെ ശ്രേണിയും പ്രോട്ടോക്കോളും വ്യക്തമാക്കേണ്ടതുണ്ട്.
ഉദാഹരണത്തിന്, പോർട്ട് 5000 ഉം TCP പ്രോട്ടോക്കോളും ഉപയോഗിക്കുന്ന ഒരു ആപ്ലിക്കേഷൻ പൊതുമേഖലയിലേക്ക് ചേർക്കണം. താഴെയുള്ള സെഷനിൽ ആപ്ലിക്കേഷൻ പിന്തുണ പ്രവർത്തനക്ഷമമാക്കാൻ, --add-port= പാരാമീറ്റർ ഉപയോഗിക്കുക, കൂടാതെ tcp അല്ലെങ്കിൽ udp പ്രോട്ടോക്കോൾ വ്യക്തമാക്കുക.
sudo firewall-cmd --zone=public --add-port=5000/tcp
ഓപ്പറേഷൻ വിജയകരമാണെന്ന് സ്ഥിരീകരിക്കുക:
firewall-cmd --list-ports
5000/ടിസിപി
ശ്രേണിയിലെ ആദ്യത്തേയും അവസാനത്തേയും പോർട്ടുകളെ ഒരു ഡാഷ് ഉപയോഗിച്ച് വേർതിരിച്ചുകൊണ്ട് നിങ്ങൾക്ക് പോർട്ടുകളുടെ തുടർച്ചയായ ശ്രേണി വ്യക്തമാക്കാനും കഴിയും. ഉദാഹരണത്തിന്, നിങ്ങളുടെ ആപ്ലിക്കേഷൻ UDP പോർട്ടുകൾ 4990-4999 ഉപയോഗിക്കുന്നുവെങ്കിൽ, അവയെ പൊതുമേഖലയിലേക്ക് ചേർക്കുന്നതിന് നിങ്ങൾ നൽകുക:
sudo firewall-cmd --zone=public --add-port=4990-4999/udp
പരിശോധനയ്ക്ക് ശേഷം, നിങ്ങൾക്ക് ഈ നിയമങ്ങൾ ചേർക്കാൻ കഴിയും സ്ഥിരമായ ക്രമീകരണങ്ങൾഫയർവാൾ.
sudo firewall-cmd --zone=public --permanent --add-port=5000/tcp
sudo firewall-cmd --zone=public --permanent --add-port=4990-4999/udp
sudo firewall-cmd --zone=public --permanent --list-ports
വിജയം
വിജയം
4990-4999/udp 5000/tcp
രീതി 2: ഒരു സേവനം നിർവചിക്കുന്നു
സോണുകളിലേക്ക് പോർട്ടുകൾ ചേർക്കുന്നത് എളുപ്പമാണ്, എന്നാൽ നിങ്ങൾക്ക് അത്തരം നിരവധി ആപ്ലിക്കേഷനുകൾ ഉണ്ടെങ്കിൽ, ഓരോ പോർട്ടും എന്തിനുവേണ്ടിയാണെന്ന് ട്രാക്ക് ചെയ്യുന്നത് ബുദ്ധിമുട്ടാക്കും. ഈ സാഹചര്യം ഒഴിവാക്കാൻ, നിങ്ങൾക്ക് പോർട്ടുകൾക്ക് പകരം സേവനങ്ങൾ നിർവ്വചിക്കാം.
ഒരു നിർദ്ദിഷ്ട പേരും വിവരണവും ഉള്ള പോർട്ടുകളുടെ ശേഖരങ്ങളാണ് സേവനങ്ങൾ. സേവനങ്ങൾ ക്രമീകരണങ്ങൾ നിയന്ത്രിക്കുന്നത് എളുപ്പമാക്കുന്നു, എന്നാൽ അവ തന്നെ പോർട്ടുകളേക്കാൾ സങ്കീർണ്ണമാണ്.
ആദ്യം, നിങ്ങൾ നിലവിലുള്ള സ്ക്രിപ്റ്റ് /usr/lib/firewalld/services ഡയറക്ടറിയിൽ നിന്ന് /etc/firewalld/services ഡയറക്ടറിയിലേക്ക് പകർത്തേണ്ടതുണ്ട് (ഇവിടെയാണ് ഫയർവാൾ നിലവാരമില്ലാത്ത ക്രമീകരണങ്ങൾക്കായി തിരയുന്നത്).
