새 CentOS 7 서버에 대한 추가 권장 단계

새 CentOS 7 서버에 대한 추가 권장 단계

2022-06-01 last update

10 minutes reading Linux Basics CentOS

소개


새 서버에 대한 기본 최소 구성을 설정한 후, 대부분의 경우 추가 절차를 실행하는 것을 강력히 권장합니다.이 안내서에서 우리는 추천하지만 선택할 수 있는 과정을 처리하여 서버를 계속 설정할 것이다.

선결 조건과 목표


이 안내서를 시작하기 전에 CentOS 7 initial server setup 안내서를 훑어보십시오.이것은 사용자 계정 설정, 사용sudo 설정 권한 향상 및 SSH 잠금을 통해 안전을 확보하는 데 필요합니다.
상술한 지침을 완성한 후에 당신은 본문을 계속 읽을 수 있습니다.이 안내서에서 우리는 선택할 수 있지만 추천하는 구성 요소를 설정하는 데 중점을 둘 것이다.이것은 우리 시스템을 위한 방화벽 설정과 파일 교환, 네트워크 시간 프로토콜 동기화 설정과 관련된다.

기본 방화벽 구성


방화벽은 서버에 기본적인 보안 수준을 제공한다.이러한 애플리케이션은 승인된 포트/서비스를 제외한 서버에 있는 각 포트의 트래픽을 거부합니다.CentOS에는 firewalld 라는 방화벽이 있습니다.firewall-cmd라는 도구를 사용하여 방화벽 정책을 구성할 수 있습니다.우리의 기본 전략은 우리가 개방적인 모든 것을 유지할 충분한 이유가 없다는 것을 잠그는 것이다.최초 설치firewalld:
  1. sudo yum install firewalld
firewalld 서비스는 현재 연결을 끊지 않고 수정할 수 있기 때문에 이상을 만들기 전에 열 수 있습니다.
  1. sudo systemctl start firewalld
현재 서비스가 시작되고 실행되고 있으며, 우리는 firewall-cmd 유틸리티를 사용하여 방화벽의 정책 정보를 얻고 설정할 수 있습니다.firewalld 응용 프로그램은 네트워크의 다른 호스트의 신뢰도를 표시하기 위해 구역이라는 개념을 사용한다.이런 표기는 우리로 하여금 네트워크에 대한 신뢰 정도에 따라 서로 다른 규칙을 분배할 수 있게 한다.
이 안내서에서는 기본 영역의 정책만 조정합니다.우리가 방화벽을 다시 불러올 때, 이것은 인터페이스에 적용되는 구역이 될 것이다.우리는 이미 비준된 서비스에 방화벽 예외를 추가하는 것부터 시작해야 한다.가장 중요한 것은 서버에 대한 원격 관리 액세스를 유지해야 하기 때문에 SSH입니다.
SSH 데몬이 실행 중인 포트를 수정하지 않은 경우 다음 이름을 입력하여 서비스를 활성화할 수 있습니다.
  1. sudo firewall-cmd --permanent --add-service=ssh
서버의 SSH 포트가 변경된 경우 새 포트를 명시적으로 지정해야 합니다.서비스 사용을 포함하는 협의가 필요합니다.새 포트를 사용하도록 SSH 서버가 재부팅된 경우 다음만 입력합니다.
  1. sudo firewall-cmd --permanent --remove-service=ssh
  2. sudo firewall-cmd --permanent --add-port=4444/tcp
이것은 서버에 대한 관리 접근 권한을 유지하는 데 필요한 최소한의 한도이다.만약 다른 서비스를 실행할 계획이라면, 이 서비스들을 위해 방화벽을 열어야 합니다.
기존 HTTP 웹 서버를 실행할 계획이라면 http 서비스를 활성화해야 합니다.
  1. sudo firewall-cmd --permanent --add-service=http
SSL/TLS가 활성화된 상태에서 웹 서버를 실행할 계획이라면 https 트래픽을 허용해야 합니다.
  1. sudo firewall-cmd --permanent --add-service=https
SMTP 전자 메일을 활성화하려면 다음을 입력합니다.
  1. sudo firewall-cmd --permanent --add-service=smtp
사용 가능한 다른 서비스를 이름별로 보려면 다음을 입력합니다.
  1. sudo firewall-cmd --get-services
완료되면 다음을 입력하여 구현할 예외 목록을 볼 수 있습니다.
  1. sudo firewall-cmd --permanent --list-all
변경 사항을 구현할 준비가 되면 방화벽을 다시 로드하십시오.
  1. sudo firewall-cmd --reload
테스트 후 모든 것이 정상적이라면 방화벽이 시작할 때 작동해야 합니다.
  1. sudo systemctl enable firewalld
나중에 설정할 수 있는 다른 서비스에 대해서는 방화벽을 현저하게 열어야 한다는 것을 기억하십시오. (서비스나 포트가 있습니다.)

시간대 및 네트워크 시간 프로토콜 동기화 구성


다음은 서버의 로컬화 설정을 조정하고 NTP(Network Time Protocol) 동기화를 구성하는 것입니다.
첫 번째 단계는 서버가 정확한 시간대 아래에서 실행되는지 확인합니다.두 번째 단계는 시스템 시계가 NTP 서버의 글로벌 네트워크 유지 보수 표준 시간과 동기화되도록 시스템을 구성합니다.이것은 시계가 동기화되지 않아 발생할 수 있는 일부 불일치 행위를 방지하는 데 도움이 될 것이다.

