ຊຸດ RHCSA: ຮັບປະກັນ SSH, ການຕັ້ງຄ່າຊື່ໂຮດຕິ້ງແລະເປີດໃຊ້ບໍລິການເຄືອຂ່າຍ - ພາກທີ 8
ໃນຖານະຜູ້ບໍລິຫານລະບົບທ່ານຈະຕ້ອງເຂົ້າສູ່ລະບົບຫ່າງໄກສອກຫຼີກເພື່ອເຮັດ ໜ້າ ທີ່ການບໍລິຫານທີ່ຫຼາກຫຼາຍໂດຍໃຊ້ເຄື່ອງຈັກໃນການເຮັດວຽກ. ທ່ານບໍ່ຄ່ອຍຈະນັ່ງຢູ່ທາງ ໜ້າ ຂອງສະຖານີ (ທາງກາຍະພາບ) ທີ່ແທ້ຈິງ, ດັ່ງນັ້ນທ່ານ ຈຳ ເປັນຕ້ອງຕັ້ງວິທີການເຂົ້າສູ່ລະບົບຫ່າງໄກສອກຫຼີກກັບເຄື່ອງທີ່ທ່ານຈະຖືກຮ້ອງຂໍໃຫ້ຈັດການ.
ໃນຄວາມເປັນຈິງ, ນັ້ນອາດຈະແມ່ນສິ່ງສຸດທ້າຍທີ່ທ່ານຈະຕ້ອງເຮັດຢູ່ຕໍ່ ໜ້າ ສະຖານີທາງກາຍະພາບ. ສຳ ລັບເຫດຜົນດ້ານຄວາມປອດໄພ, ການ ນຳ ໃຊ້ Telnet ສຳ ລັບຈຸດປະສົງນີ້ບໍ່ແມ່ນຄວາມຄິດທີ່ດີ, ເພາະວ່າການຈະລາຈອນທັງ ໝົດ ລ້ວນແຕ່ຖືກລວດລວດໃນຂໍ້ຄວາມທີ່ບໍ່ເຂົ້າລະຫັດ, ຂໍ້ຄວາມ ທຳ ມະດາ.
ນອກຈາກນັ້ນ, ໃນບົດຄວາມນີ້ພວກເຮົາຍັງຈະທົບທວນຄືນວິທີການຕັ້ງຄ່າການບໍລິການເຄືອຂ່າຍເພື່ອເລີ່ມຕົ້ນໂດຍອັດຕະໂນມັດແລະເລີ່ມຮຽນຮູ້ການຕັ້ງລະບົບເຄືອຂ່າຍແລະຄວາມລະອຽດຂອງ hostname ຢ່າງເປັນຮູບແບບຫລືແບບເຄື່ອນໄຫວ.
ການຕິດຕັ້ງແລະຮັບປະກັນການສື່ສານ SSH
ເພື່ອໃຫ້ທ່ານສາມາດເຂົ້າສູ່ລະບົບຫ່າງໄກສອກຫຼີກເຂົ້າໄປໃນກ່ອງ RHEL 7 ໂດຍໃຊ້ SSH, ທ່ານຈະຕ້ອງຕິດຕັ້ງ opensh, openssh-clients ແລະ opensh-servers. ຄຳ ສັ່ງຕໍ່ໄປນີ້ບໍ່ພຽງແຕ່ຕິດຕັ້ງໂປແກຼມເຂົ້າສູ່ລະບົບຫ່າງໄກສອກຫຼີກເທົ່ານັ້ນ, ແຕ່ຍັງມີເຄື່ອງມືການໂອນໄຟລ໌ທີ່ປອດໄພ, ພ້ອມທັງເຄື່ອງມື ສຳ ເນົາເອກະສານຫ່າງໄກ:
# yum update && yum install openssh openssh-clients openssh-servers
ໃຫ້ສັງເກດວ່າມັນເປັນຄວາມຄິດທີ່ດີທີ່ຈະຕິດຕັ້ງຄູ່ຮ່ວມງານຂອງເຊີຟເວີຍ້ອນວ່າທ່ານອາດຈະຕ້ອງການໃຊ້ເຄື່ອງດຽວກັນກັບທັງລູກຄ້າແລະເຄື່ອງແມ່ຂ່າຍໃນບາງຈຸດຫລືບ່ອນອື່ນ.
ຫລັງຈາກຕິດຕັ້ງແລ້ວ, ມີສອງຢ່າງຂອງສິ່ງພື້ນຖານທີ່ທ່ານຕ້ອງ ຄຳ ນຶງເຖິງຖ້າທ່ານຕ້ອງການຮັບປະກັນການເຂົ້າເຖິງເຊີບເວີ SSH ຂອງທ່ານຫ່າງໄກສອກຫຼີກ. ການຕັ້ງຄ່າຕໍ່ໄປນີ້ຄວນຈະມີຢູ່ໃນແຟ້ມ /etc/ssh/sshd_config
.