ഉദാഹരണത്തിന്, നിങ്ങൾക്ക് SSH സേവന നിർവചനം പകർത്താനും ഒരു സോപാധിക ഉദാഹരണ സേവനം നിർവചിക്കുന്നതിന് അത് ഉപയോഗിക്കാനും കഴിയും. സ്ക്രിപ്റ്റ് നാമം സേവന നാമവുമായി പൊരുത്തപ്പെടണം കൂടാതെ ഒരു .xml വിപുലീകരണവും ഉണ്ടായിരിക്കണം.
sudo cp /usr/lib/firewalld/services/service.xml /etc/firewalld/services/example.xml
പകർത്തിയ ഫയൽ എഡിറ്റ് ചെയ്യുക.
sudo nano /etc/firewalld/services/example.xml
ഫയലിൽ SSH നിർവചനം അടങ്ങിയിരിക്കുന്നു:
ഒരു സേവനത്തിന്റെ നിർവചനത്തിന്റെ വലിയൊരു ഭാഗം മെറ്റാഡാറ്റയാണ്. ടാഗുകളിൽ സേവനത്തിന്റെ ഹ്രസ്വ നാമം നിങ്ങൾക്ക് മാറ്റാനാകും
നമുക്ക് ഉദാഹരണ സേവനത്തിലേക്ക് മടങ്ങാം; അവൻ തുറക്കാൻ ആവശ്യപ്പെടുന്നു എന്ന് നമുക്ക് പറയാം TCP പോർട്ട് 7777 ഒപ്പം UDP പോർട്ട് 8888. നിർവചനം ഇതുപോലെ കാണപ്പെടും:
ഫയൽ സംരക്ഷിച്ച് അടയ്ക്കുക.
ഫയർവാൾ പുനരാരംഭിക്കുക:
sudo firewall-cmd --reload
ലഭ്യമായ സേവനങ്ങളുടെ പട്ടികയിൽ ഈ സേവനം ഇപ്പോൾ ദൃശ്യമാകും:
firewall-cmd --get-services
RH-Satellite-6 amanda-client bacula bacula-client dhcp dhcpv6 dhcpv6-ക്ലയന്റ് dns ഉദാഹരണം ftp ഹൈ-ലഭ്യത http https imaps ipp ipp-client ipsec kerberos kpasswd ldap ldaps libvirts mdwlps open pn pmcd pmpr oxy pmwebapi pmwebapis pop3s postgresql proxy-dhcp radius rpc-bind samba samba-client smtp ssh telnet tftp tftp-client transmission-client vnc-server wbem-https
സോണുകൾ സൃഷ്ടിക്കുന്നു
ഫയർവാൾ നിരവധി മുൻനിശ്ചയിച്ച സോണുകൾ നൽകുന്നു, മിക്ക കേസുകളിലും ജോലി പൂർത്തിയാക്കാൻ ഇത് മതിയാകും. എന്നാൽ ചില സാഹചര്യങ്ങളിൽ ഒരു ഇഷ്ടാനുസൃത സോൺ സൃഷ്ടിക്കേണ്ടത് ആവശ്യമാണ്.
ഉദാഹരണത്തിന്, നിങ്ങൾക്ക് ഒരു വെബ് സെർവറിനായി ഒരു പൊതുവെബ് സോണും ഒരു DNS സേവനത്തിനായി ഒരു സ്വകാര്യDNS സോണും സൃഷ്ടിക്കാൻ കഴിയും.
നിങ്ങൾ ഒരു സോൺ സൃഷ്ടിക്കുമ്പോൾ, നിങ്ങളുടെ ഫയർവാളിന്റെ സ്ഥിരമായ ക്രമീകരണങ്ങളിലേക്ക് അത് ചേർക്കേണ്ടതുണ്ട്.
