Thứ tư, 20/02/2019 | 00:00 GMT+7

Các bước được đề xuất bổ sung cho server CentOS 7 mới

Sau khi cài đặt cấu hình tối thiểu cho server mới, có một số bước bổ sung được khuyến khích trong hầu hết các trường hợp. Trong hướng dẫn này, ta sẽ tiếp tục cấu hình server của bạn bằng cách giải quyết một số quy trình được khuyến khích , nhưng tùy chọn.

Yêu cầu và Mục tiêu

Trước khi bắt đầu hướng dẫn này, bạn nên chạy qua hướng dẫn cài đặt server ban đầu CentOS 7 . Điều này là cần thiết để cài đặt account user của bạn, cấu hình nâng cao quyền với sudo và SSH key để bảo mật.

Khi bạn đã hoàn thành hướng dẫn ở trên, bạn có thể tiếp tục với bài viết này. Trong hướng dẫn này, ta sẽ tập trung vào cấu hình một số thành phần tùy chọn nhưng được khuyến khích . Điều này sẽ liên quan đến việc cài đặt hệ thống của ta với firewall và file swap , và cấu hình đồng bộ hóa Giao thức thời gian mạng.

Cấu hình firewall cơ bản

Tường lửa cung cấp mức độ bảo mật cơ bản cho server của bạn. Các ứng dụng này chịu trách nhiệm từ chối lưu lượng truy cập đến mọi cổng trên server của bạn với các ngoại lệ đối với các cổng / dịch vụ bạn đã phê duyệt. CentOS đi kèm với một bức firewall được gọi là firewalld . Một công cụ được gọi là firewall-cmd được dùng để cấu hình các policy firewall của bạn. Chiến lược cơ bản của ta sẽ là khóa mọi thứ mà ta không có lý do chính đáng để tiếp tục mở. Lần đầu tiên cài đặt firewalld :

  • sudo yum install firewalld

Dịch vụ firewalld có khả năng thực hiện sửa đổi mà không làm giảm các kết nối hiện tại, vì vậy ta có thể bật dịch vụ này trước khi tạo ngoại lệ:

  • sudo systemctl start firewalld

Bây giờ dịch vụ đã được cài đặt và đang chạy, ta có thể sử dụng trình firewall-cmd để lấy và đặt thông tin policy cho firewall . Ứng dụng firewalld sử dụng khái niệm "vùng" để gắn nhãn mức độ tin cậy của các server khác trên mạng. Việc gắn nhãn này cho ta khả năng chỉ định các luật khác nhau tùy thuộc vào mức độ tin cậy của ta đối với mạng.

Trong hướng dẫn này, ta sẽ chỉ điều chỉnh các policy cho vùng mặc định. Khi ta cập nhật firewall , đây sẽ là vùng được áp dụng cho các giao diện của ta . Ta nên bắt đầu bằng cách thêm các ngoại lệ vào firewall của bạn cho các dịch vụ đã được phê duyệt. Điều cần thiết nhất trong số này là SSH, vì ta cần duy trì quyền truy cập quản trị từ xa vào server .

Nếu bạn chưa sửa đổi cổng mà daemon SSH đang chạy, bạn có thể bật dịch vụ theo tên bằng lệnh :

  • sudo firewall-cmd --permanent --add-service=ssh

Nếu bạn đã thay đổi cổng SSH cho server của bạn , bạn sẽ phải chỉ định cổng mới một cách rõ ràng. Bạn cũng cần bao gồm giao thức mà dịch vụ sử dụng. Chỉ nhập thông tin sau nếu server SSH của bạn đã được khởi động lại để sử dụng cổng mới:

  • sudo firewall-cmd --permanent --remove-service=ssh
  • sudo firewall-cmd --permanent --add-port=4444/tcp

Đây là mức tối thiểu cần thiết để duy trì quyền truy cập quản trị vào server . Nếu bạn định chạy các dịch vụ bổ sung, bạn cũng cần phải mở firewall cho những dịch vụ đó.

