Dnes vám představím svou vizi počáteční konfigurace univerzálního serveru na populárním OS. Řeknu vám, jak provést základní konfiguraci serveru centos bezprostředně po instalaci, abyste jej mohli používat v jakékoli požadované kapacitě. Daný praktické rady zvýšit zabezpečení a použitelnost serveru. Tento článek bude relevantní pro poslední dvě vydání Centos - 7 a 8.
- Seznam počátečních nastavení centos, která provádím na čerstvě nainstalovaném serveru.
- Zobrazit příklady konfigurací, které používám v typickém nastavení.
- Poskytněte rady ohledně nastavení centos na základě vašich zkušeností se systémem.
- Poskytněte seznam typických programů a nástrojů, které pomáhají spravovat server.
Tento článek je součástí jediné série článků o serveru.
Úvod
Po vydání nového vydání Centos 8 bylo obtížné popsat počáteční konfiguraci obou serverů v jednom článku, ale nechtěl jsem článek oddělit, protože na něj existuje mnoho příchozích odkazů z různých míst. Je pohodlnější udržovat společný materiál na obou vydáních, což udělám. Současně budou jasně patrné rozdíly mezi těmito dvěma verzemi, což bude pár let po vydání centos 8 relevantní a budete muset použít obě verze, v závislosti na situaci.
Centos 7 používá správce balíčků Mňam, a v Centos 8 - dnf... Současně jsme nechali symbolický odkaz z yum na dnf, takže můžete napsat jak křestní jméno, tak druhé. Pro konzistenci budu yum používat všude a varuji vás, jen abyste pochopili, proč to dělám tímto způsobem. Ve skutečnosti se v CentOS 8 používá dnf, to je jiný, modernější správce balíčků, který vám umožňuje pracovat s různé verze stejný software. K tomu se používají samostatná úložiště, která se objevila pro centos 8.
Počáteční nastavení CentOS
Osobně po instalaci začínám s jakoukoli konfigurací systému, ať už centos nebo jinak, úplnou aktualizací systému. Pokud byl instalační obraz čerstvý nebo byla instalace provedena přes síť, pak s největší pravděpodobností nedojde k žádným aktualizacím. Nejčastěji jsou, protože instalační obrázky není vždy pravidelně aktualizován.
Aktualizace systému
# mňam aktualizace
Pro pohodlí správy vždy nainstaluji Midnight Commander nebo jen mc:
# yum nainstalovat mc
A hned pro to zapnu zvýrazňování syntaxe všech souborů, které v souboru nejsou výslovně uvedeny / usr / share / mc / syntax / Syntax syntaxe pro skripty sh a bash. Tato generická syntaxe je vhodná pro konfigurační soubory, které se nejčastěji používají na serveru. Přepište soubor neznámý.syntax... Toto je šablona, která bude použita pro soubory .conf a .cf, protože k nim není připojena žádná explicitní syntaxe.
# cp /usr/share/mc/syntax/sh.syntax /usr/share/mc/syntax/unknown.syntax
Dále se budou hodit síťové nástroje. V závislosti na sadě počátečních balíčků, které si vyberete při instalaci systému, budete mít jednu nebo jinou sadu síťových nástrojů. Zde je seznam těch, na které jsem osobně zvyklý - ifconfig, netstat, nslookup a některé další. Pokud to potřebujete, stejně jako já, doporučuji je nainstalovat samostatně, pokud tam ještě nejsou. Pokud je opravdu nepotřebujete a nepoužíváte, můžete jejich instalaci přeskočit. Pojďme zkontrolovat, co v systému v tuto chvíli máme
# ifconfig
Pokud vidíte odpověď:
Bash: ifconfig: příkaz nenalezen
To znamená, že nástroj není nainstalován. Místo ifconfig na CentOS, nyní nástroj ip... To platí nejen pro centy. Toto je obrázek téměř ve všech populárních moderních distribucích Linuxu. Na ifconfig jsem si už dlouho zvykl, i když ho v poslední době téměř nepoužívám. Vždy se mi líbilo, že v různých distribucích Linuxu je vše přibližně stejné. Pomocí ifconfig můžete konfigurovat síť nejen v linuxu, ale také ve freebsd. Je to pohodlné. A když má každá distribuce svůj vlastní nástroj, není to pohodlné. Ačkoli to nyní již není příliš relevantní, protože již nepracuji s Freebsd a nástroj ip je ve všech linuxové distribuce... Pokud však potřebujete ifconfig, můžete balíček nainstalovat síťové nástroje, který zahrnuje:
# yum nainstalujte net-tools
Abychom měli příkazy nslookup nebo například hostitele, musíme balíček nainstalovat vázací náčiní... Pokud to není provedeno, přejděte k příkazu:
# nslookup
Výstupem bude:
Bash: nslookup: příkaz nenalezen
Nainstalujte si tedy bind-utils:
# yum nainstalujte bind-utils
Zakázat SELinux
Zakázat SELinux. Jeho použití a navázání samostatné konverzace. Teď to dělat nebudu. Vypneme tedy:
# mcedit / etc / sysconfig / selinux
změnit hodnotu
SELINUX = deaktivováno
Aby se změny projevily, můžete restartovat:
# restartovat
A pokud chcete použít deaktivaci SELinux bez restartu, spusťte příkaz:
# setenforce 0Po celou dobu dostávám spoustu kritiky ohledně deaktivace SELinuxu. Vím, jak to funguje, mohu to přizpůsobit. Opravdu to není moc těžké a ani těžké zvládnout. Je to moje záměrná volba, i když ji někdy ladím. Můj formát pro práci se systémem je takový, že SELinux nejčastěji nepotřebuji, takže nad ním neztrácím čas a zakážu centos v základním nastavení. Zabezpečení systému je složitá práce, zejména v moderním světě webového vývoje, kde dominují mikroslužby a kontejnery. SELinux je specializovaný nástroj, který není potřeba vždy a všude. Tento článek mu proto nepatří. Kdo to potřebuje, samostatně povolí SELinux a nakonfiguruje.
Zadání parametrů sítě
Po instalaci pokračujeme v základní konfiguraci centos. Nyní to uděláme, pokud jsme to z nějakého důvodu neudělali během instalace, nebo je potřebujete změnit. Síť v Centosu je obecně konfigurována pomocí NetworkManager a jeho konzolový nástroj nmtui... Dodává se v základním nastavení systému. Existuje jednoduché a přehledné grafické rozhraní, takže není co říct. Jsem více zvyklý konfigurovat síť pomocí konfiguračních souborů síťových skriptů. V centos 7. verzi jsou po vybalení z krabice, v 8. verzi byly odstraněny. Chcete -li je použít ke konfiguraci sítě, musíte balíček nainstalovat samostatně síťové skripty.
# yum nainstalujte síťové skripty
Nyní můžete nakonfigurovat síť. Chcete -li to provést, otevřete soubor / etc / sysconfig / network-scripts / ifcfg-eth0
# mcedit / etc / sysconfig / network-scripts / ifcfg-eth0
Pokud získáte nastavení sítě přes dhcp, pak bude minimální sada nastavení v konfiguračním souboru následující.
TYPE = "Ethernet" BOOTPROTO = "dhcp" DEFROUTE = "ano" IPV4_FAILURE_FATAL = "no" NAME = "eth0" DEVICE = "eth0" ONBOOT = "ano"
Pro konfiguraci statické IP adresy bude nastavení následující.
TYPE = "Ethernet" BOOTPROTO = "žádný" DEFROUTE = "ano" IPV4_FAILURE_FATAL = "ne" NAME = "eth0" DEVICE = "eth0" ONBOOT = "ano" IPADDR = 192.168.167.117 DNS1 = 192.168.167.113 PREFIX = 28 GATEWAY = 192.168.167.113
Do pole IPADDR zadejte svoji adresu, do masky sítě PREFIX, v bráně GATEWAY adresu DNS serveru dns. Uložte soubor a restartujte síť, abyste použili nastavení:
# systemctl restart sítě
Nastavení brány firewall
Přidání úložišť
Při nastavování centos často potřebujete software, který není ve standardní tuřínu. Pro instalaci další balíčky nutné. Nejoblíbenější je EPEL. Dříve tu byl rpmforge, ale ten byl několik let zavřený. Všichni na něj zapomněli. Připojujeme úložiště EPEL. Všechno je s ním jednoduché, přidává se ze standardní tuřínu:
# yum nainstalovat epel-release
Také pro CentOS 7 je úložiště REMI velmi užitečné, což vám umožňuje nainstalovat novější verze php, na rozdíl od těch ve standardním úložišti. Připomínám, že se jedná o php 5.4, který již k ničemu není dobrý a byl z podpory odstraněn.
# rpm -Uhv http://rpms.remirepo.net/enterprise/remi-release-7.rpm
Pro Centos 8 remi zatím není relevantní, ale myslím si, že je dočasný. V zásadě mi v obecném případě obvykle stačí tato dvě úložiště v centech. Ostatní jsou již připojeni pro specifické potřeby instalace různého softwaru.
Nastavení úložiště historie v bash_history
Přejdeme k nastavení systému centos na serveru. Bude užitečné provést některé změny ve standardním mechanismu pro ukládání historie příkazů. Často pomáhá, když si potřebujete zapamatovat jeden z dříve zadaných příkazů. Výchozí nastavení má některá omezení, která jsou nepohodlná. Zde je jejich seznam:
- Ve výchozím nastavení je uloženo pouze posledních 1 000 příkazů. Pokud je jich více, budou ty starší smazány a nahrazeny novými.