പൊതുവെബ്, പ്രൈവറ്റ് ഡിഎൻഎസ് സോണുകൾ സൃഷ്ടിക്കാൻ ശ്രമിക്കുക:
sudo firewall-cmd --permanent --new-zone=publicweb
sudo firewall-cmd --permanent --new-zone=privateDNS
സോണുകൾ നിലവിലുണ്ടോയെന്ന് പരിശോധിക്കുക:
sudo firewall-cmd --permanent --get-zones
നിലവിലെ സെഷനിൽ പുതിയ സോണുകൾ ലഭ്യമാകില്ല:
firewall-cmd --get-zones
ബ്ലോക്ക് dmz ഡ്രോപ്പ് ബാഹ്യ ഹോം ആന്തരിക പൊതു വിശ്വസനീയമായ ജോലി
പുതിയ സോണുകളിലേക്ക് പ്രവേശനം നേടുന്നതിന്, നിങ്ങൾ ഫയർവാൾ പുനരാരംഭിക്കേണ്ടതുണ്ട്:
sudo firewall-cmd --reload
firewall-cmd --get-zones
ബ്ലോക്ക് dmz ഡ്രോപ്പ് എക്സ്റ്റേണൽ ഹോം ഇന്റേണൽ പ്രൈവറ്റ് ഡിഎൻഎസ് പബ്ലിക് പബ്ലിക്വെബ് വിശ്വസനീയമായ വർക്ക്
ഇപ്പോൾ നിങ്ങൾക്ക് പുതിയ സോണുകളിലേക്ക് ആവശ്യമായ സേവനങ്ങളും പോർട്ടുകളും നൽകാം. ഉദാഹരണത്തിന്, നിങ്ങൾക്ക് പൊതുവെബ് സോണിലേക്ക് SSH, HTTP, HTTPS എന്നിവ ചേർക്കാൻ കഴിയും.
sudo firewall-cmd --zone=publicweb --add-service=ssh
sudo firewall-cmd --zone=publicweb --add-service=http
sudo firewall-cmd --zone=publicweb --add-service=https
firewall-cmd --zone=publicweb --list-all
പൊതുവെബ്
ഇന്റർഫേസുകൾ:
ഉറവിടങ്ങൾ:
സേവനങ്ങൾ: http https ssh
തുറമുഖങ്ങൾ:
മുഖംമൂടി: ഇല്ല
ഫോർവേഡ്-പോർട്ടുകൾ:
icmp ബ്ലോക്കുകൾ:
സമ്പന്നമായ നിയമങ്ങൾ:
നിങ്ങൾക്ക് സ്വകാര്യ ഡിഎൻഎസ് സോണിലേക്ക് ഡിഎൻഎസ് ചേർക്കാൻ കഴിയും:
sudo firewall-cmd --zone=privateDNS --add-service=dns
firewall-cmd --zone=privateDNS --list-all
സ്വകാര്യ ഡിഎൻഎസ്
ഇന്റർഫേസുകൾ:
ഉറവിടങ്ങൾ:
സേവനങ്ങൾ: dns
തുറമുഖങ്ങൾ:
മുഖംമൂടി: ഇല്ല
ഫോർവേഡ്-പോർട്ടുകൾ:
icmp ബ്ലോക്കുകൾ:
സമ്പന്നമായ നിയമങ്ങൾ:
നിങ്ങൾക്ക് പുതിയ സോണുകളിലേക്ക് നെറ്റ്വർക്ക് ഇന്റർഫേസുകൾ നൽകാം:
sudo firewall-cmd --zone=publicweb --change-interface=eth0
sudo firewall-cmd --zone=privateDNS --change-interface=eth1
ഇപ്പോൾ നിങ്ങൾക്ക് സജ്ജീകരണം പരിശോധിക്കാം. എല്ലാം ശരിയായി പ്രവർത്തിക്കുന്നുണ്ടെങ്കിൽ, നിങ്ങൾക്ക് ഈ നിയമങ്ങൾ സ്ഥിരമായ ക്രമീകരണങ്ങളിലേക്ക് ചേർക്കാവുന്നതാണ്.
sudo firewall-cmd --zone=publicweb --permanent --add-service=ssh
sudo firewall-cmd --zone=publicweb --permanent --add-service=http
sudo firewall-cmd --zone=publicweb --permanent --add-service=https
sudo firewall-cmd --zone=privateDNS --permanent --add-service=dns
ഇതിനുശേഷം, നിങ്ങൾക്ക് നെറ്റ്വർക്ക് ഇന്റർഫേസുകൾ ക്രമീകരിക്കാൻ കഴിയും ഓട്ടോമാറ്റിക് കണക്ഷൻശരിയായ മേഖലയിലേക്ക്.