Nếu bạn định chạy một web server HTTP thông thường, bạn cần kích hoạt dịch vụ http :

  • sudo firewall-cmd --permanent --add-service=http

Nếu bạn định chạy một web server có bật SSL / TLS, bạn cũng nên cho phép lưu lượng truy cập cho https :

  • sudo firewall-cmd --permanent --add-service=https

Nếu bạn cần bật email SMTP, có thể chạy lệnh:

  • sudo firewall-cmd --permanent --add-service=smtp

Để xem bất kỳ dịch vụ bổ sung nào mà bạn có thể bật theo tên, hãy nhập:

  • sudo firewall-cmd --get-services

Khi hoàn tất, bạn có thể xem danh sách các ngoại lệ sẽ được triển khai bằng lệnh :

  • sudo firewall-cmd --permanent --list-all

Khi đã sẵn sàng áp dụng các thay đổi , hãy cập nhật firewall :

  • sudo firewall-cmd --reload

Nếu sau khi kiểm tra, mọi thứ hoạt động như mong đợi, bạn nên đảm bảo firewall sẽ được khởi động khi server khởi động :

  • sudo systemctl enable firewalld

Lưu ý bạn sẽ phải mở firewall một cách rõ ràng (với các dịch vụ hoặc cổng) cho bất kỳ dịch vụ bổ sung nào mà bạn có thể cấu hình sau này.

Cấu hình múi giờ và đồng bộ hóa giao thức thời gian mạng

Bước tiếp theo là điều chỉnh cài đặt bản địa hóa cho server của bạn và cấu hình đồng bộ hóa Giao thức thời gian mạng (NTP).

Bước đầu tiên sẽ đảm bảo server của bạn đang hoạt động theo đúng múi giờ. Bước thứ hai sẽ cấu hình hệ thống của bạn để đồng bộ hóa đồng hồ hệ thống của nó theo thời gian tiêu chuẩn được duy trì bởi một mạng lưới server NTP global . Điều này sẽ giúp ngăn chặn một số hành vi không nhất quán có thể phát sinh từ đồng hồ không đồng bộ.

Cấu hình múi giờ

Bước đầu tiên của ta là đặt múi giờ của server . Đây là một thủ tục rất đơn giản có thể được thực hiện bằng cách sử dụng lệnh timedatectl :

Trước tiên, hãy xem các múi giờ có sẵn bằng lệnh :

  • sudo timedatectl list-timezones

Thao tác này sẽ cung cấp cho bạn danh sách các múi giờ có sẵn cho server của bạn. Khi bạn tìm thấy cài đặt vùng / múi giờ phù hợp với server của bạn , hãy đặt cài đặt đó bằng lệnh :

  • sudo timedatectl set-timezone region/timezone

Ví dụ: để đặt nó thành giờ domain đông USA , có thể chạy lệnh:

  • sudo timedatectl set-timezone America/New_York

Hệ thống của bạn sẽ được cập nhật để sử dụng múi giờ đã chọn. Bạn có thể xác nhận điều này bằng lệnh :

  • sudo timedatectl

Cấu hình đồng bộ hóa NTP

Đến đây bạn đã đặt múi giờ của bạn , ta nên cấu hình NTP. Điều này sẽ cho phép máy tính của bạn luôn đồng bộ với các server khác, dẫn đến khả năng dự đoán cao hơn trong các hoạt động dựa vào thời gian chính xác.

Để đồng bộ hóa NTP, ta sẽ sử dụng một dịch vụ gọi là ntp , ta có thể cài đặt dịch vụ này từ repository mặc định của CentOS:

  • sudo yum install ntp

Tiếp theo, bạn cần bắt đầu dịch vụ cho phiên này. Ta cũng sẽ kích hoạt dịch vụ để nó tự động khởi động mỗi khi server khởi động:

  • sudo systemctl start ntpd
  • sudo systemctl enable ntpd

Server của bạn bây giờ sẽ tự động sửa đồng hồ hệ thống của nó để phù hợp với các server global .

Tạo file swap

Thêm “ swap ” vào server Linux cho phép hệ thống di chuyển thông tin ít được truy cập thường xuyên hơn của một chương trình đang chạy từ RAM đến một vị trí trên đĩa. Truy cập dữ liệu được lưu trữ trên đĩa chậm hơn nhiều so với truy cập RAM, nhưng việc có sẵn bộ nhớ trao đổi thường có thể là sự khác biệt giữa ứng dụng của bạn vẫn tồn tại và bị lỗi. Điều này đặc biệt hữu ích nếu bạn định lưu trữ bất kỳ database nào trên hệ thống của bạn .

Lời khuyên về kích thước tốt nhất cho không gian swap thay đổi đáng kể tùy thuộc vào nguồn được tư vấn. Nói chung, một số lượng bằng hoặc gấp đôi dung lượng RAM trên hệ thống của bạn là một điểm khởi đầu tốt.