- Data provedení příkazů nejsou uvedena, pouze jejich seznam v pořadí provedení.
- Soubor seznamu příkazů se aktualizuje po ukončení relace. Při paralelních relacích mohou být některé příkazy ztraceny.
- Absolutně všechny příkazy jsou uloženy, i když nemá smysl některé ukládat.
Seznam naposledy provedených příkazů je uložen v domovském adresáři uživatele v souboru .bash_history(v počátečním bodě). Lze jej otevřít a zobrazit v libovolném editoru. Pro pohodlnější zobrazení seznamu můžete zadat příkaz do konzoly:
# Dějiny
a podívejte se na očíslovaný seznam. Můžete rychle najít konkrétní příkaz filtrováním pouze řádků, které potřebujete, například takto:
# historie | grep yum
Uvidíme tedy všechny možnosti pro spuštění příkazu yum, které jsou uloženy v historii. Opravme uvedené nedostatky standardního nastavení pro ukládání historie příkazů v CentOS. Chcete -li to provést, musíte soubor upravit .bashrc který je umístěn ve stejném adresáři jako soubor historie. Přidejte do něj následující řádky:
Export HISTSIZE = 10 000 export HISTTIMEFORMAT = "% h% d% H:% M:% S" PROMPT_COMMAND = "history -a" export HISTIGNORE = "ls: ll: history: w: htop"
První parametr zvětší velikost souboru na 10 000 řádků. Lze udělat více, i když tato velikost obvykle stačí. Druhý parametr určuje uložení data a času, kdy byl příkaz spuštěn. Třetí řádek vynutí jeho uložení do historie ihned po provedení příkazu. V posledním řádku vytvoříme seznam výjimek pro ty příkazy, které není nutné zapisovat do historie. Uvedl jsem příklad nejjednoduššího seznamu. Můžete jej přidat podle svého uvážení.
Chcete -li použít změny, musíte se odhlásit a znovu připojit nebo spustit příkaz:
# zdroj ~ / .bashrc
To je vše o nastavení úložiště historie příkazů. V souboru .bashrc lze přizpůsobit spoustu zajímavých věcí. Najednou jsem byl unesen a experimentoval, ale pak jsem všechno opustil, protože to nedávalo smysl. Při práci se zákaznickými servery nejčastěji vidím výchozí bash, takže je lepší si na to zvyknout a pracovat v něm. A individuální nastavení a dekorace jsou spousta osobních počítačů a serverů. Ne dělníci. V tomto ohledu tedy nenakonfiguruji nic jiného podle standardu na serveru centos.
Automatická aktualizace systému
Aby byla zajištěna správná úroveň zabezpečení serveru, je nutné jej alespoň včas aktualizovat - jako samotné jádro s systémové nástroje a zbytek balíčků. Můžete to udělat ručně, ale pro efektivnější práci je lepší nakonfigurovat automatické provedení... Není nutné instalovat aktualizace automaticky, ale alespoň kontrolovat jejich vzhled. Tuto strategii obvykle dodržuji.
Yum-cron
Pro automatická kontrola pomohou nám aktualizace v nástroji Centos 7 yum-cron... Instaluje se tradičně přes yum ze standardního úložiště.
# yum nainstalujte yum-cron
Po instalaci yum-cron se vytvoří automatický úkol pro spuštění nástroje v /etc/cron.daily a /etc/cron.hodinu... Ve výchozím nastavení nástroj stáhne nalezené aktualizace, ale nepoužije je. Místo toho se oznámení o aktualizaci odešle správci v místní kořenové poštovní schránce. Poté přejdete do manuálního režimu a rozhodnete se, zda chcete instalovat aktualizace, nebo ne ve vhodnou dobu pro vás. Považuji tento režim provozu za nejpohodlnější, takže tato nastavení neměním.
Yum-cron můžete konfigurovat prostřednictvím konfiguračních souborů umístěných na /etc/yum/yum-cron.conf a yum-cron-hourly.conf... Jsou dobře komentované, takže nepotřebují podrobná vysvětlení. Věnujte pozornost sekci , kde můžete zadat parametry pro odesílání zpráv. Výchozí nastavení je odesílat poštu prostřednictvím místního hostitele. Zde můžete změnit parametry a odesílat zprávy prostřednictvím třetí strany poštovní server... Ale místo toho osobně dávám přednost konfiguraci předávání lokální kořenové pošty do externí schránky globálně pro celý server prostřednictvím autorizace na jiném serveru smtp.
Dnf-automatické
Jak jsem již řekl, Centos 8 používá jiného správce balíčků - dnf. Konfigurace aktualizací balíčků se provádí pomocí nástroje dnf-automatic... Pojďme to nastavit a nakonfigurovat.
# yum nainstalovat dnf-automatic
Plánovanou správu startu již neřeší cron, ale systemd s vestavěným plánovačem. Automatické časovače spuštění můžete zobrazit pomocí příkazu:
# systemctl list-timers * dnf- *
Pokud tam nejsou žádné úkoly, můžete časovač přidat ručně:
# systemctl enable-now dnf-automatic.timer
Výchozí časovač je nastaven na spuštění dnf-automatic jednu hodinu po spuštění serveru a opakuje se denně. Zde žije konfigurace časovače - /etc/systemd/system/multi-user.target.wants/dnf-automatic.timer.
Konfigurace pro dnf-automatic žije v /etc/dnf/automatic.conf... Ve výchozím nastavení stahuje pouze aktualizace, ale neaplikuje je. Konfigurace je dobře komentovaná, takže si ji můžete přizpůsobit, jak chcete. Samostatná vysvětlení nejsou nutná. Přizpůsobte si aktualizace systémových balíků, jak uznáte za vhodné. Jak jsem řekl, automaticky je pouze stahuji. Instalaci mám vždy pod kontrolou s ručním ovládáním.
Zakázat zaplavování zpráv v / var / log / messages
Pokračováním konfigurace centos opravíme jednu malou nepříjemnost. Ve výchozí instalaci 7. verze systému se přihlásí celý váš systémový protokol / var / log / zprávy po chvíli bude server zanesen následujícími položkami.
16. října 14:01:01 xs-files systemd: Vytvořen řez uživatel-0.slice. 16. října 14:01:01 xs-files systemd: Spouštění uživatelského 0. řezu. 16. října 14:01:01 xs-files systemd: Zahájena relace 14440 uživatele root. 16. října 14:01:01 xs-files systemd: Spouštění relace 14440 uživatele root. 16. října 14:01:01 xs-files systemd: Odstraněn řez uživatel-0.slice. 16. října 14:01:01 xs-files systemd: Zastavení uživatelského 0. řezu. 16. října 15:01:01 xs-files systemd: Vytvořen řez uživatel-0.slice. 16. října 15:01:01 xs-files systemd: Spouštění uživatelského 0. řezu. 16. října 15:01:01 xs-files systemd: Zahájena relace 14441 root uživatele. 16. října 15:01:01 xs-files systemd: Spouštění relace 14441 uživatele root. 16. října 15:01:01 xs-files systemd: Zahájena relace 14442 uživatele root. 16. října 15:01:01 xs-files systemd: Zahájení relace 14442 root uživatele. 16. října 15:01:01 xs-files systemd: Odstraněn řez uživatel-0.slice. 16. října 15:01:01 xs-files systemd: Zastavení uživatelského 0. řezu. 16. října 16:01:01 xs-files systemd: Vytvořen řez uživatel-0.slice. 16. října 16:01:01 xs-files systemd: Spouštění uživatelského 0. řezu. 16. října 16:01:01 xs-files systemd: Zahájena relace 14443 uživatele root. 16. října 16:01:01 xs-files systemd: Spouštění relace 14443 uživatelského kořene. 16. října 16:01:01 xs-files systemd: Odstraněn řez uživatel-0.slice.
V Centos 8 jsem si jich nevšiml, takže tam není co dělat. Zprávy nemají praktické využití, takže je deaktivujme. K tomu vytvoříme samostatné pravidlo pro rsyslog, kde vypíšeme všechny šablony zpráv, které vystřihneme. Pojďme vložit toto pravidlo samostatný soubor /etc/rsyslog.d/ignore-systemd-session-slice.conf.
# cd /etc/rsyslog.d && mcedit ignore-systemd-session-slice.conf if $ programname == "systemd" and ($ msg contains "Starting Session" or $ msg contains "Started Session" or $ msg contains "Created slice "nebo $ msg obsahuje„ Starting user- "nebo $ msg obsahuje„ Starting User Slice of "nebo $ msg obsahuje„ Removed session “nebo $ msg obsahuje„ Removed slice User Slice of “nebo $ msg obsahuje„ Stopping User Slice of “ ) pak zastavte
Uložte soubor a restartujte rsyslog, abyste použili nastavení.
# systemctl restartujte rsyslog
Je nutné to pochopit v tento případ vypneme zaplavení do souboru protokolu pouze pro místní server... Pokud protokoly ukládáte, bude nutné v něm toto pravidlo nakonfigurovat.
