CentOS: Unterschied zwischen den Versionen
Zur Navigation springen
Zur Suche springen
Nos (Diskussion | Beiträge) K (→Erweiterungen: Buchstabendreher) |
Vater (Diskussion | Beiträge) Keine Bearbeitungszusammenfassung |
||
Zeile 1: | Zeile 1: | ||
Bei [[CentOS]][https://wiki.centos.org] handelt es sich um ein Linux-Derivat von [[Red Hat Enterprise Linux]]. | Bei [[CentOS]][https://wiki.centos.org] handelt es sich um ein Linux-Derivat von [[Red Hat Enterprise Linux]]. | ||
==Installation des Basissystems== | == Installation des Basissystems == | ||
* [[Raid]] (für den Fall der Fälle, der schneller kommt, als man denkt) | * [[Raid]] (für den Fall der Fälle, der schneller kommt, als man denkt) | ||
** Raid1 | ** Raid1 | ||
* ... | * ... | ||
==Absicherung des Zugangs== | == Absicherung des Zugangs == | ||
* https://www.digitalocean.com/community/tutorials/initial-server-setup-with-centos-7 | * https://www.digitalocean.com/community/tutorials/initial-server-setup-with-centos-7 | ||
* https://wiki.centos.org/HowTos/Network/SecuringSSH | * https://wiki.centos.org/HowTos/Network/SecuringSSH | ||
# weiteres Konto anlegen | |||
: | #: <source lang="bash">useradd <Kontenname></source> | ||
# neues Konto privilegieren | |||
: | #: <source lang="bash">useradd -a -G [<Gruppenname>],[<weitere Gruppen>]</source> oder per <source lang="bash">gpasswd</source> | ||
#* etwa durch Mitgliedschaft in der Gruppe ''wheel'' | |||
# sudo testen | |||
# ssh-Key lokal erstellen und auf Server hochladen | |||
## lokal: <source lang="bash">ssh-keygen</source> | |||
## auf dem Server: <source lang="bash">ssh-copy-id</source> | |||
# ssh-Dämon in /etc/ssh/sshd_config umkonfigurieren | |||
## kein Root-Login von außerhalb | |||
: | ##: <source lang="bash">PermitRootLogin no</source> | ||
## Port ändern (security by obscurity um DDos-Attaken zu einzuschränken) | |||
: | ##: Port <Nr.> (machte mehr Ärger als es nutzte) | ||
# ggf. Port auch in der Systemd-Konfig in /usr/lib/systemd/system/sshd.socket ändern (machte mehr Ärger als es nutzte) | |||
## ListenStream=<Portnr.> | |||
# sshd per systemctl reload sshd dazu bringen seine Konfig neueinzulesen | |||
# Firewall auf neuen SSH-Port konfigurieren | |||
## <source lang="bash">firewall-cmd --add-port 2345/tcp</source> | |||
## <source lang="bash">firewall-cmd --add-port 2345/tcp --permanent</source> | |||
## <source lang="bash">systemctl status firewalld</source> | |||
# Login per ssh in einem weiteren Terminal testen | |||
# der Bequemlichkeit wegen kann folgendes in die .ssh/config eingetragen und die Datei mit chmod 600 berechtigt werden: | |||
#: <source lang="bash"> | |||
Host <myserver> | Host <myserver> | ||
HostName <IP-Adresse> | HostName <IP-Adresse> | ||
User < | User <Kontoname> | ||
Port <Portnr.> | Port <Portnr.> | ||
</source> | |||
== Cockpit installieren und einrichten == | |||
==Cockpit installieren und einrichten== | |||
* http://cockpit-project.org/running.html | * http://cockpit-project.org/running.html | ||
* http://cockpit-project.org/guide/latest/guide.html | * http://cockpit-project.org/guide/latest/guide.html | ||
* läuft standardmäßig auf Port: 9090 | * läuft standardmäßig auf Port: 9090 | ||
# Installieren | |||
#:<source lang="bash">sudo yum install cockpit</source> | |||
# Cockpit freischalten | |||
#: <source lang="bash">sudo systemctl enable --now cockpit.socket</source> | |||
# Firewallport für Cockpit öffnen (falls nötig) | |||
#: <source lang="bash">sudo firewall-cmd --permanent --zone=public --add-service=cockpit</source> | |||
#: <source lang="bash">sudo firewall-cmd --reload</source> | |||
#* Port ggf. in SystemD ändern (im cockpit.socket file), nicht in der Cockpit-Konfig direkt | |||
#** siehe: http://cockpit-project.org/guide/latest/listen.html | |||
#* Config befindet sich in /etc/cockpit/ | |||
* Port ggf. in SystemD ändern (im cockpit.socket file), nicht in der Cockpit-Konfig direkt | |||
** siehe: http://cockpit-project.org/guide/latest/listen.html | |||
* Config befindet sich in /etc/cockpit/ | |||
===HTTPS einrichten=== | ===HTTPS einrichten=== | ||
https://wiki.centos.org/HowTos/Https | : https://wiki.centos.org/HowTos/Https | ||
# OpenSSL oder LibreSSL installieren | |||
#* ... | |||
# Zertifikat erstellen und nach /etc/cockpit/ws-certs.d speichern | |||
#* ... | |||
* Anzeigen der Cockpit-Zertifikat(e): | * Anzeigen der Cockpit-Zertifikat(e): | ||
*: <source lang="bash">sudo remotectl certificate</source> | |||
=== Firewallport(s) freigeben, falls nötig === | |||
===Firewallport(s) freigeben, falls nötig=== | |||
z.B. per iptables: | z.B. per iptables: | ||
: <source lang="bash">iptables -A INPUT -p tcp --dport 443 -j ACCEPT</source> | |||
: <source lang="bash">/sbin/service iptables save</source> | |||
: <source lang="bash">iptables -L -v</source> | |||
=== Authentifizieren === | |||
* per normalen Sys-Logindaten | * per normalen Sys-Logindaten | ||
* oder mittels OAuth per Bearer auth-scheme | * oder mittels OAuth per Bearer auth-scheme | ||
===Erweiterungen=== | === Erweiterungen === | ||
Naja, nach der Philosophie von Cockpit sollte es soetwas nicht geben und lediglich ein Webfrontend zur Bedienung der auf dem Rechner bereits installierten Software zur Verfügung gestellt werden. | Naja, nach der Philosophie von Cockpit sollte es soetwas nicht geben und lediglich ein Webfrontend zur Bedienung der auf dem Rechner bereits installierten Software zur Verfügung gestellt werden. | ||
Zeile 98: | Zeile 88: | ||
* (RPM OsTree klingt auch recht interessant (so eine Art Git fürs die Betriebssystemkonfig)) | * (RPM OsTree klingt auch recht interessant (so eine Art Git fürs die Betriebssystemkonfig)) | ||
==Container zur Abschottung der einzelnen Dienste== | == Container zur Abschottung der einzelnen Dienste == | ||
===Docker=== | === Docker === | ||
; Siehe auch: [[Docker]] | |||
Mangels einfach nachvollziehbarer und sauberer Container wieder verworfen (mit etwas mehr Muse ist es bestimmt 'ne interessante Sache) | Mangels einfach nachvollziehbarer und sauberer Container wieder verworfen (mit etwas mehr Muse ist es bestimmt 'ne interessante Sache) | ||
===LXC=== | === LXC === | ||
; Siehe auch: [[LXC]] | |||
==Siehe auch== | == Siehe auch == | ||
* [[wikipedia:de:CentOS]] | |||
* https://wiki.centos.org | * https://wiki.centos.org | ||
[[Kategorie:Betriebssystem]] | |||
[[Kategorie:Linux]] |
Aktuelle Version vom 5. März 2017, 16:16 Uhr
Bei CentOS[1] handelt es sich um ein Linux-Derivat von Red Hat Enterprise Linux.
Installation des Basissystems
- Raid (für den Fall der Fälle, der schneller kommt, als man denkt)
- Raid1
- ...