시간대 구성


우리의 첫 번째 단계는 서버의 시간대를 설정하는 것이다.이것은 매우 간단한 과정으로 timedatectl 명령을 사용하여 완성할 수 있다.
먼저 다음 내용을 입력하여 사용 가능한 시간대를 보십시오.
  1. sudo timedatectl list-timezones
서버에 사용 가능한 시간대 목록을 제공합니다.서버에 적합한 로케일/시간대 설정을 찾으면 다음과 같이 입력합니다.
  1. sudo timedatectl set-timezone region/timezone
예를 들어, 미국 동부 시간으로 설정하려면 다음을 입력합니다.
  1. sudo timedatectl set-timezone America/New_York
선택한 시간대를 사용하도록 시스템이 업데이트됩니다.다음을 입력하여 확인할 수 있습니다.
  1. sudo timedatectl

NTP 동기화 구성


현재 시간대를 설정했습니다. NTP를 설정해야 합니다.이렇게 하면 컴퓨터가 다른 서버와 동기화되어 정확한 시간에 의존하는 조작의 예측성을 높일 수 있습니다.
NTP 동기화의 경우 ntp 라는 서비스를 사용하여 CentOS의 기본 저장소에서 서비스를 설치할 수 있습니다.
  1. sudo yum install ntp
다음은 이 세션의 서비스를 시작해야 합니다.또한 서버가 시작할 때마다 자동으로 서비스를 시작할 수 있도록 이 서비스를 활성화합니다.
  1. sudo systemctl start ntpd
  2. sudo systemctl enable ntpd
서버가 글로벌 서버에 맞게 시스템 시계를 자동으로 수정합니다.

스왑 파일 만들기


Linux 서버에 "스왑"을 추가하면 RAM에서 실행 중인 액세스 빈도가 낮은 정보를 디스크의 위치로 이동할 수 있습니다.디스크에 저장된 데이터에 대한 액세스는 RAM에 대한 액세스보다 훨씬 느리지만 스왑은 일반적으로 응용 프로그램이 활성 상태를 유지하고 충돌하는 것과 구별됩니다.시스템에서 데이터베이스를 관리할 계획이라면 특히 유용합니다.
교환 공간의 최적 크기에 대한 건의는 문의의 출처에 따라 다르다.일반적으로 시스템의 RAM 수량은 RAM 수량의 두 배와 같거나 좋은 출발점이다.fallocate 유틸리티를 사용하여 파일 교환에 사용할 공간을 할당합니다.예를 들어, 4GB 파일이 필요한 경우 다음을 입력하여 /swapfile 에 있는 스왑 파일을 만들 수 있습니다.
  1. sudo fallocate -l 4G /swapfile
파일을 만든 후에는 다른 사용자나 프로세스가 쓴 내용을 볼 수 없도록 파일에 대한 액세스를 제한해야 합니다.
  1. sudo chmod 600 /swapfile
우리는 지금 정확한 권한을 가진 문서가 하나 생겼다.시스템 포맷 교환 파일을 알려면 다음과 같이 입력할 수 있습니다.
  1. sudo mkswap /swapfile
이제 스왑 파일을 사용할 수 있도록 다음 내용을 입력하십시오.
  1. sudo swapon /swapfile
우리 시스템은 이 세션에 교환 파일을 사용하고 있지만, 서버가 안내할 때 자동으로 이 작업을 수행할 수 있도록 시스템 파일을 수정해야 합니다.다음을 입력할 수 있습니다.
  1. sudo sh -c 'echo "/swapfile none swap sw 0 0" >> /etc/fstab'
이 추가를 통해 시스템은 시작할 때마다 자동으로 교환 파일을 사용해야 합니다.

여기서 어디로 갑니까?


이제 Linux 서버에 매우 좋은 초기 설정이 있습니다.이곳에서 너는 많은 곳을 갈 수 있다.우선, 현재 설정에서 서버를 스냅샷으로 만들 수 있습니다.

현재 구성된 스냅샷 촬영


만약 자신의 설정에 만족하고 향후 설치의 기초로 삼기를 원한다면 Digital Ocean 제어판을 통해 서버의 스냅샷을 촬영할 수 있습니다.2016년 10월부터 파일 시스템에서 사용된 공간을 기준으로 스냅샷의 월 비용은 GB당 0.05달러입니다.
이렇게 하려면 명령줄에서 서버를 닫으십시오.실행 중인 시스템의 스냅샷은 가능하지만 전원을 끄면 디스크의 파일이 일치하는지 확인합니다.
  1. sudo poweroff
이제 Digital Ocean 대시보드에서 서버에서 스냅샷 탭에 액세스하여 스냅샷을 촬영할 수 있습니다.

스냅샷을 촬영한 후 생성 과정에서 이미지의 내 스냅샷 탭에서 스냅샷을 선택하면 나중에 설치할 수 있는 기반이 됩니다.

추가 리소스 및 다음 단계


여기서부터 경로는 서버에 대해 실행하고자 하는 작업에 달려 있습니다.다음 설명서 목록은 상세하지 않지만 사용자가 다음 단계에서 사용할 더 일반적인 구성을 나타냅니다.
  • Setting up a LAMP (Linux, Apache, MySQL/MariaDB, PHP) stack
  • Setting up a LEMP (Linux, Nginx, MySQL/MariaDB, PHP) stack
  • Installing the WordPress CMS
  • Installing Node.js
  • Installing Puppet to manage your infrastructure
  • 결론


    이로써 새 서버에 튼튼한 기반을 구축하는 방법을 알아야 합니다.다음 단계에도 좋은 생각이 있기를 바랍니다.서버에서 더 많은 아이디어를 얻을 수 있도록 이 사이트를 마음대로 찾아보세요.