Instalace iftop, atop, htop, lsof na CentOS
A nakonec na konci konfigurace přidáme několik užitečných nástrojů, které se mohou hodit během provozu serveru.
iftop zobrazuje v reálném čase zatížení síťového rozhraní, lze spustit z různé klíče, Nebudu se tím podrobně zabývat, informace o tomto tématu jsou na internetu. Vložili jsme:
# yum nainstalovat iftop
A dva zajímaví správci úloh, většinou používám htop, ale někdy atop přijde vhod. Dali jsme obojí, podívejte se sami, zjistěte, co se vám nejvíce líbí, vyhovuje:
# yum install htop # yum install atop
Chcete -li zobrazit informace o tom, které soubory používají určité procesy, doporučujeme vám nainstalovat si nástroj lsof... S největší pravděpodobností se to dříve nebo později bude hodit při diagnostice provozu serveru.
# yum nainstalovat wget bzip2 traceroute gdisk
To je pro mě vše. Základní nastavení CentOS je hotový, můžete začít instalovat a konfigurovat hlavní funkce.
Nastavení systémové pošty
Chcete -li dokončit konfiguraci serveru CentOS, ujistěte se, že pošta adresovaná místnímu kořenovému adresáři je odesílána prostřednictvím externího poštovního serveru do vybrané poštovní schránky. Pokud se tak nestane, bude přidáno místně do souboru / var / spool / mail / root... A mohou zde být důležité a užitečné informace. Nakonfigurujme jej tak, aby byl odesílán do poštovní schránky správce systému.
Podrobně jsem o tom mluvil v samostatném článku -. Zde krátce pouze příkazy a rychlé nastavení... Vložili jsme potřebné balíčky:
# yum install mailx cyrus-sasl cyrus-sasl-lib cyrus-sasl-plain postfix
Nakreslíme něco takového jako tuto konfiguraci pro postfix.
Cat /etc/postfix/main.cf ## DEFAULT CONFIG BEGIN ################################### queue_directory = /var / spool / adresář příkazu_adresář = / usr / sbin daemon_directory = / usr / libexec / postfix data_directory = / var / lib / postfix mail_owner = postfix inet_interfaces = localhost inet_protocols = all neznámý_místný_data_databáze = alias_data = = debia_interfaces = / bin: / usr / bin: / usr / local / bin: / usr / X11R6 / bin ddd $ daemon_directory / $ process_name $ process_id & sleep 5 sendmail_path = /usr/sbin/sendmail.postfix newaliases_path = / usr / bin /newaliases.postfix mailq_path = /usr/bin/mailq.postfix setgid_group = postdrop html_directory = no manpage_directory = /usr /share /man sample_directory = /usr/share/doc/postfix-2.10.1/samples readme_directory = /usr / share / doc / postfix-2.10.1 / README_FILES ## DEFAULT CONFIG END ###########################Název serveru zobrazen název hostitele myhostname = centos-test. xs .local # Zde č pokud jde o logiku, musíte ponechat pouze doménu, ale v tomto případě je lepší nechat úplné jméno serveru, aby se v poli odesílatele # zobrazilo celé jméno serveru, takže je pohodlnější analyzovat službu zprávy mydomain = centos-test.xs.local mydestination = $ myhostname myorigin = $ mydomain # Adresa serveru, přes který budeme odesílat poštu relayhost = mailsrv.mymail.ru:25 smtp_use_tls = yes smtp_sasl_auth_enable = yes smtp_sasl_password_maps = hash: / etc / sasl_passwd smtp_sasl_security_options = noanseonymous smtp_sasl_security_options = noanseonymous smtp_enable
Vytvořte soubor s informacemi o uživatelském jménu a hesle pro autorizaci.
# mcedit / etc / postfix / sasl_passwd mailsrv.mymail.ru:25 [chráněno emailem]: Heslo
Vytvořte soubor db.
# postmap / etc / postfix / sasl_passwd
Nyní můžete restartovat postfix a zkontrolovat, zda funguje.
# systemctl restart postfixu
Ke standardnímu aliasu pro root v / etc / aliasy, přidejte externí adresu, kde bude duplikována pošta adresovaná uživateli root. Chcete -li to provést, upravte zadaný soubor změnou posledního řádku.
#kořen: marc
Kořen: root, [chráněno emailem]
Aktualizace základny certifikátů:
# novinek
Pošleme dopis prostřednictvím konzoly místnímu kořenovému adresáři:
# df -h | mail -s root "Využití disku"
Dopis by měl jít do externí schránky. Pokud používáte poštovní schránku od společnosti Yandex, pravděpodobně se vám v protokolu poštovního serveru zobrazí chyba a dopis nebude odeslán.
Relé = smtp.yandex.ru: 25, zpoždění = 0,25, zpoždění = 0/0 / 0,24 / 0,01, dsn = 5,7,1, stav = odskočeno (hostitel smtp.yandex.ru řekl: 553 5.7.1 Adresa odesílatele odmítnuta: nevlastní uživatel auth. (v odpovědi na příkaz MAIL FROM))
Tato chyba znamená, že nemáte zadanou stejnou poštovní schránku jako odesílatel pošty, který používáte k autorizaci. Jak to opravit, řeknu vám v samostatném článku -. U jiných poštovních systémů, kde taková kontrola neexistuje, by mělo být vše v pořádku a podobně.
Tím je konfigurace místní pošty dokončena. Nyní budou všechna písmena adresovaná místnímu kořenu, například zprávy z cronu, duplikována do externí schránky a odeslána prostřednictvím plnohodnotného poštovního serveru. E -maily tedy budou doručovány normálně, aniž by se dostaly do spamu (i když ne nutně, existují i heuristické filtry).
Závěr
Dodržovali jsme některé z počátečních kroků pro nastavení serveru CentOS, které obvykle dělám při přípravě serveru hned po instalaci. Nepředstírám, že jsem absolutní pravda, možná mi něco uniká nebo to nedělám úplně správně. Budu rád, když budete mít rozumné a smysluplné komentáře a návrhy.
..Počínaje CentoOS 7 byl přidán nový nástroj pro konfiguraci pravidel filtrování provozu firewalld... Doporučuje se použít ke správě pravidel iptables. CentOS 8 nyní používá rámec nftables místo výchozího balíčku filtrování iptables a když konfigurujete pravidla brány firewall prostřednictvím brány firewall, ve skutečnosti konfigurujete nftables. V tomto článku vás provedeme instalací, základními koncepty a konfigurací firewallu na serveru se systémem CentOS 8 (v CentOS 7 je vše stejné).
Firewall D.- mezi firewall k ochraně serveru před nežádoucím provozem s podporou dynamické správy pravidel (bez restartování) a implementací trvalých pravidel brány firewall. Funguje jako frontend pro obě nftables. FirewallD lze použít téměř ve všech distribucích Linuxu.
Základní pojmy, zóny a pravidla firewallu
Než budete pokračovat v instalaci a konfiguraci firewalld, seznámíme se s konceptem zón, které slouží k určení úrovně důvěryhodnosti pro různá spojení. Pro různé zóny firewalld můžete použít různá pravidla filtrování, určit aktivní možnosti brány firewall ve formě předdefinovaných služeb, protokolů a portů, přesměrování portů a rich-pravidel.
Firewalld filtruje příchozí provoz podle zón v závislosti na pravidlech platných pro zónu. Li IP- adresa odesílatele požadavku odpovídá pravidlům jakékoli zóny, pak bude paket odeslán touto zónou. Pokud adresa neodpovídá žádné zóně nakonfigurované na serveru, paket bude zpracován výchozí zónou. Při instalaci firewalld nazývá se výchozí zóna veřejnost.
V firewallu existují zóny, kde jsou již předem nakonfigurována oprávnění pro různé služby. Můžete použít tato nastavení nebo si vytvořit vlastní zóny. Seznam výchozích zón, které se vytvoří při instalaci brány firewall (uložené v adresáři / usr / lib / firewalld / zones /):
| upustit | minimální úroveň důvěry. Všechna příchozí připojení jsou blokována bez odpovědi, povolena jsou pouze odchozí připojení; |
| blok | zóna je podobná té předchozí, ale když jsou odmítnuty příchozí požadavky, je odeslána zpráva icmp-host-zakázána pro Ipv4 nebo icmp6-adm-zakázaná pro Ipv6; |
| veřejnost | představuje veřejné, nedůvěryhodné sítě. Vybraná příchozí připojení můžete povolit individuálně; |
| externí | externí sítě při použití brány firewall jako brány. Je nakonfigurován tak, aby maskoval NAT, takže vaše vnitřní síť zůstává soukromá, ale přístupná; |
| vnitřní | antonymum vnější zóny. Hostitel má dostatečnou úroveň důvěry, je k dispozici řada doplňkových služeb; |
| dmz | používá se pro počítače umístěné v DMZ (izolované počítače bez přístupu do zbytku sítě). Jsou povolena pouze určitá příchozí připojení; |
| práce | zóna pro pracovní stroje (většina počítačů v síti je důvěryhodná); |
| Domov | oblast domácí sítě. Většině počítačů lze důvěřovat, ale podporována jsou pouze určitá příchozí připojení; |
| důvěryhodný | důvěřujte všem počítačům v síti. Nejotevřenější ze všech dostupných možností vyžaduje vědomé používání. |
PROTI firewalld používají se dvě sady pravidel - trvalé a dočasné. Dočasná pravidla fungují, dokud není server restartován. Ve výchozím nastavení při přidávání pravidel do firewalld, pravidla jsou považována za dočasná ( doba běhu). Chcete -li pravidlo přidat trvale, musíte použít příznak - trvalé... Taková pravidla budou použita po restartu serveru.
