安裝完最小化 RHEL/CentOS 7 後需要做的 30 件事情(四)
Webmin 是基於 Web 的 Linux 配置工具。它像一個中央系統,用於配置各種系統設置,比如用戶、磁盤分配、服務以及 HTTP 服務器、Apache、MySQL 等的配置。
# wget http://prdownloads.sourceforge.net/webadmin/webmin-1.740-1.noarch.rpm
# rpm -ivh webmin-*.rpm
安裝 Webmin
安裝完 webmin 後,你會在終端上得到一個消息,提示你用 root 密碼在端口 10000 登錄你的主機 (http://ip-address:10000)。 如果運行的是無接口的服務器你可以轉發端口然後從有接口的服務器上訪問它。(LCTT 譯注:無接口[headless]服務器指沒有訪問接口或界面的服務器,在此次場景,指的是是出於內網的服務器,可采用外網/路由器映射來訪問該端口)
添加不受信任的庫並不是一個好主意,尤其是在生產環境中,這可能導致致命的問題。但僅作為例子在這裡我們會添加一些社區證實可信任的庫,以安裝第三方工具和軟件包。
為企業版 Linux(EPEL)庫添加額外的軟件包。
# yum install epel-release
添加社區企業版 Linux (Community Enterprise Linux)庫:
# rpm -Uvh http://www.elrepo.org/elrepo-release-7.0-2.el7.elrepo.noarch.rpm
安裝 Epel 庫
注意! 添加第三方庫的時候尤其需要注意。
在最小化安裝 CentOS 時你並沒有獲得類似 unzip 或者 untar 的工具。我們可以選擇根據需要來安裝每個工具,或一個能處理所有格式的工具。7-zip 就是一個能壓縮和解壓所有已知類型文件的工具。
# yum install p7zip
安裝 7zip 工具
注意: 該軟件包從 Fedora EPEL 7 的庫中下載和安裝。
NTFS-3G,一個很小但非常有用的 NTFS 驅動,在大部分類 UNIX 發行版上都可用。它對於掛載和訪問 Windows NTFS 文件系統很有用。盡管也有其它可用的替代品,比如 Tuxera,但 NTFS-3G 是使用最廣泛的。
# yum install ntfs-3g
安裝 NTFS-3G 用於掛載 Windows 分區
ntfs-3g 安裝完成之後,你可以使用以下命令掛載 Windows NTFS 分區(我的 Windows 分區是 /dev/sda5)。
# mount -ro ntfs-3g /dev/sda5 /mnt
# cd /mnt
# ls -l
VSFTPD 表示 Very Secure File Transfer Protocol Daemon,是用於類 UNIX 系統的 FTP 服務器。它是現今最高效和安全的 FTP 服務器之一。
# yum install vsftpd
安裝 Vsftpd FTP
編輯配置文件 ‘/etc/vsftpd/vsftpd.conf’ 用於保護 vsftpd。
# vi /etc/vsftpd/vsftpd.conf
編輯一些值並使其它行保留原樣,除非你知道自己在做什麼。
anonymous_enable=NO
local_enable=YES
write_enable=YES
chroot_local_user=YES
你也可以更改端口號,記得讓 vsftpd 端口通過防火牆。
# firewall-cmd --add-port=21/tcp
# firewall-cmd --reload
下一步重啟 vsftpd 並啟用開機自動啟動。
# systemctl restart vsftpd
# systemctl enable vsftpd
sudo 通常被稱為 super do 或者 suitable user do,是一個類 UNIX 操作系統中用其它用戶的安全權限執行程序的軟件。讓我們來看看怎樣配置 sudo。
# visudo
這會打開 /etc/sudoers 並進行編輯
sudoers 文件
給一個已經創建好的用戶(比如 tecmint)賦予所有權限(等同於 root)。
tecmint ALL=(ALL) ALL
如果給一個已經創建好的用戶(比如 tecmint)賦予除了重啟和關閉服務器以外的所有權限(等同於 root)。
首先,再一次打開文件並編輯如下內容:
cmnd_Alias nopermit =/sbin/shutdown,/sbin/reboot
然後,用邏輯操作符(!)添加該別名。
tecmint ALL=(ALL) ALL,!nopermit
如果准許一個組(比如 debian)運行一些 root 權限命令,比如(增加或刪除用戶)。
cmnd_Alias permit =/usr/sbin/useradd,/usr/sbin/userdel
然後,給組 debian 增加權限。
debian ALL=(ALL) permit
SELinux 表示 Security-Enhanced Linux,是內核級別的安全模塊。
# yum install selinux-policy
安裝 SElinux 策略
查看 SELinux 當前模式。
# getenforce
查看 SELinux 模式
輸出是 Enforcing,意味著 SELinux 策略已經生效。
如果需要調試,可以臨時設置 selinux 模式為允許。不需要重啟。
# setenforce 0
調試完了之後再次設置 selinux 為強制模式,無需重啟。
# setenforce 1
(LCTT 譯注:在生產環境中,SELinux 固然會提升安全,但是也確實會給應用部署和運行帶來不少麻煩。具體是否部署,需要根據情況而定。)
Rootkit Hunter,簡寫為 RKhunter,是在 Linux 系統中掃描 rootkits 和其它可能有害攻擊的程序。
# yum install rkhunter
安裝 Rootkit Hunter
在 Linux 中,從腳本文件以計劃作業的形式運行 rkhunter 或者手動掃描有害攻擊。
# rkhunter --check
掃描 rootkits
RootKit 掃描結果
更多CentOS相關信息見CentOS 專題頁面 http://www.linuxidc.com/topicnews.aspx?tid=14