ഉദാഹരണത്തിന്, eth0 പൊതുവെബിലേക്ക് ലിങ്ക് ചെയ്യപ്പെടും:
sudo nano /etc/sysconfig/network-scripts/ifcfg-eth0
. . .
IPV6_AUTOCONF=ഇല്ല
DNS1=2001:4860:4860::8844
DNS2=2001:4860:4860::8888
DNS3=8.8.8.8
ZONE=publicweb
കൂടാതെ eth1 ഇന്റർഫേസ് സ്വകാര്യ ഡിഎൻഎസുമായി ബന്ധിപ്പിച്ചിരിക്കും:
sudo nano /etc/sysconfig/network-scripts/ifcfg-eth1
. . .
നെറ്റ്മാസ്ക്=255.255.0.0
DEFROUTE="ഇല്ല"
NM_CONTROLLED="അതെ"
ZONE=privateDNS
പുനരാരംഭിക്കുക നെറ്റ്വർക്ക് സേവനങ്ങൾഒപ്പം ഫയർവാളും:
sudo systemctl നെറ്റ്വർക്ക് പുനരാരംഭിക്കുക
sudo systemctl ഫയർവാൾഡ് പുനരാരംഭിക്കുക
സോണുകൾ പരിശോധിക്കുക:
firewall-cmd --get-active-zones
സ്വകാര്യ ഡിഎൻഎസ്
ഇന്റർഫേസുകൾ: eth1
പൊതുവെബ്
ഇന്റർഫേസുകൾ: eth0
ആവശ്യമായ സേവനങ്ങൾ സോണുകളിൽ പ്രവർത്തിക്കുന്നുണ്ടെന്ന് ഉറപ്പാക്കുക:
firewall-cmd --zone=publicweb --list-services
http htpps ssh
firewall-cmd --zone=privateDNS --list-services
dns
ഉപയോക്തൃ സോണുകൾ ഉപയോഗത്തിന് പൂർണ്ണമായും തയ്യാറാണ്. നിങ്ങൾക്ക് അവയിലേതെങ്കിലും നിങ്ങളുടെ സ്ഥിരസ്ഥിതി മേഖലയാക്കാം. ഉദാഹരണത്തിന്:
sudo firewall-cmd --set-default-zone=publicweb
ഫയർവാളിന്റെ യാന്ത്രിക ആരംഭം
ഇപ്പോൾ നിങ്ങൾ എല്ലാ സജ്ജീകരണങ്ങളും പരിശോധിച്ച് എല്ലാ നിയമങ്ങളും പ്രതീക്ഷിച്ചതുപോലെ പ്രവർത്തിക്കുന്നുവെന്ന് ഉറപ്പുവരുത്തി, നിങ്ങൾക്ക് ഓട്ടോസ്റ്റാർട്ടിലേക്ക് ഫയർവാൾ ക്രമീകരിക്കാൻ കഴിയും.
ഇത് ചെയ്യുന്നതിന്, നൽകുക:
sudo systemctl ഫയർവാൾഡ് പ്രവർത്തനക്ഷമമാക്കുക
ഇപ്പോൾ സെർവറിനൊപ്പം ഫയർവാൾ ആരംഭിക്കും.
ഉപസംഹാരം
ഫയർവാൾഡ് ഫയർവാൾ വളരെ മികച്ചതാണ് വഴക്കമുള്ള ഉപകരണം. ഫയർവാൾ നയം വേഗത്തിൽ മാറ്റാൻ സോണുകൾ നിങ്ങളെ അനുവദിക്കുന്നു.
ഫയർവാൾഡ് എങ്ങനെ പ്രവർത്തിക്കുന്നുവെന്ന് ഇപ്പോൾ നിങ്ങൾക്കറിയാം, ഫയർവാളിന്റെ അടിസ്ഥാന ആശയങ്ങൾ നിങ്ങൾക്ക് പരിചിതമാണ്, നിങ്ങൾക്ക് ഇഷ്ടാനുസൃത സോണുകൾ സൃഷ്ടിക്കാനും സേവനങ്ങൾ ചേർക്കാനും കഴിയും.
ടാഗുകൾ:,