1. ປ່ຽນພອດບ່ອນທີ່ daemon sshd ຈະຟັງຈາກ 22 (ຄ່າເລີ່ມຕົ້ນ) ໄປເປັນພອດທີ່ສູງ (2000 ຫຼືສູງກວ່າ) ແຕ່ ທຳ ອິດໃຫ້ແນ່ໃຈວ່າພອດທີ່ເລືອກບໍ່ຖືກ ນຳ ໃຊ້.
ຍົກຕົວຢ່າງ, ສົມມຸດວ່າທ່ານເລືອກ port 2500. ໃຊ້ netstat ເພື່ອກວດເບິ່ງວ່າທ່າເຮືອທີ່ທ່ານເລືອກຖືກ ນຳ ໃຊ້ຫຼືບໍ່:
# netstat -npltu | grep 2500
ຖ້າ netstat ບໍ່ສົ່ງຄືນຫຍັງ, ທ່ານສາມາດໃຊ້ພອດ 2500 ສຳ ລັບ sshd ຢ່າງປອດໄພ, ແລະທ່ານຄວນປ່ຽນການຕັ້ງຄ່າ Port ໃນແຟ້ມການຕັ້ງຄ່າດັ່ງຕໍ່ໄປນີ້:
Port 2500
2. ອະນຸຍາດໃຫ້ອະນຸສັນຍາ 2 ເທົ່ານັ້ນ:
Protocol 2
3. ຕັ້ງຄ່າເວລາໃນການກວດສອບຄວາມຖືກຕ້ອງເປັນເວລາ 2 ນາທີ, ຢ່າອະນຸຍາດໃຫ້ເຂົ້າສູ່ລະບົບຮາກແລະ ຈຳ ກັດ ຈຳ ນວນລາຍຊື່ຜູ້ໃຊ້ທີ່ຖືກອະນຸຍາດໃຫ້ເຂົ້າຜ່ານລະບົບ ssh:
LoginGraceTime 2m PermitRootLogin no AllowUsers gacanepa
4. ຖ້າເປັນໄປໄດ້, ໃຊ້ຫຼັກທີ່ອີງໃສ່ລະຫັດແທນການກວດສອບລະຫັດຜ່ານ:
PasswordAuthentication no RSAAuthentication yes PubkeyAuthentication yes
ສິ່ງນີ້ສົມມຸດວ່າທ່ານໄດ້ສ້າງຄູ່ ສຳ ຄັນພ້ອມດ້ວຍຊື່ຜູ້ໃຊ້ຂອງທ່ານຢູ່ໃນເຄື່ອງລູກຄ້າຂອງທ່ານແລະຄັດລອກມັນໄວ້ໃນເຊີບເວີຂອງທ່ານຕາມທີ່ໄດ້ອະທິບາຍຢູ່ນີ້.
<
ການ ກຳ ຫນົດຄ່າເຄືອຂ່າຍແລະການແກ້ໄຂຊື່
1. ຜູ້ບໍລິຫານລະບົບທຸກຄົນຄວນຈະຮູ້ຈັກກັບໄຟລ໌ການຕັ້ງຄ່າທີ່ກວ້າງຂວາງຂອງລະບົບຕໍ່ໄປນີ້:
<
ທຸກໆແຖວໃນແຟ້ມ /etc/hosts
ມີໂຄງສ້າງຕໍ່ໄປນີ້:
IP address - Hostname - FQDN
ຍົກຕົວຢ່າງ,
192.168.0.10 laptop laptop.gabrielcanepa.com.ar
2. /etc/resolv.conf
ລະບຸທີ່ຢູ່ IP ຂອງເຊີຟເວີ DNS ແລະໂດເມນຄົ້ນຫາ, ເຊິ່ງໃຊ້ ສຳ ລັບການ ສຳ ເລັດຊື່ການສອບຖາມທີ່ໃຫ້ກັບຊື່ໂດເມນທີ່ມີເງື່ອນໄຂເຕັມທີ່ເມື່ອບໍ່ມີການສະ ໜອງ ໂດເມນ.