Absicherung des Zugangs
- https://www.digitalocean.com/community/tutorials/initial-server-setup-with-centos-7
- https://wiki.centos.org/HowTos/Network/SecuringSSH
- weiteres Konto anlegen
useradd <Kontenname>
- neues Konto privilegieren
- oder per
useradd -a -G [<Gruppenname>],[<weitere Gruppen>]
gpasswd
- etwa durch Mitgliedschaft in der Gruppe wheel
- sudo testen
- ssh-Key lokal erstellen und auf Server hochladen
- lokal:
ssh-keygen
- auf dem Server:
ssh-copy-id
- lokal:
- ssh-Dämon in /etc/ssh/sshd_config umkonfigurieren
- kein Root-Login von außerhalb
PermitRootLogin no
- Port ändern (security by obscurity um DDos-Attaken zu einzuschränken)
- Port <Nr.> (machte mehr Ärger als es nutzte)
- kein Root-Login von außerhalb
- ggf. Port auch in der Systemd-Konfig in /usr/lib/systemd/system/sshd.socket ändern (machte mehr Ärger als es nutzte)
- ListenStream=<Portnr.>
- sshd per systemctl reload sshd dazu bringen seine Konfig neueinzulesen
- Firewall auf neuen SSH-Port konfigurieren
firewall-cmd --add-port 2345/tcp
firewall-cmd --add-port 2345/tcp --permanent
systemctl status firewalld
- Login per ssh in einem weiteren Terminal testen
- der Bequemlichkeit wegen kann folgendes in die .ssh/config eingetragen und die Datei mit chmod 600 berechtigt werden:
Host <myserver> HostName <IP-Adresse> User <Kontoname> Port <Portnr.>
Cockpit installieren und einrichten
- http://cockpit-project.org/running.html
- http://cockpit-project.org/guide/latest/guide.html
- läuft standardmäßig auf Port: 9090
- Installieren
sudo yum install cockpit
- Cockpit freischalten
sudo systemctl enable --now cockpit.socket
- Firewallport für Cockpit öffnen (falls nötig)
sudo firewall-cmd --permanent --zone=public --add-service=cockpit
sudo firewall-cmd --reload
- Port ggf. in SystemD ändern (im cockpit.socket file), nicht in der Cockpit-Konfig direkt
- Config befindet sich in /etc/cockpit/
HTTPS einrichten
- OpenSSL oder LibreSSL installieren
- ...
- Zertifikat erstellen und nach /etc/cockpit/ws-certs.d speichern
- ...
- Anzeigen der Cockpit-Zertifikat(e):
sudo remotectl certificate
Firewallport(s) freigeben, falls nötig
z.B. per iptables:
iptables -A INPUT -p tcp --dport 443 -j ACCEPT
/sbin/service iptables save
iptables -L -v
Authentifizieren
- per normalen Sys-Logindaten
- oder mittels OAuth per Bearer auth-scheme
Erweiterungen
Naja, nach der Philosophie von Cockpit sollte es soetwas nicht geben und lediglich ein Webfrontend zur Bedienung der auf dem Rechner bereits installierten Software zur Verfügung gestellt werden.
- Performance Co-Pilot (kurz: PCP, http://cockpit-project.org/guide/latest/feature-pcp.html) zur Erweiterung der Monitoring-Funktionalität von Cockpit
- yum install cockpit-pcp
- (SOS Report zum Auslesen der Config und zur Diagnose, http://cockpit-project.org/guide/latest/feature-sosreport.html)
- (/var/tmp/sosreport-anet-20170222153029.tar.xz (Prüfsumme: 90826b932cb3dfeb123cca567b572389))
- (RPM OsTree klingt auch recht interessant (so eine Art Git fürs die Betriebssystemkonfig))
Container zur Abschottung der einzelnen Dienste
Docker
- Siehe auch
- Docker
Mangels einfach nachvollziehbarer und sauberer Container wieder verworfen (mit etwas mehr Muse ist es bestimmt 'ne interessante Sache)
LXC
- Siehe auch
- LXC