RHEL 9.6 安装后的10分钟初始化设置:配置网络、用户、SSH与安全基线
当你第一次启动刚安装好的RHEL 9.6系统时,面对的是一个几乎"裸奔"的环境。作为专业用户,你需要快速完成一系列关键配置,才能让系统变得可用、安全且便于管理。本文将带你完成这些必不可少的初始化步骤,让你在10分钟内获得一个生产就绪的RHEL环境。
1. 网络配置:从连接到优化
刚安装完的RHEL系统可能无法立即访问网络,特别是当你需要静态IP而非DHCP时。让我们从基础检查开始:
# 检查当前网络接口状态 ip addr show nmcli device status如果发现接口未激活,使用以下命令启用并配置网络:
# 启用网络接口(假设为ens192) nmcli connection up ens192 # 如需配置静态IP(替换示例值为你的实际网络参数) nmcli connection modify ens192 ipv4.addresses 192.168.1.100/24 nmcli connection modify ens192 ipv4.gateway 192.168.1.1 nmcli connection modify ens192 ipv4.dns "8.8.8.8,8.8.4.4" nmcli connection modify ens192 ipv4.method manual nmcli connection down ens192 && nmcli connection up ens192关键注意事项:
- 企业内网通常需要特定DNS,而非公共DNS
- 云环境可能需要特殊配置(如AWS的源/目标检查)
- 双网卡环境需注意路由优先级
提示:使用
nmcli connection show --active查看当前活跃连接详情
2. 用户与权限管理:安全第一
直接使用root账户是危险且不专业的做法。我们应创建具有sudo权限的日常使用账户:
# 创建新用户(替换username为你的用户名) useradd -m -G wheel username passwd username # 验证sudo权限配置 visudo确保以下行未被注释:
%wheel ALL=(ALL) ALL用户安全最佳实践:
| 实践 | 命令/方法 | 重要性 |
|---|---|---|
| 密码策略 | vim /etc/login.defs | 防止弱密码 |
| 会话超时 | export TMOUT=600 | 减少未授权访问风险 |
| 历史记录 | HISTSIZE=1000 | 平衡审计与隐私 |
| SSH密钥认证 | ssh-keygen -t ed25519 | 比密码更安全 |
3. SSH服务配置:安全远程访问
SSH是管理Linux系统的生命线,但默认配置需要强化:
# 先备份原始配置 cp /etc/ssh/sshd_config /etc/ssh/sshd_config.bak # 编辑SSH配置 vim /etc/ssh/sshd_config推荐修改以下参数:
Port 2222 # 更改默认端口 PermitRootLogin no # 禁止root直接登录 PasswordAuthentication no # 强制密钥认证 MaxAuthTries 3 # 限制尝试次数 ClientAliveInterval 300 # 会话保持时间应用更改并检查配置:
sshd -t && systemctl restart sshd firewall-cmd --permanent --add-port=2222/tcp firewall-cmd --reloadSSH安全增强技巧:
- 使用Fail2Ban防止暴力破解
- 配置双因素认证
- 限制可登录IP范围
- 定期轮换主机密钥
4. 系统安全基线配置
一个安全的RHEL系统需要多层防护措施:
4.1 防火墙配置
# 查看默认区域 firewall-cmd --get-default-zone # 添加常用服务 firewall-cmd --permanent --add-service={http,https,ssh} # 限制ICMP(按需) firewall-cmd --permanent --remove-icmp-block={echo-request,echo-reply} # 应用更改 firewall-cmd --reload4.2 SELinux策略
# 检查当前状态 getenforce # 如为Permissive模式,切换为Enforcing setenforce 1 # 永久生效 sed -i 's/SELINUX=permissive/SELINUX=enforcing/' /etc/selinux/config4.3 系统更新与补丁
# 注册系统(如有必要) subscription-manager register --username your_username --password your_password # 附加订阅池 subscription-manager attach --auto # 更新系统 dnf update -y && dnf upgrade -y安全基线检查清单:
检查未授权的SUID/SGID文件:
find / -perm /4000 -o -perm /2000 -type f -exec ls -ld {} \;审核世界可写文件:
find / -perm -2 -type f -exec ls -ld {} \;检查异常进程:
ps aux | grep -E '(ncat|socat|netcat|nc|telnet|rsh|rlogin)'验证关键文件权限:
ls -l /etc/passwd /etc/shadow /etc/group
5. 生产环境额外建议
对于需要更高安全级别的环境,考虑以下增强措施:
日志管理配置:
# 安装并配置auditd dnf install audit -y systemctl enable --now auditd # 关键文件监控规则示例 auditctl -w /etc/passwd -p wa -k identity auditctl -w /etc/shadow -p wa -k identity时间同步配置:
# 使用chronyd dnf install chrony -y systemctl enable --now chronyd # 检查同步状态 chronyc sources -v内核参数调优:
# 添加至/etc/sysctl.conf echo "net.ipv4.tcp_syncookies = 1" >> /etc/sysctl.conf echo "net.ipv4.conf.all.rp_filter = 1" >> /etc/sysctl.conf sysctl -p完成这些配置后,你的RHEL 9.6系统已经具备了基础的生产环境安全性。根据具体应用场景,可能还需要配置特定的应用程序安全策略、备份方案和监控系统。记住定期检查系统日志和安全更新,保持系统处于最佳状态。