Instalace a povolení brány firewall v CentOS
Na CentOS 7/8 je firewall ve výchozím nastavení nainstalován na OS. Pokud jste jej odstranili a chcete nainstalovat firewalld, můžete použít standard / dnf manager:
# yum install firewalld -y - pro Centos 7
# dnf install firewalld -y - pro Centos 8
K démonovi firewalld spuštěno automaticky se spuštěním serveru, musíte jej přidat do:
# systemctl povolit firewalld
A běž:
# systemctl start firewalld
Zkontrolujte stav služby:
# stavový stav firewalld
● firewalld.service - firewalld - dynamický firewall démon Načteno: načteno (/usr/lib/systemd/system/firewalld.service; povoleno; předvolba dodavatele: povoleno) Aktivní: aktivní (běží) od Po 2019-10-14 14:54 : 40 +06; Před 22 s Docs: man: firewalld (1) Main PID: 13646 (firewalld) CGroup: /system.slice/firewalld.service └─13646 / usr / bin / python2 -Es / usr / sbin / firewalld --nofork --nopid 14. října 14:54:40 server.vpn.ru systemd: Spuštění firewalld - démon dynamické brány firewall ... 14. října 14:54:40 server.vpn.ru systemd: Spuštění brány firewall - démon dynamické brány firewall.
Nebo příkazem:
# firewall-cmd --state
Příkaz firewall-cmd je frontend brány firewall pro nftables / iptables.
# firewall-cmd --state
Práce s pravidly brány firewall
Výchozí pravidla:
Před konfigurací pravidel brány firewall je třeba zkontrolovat, která zóna se používá ve výchozím nastavení:
# firewall-cmd --get-default-zone
Protože jsme právě nainstalovali firewall a ještě jsme jej nenakonfigurovali, máme výchozí zónu veřejnost.
Pojďme zkontrolovat aktivní zónu. Je také jedna - veřejná:
# firewall-cmd --get-active-zones
Veřejná rozhraní: eth0
Jak vidíte, síťové rozhraní eth0 je ovládáno zónou veřejnost.
Chcete -li zobrazit základní pravidla, zadejte:
# firewall-cmd --list-all
Veřejný (aktivní) cíl: výchozí inverze bloku icmp: žádná rozhraní: zdroje eth0: služby: porty ssh klienta dhcpv6: protokoly: maškaráda: žádné porty vpřed: porty zdroje: bloky icmp: bohatá pravidla:
Z výpisu vidíte, že do této zóny byly přidány obvyklé operace související s klientem DHCP a ssh.
Dostupné zóny
Chcete -li zobrazit seznam všech zón, musíte spustit příkaz:
# firewall-cmd --get-zones
Skončil jsem se seznamem, jako je tento:
Blokovat dmz drop externí domácí interní veřejná důvěryhodná práce
Chcete -li zkontrolovat pravidla pro konkrétní zónu, musíte přidat příznak - zóna.
# firewall-cmd --zone = home --list-all
Domácí cíl: výchozí inverze bloku icmp-block: žádná rozhraní: zdroje: služby: dhcpv6-client mdns samba-klient ssh porty: protokoly: maškaráda: žádné porty dopředu: zdrojové porty: icmp-bloky: bohatá pravidla:
Pravidla pro všechny zóny lze zobrazit pomocí příkazu:
# firewall-cmd --list-all-zones
Seznam bude poměrně velký, protože může existovat mnoho zón.
Změňte výchozí zónu.
Ve výchozím nastavení jsou všechna síťová rozhraní umístěna v zóně veřejnost, ale lze je přenést do kterékoli zóny pomocí příkazu:
# firewall-cmd --zone = home -change-interface = eth0
Po parametru —Zóna = zadejte požadovanou zónu.
Chcete -li změnit výchozí zónu, musíte použít příkaz:
# firewall-cmd --set-default-zone = home
Přidání pravidel pro aplikace
Chcete -li otevřít port pro aplikaci, můžete k výjimkám přidat službu. Seznam dostupných služeb:
Výstup bude obsahovat velké množství služeb. Podrobnosti o službě jsou obsaženy v jejím xml soubor. Tyto soubory jsou umístěny v adresáři / usr / lib / firewalld / services.
Například:
# cd / usr / lib / firewalld / services
Soubor XML obsahuje popis služby, protokol a číslo portu, které budou otevřeny ve firewallu.
Při přidávání pravidel můžete použít parametr —Add-service otevřít přístup ke konkrétní službě:
# firewall-cmd --zone = public --add-service = http
# firewall-cmd --zone = public --add-service = https
Po přidání pravidel můžete zkontrolovat, zda byly služby přidány do zadané zóny:
# firewall-cmd --zone = public --list-services
Dhcpv6-klient http https ssh
Pokud chcete, aby byla tato pravidla trvalá, musíte při přidávání přidat parametr -Trvalý.
Odebrání služby ze zóny:
# firewall-cmd --permanent --zone = public --remove-service = http
Dhcpv6-klient https ssh test
Pokud chcete přidat svou službu k výjimkám, můžete vytvořit soubor xml sebe a vyplňte ho. Můžete kopírovat data z jakékoli služby, změnit název, popis a číslo portu.
Zkopírujte soubor smtp.xml do adresáře pro práci s uživatelskými službami:
# cp /usr/lib/firewalld/services/smtp.xml /etc /firewalld /services
Upravte popis služby v souboru.
Samotný soubor xml musí být také přejmenován podle názvu vaší služby. Poté musíte restartovat firewall a zkontrolovat, zda je naše služba na seznamu:
Pojmenoval jsem službu test a objevilo se to na seznamu:
Syslog-tls test telnet tftp
Nyní můžete vytvořenou službu přidat do jakékoli zóny:
# firewall-cmd --zone = public --add-service = test --permanent
# firewall-cmd --zone = public --permanent --list-services
Dhcpv6-klient http https ssh test
Pokud v seznamu nemůžete najít požadovanou službu, můžete požadovaný port otevřít na firewalldu příkazem:
# firewall -cmd --zone = public -add -port = 77 / tcp -otevřený port 77 tcp
# firewall -cmd --zone = public -add -port = 77 / udp -otevřený port 77 udp
# firewall-cmd --zone = public -add-port = 77-88 / udp-rozsah otevřených portů 77-88 udp
# firewall -cmd --zone = public -list -ports -zkontrolujte seznam povolených portů
Blokovat / povolit odpovědi ICMP:
# firewall-cmd --zone = public --add-icmp-block = echo-response
# firewall-cmd --zone = public --remove-icmp-block = echo-response
Odebrat přidaný port:
# firewall -cmd --zone = public -remove -port = 77 / udp -odebrat dočasné pravidlo 77 udp
# firewall -cmd --permanent --zone = public -remove -port = 77 / udp -odebrat trvalé pravidlo
Přidání vlastních zón
Můžete si vytvořit vlastní zónu (budu tomu říkat náš):
# firewall-cmd --permanent --new-zone = our
Po vytvoření nové zóny a po vytvoření služby je vyžadován restart firewalld:
# firewall-cmd-znovu načíst
# firewall-cmd --get-zones
Blokovat dmz drop externí domov interní naše veřejná důvěryhodná práce
Zóna náš k dispozici. Můžete do něj přidat služby nebo otevřít konkrétní porty.
Firewalld: blokování IP adres, vyvolání výjimek
K výjimkám brány firewall můžete přidat důvěryhodné adresy IP nebo nechtěné zablokovat.
Chcete -li přidat konkrétní IP adresu (například 8.8.8.8) k výjimkám na vašem serveru prostřednictvím firewalld, použijte příkaz:
# firewall-cmd --zone = public --add-rich-rule = "pravidlo rodina =" ipv4 "zdrojová adresa =" 8.8.8.8 "přijmout"
Zkontrolujte oblast a ujistěte se IP přidáno k výjimkám v rozšířených pravidlech:
Veřejný (aktivní) cíl: výchozí inverze bloku icmp: žádná rozhraní: zdroje eth0: služby: dhcpv6-klient http https ssh testovací porty: protokoly: maškaráda: žádné porty vpřed: zdrojové porty: bloky icmp: bohatá pravidla: pravidlo rodina = "ipv4" zdrojová adresa = "8.8.8.8" přijmout
Zablokovat IP, je třeba vyměnit přijmout na odmítnout:
# firewall-cmd --zone = public --add-rich-rule = "rule family =" ipv4 "zdrojová adresa =" 8.8.4.4 "odmítnout"
# firewall-cmd --zone = public --list-all
Veřejný (aktivní) cíl: výchozí inverze bloku icmp-bloku: žádná rozhraní: zdroje eth0: služby: dhcpv6-klient http https ssh testovací porty: protokoly: maškaráda: žádné porty vpřed: zdrojové porty: bloky icmp: bohatá pravidla: pravidlo rodina = "ipv4" zdrojová adresa = "8.8.8.8" přijmout pravidlo rodina = "ipv4" zdrojová adresa = "8.8.4.4" odmítnout
Můžete povolit konkrétní službu pouze pro požadavky z konkrétní IP adresy:
# firewall-cmd --permanent --add-rich-rule "rule family =" ipv4 "source address =" 10.10.1.0/24 "service name =" https "accept"
Pokud naléhavě potřebujete zablokovat všechny požadavky na server, použijte příkaz panic:
# firewall-cmd --panic-on
Režim paniky můžete vypnout buď příkazem:
# firewall-cmd --panic-off
Nebo restartováním serveru.