ພາຍໃຕ້ສະຖານະການປົກກະຕິ, ທ່ານບໍ່ ຈຳ ເປັນຕ້ອງແກ້ໄຂເອກະສານນີ້ຍ້ອນວ່າມັນຖືກຈັດການໂດຍລະບົບ. ເຖິງຢ່າງໃດກໍ່ຕາມ, ທ່ານຄວນຈະຕ້ອງການປ່ຽນເຄື່ອງແມ່ຂ່າຍຂອງ DNS, ໄດ້ຮັບການແນະ ນຳ ວ່າທ່ານຕ້ອງຕິດຢູ່ກັບໂຄງສ້າງຕໍ່ໄປນີ້ໃນແຕ່ລະເສັ້ນ:
nameserver - IP address
ຍົກຕົວຢ່າງ,
nameserver 8.8.8.8
3. 3. /etc/host.conf
ລະບຸວິທີການແລະ ຄຳ ສັ່ງທີ່ hostnames ຖືກແກ້ໄຂພາຍໃນເຄືອຂ່າຍ. ເວົ້າອີກຢ່າງ ໜຶ່ງ, ບອກຜູ້ແກ້ໄຂຊື່ວ່າບໍລິການໃດທີ່ຈະໃຊ້, ແລະຕາມ ລຳ ດັບ.
ເຖິງແມ່ນວ່າເອກະສານນີ້ມີຫລາຍທາງເລືອກ, ແຕ່ການຕັ້ງຄ່າທົ່ວໄປທີ່ສຸດແລະຂັ້ນພື້ນຖານລວມມີເສັ້ນດັ່ງຕໍ່ໄປນີ້:
order bind,hosts
ເຊິ່ງສະແດງໃຫ້ເຫັນວ່າຜູ້ແກ້ໄຂຄວນເບິ່ງໃນບັນດາ nameservers ທີ່ລະບຸໄວ້ໃນລະຫັດ .
4. /etc/sysconfig/network
ມີຂໍ້ມູນເສັ້ນທາງແລະໂຮດທົ່ວໂລກ ສຳ ລັບທຸກໆອິນເຕີເຟດເຄືອຂ່າຍ. ຄຸນຄ່າຕໍ່ໄປນີ້ອາດຈະຖືກ ນຳ ໃຊ້:
NETWORKING=yes|no HOSTNAME=value
ບ່ອນທີ່ມີຄຸນຄ່າຄວນເປັນຊື່ໂດເມນທີ່ມີເງື່ອນໄຂຄົບຖ້ວນ (FQDN).
GATEWAY=XXX.XXX.XXX.XXX
ບ່ອນທີ່ XXX.XXX.XXX.XXX ແມ່ນທີ່ຢູ່ IP ຂອງປະຕູເຄືອຂ່າຍ.
GATEWAYDEV=value
ໃນເຄື່ອງທີ່ມີ NIC ຫຼາຍ, ຄ່າແມ່ນອຸປະກອນປະຕູ, ເຊັ່ນ enp0s3.
5. ແຟ້ມພາຍໃນ /etc/sysconfig/ເຄືອຂ່າຍສະຄິບ
(ໄຟລ໌ການຕັ້ງຄ່າດັດແປງເຄືອຂ່າຍ).
ພາຍໃນໄດເລກະທໍລີທີ່ກ່າວມາກ່ອນ ໜ້າ ນີ້, ທ່ານຈະພົບເຫັນເອກະສານຂໍ້ຄວາມ ທຳ ມະດາຫຼາຍຊື່.
ifcfg-name
ບ່ອນທີ່ຊື່ແມ່ນຊື່ຂອງ NIC ທີ່ສົ່ງກັບຄືນໂດຍ ip link show:
ຍົກຕົວຢ່າງ:
ອື່ນກ່ວາສໍາລັບການໂຕ້ຕອບ loopback, ທ່ານສາມາດຄາດຫວັງວ່າການຕັ້ງຄ່າທີ່ຄ້າຍຄືກັນສໍາລັບ NICs ຂອງທ່ານ. ໃຫ້ສັງເກດວ່າບາງຕົວແປ, ຖ້າ ກຳ ນົດ, ຈະ override ຜູ້ທີ່ມີຢູ່ໃນ /etc/sysconfig/network
ສຳ ລັບອິນເຕີເຟດນີ້. ແຕ່ລະສາຍມີ ຄຳ ເຫັນເພື່ອຄວາມກະຈ່າງແຈ້ງໃນບົດຄວາມນີ້ແຕ່ໃນເອກະສານຕົວຈິງທ່ານຄວນຫລີກລ້ຽງ ຄຳ ເຫັນຕ່າງໆ:
HWADDR=08:00:27:4E:59:37 # The MAC address of the NIC TYPE=Ethernet # Type of connection BOOTPROTO=static # This indicates that this NIC has been assigned a static IP. If this variable was set to dhcp, the NIC will be assigned an IP address by a DHCP server and thus the next two lines should not be present in that case. IPADDR=192.168.0.18 NETMASK=255.255.255.0 GATEWAY=192.168.0.1 NM_CONTROLLED=no # Should be added to the Ethernet interface to prevent NetworkManager from changing the file. NAME=enp0s3 UUID=14033805-98ef-4049-bc7b-d4bea76ed2eb ONBOOT=yes # The operating system should bring up this NIC during boot
ການຕັ້ງຄ່າ Hostnames
ໃນ Red Hat Enterprise Linux 7, ຄຳ ສັ່ງ hostnamectl ແມ່ນໃຊ້ ສຳ ລັບທັງການສອບຖາມແລະຕັ້ງຄ່າ hostname ຂອງລະບົບ.
