În prima parte, am instalat o nouă versiune de FreeBSD 10.1. Acum trebuie să facem niște setări de sistem minime care să o facă eficient, convenabil și în anumite moduri sigure de a utiliza serverul.
Configurarea serverului SSH
Aici, vă recomand să schimbați portul standard al ssh 22 la ceva mai exotic. Acest lucru se face astfel încât roboții, care scanează în mod constant Internetul și încearcă să se conecteze la servere, sunt lăsați în afara muncii. La portul 22, cineva rupe constant conturile inexistente și preluarea parolelor. Toate acestea se reflectă în jurnalele și pot interveni. Prin schimbarea portului la non-standard, vom scăpa parțial de această problemă. Căutăm o linie cu un cuvânt Port și schimbăm valoarea de la 22, de exemplu, la 11222.
Demonul sshd va reporni. Este posibil să încercați să vă conectați pe ssh, ar trebui să se dovedească a fi sub rădăcină.
Mulți consideră că este nesigur să se conecteze la distanță sub contul rădăcină. Această problemă este ambiguă, totul depinde de situația specifică. Să adăugăm un utilizator pentru conexiunea la distanță. Folosim comanda:
Completăm datele de utilizator necesare. Asigurați-vă că specificați roata ca grup de extensie. Dacă utilizatorul nu adaugă la acest grup, atunci nu va mai putea să se conecteze mai târziu. După adăugarea unui utilizator, conectați-vă la el prin intermediul ssh. După conectare, utilizați comanda:
Introduceți parola de root și fiți în contul rădăcină.
Cum să vă conectați și să lucrați decideți singuri.
Instalarea comandantului de la miezul nopții
Deoarece avem un sistem gol, vom vedea mesajul:
Suntem de acord. După instalarea pkg, instalarea MC va începe. Înainte de aceasta, va fi afișată o listă de dependențe, indicând cât spațiu va dura. Suntem de acord cu totul și începem instalarea. Când ați terminat, rulați managerul de fișiere:
Dacă aveți în loc de linii drepte cryakozyabry, apoi închideți chit și în setările sale modificați codificarea. Mergeți la Windows -> Traducere și selectați KOI8-U, salvați și mergeți din nou. Acum totul ar trebui să fie în ordine.
schimba vi pentru a mcedit, salva, închide.
Configurarea ntp pentru sincronizarea timpului
Am primit instrumentele minime necesare pentru tuning, vom continua să lucrăm. Timpul pe server a fost întotdeauna relevant, trebuie sincronizat în mod regulat. Puteți merge în două moduri. Fie rulați ntpdate cu tastele la intervale regulate, fie puteți configura și porni serviciul ntpd. care va lucra în mod constant și sincronizează timpul. Opțiunea mai corectă este utilizarea serviciului, dar este puțin mai dificil de configurat. Pentru a sincroniza timpul prin ntpdate, tastați pur și simplu comanda:
iar timpul va fi sincronizat. Puteți rula această comandă prin cron cu o anumită periodicitate. Dacă aveți deja serviciul ntpd rulat, atunci ntpdate nu funcționează, acesta va afișa o eroare:
Vom configura ntpd în acest caz. Dacă aveți deja deja, fișierul /etc/rc.conf are deja o linie
dacă nu există, adăugați.
Apoi, editați fișierul /etc/ntp.conf Ca servere de sincronizare, indicăm:
și adăugați două linii la sfârșit:
Salvăm, reporniți ntpd cu comanda:
Acum serverul nostru va sincroniza automat timpul său.
Instalarea și configurarea ipfw
Configurarea firewall-ului serverului este subiectul unui articol separat, aici nu voi elabora în detaliu acest lucru. Tocmai rulați firewall-ul pe freebsd-ul nostru 10, instalați scenariul pentru editare sigură a regulilor. Apoi, toată lumea însuși va putea să configureze în mod sigur firewallul de la distanță, fără teama de a pierde accesul la server.