Phân bổ không gian bạn muốn sử dụng cho file swap của bạn bằng tiện ích fallocate . Ví dụ: nếu ta cần file 4 Gigabyte, ta có thể tạo file swap nằm tại /swapfile bằng lệnh :

  • sudo fallocate -l 4G /swapfile

Sau khi tạo file , ta cần hạn chế quyền truy cập vào file để user hoặc quy trình khác không thể thấy những gì được viết ở đó:

  • sudo chmod 600 /swapfile

Bây giờ ta có một file với các quyền chính xác. Để yêu cầu hệ thống của ta định dạng file để trao đổi, ta có thể nhập:

  • sudo mkswap /swapfile

Bây giờ, hãy cho hệ thống biết nó có thể sử dụng file swap bằng lệnh :

  • sudo swapon /swapfile

Hệ thống của ta đang sử dụng file swap cho phiên này, nhưng ta cần sửa đổi file hệ thống để server của ta sẽ tự động thực hiện việc này khi khởi động. Bạn có thể thực hiện việc này bằng lệnh :

  • sudo sh -c 'echo "/swapfile none swap sw 0 0" >> /etc/fstab'

Với sự bổ sung này, hệ thống của bạn sẽ tự động sử dụng file swap của bạn mỗi lần khởi động.

Đi đâu từ đây?

Đến đây bạn đã có một cài đặt khởi đầu rất tốt cho server Linux của bạn . Từ đây, có khá nhiều nơi bạn có thể đi. Đầu tiên, bạn có thể cần chụp nhanh server của bạn trong cấu hình hiện tại của nó.

Chụp nhanh cấu hình hiện tại của bạn

Nếu bạn hài lòng với cấu hình của bạn và muốn sử dụng cấu hình này làm cơ sở cho các cài đặt trong tương lai, bạn có thể chụp nhanh server của bạn thông qua console DigitalOcean. Bắt đầu từ tháng 10 năm 2016, ảnh chụp nhanh có giá 0,05 đô la mỗi gigabyte mỗi tháng dựa trên dung lượng được sử dụng trong hệ thống file .

Để làm như vậy, hãy tắt server của bạn từ dòng lệnh. Mặc dù có thể chụp nhanh hệ thống đang chạy, việc tắt nguồn đảm bảo các file trên đĩa đều ở trạng thái nhất quán:

  • sudo poweroff

Bây giờ, trong console DigitalOcean, bạn có thể chụp ảnh nhanh bằng cách truy cập tab “Ảnh chụp nhanh” trên server của bạn:

Ảnh chụp nhanh DigitalOcean

Sau khi chụp ảnh nhanh của bạn , bạn có thể sử dụng hình ảnh đó làm cơ sở cho các cài đặt trong tương lai bằng cách chọn ảnh chụp nhanh từ tab “Ảnh chụp nhanh của tôi” cho các hình ảnh trong quá trình tạo:

Ảnh chụp nhanh sử dụng DigitalOcean

Tài nguyên bổ sung và các bước tiếp theo

Từ đây, đường dẫn của bạn hoàn toàn phụ thuộc vào những gì bạn muốn làm với server của bạn . Danh sách hướng dẫn bên dưới không phải là đầy đủ, nhưng trình bày một số cấu hình phổ biến hơn mà user chuyển sang tiếp theo:

Kết luận

Đến lúc này, bạn nên biết cách cấu hình nền tảng vững chắc cho các server mới của bạn . Hy vọng rằng bạn cũng đã có một ý tưởng tốt cho các bước tiếp theo của bạn . Vui lòng khám phá trang web để biết thêm ý tưởng mà bạn có thể thực hiện trên server của bạn .


Tags:

Các tin liên quan

Cách cài đặt Elasticsearch, Logstash và Kibana (Elastic Stack) trên CentOS 7
2018-12-10
Cách lấy chứng chỉ SSL Wildcard của Let's Encrypt bằng cách sử dụng CloudFlare Validation trên CentOS 7
2018-08-16
Cách cài đặt và cấu hình LEMP bằng Bộ sưu tập phần mềm trên CentOS 7
2018-04-20
Cách thiết lập khóa SSH trên CentOS 7
2018-04-12
Cách cài đặt và bảo mật Memcached trên CentOS 7
2018-03-06
Cách cài đặt Java trên CentOS và Fedora
2018-02-16
Cách theo dõi cảnh báo Nagios với Alerta trên CentOS 7
2017-09-13
Cách cài đặt MongoDB trên CentOS 7
2017-09-11
Cách cài đặt Nagios 4 và theo dõi server của bạn trên CentOS 7
2017-09-11
Cách cài đặt WordPress với Caddy trên CentOS 7
2017-08-04