安裝完最小化 RHEL/CentOS 7 後需要做的 30 件事情（四）

安裝完最小化 RHEL/CentOS 7 後需要做的 30 件事情（一）

安裝完最小化 RHEL/CentOS 7 後需要做的 30 件事情（二）

安裝完最小化 RHEL/CentOS 7 後需要做的 30 件事情（三）

17. 安裝 Webmin

Webmin 是基於 Web 的 Linux 配置工具。它像一箇中央系統，用於配置各種系統設定，比如使用者、磁碟分配、服務以及 HTTP 伺服器、Apache、MySQL 等的配置。

# wget http://prdownloads.sourceforge.net/webadmin/webmin-1.740-1.noarch.rpm
# rpm -ivh webmin-*.rpm

安裝 Webmin

安裝完 webmin 後，你會在終端上得到一個訊息，提示你用 root 密碼在埠 10000 登入你的主機 (http://ip-address:10000)。 如果執行的是無介面的伺服器你可以轉發埠然後從有介面的伺服器上訪問它。（LCTT 譯註：無介面[headless]伺服器指沒有訪問介面或介面的伺服器，在此次場景，指的是是出於內網的伺服器，可採用外網/路由器對映來訪問該埠）

18. 啟用第三方庫

新增不受信任的庫並不是一個好主意，尤其是在生產環境中，這可能導致致命的問題。但僅作為例子在這裡我們會新增一些社群證實可信任的庫，以安裝第三方工具和軟體包。

為企業版 Linux（EPEL）庫新增額外的軟體包。

# yum install epel-release

新增社群企業版 Linux （Community Enterprise Linux）庫：

# rpm -Uvh http://www.elrepo.org/elrepo-release-7.0-2.el7.elrepo.noarch.rpm

安裝 Epel 庫

注意！ 新增第三方庫的時候尤其需要注意。

19. 安裝 7-zip 工具

在最小化安裝 CentOS 時你並沒有獲得類似 unzip 或者 untar 的工具。我們可以選擇根據需要來安裝每個工具，或一個能處理所有格式的工具。7-zip 就是一個能壓縮和解壓所有已知型別檔案的工具。

# yum install p7zip

安裝 7zip 工具

注意: 該軟體包從 Fedora EPEL 7 的庫中下載和安裝。

20. 安裝 NTFS-3G 驅動

NTFS-3G，一個很小但非常有用的 NTFS 驅動，在大部分類 UNIX 發行版上都可用。它對於掛載和訪問 Windows NTFS 檔案系統很有用。儘管也有其它可用的替代品，比如 Tuxera，但 NTFS-3G 是使用最廣泛的。

# yum install ntfs-3g

安裝 NTFS-3G 用於掛載 Windows 分割槽

ntfs-3g 安裝完成之後，你可以使用以下命令掛載 Windows NTFS 分割槽（我的 Windows 分割槽是 /dev/sda5）。

# mount -ro ntfs-3g /dev/sda5 /mnt
# cd /mnt
# ls -l

21. 安裝 Vsftpd FTP 伺服器

VSFTPD 表示 Very Secure File Transfer Protocol Daemon，是用於類 UNIX 系統的 FTP 伺服器。它是現今最高效和安全的 FTP 伺服器之一。

# yum install vsftpd

安裝 Vsftpd FTP

編輯配置檔案 ‘/etc/vsftpd/vsftpd.conf’ 用於保護 vsftpd。

# vi /etc/vsftpd/vsftpd.conf

編輯一些值並使其它行保留原樣，除非你知道自己在做什麼。

anonymous_enable=NO
local_enable=YES
write_enable=YES
chroot_local_user=YES

你也可以更改埠號，記得讓 vsftpd 埠通過防火牆。

# firewall-cmd --add-port=21/tcp
# firewall-cmd --reload

下一步重啟 vsftpd 並啟用開機自動啟動。

# systemctl restart vsftpd
# systemctl enable vsftpd

22. 安裝和配置 sudo

sudo 通常被稱為 super do 或者 suitable user do，是一個類 UNIX 作業系統中用其它使用者的安全許可權執行程式的軟體。讓我們來看看怎樣配置 sudo。

# visudo

這會開啟 /etc/sudoers 並進行編輯

sudoers 檔案

1. 給一個已經建立好的使用者（比如 tecmint）賦予所有許可權（等同於 root）。

   tecmint   ALL=(ALL)    ALL

2. 如果給一個已經建立好的使用者（比如 tecmint）賦予除了重啟和關閉伺服器以外的所有許可權（等同於 root）。

   首先，再一次開啟檔案並編輯如下內容：

   cmnd_Alias nopermit = /sbin/shutdown, /sbin/reboot

   然後，用邏輯操作符（!）新增該別名。

   tecmint   ALL=(ALL)    ALL,!nopermit

3. 如果准許一個組（比如 debian）執行一些 root 許可權命令，比如（增加或刪除使用者）。

   cmnd_Alias permit = /usr/sbin/useradd, /usr/sbin/userdel

   然後，給組 debian 增加許可權。

   debian ALL=(ALL) permit

23. 安裝並啟用 SELinux

SELinux 表示 Security-Enhanced Linux，是核心級別的安全模組。

# yum install selinux-policy

安裝 SElinux 策略

檢視 SELinux 當前模式。

# getenforce

檢視 SELinux 模式

輸出是 Enforcing，意味著 SELinux 策略已經生效。

如果需要除錯，可以臨時設定 selinux 模式為允許。不需要重啟。

# setenforce 0

除錯完了之後再次設定 selinux 為強制模式，無需重啟。

# setenforce 1

（LCTT 譯註：在生產環境中，SELinux 固然會提升安全，但是也確實會給應用部署和執行帶來不少麻煩。具體是否部署，需要根據情況而定。）

24. 安裝 Rootkit Hunter

Rootkit Hunter，簡寫為 RKhunter，是在 Linux 系統中掃描 rootkits 和其它可能有害攻擊的程式。

# yum install rkhunter

安裝 Rootkit Hunter

在 Linux 中，從指令碼檔案以計劃作業的形式執行 rkhunter 或者手動掃描有害攻擊。

# rkhunter --check

掃描 rootkits

RootKit 掃描結果