Konfiguraci brány firewall můžete uzamknout tak, aby místní služby pomocí jako root Nelze změnit pravidla brány firewall, která jste vytvořili:
# firewall-cmd --lockdown-on
Zakázat režim zámku:
# firewall-cmd-vypnutí-vypnutí
Předávání portů ve firewalldu
Ve firewallu můžete vytvořit pravidlo pro přesměrování portů. Chcete -li přeposlat port 443 na 9090:
# firewall-cmd --zone = public --add-forward-port = port = 443: proto = tcp: toport = 9090 --permanent
Odebrání pravidla přesměrování portů:
# firewall-cmd --zone = public --remove-forward-port = port = 443: proto = tcp: toport = 9090
Firewall nainstalovaný v operačním systému slouží k zabránění neautorizovanému toku provozu mezi nimi počítačové sítě... Ručně nebo automaticky se vytvářejí speciální pravidla pro bránu firewall, která jsou zodpovědná za řízení přístupu. Operační systém vyvinutý na linuxovém jádře, CentOS 7, má vestavěný firewall a je řízen firewallem. Ve výchozím nastavení je FirewallD povolen a my bychom si chtěli promluvit o jeho dnešním nastavení.
Jak bylo uvedeno výše, FirewallD je výchozí bránou firewall v CentOS 7. Proto bude použití brány firewall zvažováno pomocí tohoto nástroje jako příkladu. Pravidla filtrování můžete nastavit pomocí stejných iptables, ale to se děje trochu jiným způsobem. Doporučujeme vám seznámit se s konfigurací zmíněného nástroje kliknutím na následující odkaz a začneme analyzovat FirewallD.
Základní koncepty brány firewall
Existuje několik zón - sady pravidel pro řízení provozu na základě důvěry v sítě. Všem jsou přiřazeny vlastní zásady, jejichž souhrn tvoří konfiguraci brány firewall. Každé zóně je přiřazena jedna nebo více síťová rozhraní, což také umožňuje upravit filtraci. Použitá pravidla přímo závisí na použitém rozhraní. Například při připojení k veřejnosti Síť Wi-Fi obrazovka zvýší úroveň ovládání a v domácí síti se otevře další přístup pro účastníky řetězce. Uvažovaný firewall obsahuje následující zóny:
- Trusted - maximální úroveň důvěryhodnosti pro všechna síťová zařízení;
- domov - skupina lokální síť... Prostředí je důvěryhodné, ale příchozí připojení jsou k dispozici pouze pro konkrétní počítače;
- práce - pracovní oblast. Ve většině zařízení panuje důvěra a aktivují se další služby;
- dmz - zóna pro izolované počítače. Tato zařízení jsou odpojena od zbytku sítě a umožňují pouze určitý příchozí provoz;
- vnitřní - zóna vnitřních sítí. Důvěra se aplikuje na všechny stroje, otevírají se další služby;
- externí - návrat do předchozí zóny. Na externích sítích je aktivní maskování NAT, které zavírá vnitřní síť, ale neblokuje přístup;
- public - zóna veřejných sítí s nedůvěrou ke všem zařízením a individuálním příjmem příchozího provozu;
- blok - všechny příchozí požadavky jsou zahozeny a odesílá se chyba icmp-host-zakázáno nebo icmp6-adm-zakázáno;
- pokles - minimální úroveň důvěryhodnosti. Příchozí připojení budou zrušena bez jakéhokoli upozornění.
Samotní politici jsou dočasní a trvalí. Když se parametry objeví nebo jsou upraveny, akce brány firewall se okamžitě změní bez nutnosti restartu. Pokud byla použita dočasná pravidla, budou po restartu brány FirewallD resetována. Tomu se říká trvalé pravidlo - při použití argumentu -permanent bude trvale uloženo.
Povolení brány firewall D.
Nejprve musíte spustit FirewallD nebo se ujistit, že je aktivní. Pravidla brány firewall bude používat pouze fungující démon (program běžící na pozadí). Aktivace se provádí doslova několika kliknutími:
- Běhejte klasicky "Terminál" jakoukoli vhodnou metodou, například prostřednictvím nabídky "Aplikace".
- Zadejte příkaz sudo systemctl start firewalld.service a stiskněte klávesu Vstupte.
- Nástroj je spravován jménem superuživatele, takže budete muset ověřit svou identitu zadáním hesla.
- Chcete-li ověřit, že služba funguje, zadejte firewall-cmd --state.
- Znovu autentizujte v grafickém okně, které se otevře.
- Zobrazí se nový řádek. Význam "Běh" označuje, že brána firewall funguje.
Pokud jednoho dne potřebujete dočasně nebo trvale zakázat bránu firewall, doporučujeme použít pokyny uvedené v našem dalším článku na následujícím odkazu.
Zobrazení výchozích pravidel a dostupných zón
I firewall fungující normálně má svá vlastní specifická pravidla a dostupné zóny. Před zahájením úprav zásad doporučujeme seznámit se s aktuální konfigurací. To se provádí pomocí jednoduchých příkazů:
- Příkaz firewall-cmd --get-default-zone vám pomůže určit výchozí zónu.
- Po jeho aktivaci uvidíte nový řádek, kde se zobrazí požadovaný parametr. Například na obrázku níže je zóna považována za aktivní. "Veřejnost".
- Aktivních však může být několik zón najednou, navíc jsou vázány na samostatné rozhraní. Zjistěte tyto informace prostřednictvím brány firewall-cmd --get-active-zones.
- Příkaz firewall-cmd --list-all zobrazí výchozí pravidla pro zónu. Podívejte se na snímek obrazovky níže. Vidíte, že aktivní oblast "Veřejnost" přiřazené pravidlo "Výchozí"- výchozí operace, rozhraní "Enp0s3" a přidal dvě služby.
- Pokud potřebujete znát všechny dostupné zóny brány firewall, zadejte firewall-cmd --get-zones.
- Parametry konkrétní zóny jsou definovány přes firewall-cmd --zone = name --list-all, kde název- název zóny.
Po definování potřebných parametrů můžete přistoupit k jejich změně a přidání. Podívejme se blíže na několik nejpopulárnějších konfigurací.
Konfigurace zón rozhraní
Jak víte z výše uvedených informací, každé rozhraní má svou vlastní výchozí zónu. Zůstane v něm, dokud uživatel nezmění nastavení nebo programově. Ruční přenos rozhraní do zóny pro jednu relaci je možný a provádí se aktivací příkazu sudo firewall-cmd --zone = home --change-interface = eth0. Výsledek "Úspěch" označuje, že přenos byl úspěšný. Připomeňme, že taková nastavení se resetují ihned po restartu brány firewall.
Při takové změně parametrů je třeba mít na paměti, že služby lze resetovat. Některé z nich nepodporují fungování v určitých zónách, například SSH, přestože jsou k dispozici v "Domov", ale ve vlastním nebo zvláštním případě služba odmítne fungovat. Můžete ověřit, že rozhraní bylo úspěšně navázáno na novou větev zadáním brány firewall-cmd --get-active-zones.
Pokud chcete obnovit nastavení, která jste provedli dříve, restartujte bránu firewall: sudo systemctl restart firewalld.service.
Někdy není vždy vhodné změnit oblast rozhraní pouze pro jednu relaci. V takovém případě budete muset upravit konfigurační soubor, aby byla všechna nastavení zadána trvale. K tomu doporučujeme použít textový editor nano který je nainstalován z oficiálního úložiště sudo yum install nano. Poté zbývá provést následující akce:
- Otevřete konfigurační soubor pomocí editoru zadáním sudo nano / etc / sysconfig / network-scripts / ifcfg-eth0, kde eth0- název požadovaného rozhraní.
- Potvrďte pravost účet pro další akce.
- Najděte parametr "ZÓNA" a změňte jeho hodnotu na to, co chcete, například veřejné nebo domácí.
- Držte klíče Ctrl + O k uložení vašich změn.
- Neměňte název souboru, stačí kliknout na Vstupte.
- Ukončete textový editor pomocí Ctrl + X.
Nyní bude zóna rozhraní tak, jak jste ji zadali, až do další úpravy konfiguračního souboru. Aby se aktualizované nastavení projevilo, spusťte sudo systemctl restart network.service a sudo systemctl restart firewalld.service.
Nastavení výchozí zóny
Výše jsme již předvedli příkaz, který vám umožní zjistit výchozí zónu. Lze jej také změnit nastavením parametru podle vašeho výběru. Chcete-li to provést, napište do konzoly sudo firewall-cmd --set-default-zone = name, kde název- název požadované zóny.
Úspěch příkazu bude indikován nápisem "Úspěch" na samostatném řádku. Poté budou všechna aktuální rozhraní vázána na zadanou zónu, pokud v konfiguračních souborech není uvedeno jiné.
Vytváření pravidel pro programy a obslužné programy
Na samém začátku článku jsme hovořili o působení každé zóny. Definice služeb, utilit a programů v těchto pobočkách vám umožní aplikovat na každý z nich individuální parametry pro požadavky každého uživatele. Chcete -li začít, doporučujeme vám seznámit se s úplným seznamem dostupných na tento moment služby: firewall-cmd --get-services.
Výsledek se zobrazí přímo v konzole. Každý server je oddělen mezerou a v seznamu snadno najdete nástroj, který vás zajímá. Pokud požadovaná služba není k dispozici, měla by být dodatečně nainstalována. Přečtěte si o pravidlech instalace v oficiální softwarové dokumentaci.
Výše uvedený příkaz zobrazuje pouze názvy služeb. Podrobné informace o každém z nich jsou získány prostřednictvím samostatného souboru umístěného pod cestou / usr / lib / firewalld / services. Takové dokumenty jsou ve formátu XML, cesta například k SSH vypadá takto: /usr/lib/firewalld/services/ssh.xml a dokument má následující obsah:
SSH
Secure Shell (SSH) je protokol pro přihlášení a provádění příkazů na vzdálených počítačích. Poskytuje zabezpečenou šifrovanou komunikaci. Pokud máte v plánu vzdáleně přistupovat ke svému počítači přes SSH přes firewallové rozhraní, povolte tuto možnost. Aby byla tato možnost užitečná, potřebujete nainstalovaný balíček openssh-server.
Servisní podpora se v konkrétní zóně aktivuje ručně. PROTI "Terminál" příkaz sudo firewall-cmd --zone = public --add-service = http, kde --zone = veřejná- zóna pro aktivaci a --add-service = http- Název služby. Upozorňujeme, že taková změna bude platná pouze v rámci jedné relace.
Trvalé přidání se provádí pomocí sudo firewall-cmd --zone = public --permanent --add-service = http a výsledek "Úspěch" označuje úspěšné dokončení operace.
Pohled úplný seznam trvalá pravidla pro konkrétní zónu lze zobrazit zobrazením seznamu na samostatném řádku konzoly: sudo firewall-cmd --zone = public --permanent --list-services.
Řešení problému s nedostatečným přístupem ke službě
Standardně pravidla brány firewall označují nejpopulárnější a nejbezpečnější služby jako povolené, ale některé standardní nebo aplikace třetích stran blokuje to. V takovém případě bude uživatel muset ručně vyřešit nastavení, aby vyřešil problém s přístupem. To lze provést dvěma různými způsoby.
Předávání portů
Jak víte, všechny síťové služby používají konkrétní port. Je snadno detekovatelný firewallem a lze na něm provádět zámky. Abyste se vyhnuli takovým akcím ze strany brány firewall, musíte požadovaný port otevřít příkazem sudo firewall-cmd --zone = public --add-port = 0000 / tcp, kde --zone = veřejná- oblast přístavu, --add-port = 0000 / tcp- číslo portu a protokol. Firewall-cmd --list-ports zobrazí seznam otevřených portů.
Pokud potřebujete otevřít porty, které jsou v dosahu, použijte řádek sudo firewall-cmd --zone = public --add-port = 0000-9999 / udp, kde --add-port = 0000-9999 / udp- řada portů a jejich protokol.
Výše uvedené příkazy vám umožní pouze vyzkoušet aplikaci takových parametrů. Pokud to bylo úspěšné, měli byste do trvalého nastavení přidat stejné porty, a to se provede zadáním sudo firewall-cmd --zone = public --permanent --add-port = 0000 / tcp nebo sudo firewall-cmd- zone = public --permanent --add-port = 0000-9999 / udp. Seznam otevřených trvalých portů je zobrazen takto: sudo firewall-cmd --zone = public --permanent --list-ports.
Definice služby
Jak vidíte, přidávání portů je jednoduché, ale postup se stává komplikovanějším, když se používá velké množství aplikací. Je obtížné sledovat všechny používané porty, a proto by bylo správnější definovat službu:
Stačí si vybrat nejvhodnější způsob řešení problému s přístupem ke službě a postupovat podle uvedených pokynů. Jak vidíte, všechny akce se provádějí poměrně snadno a neměly by nastat žádné potíže.
Vytváření vlastních zón
Již víte, že FirewallD původně vytvořil velké množství různých zón s určitými pravidly. Existují však situace, kdy správce systému potřebuje vytvořit vlastní zónu, například "Veřejný web" pro nainstalovaný webový server, nebo "PrivateDNS"- pro server DNS. Pomocí těchto dvou příkladů budeme analyzovat přidání větví:
V tomto článku jste se dozvěděli, jak vytvořit vlastní zóny a přidat do nich služby. Už jsme hovořili o jejich výchozím nastavení a přiřazování rozhraní, stačí zadat správná jména. Po provedení jakýchkoli trvalých změn nezapomeňte restartovat bránu firewall.
Jak vidíte, firewall FirewallD je poměrně objemný nástroj, který vám umožňuje provést nejflexibilnější konfiguraci brány firewall. Zbývá pouze zajistit, aby byl nástroj spuštěn společně se systémem a zadaná pravidla okamžitě začala fungovat. Udělejte to pomocí příkazu sudo systemctl enable firewalld.
FirewallD je nástroj pro správu brány firewall, který je standardně k dispozici na serverech CentOS 7. V zásadě se jedná o obálku kolem IPTables a je dodáván s grafickým konfiguračním nástrojem pro konfiguraci brány firewall a nástrojem příkazového řádku brány firewall-cmd. U služby IPtables každá změna vyžaduje odstranění starých pravidel a vytvoření nových pravidel v souboru / etc / sysconfig / iptables„zatímco firewalld aplikuje pouze rozdíly.
FirewallD zóny
FirewallD používá v pravidlech a řetězcích v iptables služby a zóny. Ve výchozím nastavení jsou k dispozici následující zóny:
- upustit- Zahoďte všechny příchozí síťové pakety bez odpovědi, k dispozici jsou pouze odchozí síťová připojení.
- blok-Odmítněte všechny příchozí síťové pakety zprávou icmp-hostitel-zakázáno, k dispozici je pouze odchozí síťové připojení.
- veřejnost- přijímána jsou pouze vybraná příchozí spojení pro použití na veřejných místech
- externí- U externích sítí s maškarádou jsou přijímána pouze vybraná příchozí připojení.
- dmz- DMZ, veřejně přístupné s omezeným přístupem do vnitřní sítě, přijímána jsou pouze vybraná příchozí připojení.
- práce
- Domov- U počítačů v domácí zóně jsou přijímána pouze vybraná příchozí připojení.
- vnitřní- U počítačů ve vaší interní síti jsou přijímána pouze vybraná příchozí připojení.
- důvěryhodný- Všechna síťová připojení jsou přijímána.
Chcete -li získat seznam všech dostupných zón:
# firewall-cmd --get-zones work drop interní externí důvěryhodný domácí dmz veřejný blok
Chcete -li zobrazit seznam výchozích zón:
# firewall-cmd --get-default-zone public
Chcete -li změnit výchozí zónu:
Služby FirewallD
Služby FirewallD jsou konfigurační soubory XML s informacemi o záznamu služby pro firewall. Chcete -li získat seznam všech dostupných služeb:
# firewall-cmd --get-services amanda-client amanda-k5-client bacula bacula-client ceph ceph-mon dhcp dhcpv6 dhcpv6-client dns docker-registry dropbox-lansync freeipa-ldap freeipa-ldaps freeipa-replication ftp high-availability http https imap imaps ipp ipp-client ipsec iscsi-target kadmin kerberos kpasswd ldap ldaps libvirt libvirt-tls mdns mosh mountd ms-wbt mysql nfs ntp openvpn pmcd pmproxy pmwebapi pmwebapis pop3 proxy proxy postcpp privc rozumný smtp smtps snmp snmptrap chobotnice ssh synergie syslog syslog-tls telnet tftp tftp-klient tinc tor-socks přenos-klient vdsm vnc-server wbem-https xmpp-bosh xmpp-klient xmpp-místní xmpp-server
Konfigurace XML soubory uloženy v adresářích / usr / lib / firewalld / services / a / etc / firewalld / services /.
Konfigurace brány firewall pomocí FirewallD
Zde je příklad, jak můžete nastavit bránu firewall s FirewallD, pokud používáte webový server, SSH na portu 7022 a poštovní server.
Nejprve nastavíme výchozí zónu pro DMZ.
# firewall-cmd --set-default-zone = dmz # firewall-cmd --get-default-zone dmz
Chcete -li do DMZ přidat pravidla trvalé služby pro HTTP a HTTPS, spusťte následující příkaz:
# firewall-cmd --zone = dmz --add-service = http --permanent # firewall-cmd --zone = dmz --add-service = https --permanent
Otevřený port 25 (SMTP) a port 465 (SMTPS):
Firewall-cmd --zone = dmz --add-service = smtp --permanent firewall-cmd --zone = dmz --add-service = smtps --permanent
Otevřené porty, IMAP, IMAPS, POP3 a POP3S:
Firewall-cmd --zone = dmz --add-service = imap --permanent firewall-cmd --zone = dmz --add-service = imaps --permanent firewall-cmd --zone = dmz --add-service = pop3 --permanent firewall-cmd --zone = dmz --add-service = pop3s --permanent
Protože byl port SSH změněn na 7022, odebereme službu SSH (port 22) a otevřený port 7022
Firewall-cmd --remove-service = ssh --permanent firewall-cmd --add-port = 7022 / tcp --permanent
Abychom provedli změny, musíme znovu načíst bránu firewall:
Firewall-cmd-znovu načíst
Nakonec můžete uvést pravidla.
Provedeme vás kroky konfigurace brány firewall Firewalld v CentOS 7
Co je Firewalld? Toto je kompletní firewall, který je standardně k dispozici na CentOS 7. Ukážeme vám, jak jej nakonfigurovat na serveru, a také vás provedeme nástrojem firewall-cmd.
1. Jaké jsou základní pojmy brány firewall?
Zóny
Firewalld je schopen spravovat skupiny pravidel prostřednictvím zón. Jedná se o sadu pokynů pro správu provozu na základě důvěry v sítě. K síťovému rozhraní lze přiřadit zónu pro ovládání chování brány firewall. Je to nutné, protože notebooky se často mohou připojit k různým sítím. Počítače mohou používat zóny ke změně sady pravidel na základě jejich prostředí. Pokud se například připojíte k Wi-Fi v kavárně, můžete použít přísnější pravidla. A doma mohou být pravidla loajálnější.
Ve Firewalldu se rozlišují následující zóny:
Drop má nejnižší důvěru v síť. V tomto případě jsou podporována pouze odchozí připojení a příchozí provoz je přerušen bez odpovědi;
Blok se liší od poklesu v tom, že když je příchozí požadavek zahozen, je vydána zpráva icmp-hostitel-zakázáno nebo icmp6-adm-zakázáno;
Veřejná zóna je veřejná síť, která individuálně spravuje příchozí požadavky. Nemůžeš jí však věřit;
Externí je zóna externí sítě, která podporuje maskování NAT, aby byla interní síť uzavřena. Je však k němu přístup;
Stinná stránka externího je vnitřní. Počítačům v této zóně lze důvěřovat, takže budou k dispozici další služby;
Zóna dmz je užitečná pro izolované počítače, které nemají přístup ke zbytku sítě. V takovém případě budete moci konfigurovat svá oblíbená příchozí připojení;
Zóna pracovní sítě funguje. Můžete v něj důvěřovat prostředí, ale nejsou podporována všechna příchozí připojení, ale pouze uživatelem definovaná;
V důvěryhodné zóně lze důvěřovat všem počítačům v síti.
Ukládání pravidel
Ve Firewalldu jsou dočasné a trvalé. Stává se, že se sada změní nebo se objeví pravidlo ovlivňující chování brány firewall. Změny budou po restartu ztraceny, takže je musíte uložit. Příkazy firewall -cmd používají k uložení pravidel příznak -permanent. Poté je budete moci průběžně používat.
2. Jak povolím firewall Firewalld?
Dobrým začátkem je spuštění programu démona na pozadí. Soubor jednotky systemd se nazývá firewalld.service. Chcete -li povolit program daemon, musíte do příkazového řádku zadat:
Sudo systemctl start firewalld.service
Musíme zajistit, aby byla služba spuštěna. K tomu budete potřebovat:
Firewall-cmd-běžící stav
Brána firewall se spustila a výchozí pokyny fungují. Mějte na paměti, že služba je povolena, ale nespustí se automaticky na serveru. Chcete -li to provést, musíte nakonfigurovat automatické spuštění. Také vytvořte sadu pravidel, abyste se neblokovali na svém vlastním serveru.
3. Výchozí pravidla brány firewall
Jak je mohu zobrazit?
Chcete -li zobrazit výchozí zónu, zadejte:
Firewall-cmd --get-default-zone public
Vidíme, že Firewalld neobdržel žádné pokyny týkající se jiných zón. Veřejně se používá ve výchozím nastavení a je jedinou aktivní zónou, protože žádné rozhraní se neváže na ostatní. Pokud chcete zobrazit seznam všech dostupných zón domény, zadejte v konzole:
Veřejná rozhraní Firewall-cmd --get-active-zones: eth0 eth1
Vidíme dvě síťová rozhraní vázaná na veřejnou zónu. Fungují podle pravidel stanovených pro tuto zónu. Výchozí pravidla můžete zobrazit takto:
Firewall-cmd --list-all veřejná (výchozí, aktivní) rozhraní: eth0 eth1 zdroje: služby: dhcpv6-klient ssh porty: maškaráda: žádné dopředné porty: icmp-bloky: bohatá pravidla:
Pojďme si to shrnout:
Výchozí a jediná aktivní zóna je veřejná;
K této zóně jsou vázána dvě rozhraní: eth0 a eth1;
Veřejné podpory vzdálená správa Přiřazení SSH a DHSP IP.
Další zóny brány firewall
Podívejme se, jaké další zóny má firewall. Chcete -li zobrazit seznam všech dostupných, zadejte do konzoly:
Parametry pro každou konkrétní zónu můžete také získat přidáním příznaku -zone =:
Firewall-cmd --zone = home --list-all domácí rozhraní: zdroje: služby: dhcpv6-client ipp-client mdns samba-client ssh porty: maškaráda: žádné forward porty: icmp-bloky: bohatá pravidla:
Pokud chcete vypsat definice všech dostupných zón, použijte volbu --list-all-zones. Pojďme předat výstup na pager, aby bylo snazší zobrazit výstup:
Firewall-cmd --list-all-zones | méně
4. Jak nastavím front-end zóny?
Všechna síťová rozhraní jsou zpočátku vázána na výchozí zónu.
Změna zóny rozhraní pouze pro jednu relaci
K tomuto účelu potřebujeme dvě možnosti: —change-interface = a —zone =. Chcete -li se přenést do domácí et0 zóny, zadejte:
Sudo firewall-cmd --zone = home --change-interface = eth0 úspěch
Upozorňujeme, že to může ovlivnit fungování určitých služeb. Například SSH je podporován v domácí zóně, tj. spojení nebudou přerušena. To se však může stát v jiných zónách, což povede k zablokování přístupu na váš vlastní server. Musíme zajistit, aby bylo rozhraní připojeno k nové zóně. Na příkazovém řádku zadejte:
Po restartování brány firewall se rozhraní znovu naváže na výchozí zónu.
Sudo systemctl restart firewalld.service firewall-cmd --get-active-zones veřejná rozhraní: eth0 eth1
Průběžná změna zóny rozhraní
Po restartování brány firewall bude nové rozhraní vázáno na výchozí zónu, pokud v nastavení rozhraní není zadána žádná jiná zóna. Konfigurace v CentOS jsou umístěny v souborech formátu rozhraní ifcfg adresáře / etc / sysconfig / network-scripts. Chcete -li definovat zónu rozhraní, musíte otevřít jeho konfigurační soubor:
Sudo nano / etc / sysconfig / network-scripts / ifcfg-eth0
Přidejte proměnnou ZONE = na konec souboru. Nastavme jako hodnotu další zónu:
DNS1 = 2001: 4860: 4860 :: 8844 DNS2 = 2001: 4860: 4860 :: 8888 DNS3 = 8.8.8.8 ZONE = domov
Nyní uložme změny, po kterých lze soubor zavřít. Chcete -li aktualizovat nastavení, budete muset restartovat síťovou službu a také bránu firewall:
Sudo systemctl restart network.service sudo systemctl restart firewalld.service
Poté bude rozhraní eth0 vázáno na domovskou zónu.
Firewall-cmd --get-active-zones domácí rozhraní: eth0 veřejná rozhraní: eth1
Konfigurace výchozích zón
Lze také nastavit jinou výchozí zónu. S tím nám pomůže volba --set-default-zone =, která všechna síťová rozhraní váže do jiné zóny.
Sudo firewall-cmd --set-default-zone = domácí domácí rozhraní: eth0 eth1
5. Jak vytvořit pravidla pro aplikace?
Přidání do oblasti služeb
To lze nejsnadněji provést na portu používaném bránou firewall. Chcete -li zobrazit všechny dostupné služby, zadejte na příkazový řádek:
Firewall-cmd --get-services RH-Satellite-6 amanda-client bacula bacula-client dhcp dhcpv6 dhcpv6-client dns ftp high-availability http https imaps ipp ipp-client ipsec kerberos kpasswd ldap ldaps libvirt libvirt-tls mdns mountd ms- wbt mysql nfs ntp openvpn pmcd pmproxy pmwebapi pmwebapis pop3s postgresql proxy-dhcp radius rpc-bind samba samba-klient smtp ssh telnet tftp tftp-klient přenos-klient vnc-server wbem-https
Nezapomeňte, že soubory .xml v adresáři / usr / lib / firewalld / services ukládají všechny informace o každé službě. Informace o SSH najdete v /usr/lib/firewalld/services/ssh.xml. Vypadají takto:
Chcete -li povolit podporu pro služby v zónách, potřebujete parametr -add -service =, ale volba -zone je užitečná pro nastavení cílové zóny. Pamatujte, že takové změny budou platné pouze pro jednu relaci. Pokud potřebujete uložit změny pro budoucí použití, použijte příznak -permanent. Podívejme se, jak to funguje. Spusťme webový server, aby mohl obsluhovat provoz HTTP. Povolme podporu pro jednu relaci ve veřejné zóně. Zadejte do konzoly:
Sudo firewall-cmd --zone = public --add-service = http
Pokud službu přidáváte do výchozí zóny, nepoužívejte volbu -zone =. Zkontrolujeme, zda vše fungovalo:
Firewall-cmd --zone = public --list-services dhcpv6-client http ssh
Nyní je třeba vyzkoušet fungování brány firewall a samotné služby. Pokud vidíte, že je vše v pořádku, můžete bezpečně změnit konstantní sadu pravidel. Chcete -li přidat pravidlo na podporu nové služby, musíte v konzole zadat:
Sudo firewall-cmd --zone = public --permanent --add-service = http
Pokud chcete vidět celý seznam pravidel, která jsou účinná průběžně, pak:
Sudo firewall-cmd --zone = public --permanent --list-services dhcpv6-client http ssh
Ve výsledku bude mít veřejná zóna podporu pro port 80 a HTTP. V případě, že je váš server schopen obsluhovat provoz SSL / TLS, můžete přidat službu HTTPS:
Sudo firewall-cmd --zone = public --add-service = https sudo firewall-cmd --zone = public --permanent --add-service = https
6. Co když služba není k dispozici?
Firewalld standardně obsahuje mnoho oblíbených služeb. Stává se však, že programy potřebují další služby, které nejsou ve firewallu. Tento problém lze vyřešit několika způsoby.
Metoda č. 1: Definování služby
Přidání portu do zóny je dostatečně snadné. Pokud však existuje mnoho aplikací, bude obtížné pochopit, který port který používá. V takové situaci je dobré definovat služby místo portů. Služba je v podstatě skupina portů, které dostaly název a popis. S jejich pomocí bude snazší spravovat nastavení. Služba je ale o něco složitější než port.
Začněme zkopírováním stávajícího skriptu ze složky / usr / lib / firewalld / services, ze kterého brána firewall převezme nestandardní nastavení do / etc / firewalld / services. Zkopírujme definici služby SSH a použijeme ji jako příklad definice podmíněné služby. Nezapomeňte, že název skriptu se musí shodovat s názvem služby a také mít příponu souboru .xml. Zadejte do konzoly:
Sudo cp /usr/lib/firewalld/services/service.xml /etc/firewalld/services/example.xml
Nyní musíte zkompilovaný soubor upravit:
Sudo nano /etc/firewalld/services/example.xml
Uvnitř je definice SSH:
SSH Secure Shell (SSH) je protokol pro přihlášení a provádění příkazů na vzdálených počítačích. Poskytuje zabezpečenou šifrovanou komunikaci. Pokud máte v plánu vzdáleně přistupovat ke svému počítači přes SSH přes firewallové rozhraní, povolte tuto možnost. Aby byla tato možnost užitečná, potřebujete nainstalovaný balíček openssh-server.
Nyní uložíme změny a zavřeme soubor. Poté budete muset restartovat bránu firewall pomocí:
Sudo firewall-cmd-znovu načíst
Naše se objeví v seznamu dostupných služeb:
Firewall-cmd --get-services RH-Satellite-6 amanda-client bacula bacula-client dhcp dhcpv6 dhcpv6-client dns example ftp high-availability http https imaps ipp ipp-client ipsec kerberos kpasswd ldap ldaps libvirt libvirt-tls mdns mountd ms -wbt mysql nfs ntp openvpn pmcd pmproxy pmwebapi pmwebapis pop3s postgresql proxy-dhcp radius rpc-bind samba samba-klient smtp ssh telnet tftp tftp-klient přenos-klient vnc-server wbem-https
Metoda číslo 2: Vytvoření portu
Otevřeme port aplikace v požadované zóně brány firewall a označíme jej, stejně jako protokol. Představte si situaci, že potřebujete do veřejné zóny přidat program pomocí protokolu TCP a portu 5000. K aktivaci podpory aplikace pro jednu relaci potřebujete volbu -add -port =. Kromě toho musíte určit protokol TCP nebo udp:
Sudo firewall-cmd --zone = public --add-port = 5000 / tcp
Pojďme se ujistit, že vše fungovalo:
Firewall-cmd --list-porty 5000 / tcp
Kromě toho je možné určit rozsah portů pomocí pomlčky. Pokud program například používá porty 4990-4999, jejich přidání do veřejné zóny provede:
Sudo firewall-cmd --zone = public --add-port = 4990-4999 / udp
Pokud vše funguje dobře, přidejte do nastavení brány firewall pokyny:
Sudo firewall-cmd --zone = public --permanent --add-port = 5000 / tcp sudo firewall-cmd --zone = public --permanent --add-port = 4990-4999 / udp sudo firewall-cmd-zóna = public --permanent --list-ports success success 4990-4999 / udp 5000 / tcp
7. Jak vytvořit zónu?
Firewall je schopen poskytnout různé předdefinované zóny, které obvykle stačí pro práci, ale někdy je třeba vytvořit si vlastní zónu. Například, Server DNS potřebujete zónu privateDNS a webový server potřebuje zónu publicweb. Po vytvoření zón ji musíte přidat do nastavení brány firewall. Vytvořte zóny publicweb a privateDNS zadáním do konzoly:
Sudo firewall-cmd --permanent --new-zone = publicweb sudo firewall-cmd --permanent --new-zone = privateDNS
Zkontrolujeme, zda vše fungovalo:
Sudo firewall-cmd --permanent --get-zones block dmz drop externí domov interní privateDNS veřejný publicweb důvěryhodná práce
Firewall-cmd --get-zones blok dmz pokles externí domácí interní veřejná důvěryhodná práce
Nové zóny v aktuální relaci však nebudou k dispozici:
Firewall-cmd --get-zones blok dmz pokles externí domácí interní veřejná důvěryhodná práce
Restartujeme bránu firewall, abychom získali přístup k novým zónám:
Sudo firewall-cmd-znovu načíst firewall-cmd --get-zóny blok dmz pokles externí domov interní soukromýDNS veřejný veřejný web důvěryhodná práce
Nyní bude možné pro nové zóny definovat porty a služby. Řekněme, že je potřeba přidat SSH, HTTP a HTTPS do zóny veřejného webu:
Sudo firewall-cmd --zone = publicweb --add-service = ssh sudo firewall-cmd --zone = publicweb --add-service = http sudo firewall-cmd --zone = publicweb --add-service = https firewall- cmd --zone = publicweb --list-all rozhraní publicweb: zdroje: služby: http https ssh porty: maškaráda: žádné porty vpřed: bloky icmp: bohatá pravidla:
Kromě toho bude možné přidat DNS do zóny privateDNS pomocí:
Sudo firewall-cmd --zone = privateDNS --add-service = dns firewall-cmd --zone = privateDNS --list-all privateDNS rozhraní: zdroje: služby: dns porty: maškaráda: žádné porty vpřed: bloky icmp: bohatá pravidla:
Poté můžete bezpečně svázat síťová rozhraní s novými zónami:
Sudo firewall-cmd --zone = publicweb --change-interface = eth0 sudo firewall-cmd --zone = privateDNS --change-interface = eth1
Zkontrolujte, zda nastavení funguje. Pokud je vše v pořádku, přidejte je do trvalých pravidel:
Sudo firewall-cmd --zone = publicweb --permanent --add-service = ssh sudo firewall-cmd --zone = publicweb --permanent --add-service = http sudo firewall-cmd --zone = publicweb --permanent --add-service = https sudo firewall-cmd --zone = privateDNS --permanent --add-service = dns
Nyní přejdeme ke konfiguraci síťových rozhraní. To je nezbytné k automatickému připojení k požadované zóně. Řekněme, že se chcete vázat na publicweb eth0, pak:
Sudo nano / etc / sysconfig / network-scripts / ifcfg-eth0. ... ... IPV6_AUTOCONF = ne DNS1 = 2001: 4860: 4860 :: 8844 DNS2 = 2001: 4860: 4860 :: 8888 DNS3 = 8.8.8.8 ZONE = veřejný web
Také budeme vázat eht1 na privateDNS pomocí:
Sudo nano / etc / sysconfig / network-scripts / ifcfg-eth1. ... ... NETMASK = 255.255.0.0 DEFROUTE = "no" NM_CONTROLLED = "yes" ZONE = privateDNS
Aby se změny projevily, budete muset restartovat bránu firewall a síťové služby:
Sudo systemctl restart network sudo systemctl restart firewalld
Musíte zkontrolovat zóny, abyste se ujistili, že jsou služby registrovány:
Firewall-cmd --get-active-zones soukromá rozhraníDNS: eth1 rozhraní veřejného webu: eth0
Nyní musíte zkontrolovat, zda fungují:
Firewall-cmd --zone = publicweb --list-services http htpps ssh firewall-cmd --zone = privateDNS --list-services dns
Jak vidíme, vlastní zóny jsou zcela připraveny jít. Kteroukoli z nich lze přiřadit jako výchozí. Například:
Sudo firewall-cmd --set-default-zone = publicweb
8. Jak automaticky spustím bránu firewall?
Po kontrole fungování pravidel a všech nastavení nakonfigurujte automatické spuštění pomocí:
Systém Sudo povoluje bránu firewall
To vám umožní zapnout bránu firewall ihned po spuštění serveru.
Na závěr je třeba poznamenat, že firewall Firewalld je z hlediska nastavení poměrně flexibilní nástroj. A můžete změnit politiku její práce pomocí zón.