CentOS: Unterschied zwischen den Versionen

Aktuelle Version vom 5. März 2017, 16:16 Uhr

Bei CentOS [1] handelt es sich um ein Linux-Derivat von Red Hat Enterprise Linux.

Installation des Basissystems

Raid (für den Fall der Fälle, der schneller kommt, als man denkt)
- Raid1
...

Absicherung des Zugangs

weiteres Konto anlegen
```
useradd <Kontenname>
```
neues Konto privilegieren
```
useradd -a -G [<Gruppenname>],[<weitere Gruppen>]
```
oder per
```
gpasswd
```
- etwa durch Mitgliedschaft in der Gruppe wheel
sudo testen
ssh-Key lokal erstellen und auf Server hochladen
1. lokal:
```
ssh-keygen
```
2. auf dem Server:
```
ssh-copy-id
```
ssh-Dämon in /etc/ssh/sshd_config umkonfigurieren
1. kein Root-Login von außerhalb
  PermitRootLogin no
2. Port ändern (security by obscurity um DDos-Attaken zu einzuschränken)
  Port <Nr.> (machte mehr Ärger als es nutzte)
ggf. Port auch in der Systemd-Konfig in /usr/lib/systemd/system/sshd.socket ändern (machte mehr Ärger als es nutzte)
1. ListenStream=<Portnr.>
sshd per systemctl reload sshd dazu bringen seine Konfig neueinzulesen

Firewall auf neuen SSH-Port konfigurieren

```
firewall-cmd --add-port 2345/tcp
```

firewall-cmd --add-port 2345/tcp --permanent

```
systemctl status firewalld
```

Login per ssh in einem weiteren Terminal testen
der Bequemlichkeit wegen kann folgendes in die .ssh/config eingetragen und die Datei mit chmod 600 berechtigt werden:
```
	Host <myserver>
	HostName <IP-Adresse>
			User <Kontoname>
			Port <Portnr.>
```

Cockpit installieren und einrichten

http://cockpit-project.org/running.html
http://cockpit-project.org/guide/latest/guide.html
läuft standardmäßig auf Port: 9090

Installieren
```
sudo yum install cockpit
```

Cockpit freischalten

sudo systemctl enable --now cockpit.socket

Firewallport für Cockpit öffnen (falls nötig)
```
sudo firewall-cmd --permanent --zone=public --add-service=cockpit
```
```
sudo firewall-cmd --reload
```
- Port ggf. in SystemD ändern (im cockpit.socket file), nicht in der Cockpit-Konfig direkt
  - siehe: http://cockpit-project.org/guide/latest/listen.html
- Config befindet sich in /etc/cockpit/

HTTPS einrichten

https://wiki.centos.org/HowTos/Https

OpenSSL oder LibreSSL installieren
- ...
Zertifikat erstellen und nach /etc/cockpit/ws-certs.d speichern
- ...

Anzeigen der Cockpit-Zertifikat(e):
```
sudo remotectl certificate
```

Firewallport(s) freigeben, falls nötig

z.B. per iptables:

iptables -A INPUT -p tcp --dport 443 -j ACCEPT

/sbin/service iptables save

iptables -L -v

Authentifizieren

per normalen Sys-Logindaten
oder mittels OAuth per Bearer auth-scheme

Erweiterungen

Naja, nach der Philosophie von Cockpit sollte es soetwas nicht geben und lediglich ein Webfrontend zur Bedienung der auf dem Rechner bereits installierten Software zur Verfügung gestellt werden.

Performance Co-Pilot (kurz: PCP, http://cockpit-project.org/guide/latest/feature-pcp.html) zur Erweiterung der Monitoring-Funktionalität von Cockpit
- yum install cockpit-pcp
(SOS Report zum Auslesen der Config und zur Diagnose, http://cockpit-project.org/guide/latest/feature-sosreport.html)
- (/var/tmp/sosreport-anet-20170222153029.tar.xz (Prüfsumme: 90826b932cb3dfeb123cca567b572389))
(RPM OsTree klingt auch recht interessant (so eine Art Git fürs die Betriebssystemkonfig))

Container zur Abschottung der einzelnen Dienste

Docker

Siehe auch: Docker

Mangels einfach nachvollziehbarer und sauberer Container wieder verworfen (mit etwas mehr Muse ist es bestimmt 'ne interessante Sache)

LXC

Siehe auch: LXC

Siehe auch

@@ Zeile 1: / Zeile 1: @@
 Bei [[CentOS]][https://wiki.centos.org] handelt es sich um ein Linux-Derivat von [[Red Hat Enterprise Linux]].
-==Installation des Basissystems==
+== Installation des Basissystems ==
 * [[Raid]] (für den Fall der Fälle, der schneller kommt, als man denkt)
 ** Raid1
 * ...
-==Absicherung des Zugangs==
+== Absicherung des Zugangs ==
 * https://www.digitalocean.com/community/tutorials/initial-server-setup-with-centos-7
 * https://wiki.centos.org/HowTos/Network/SecuringSSH
-. neuen Nutzer anlegen
+# weiteres Konto anlegen
-:* useradd <Nutzername>
+#: <source lang="bash">useradd <Kontenname></source>
-. neuen Nutzer priviligieren
+# neues Konto privilegieren
-:* useradd -a -G [<Gruppenname>],[<weitere Gruppen>] oder per gpasswd
+#: <source lang="bash">useradd -a -G [<Gruppenname>],[<weitere Gruppen>]</source> oder per <source lang="bash">gpasswd</source>
-:* etwa durch Mitgliedschaft in der Gruppe wheel
+#* etwa durch Mitgliedschaft in der Gruppe ''wheel''
-. sudo testen
+# sudo testen
-. ssh-Key lokal erstellen und auf Server hochladen
+# ssh-Key lokal erstellen und auf Server hochladen
-.1 local: ssh-keygen
+## lokal: <source lang="bash">ssh-keygen</source>
-.2 auf dem Server: ssh-copy-id
+## auf dem Server: <source lang="bash">ssh-copy-id</source>
-. ssh-Dämon in /etc/ssh/sshd_config umkonfigurieren
+# ssh-Dämon in /etc/ssh/sshd_config umkonfigurieren
-.1 kein Root-Login von außerhalb
+## kein Root-Login von außerhalb
-:* PermitRootLogin no
+##: <source lang="bash">PermitRootLogin no</source>
-.2 Port ändern (security by obscurity um DDos-Attaken zu einzuschränken)
+## Port ändern (security by obscurity um DDos-Attaken zu einzuschränken)
-:* Port <Nr.> (machte mehr Ärger als es nutzte)
+##: Port <Nr.> (machte mehr Ärger als es nutzte)
-. ggf. Port auch in der Systemd-Konfig in /usr/lib/systemd/system/sshd.socket ändern (machte mehr Ärger als es nutzte)
+# ggf. Port auch in der Systemd-Konfig in /usr/lib/systemd/system/sshd.socket ändern (machte mehr Ärger als es nutzte)
-.1 ListenStream=<Portnr.>
+## ListenStream=<Portnr.>
-. sshd per systemctl reload sshd dazu bringen seine Konfig neueinzulesen
+# sshd per systemctl reload sshd dazu bringen seine Konfig neueinzulesen
-. Firewall auf neuen SSH-Port konfigurieren
+# Firewall auf neuen SSH-Port konfigurieren
-.1 firewall-cmd --add-port 2345/tcp
+## <source lang="bash">firewall-cmd --add-port 2345/tcp</source>
-.2 firewall-cmd --add-port 2345/tcp --permanent
+## <source lang="bash">firewall-cmd --add-port 2345/tcp --permanent</source>
-.3 systemctl status firewalld
+## <source lang="bash">systemctl status firewalld</source>
-. Login per ssh in einem weiteren Terminal testen
+# Login per ssh in einem weiteren Terminal testen
-. der Bequemlichkeit wegen kann folgendes in die .ssh/config eingetragen und die Datei mit chmod 600 berechtigt werden:
+# der Bequemlichkeit wegen kann folgendes in die .ssh/config eingetragen und die Datei mit chmod 600 berechtigt werden:
+#: <source lang="bash">
 	Host <myserver>
 	HostName <IP-Adresse>
-			User <Username>
+			User <Kontoname>
 			Port <Portnr.>
+</source>
+== Cockpit installieren und einrichten ==
-==Cockpit installieren und einrichten==
 * http://cockpit-project.org/running.html
 * http://cockpit-project.org/guide/latest/guide.html
 * läuft standardmäßig auf Port: 9090
-. Installieren
+# Installieren
+#:<source lang="bash">sudo yum install cockpit</source>
-	sudo yum install cockpit
+# Cockpit freischalten
+#: <source lang="bash">sudo systemctl enable --now cockpit.socket</source>
-. Cockpit freischalten
+# Firewallport für Cockpit öffnen (falls nötig)
+#: <source lang="bash">sudo firewall-cmd --permanent --zone=public --add-service=cockpit</source>
-	sudo systemctl enable --now cockpit.socket
+#: <source lang="bash">sudo firewall-cmd --reload</source>
+#* Port ggf. in SystemD ändern (im cockpit.socket file), nicht in der Cockpit-Konfig direkt
-. Firewallport für Cockpit öffnen (falls nötig)
+#** siehe: http://cockpit-project.org/guide/latest/listen.html
+#* Config befindet sich in /etc/cockpit/
-	sudo firewall-cmd --permanent --zone=public --add-service=cockpit
-	sudo firewall-cmd --reload
-* Port ggf. in SystemD ändern (im cockpit.socket file), nicht in der Cockpit-Konfig direkt
-** siehe: http://cockpit-project.org/guide/latest/listen.html
-* Config befindet sich in /etc/cockpit/
 ===HTTPS einrichten===
-https://wiki.centos.org/HowTos/Https
+: https://wiki.centos.org/HowTos/Https
-. OpenSSL oder LibreSSL installieren
+# OpenSSL oder LibreSSL installieren
-:* ...
+#* ...
-. Zertifikat erstellen und nach /etc/cockpit/ws-certs.d speichern
+# Zertifikat erstellen und nach /etc/cockpit/ws-certs.d speichern
-:* ...
+#* ...
 * Anzeigen der Cockpit-Zertifikat(e):
+*: <source lang="bash">sudo remotectl certificate</source>
-	sudo remotectl certificate
+=== Firewallport(s) freigeben, falls nötig ===
-===Firewallport(s) freigeben, falls nötig===
 z.B. per iptables:
+: <source lang="bash">iptables -A INPUT -p tcp --dport 443 -j ACCEPT</source>
+: <source lang="bash">/sbin/service iptables save</source>
+: <source lang="bash">iptables -L -v</source>
-    iptables -A INPUT -p tcp --dport 443 -j ACCEPT
+=== Authentifizieren ===
-    /sbin/service iptables save
-    iptables -L -v
-===Authentifikation===
 * per normalen Sys-Logindaten
 * oder mittels OAuth per Bearer auth-scheme
-===Erweiterungen===
+=== Erweiterungen ===
 Naja, nach der Philosophie von Cockpit sollte es soetwas nicht geben und lediglich ein Webfrontend zur Bedienung der auf dem Rechner bereits installierten Software zur Verfügung gestellt werden.
@@ Zeile 98: / Zeile 88: @@
 * (RPM OsTree klingt auch recht interessant (so eine Art Git fürs die Betriebssystemkonfig))
-==Container zur Abschottung der einzelnen Dienste==
+== Container zur Abschottung der einzelnen Dienste ==
-===Docker===
+=== Docker ===
-siehe auch den [[Docker]]-Artikel
+; Siehe auch: [[Docker]]
 Mangels einfach nachvollziehbarer und sauberer Container wieder verworfen (mit etwas mehr Muse ist es bestimmt 'ne interessante Sache)
-===LXC===
+=== LXC ===
-siehe auch den [[LXC]]-Artikel
+; Siehe auch: [[LXC]]
-==Siehe auch==
+== Siehe auch ==
+* [[wikipedia:de:CentOS]]
 * https://wiki.centos.org
+[[Kategorie:Betriebssystem]]
+[[Kategorie:Linux]]