ເພື່ອສະແດງຊື່ໂຮດໃນປະຈຸບັນ, ພິມ:
# hostnamectl status
ເພື່ອປ່ຽນຊື່ໂຮດ, ໃຊ້
# hostnamectl set-hostname [new hostname]
ຍົກຕົວຢ່າງ,
# hostnamectl set-hostname cinderella
ສຳ ລັບການປ່ຽນແປງທີ່ຈະມີຜົນ, ທ່ານ ຈຳ ເປັນຕ້ອງເລີ່ມຕົ້ນໂດເມນທີ່ຕັ້ງຊື່ (ວິທີນັ້ນທ່ານຈະບໍ່ ຈຳ ເປັນຕ້ອງລົງແລະ ນຳ ໃຊ້ອີກຄັ້ງເພື່ອ ນຳ ໃຊ້ການປ່ຽນແປງນີ້):
# systemctl restart systemd-hostnamed
ນອກຈາກນັ້ນ, RHEL 7 ຍັງປະກອບມີ nmcli utility ທີ່ສາມາດໃຊ້ເພື່ອຈຸດປະສົງດຽວກັນ. ເພື່ອສະແດງ hostname, ດຳ ເນີນການ:
# nmcli general hostname
ແລະການປ່ຽນແປງມັນ:
# nmcli general hostname [new hostname]
ຍົກຕົວຢ່າງ,
# nmcli general hostname rhel7
ເລີ່ມບໍລິການເຄືອຂ່າຍໃນ Boot
ເພື່ອຫໍ່, ໃຫ້ພວກເຮົາເບິ່ງວິທີທີ່ພວກເຮົາສາມາດຮັບປະກັນວ່າການບໍລິການເຄືອຂ່າຍໄດ້ເລີ່ມຕົ້ນໂດຍອັດຕະໂນມັດ. ໃນຄໍາສັບທີ່ງ່າຍດາຍ, ນີ້ແມ່ນເຮັດໄດ້ໂດຍການສ້າງ symlinks ກັບໄຟລ໌ທີ່ແນ່ນອນທີ່ລະບຸໄວ້ໃນສ່ວນ [ຕິດຕັ້ງ] ຂອງແຟ້ມການຕັ້ງຄ່າການບໍລິການ.
ໃນກໍລະນີຂອງ firewalld (/usr/lib/systemd/system/firewalld.service):
[Install] WantedBy=basic.target Alias=dbus-org.fedoraproject.FirewallD1.service
ເພື່ອເປີດໃຊ້ບໍລິການ:
# systemctl enable firewalld
ໃນທາງກົງກັນຂ້າມ, ການປິດການໃຊ້ງານຂອງ firewalld ແມ່ນການ ກຳ ຈັດເຄື່ອງ ໝາຍ ຕ່າງໆ:
# systemctl disable firewalld
ສະຫຼຸບ
ໃນບົດຂຽນນີ້ພວກເຮົາໄດ້ສະຫຼຸບວິທີການຕິດຕັ້ງແລະຮັບປະກັນການເຊື່ອມຕໍ່ຜ່ານ SSH ກັບເຊີບເວີ RHEL, ວິທີການປ່ຽນຊື່, ແລະສຸດທ້າຍວິທີການຮັບປະກັນການບໍລິການເຄືອຂ່າຍເລີ່ມຕົ້ນ. ຖ້າທ່ານສັງເກດເຫັນວ່າບໍລິການໃດ ໜຶ່ງ ລົ້ມເຫລວທີ່ຈະເລີ່ມຕົ້ນບໍ່ຖືກຕ້ອງ, ທ່ານສາມາດໃຊ້ລະບົບ systemctl -l [service] ແລະ journalctl -xn ເພື່ອແກ້ໄຂບັນຫາ.
ຮູ້ສຶກບໍ່ເສຍຄ່າທີ່ຈະແຈ້ງໃຫ້ພວກເຮົາຮູ້ສິ່ງທີ່ທ່ານຄິດກ່ຽວກັບບົດຄວາມນີ້ໂດຍໃຊ້ແບບຟອມ ຄຳ ເຫັນຂ້າງລຸ່ມນີ້. ຄຳ ຖາມກໍ່ຖືກຕ້ອນຮັບ. ພວກເຮົາຫວັງວ່າຈະໄດ້ຍິນຂ່າວຈາກທ່ານ!