Pentru a rula ipfw, trebuie fie să reconstruiți kernelul cu funcțiile necesare, fie să încărcați modulul la momentul încărcării. A doua opțiune este mai ușoară și mai rapidă, folosiți-o. Adăugați o linie în /etc/rc.conf:
Dacă nu avem nevoie de NAT, porturi înainte, atunci nu trebuie să facem nimic altceva, ipfw se va conecta la momentul încărcării serverului. Dacă lăsăm doar această linie și rebootăm serverul, atunci nu ne vom conecta la el de la distanță, firewall-ul va bloca toate conexiunile. Pentru a evita acest lucru, specificăm calea către fișierul de reguli:
Accesați directorul specificat și creați următorul fișier:
Acesta este un firewall complet deschis care permite toate conexiunile. Faceți fișierul executabil. Reportim serverul. După repornire, conectați-vă de la distanță. Problemele nu ar trebui să apară, firewall-ul nu blochează nimic. Suntem convinși de acest lucru executând comanda:
Ca răspuns, primim:
În primul rând, regula noastră, care rezolvă totul în cel de-al doilea, interzice. Toate pachetele se încadrează în prima regulă. În Freebsd, există un script minunat cu care puteți configura în siguranță ipfw. Lucrează simplu. Porniți scriptul, editați regulile, apoi salvați-le și acceptați modificările. Scriptul după aplicarea regulilor afișează un mesaj care arată că totul este în ordine, scriem regulile sau nu. Dacă ați făcut o greșeală undeva și ați fost deconectat de la server, nu veți putea răspunde la întrebare în mod pozitiv. Scriptul așteaptă 30 de secunde pentru răspuns și, dacă nu primește, revine la versiunea anterioară a regulilor. Sunteți conectați liniștit și vedeți unde ați făcut o greșeală.
Copiați scriptul:
și să fie executabil:
Acum poți experimenta. Când executați scriptul, se va deschide un fișier cu reguli ipfw. După salvarea fișierului și ieșirea din el, scriptul va cere să se aplice sau nu noile reguli. Mai mult, i-am descris deja logica.
Actualizarea porturilor
Setările de bază se fac. Acum pregătiți sistemul nostru pentru instalarea software-ului. actualizați arborele de porturi cu utilitarul portsnap. La primul start folosim comanda:
Utilitarul descarcă și despachetează porturile în directorul / usr / ports. Următoarea actualizare va fi făcută de comandă:
Adăugați-l în cron pentru actualizări regulate ale porturilor o dată pe zi. Pentru aceasta, mergeți la / var / cron / tabs și creați un fișier rădăcină acolo.
Dosarul trebuie să fie după cum urmează:
Vă atrag atenția asupra faptului că comanda din programator nu este scrisă pe măsură ce fugim din consola. Acest lucru se face în mod special pentru a nu încărca serverul de actualizare pe coroană în același timp. Pentru a vă actualiza prin programator, utilizați comanda specială porsnap cron. ceea ce face o variație aleatorie mică în timp pentru actualizare, astfel încât toți clienții să fie actualizați la momente diferite, mai degrabă decât strict la oră.
În acest moment, configurarea sistemului este completă, mergeți la următoarea parte. în care vom configura direct componentele serverului web.
Materiale suplimentare pe Freebsd
IMHO în /etc/rc.conf nu ar face rău
firewall_quiet = »DA»
Majoritatea fișierelor de configurare a firewall-ului restabilește regulile actuale la începutul scriptului. Dacă firewall-ul ipfw găsește astfel de linii fără steagul liniștit, acesta resetează imediat toate regulile și revine la politica implicită, care, de regulă, blochează toate conexiunile. Dacă firewall-ul este configurat pentru SSH, conexiunea va fi întreruptă, sesiunea shell-ului curent se va închide, iar firewall-ul va opri procesarea regulilor care vă dau acces la server, adică veți fi blocat pe propriul server. Steagul silențios ajută firewallul să perceapă și să proceseze regulile ca un set (nu ca reguli separate, care nu au legătură).
- Faceți fișierul executabil chnod 0700 ....
Poate că e mai bine chmod + x?
Făcând încredere și rapid pe SSD pentru bani puțini. Recomand, mă folosesc.
Grupul Vkontakte
Chat în telegramă
Joc răcoros
popular
Articole similare
Trimiteți-le prietenilor: