The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Первоначальная настройка VPS сервера на базе CentOS 8
В наши дни многие информационные сервисы работают на 
виртуальных машинах. На рынке появляется огромное количество поставщиков услуг
виртуализации, у которых можно получить VPS по вполне вменяемым ценам.

В этой статье я хотел бы поделиться своим вариантом первоначальной настройки
виртуалки на базе CentOS 8 и принять рекомендации по её улучшению.

Предполагается, что VPS предназначена для разработки/тестирования/презентации
WEB-приложения в общем случае, т.е. не ориентируясь на какие-либо специфические
особенности и среды программирования.

Первые шаги

Во-первых, после установки необходимо создать непривилегированного пользователя:

   # groupadd user
   # useradd -m -d /home/user -s /bin/bash -g user -G wheel user
   # passwd user

Затем задать более безопасные настройки для демона sshd.
Под X.X.X.X понимается IP-адрес клиента, с которого будет происходить соединение на VPS.

   # sed -i 's/PermitRootLogin yes/PermitRootLogin no/' /etc/ssh/sshd_config
   # echo "AllowUsers user@X.X.X.X user@X.X.X.*" >> /etc/ssh/sshd_config
   # systemctl restart sshd.service
   # exit

После выхода из под учётной записи администратора, можно соединиться с сервером
по SSH и продолжить дальнейшую настройку.
Далее следует файрволл. Его настраиваем так, чтобы на 22 порт SSH могли
подключаться пользователи из авторизованной подсети, а остальные соединения отбрасывались:

   $ sudo firewall-cmd --zone=internal --add-source=X.X.X.X/32 --add-source=X.X.X.0/24
   $ sudo firewall-cmd --zone=internal --add-service=ssh
   $ sudo firewall-cmd --zone=public --remove-service=ssh
   $ sudo firewall-cmd --zone=public --add-service=http --add-service=https
   $ sudo firewall-cmd --get-active-zones

   internal
     sources: X.X.X.X/32 X.X.X.0/24
   public
     interfaces: ens3

   $ sudo firewall-cmd --runtime-to-permanent
   $ sudo firewall-cmd --reload

Опять же, под X.X.X.X понимается IP-адрес клиента, с которого будет происходить соединение на VPS.

Установка программного обеспечения

Прежде всего следует обновить систему до актуального состояния и перезагрузиться:

   $ sudo dnf upgrade --refresh
   $ sudo reboot

Затем установим необходимое для разработки программы:

   $ sudo dnf groupinstall "Development tools"
   $ sudo dnf install clang

Clang устанавливаю, как дополнение к GCC для кроссплатформенной компиляции разработок.

Установка и настройка СУБД

Из основного репозитория качаем клиент, сервер и заголовки MariaDB.
Запускаем, проверяем, и настраиваем СУБД

   $ sudo dnf install mariadb mariadb-server mariadb-devel
   $ sudo systemctl start mariadb
   $ sudo systemctl status mariadb

   Active: active (running)

   $ sudo systemctl enable mariadb

   Created symlink /etc/systemd/system/mysql.service > /usr/lib/systemd/system/mariadb.service.
   Created symlink /etc/systemd/system/mysqld.service > /usr/lib/systemd/system/mariadb.service.
   Created symlink /etc/systemd/system/multi-user.target.wants/mariadb.service > /usr/lib/systemd/system/mariadb.service.

Скрипт mysql_secure_installation устанавливает пароль для root MariaDB 
и выключает небезопасные настройки. Далее можно создать БД и пользователей.

   $ sudo mysql_secure_installation
   $ mysql -u root -p
   mysql> CREATE DATABASE `mydb`;
   mysql> GRANT USAGE ON *.* TO 'user'@localhost IDENTIFIED BY 'mypassword';
   mysql> GRANT ALL privileges ON `mydb`.* TO 'user'@localhost;
   mysql> FLUSH PRIVILEGES;
   mysql> SHOW GRANTS FOR 'user'@localhost;

Первоначальная настройка MariaDB завершена.

Установка и настройка HTTPD apache2

Ниже следует установка сервера httpd.
В качестве менеджера SSL-сертификатов будем использовать certbot из репозитория EPEL:

   $ sudo dnf install httpd
   $ sudo dnf install epel-release
   $ sudo dnf install certbot python3-certbot-apache mod_ssl

Добавляем виртуальный хост в конфиг сервера. Предполагается, что DNS имя сервера уже
зарегистрировано и делегировано, создана A-запись на IP VPS.

   $ vi /etc/httpd/conf.d/vhosts.conf

   <VirtualHost *:80>
     ServerAdmin webmaster@example.ru
     ServerName example.ru
     ServerAlias www.example.ru
     DocumentRoot /var/www/html/example.ru/
     <Directory "/var/www/cgi-bin">
       AllowOverride None
       Options +ExecCGI
       AddHandler cgi-script .cgi .sh
       Require all granted
     </Directory>
   </VirtualHost>

Эта конфигурация так же включает выполнение CGI-скриптов на стороне сервера, так что
можно приступать к разработке WEB-приложений после перезагрузки сервиса:

   $ sudo systemctl enable httpd
   $ sudo systemctl start httpd

Не забываем получить сертификаты в центре сертификации Let`s Encrypt:

   $ sudo certbot -d example.ru -d www.example.ru

Вышеизложенный порядок действий не обязательно каждый раз делать вручную.
Можно написать и отладить простой shell-скрипт, который проделает все 
операции в автоматическом режиме и первоначальная настройка VPS сервера займёт
незначительное время.
 
11.09.2020 , Автор: KoD
Ключи: centos, vps, install / Лицензия: CC-BY
Раздел:    Корень / Администратору / Система / Linux специфика / Установка и работа с пакетами программ в Linux

Обсуждение [ Линейный режим | Показать все | RSS ]
  • 1.1, димон (?), 16:01, 13/09/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    и что бы на локаль не ругалось  dnf install glibc-langpack-uk.x86_64 glibc-langpack-ru.x86_64 langpacks-en
     
  • 1.2, джюджа (?), 18:54, 13/09/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    а хде авторизация ssh по ключам онли? или из "доверенной" сети и так покатит?

    like so:

    PasswordAuthentication no
    PubkeyAuthentication yes

     
     
  • 2.5, Аноним (5), 05:26, 14/09/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > а хде авторизация ssh по ключам онли? или из "доверенной" сети и
    > так покатит?
    > like so:
    > PasswordAuthentication no
    > PubkeyAuthentication yes

    Вопрос стоит не о сверхбезопасности и латании узких мест, а о быстром развертывании рабочего окружения. На начальном этапе, считаю, что этого вполне достаточно. Вряд ли кто-то из "доверенной" сети прям так уж и позариться на вашу тестовую виртуалку. Сдалась она..

     
     
  • 3.15, LeNiN (ok), 09:49, 14/09/2020 [^] [^^] [^^^] [ответить]  
  • +/
    'PasswordAuthentication no' это не про сверхбезопасность, это необходимый минимум для 2020 года. Т.к. вы пишите статью для начинающих, то и напишите: генерируем ключ командой X, копируем на сервер командой Y, потом выключаем вход по паролю с помощью Z.
     
     
  • 4.25, Anonn (?), 07:49, 17/09/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > это необходимый минимум для 2020 года

    Абсолютно верно.

     
     
  • 5.28, Аноним (28), 10:26, 22/09/2020 [^] [^^] [^^^] [ответить]  
  • +/
    В общем:

    на клиентской машине генерируем ключи командой:

    $ ssh-keygen

    Оболочка спросит путь к файлу нового закрытого ключа, пассфразу и сгенерирует пару.
    После этого нужно перенести ключ на VPS командой:

    $ ssh-copy-id user@example.ru

    Программа запросит пароль пользователя и скопирует открытый ключ в ~/.ssh/authorized_keys

     
  • 4.27, Аноним (28), 09:31, 22/09/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Хорошо. Благодарю за замечание.
     
  • 2.6, Аноним (5), 05:54, 14/09/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > а хде авторизация ssh по ключам онли?

    Хорошо, по вопросу ключей ssh... Вы на работе... Завели виртуалку, сгенерили ключи, захотелось из дома поработать или еще откуда-то.. Как будете закрытый ключ передавать? По почте? Телегой? Голубями? Через ТОР? На флешке понесете (а если в метро потеряете?)... В любом случае есть фактор потери или перехвата ключа.
    То ли дело.. Завел неприв. пользователя, поставил ему пароль 123, закрыл рута по ssh, отфильтровал доверенные подсетки и лег спать спокойно.

     
     
  • 3.8, Аноним (8), 06:46, 14/09/2020 [^] [^^] [^^^] [ответить]  
  • +/
    >> а хде авторизация ssh по ключам онли?
    > Хорошо, по вопросу ключей ssh... Вы на работе... Завели виртуалку, сгенерили ключи,
    > захотелось из дома поработать или еще откуда-то.. Как будете закрытый ключ
    > передавать? По почте? Телегой? Голубями? Через ТОР? На флешке понесете (а
    > если в метро потеряете?)... В любом случае есть фактор потери или
    > перехвата ключа.
    > То ли дело.. Завел неприв. пользователя, поставил ему пароль 123, закрыл рута
    > по ssh, отфильтровал доверенные подсетки и лег спать спокойно.

    Из дома доверенные сетки ? Хм.

    Если что то закрытый ключ таскаем с собой на флешке и да к нему еще пасс-фраза есть если что.

     
     
  • 4.9, Аноним (9), 07:08, 14/09/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Сомнительное удовольствие - таскать ключи на флешке. Ну если уж вы считаете, что это более секурный метод, то пожалуйста. Лично мне достаточно фильтра по белому IP или подсети прова (Но это Лично мне, опять же)
     
  • 3.14, LeNiN (ok), 09:36, 14/09/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Если вам из дома нужно (и можно) ходить на рабочую виртуалку, то пропишите на неё также свои домашние публичные SSH ключи.
     
     
  • 4.17, Аноним (5), 10:36, 14/09/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > Если вам из дома нужно (и можно) ходить на рабочую виртуалку, то
    > пропишите на неё также свои домашние публичные SSH ключи.

    А если я не хочу этого делать? И мне удобнее по паролю?

     
     
  • 5.24, Аноним (24), 21:31, 16/09/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > И мне удобнее по паролю?

    нам тоже удобнее по паролю

    PS: по секрету скажу, что чем короче пароль, тем он удобнее и проще запоминается

     
  • 5.26, Аноним (26), 10:20, 17/09/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Это уже не к нам, это к психиатру.
     
  • 2.22, zomg (?), 18:09, 14/09/2020 [^] [^^] [^^^] [ответить]  
  • +/
    ключ можно положить в keepass(xc), чтобы дальше передавать. там встроенное замедление перебора паролей.
     

  • 1.3, 79 (?), 20:39, 13/09/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    А где сценарий для ансимбля?

    Вы там все команды копипастите как в 2004?
    А если что-нибудь не то скопипастите а если опечатаетесь? Ужас ужас

     
     
  • 2.4, Аноним (5), 05:18, 14/09/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Сценарий для чего??? Можно поподробнее с этого места?
     
  • 2.7, Аноним (8), 06:43, 14/09/2020 [^] [^^] [^^^] [ответить]  
  • +/
    +1

    Когда увидел что это не сценарий для ансибля, дальше даже читать не стал.

     
     
  • 3.12, Аноним (9), 08:41, 14/09/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Вообще заметки не читаете, если дело не касается Ansimble?
     
     
  • 4.13, Аноним (8), 09:03, 14/09/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Ага читаем, особенно что внизу статьи написано:
    ---
    Вышеизложенный порядок действий не обязательно каждый раз делать вручную.
    Можно написать и отладить простой shell-скрипт, который проделает все
    операции в автоматическом режиме и первоначальная настройка VPS сервера займёт
    незначительное время.
    ---

    :(

     
     
  • 5.16, Аноним (5), 10:31, 14/09/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Грустно то, что не удалось оправдать ваших ожиданий... Который год ждете на статью с готовым плейбуком ансимбля, а тут на тебе.. простой шелл скрипт. Как обухом. аж читать расхотелось.
     
  • 5.18, Аноним (5), 10:45, 14/09/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > Ага читаем, особенно что внизу статьи написано:
    > ---
    > Вышеизложенный порядок действий не обязательно каждый раз делать вручную.
    > Можно написать и отладить простой shell-скрипт, который проделает все
    > операции в автоматическом режиме и первоначальная настройка VPS сервера займёт
    > незначительное время.
    > ---
    > :(

    Просто вы одного не можете понять, автору доставляет удовольствие набивать комманды ручками. Ну это, типа как пешочком прогуляться до магазина, подышать.. ежу понятно, что на авто быстрее и безопаснее.

     
     
  • 6.19, Аноним (8), 13:23, 14/09/2020 [^] [^^] [^^^] [ответить]  
  • +/
    раньше таких называли : админ локалхоста.
     
     
  • 7.21, Аноним (9), 14:24, 14/09/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > раньше таких называли : админ локалхоста.

    А сейчас? Админ одной VPS'ки?

     
  • 6.20, Аноним (8), 13:27, 14/09/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > Просто вы одного не можете понять, автору доставляет удовольствие набивать комманды ручками.
    > Ну это, типа как пешочком прогуляться до магазина, подышать.. ежу понятно,
    > что на авто быстрее и безопаснее.

    Кстати давно до ансибля я такую штуку делал чисто на кикстартах.
    Разные ks файлы, а что удобно вирталка поднимается и тут же настраивается ... эх давно это был :(

     
  • 2.10, Аноним (9), 07:20, 14/09/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > А где сценарий для ансимбля?
    > Вы там все команды копипастите как в 2004?

    Кому не понятно, вот ссылка на Ansimble -> https://ru.wikipedia.org/wiki/Ansible

     
     
  • 3.23, Дима (??), 10:37, 16/09/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Ansible, а НЕ Ansimble и НЕ ансимбль
     
  • 2.11, Аноним (9), 07:27, 14/09/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Вот документашка, если что https://docs.ansible.com/ansible/latest/user_guide/intro_getting_started.html
     

  • 1.29, Vitaliy (??), 23:01, 26/09/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    апач? не - не нужно.
    вообще вариант для совсем новичков... прям зеленых со школьной статьи.
     
     
  • 2.30, Vitaliy (??), 23:01, 26/09/2020 [^] [^^] [^^^] [ответить]  
  • +/
    ... скамьи
     


     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:




    Спонсоры:
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2020 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру