Tài liệu, Hướng dẫn sử dụng Linux

Tìm Hiểu Cách Cài Đặt Máy Chủ Với Rocky Linux 8 Chi Tiết Từng Bước

Đăng vào bởi Nguyễn Trung Văn
tim hieu cach cai dat may chu ban dau voi rocky linux 8 1
08
Th5

Khi triển khai một máy chủ Ubuntu 14.04 mới, có một số bước cấu hình quan trọng cần thực hiện ngay từ đầu để đảm bảo hệ thống hoạt động ổn định và an toàn. Những bước này không chỉ tăng cường bảo mật mà còn cải thiện tính khả dụng của máy chủ, giúp bạn xây dựng một nền tảng vững chắc cho các thao tác và dịch vụ tiếp theo.

Bạn muốn xây dựng máy chủ mạnh mẽ với Rocky Linux 8? Trước tiên, hãy chọn một VPS giá rẻ để tối ưu chi phí. DataOnline cung cấp các gói VPS giá rẻ, hiệu năng cao, phù hợp cho mọi nhu cầu, từ cá nhân đến doanh nghiệp, đảm bảo vận hành mượt mà.

Bước 1 – Đăng nhập với tư cách root

Để đăng nhập vào máy chủ, bạn cần biết địa chỉ IP công cộng của máy chủ. Bạn cũng cần mật khẩu hoặc, nếu bạn đã cài đặt SSH key để xác thực, Private Key cho tài khoản root.

Nếu bạn chưa kết nối đến máy chủ, hãy đăng nhập với tư cách root bằng lệnh sau (thay phần được đánh dấu bằng địa chỉ IP công cộng của máy chủ của bạn):

ssh root@your_server_ip

Chấp nhận cảnh báo về tính xác thực của host nếu xuất hiện. Nếu bạn sử dụng xác thực bằng mật khẩu, cung cấp mật khẩu root để đăng nhập. Nếu bạn sử dụng SSH key có passphrase, bạn có thể sẽ được yêu cầu nhập passphrase vào lần đầu mỗi phiên. Nếu đây là lần đầu bạn đăng nhập với mật khẩu, bạn cũng có thể được nhắc thay đổi mật khẩu của root.

Thông tin về tài khoản root

Tài khoản root là tài khoản quản trị trong môi trường Linux với rất nhiều đặc quyền. Do đặc quyền cao của tài khoản root, bạn được khuyến nghị không sử dụng nó một cách thường xuyên, vì một phần quyền lực của root là khả năng thực hiện những thay đổi rất nguy hiểm, ngay cả khi vô tình xảy ra.

Vì lý do này, bước tiếp theo là thiết lập một tài khoản người dùng thay thế với phạm vi quyền hạn hạn chế hơn cho công việc hàng ngày. Tài khoản này vẫn có thể được nâng quyền khi cần thiết.

Bước 2 – Tạo tài khoản người dùng mới

Sau khi đã đăng nhập với tư cách root, bạn có thể tạo tài khoản người dùng mới mà bạn sẽ sử dụng để đăng nhập từ bây giờ.

Ví dụ dưới đây tạo một người dùng có tên sammy; bạn có thể thay thế bằng bất kỳ tên người dùng nào bạn mong muốn:

adduser sammy

Tiếp theo, đặt mật khẩu mạnh cho người dùng sammy:

passwd sammy

Bạn sẽ được nhắc nhập mật khẩu hai lần. Sau khi hoàn tất, tài khoản của bạn đã sẵn sàng sử dụng. Nhưng trước tiên, chúng ta sẽ cấp thêm quyền để người dùng này có thể dùng lệnh sudo.

Bước 3 – Cấp quyền quản trị cho người dùng

Hiện tại, bạn đã có một tài khoản người dùng mới với quyền hạn bình thường. Tuy nhiên, đôi khi bạn sẽ cần thực hiện các tác vụ quản trị.

Để tránh phải đăng xuất khỏi tài khoản người dùng bình thường và đăng nhập lại với root, chúng ta sẽ thiết lập quyền “superuser” cho tài khoản này. Điều này cho phép người dùng bình thường chạy các lệnh với quyền quản trị bằng cách thêm từ sudo trước lệnh.

Để thêm quyền này, bạn cần thêm người dùng mới vào nhóm wheel. Theo mặc định, trên Rocky Linux 8, những người dùng thuộc nhóm wheel được phép sử dụng lệnh sudo.

Với tư cách root, chạy lệnh sau để thêm người dùng vào nhóm wheel (thay sammy bằng tên người dùng của bạn):

usermod -aG wheel sammy

Giờ đây, khi đăng nhập với tài khoản người dùng bình thường, bạn có thể thêm từ sudo trước lệnh để thực hiện các tác vụ quản trị.

Bước 4 – Cài đặt firewall cơ bản

Firewall cung cấp một mức độ bảo mật cơ bản cho máy chủ của bạn. Những ứng dụng này có nhiệm vụ từ chối lưu lượng đến mọi cổng trên máy chủ, ngoại trừ những cổng/dịch vụ mà bạn đã cho phép rõ ràng.

Rocky Linux có một dịch vụ gọi là firewalld để thực hiện chức năng này. Một công cụ có tên firewall-cmd được sử dụng để cấu hình chính sách của firewalld.

Lưu ý: Nếu máy chủ của bạn đang chạy trên DataOnline, bạn có thể tùy chọn sử dụng DataOnline Cloud Firewalls thay cho firewalld. Chúng tôi khuyến nghị chỉ sử dụng một firewall tại một thời điểm để tránh xung đột quy tắc gây khó khăn trong việc debug.

Trước tiên, cài đặt firewalld:

dnf install firewalld -y

Cấu hình mặc định của firewalld cho phép kết nối SSH, vì vậy chúng ta có thể bật firewall ngay lập tức:

systemctl start firewalld

Kiểm tra trạng thái của dịch vụ để đảm bảo nó đã khởi động:

systemctl status firewalld

Output:

● firewalld.service - firewalld - dynamic firewall daemon
   Loaded: loaded (/usr/lib/systemd/system/firewalld.service; enabled; vendor preset: enabled)
   Active: active (running) since Thu 2020-02-06 16:39:40 UTC; 3s ago
     Docs: man:firewalld(1)
 Main PID: 13180 (firewalld)
    Tasks: 2 (limit: 5059)
   Memory: 22.4M
   CGroup: /system.slice/firewalld.service
           └─13180 /usr/libexec/platform-python -s /usr/sbin/firewalld --nofork --nopid

Lưu ý rằng firewall hiện đang hoạt động và được kích hoạt tự động khi máy chủ khởi động lại.

Giờ đây, bạn có thể sử dụng tiện ích firewall-cmd để lấy và thiết lập thông tin chính sách của firewall.

Đầu tiên, hãy liệt kê các dịch vụ đã được cho phép:

firewall-cmd --permanent --list-all

Output:

firewall-cmd --permanent --list-all

Để xem các dịch vụ bổ sung mà bạn có thể bật theo tên, nhập:

firewall-cmd --get-services

Để thêm một dịch vụ cần được cho phép, sử dụng tham số –add-service:

firewall-cmd --permanent --add-service=http

Lệnh trên sẽ thêm dịch vụ http và cho phép lưu lượng TCP đến cổng 80. Cấu hình sẽ được cập nhật sau khi bạn tải lại firewall:

firewall-cmd --reload

Nhớ rằng, bạn sẽ cần mở firewall cho bất kỳ dịch vụ bổ sung nào bạn cấu hình sau này (theo dịch vụ hoặc theo cổng).

Bước 5 – Cho phép truy cập từ bên ngoài cho người dùng thường

Giờ đây, với tài khoản người dùng không phải root cho công việc hàng ngày, bạn cần đảm bảo rằng bạn có thể dùng tài khoản này để SSH vào máy chủ.

Lưu ý: Cho đến khi bạn xác nhận rằng bạn có thể đăng nhập và sử dụng sudo với người dùng mới, chúng tôi khuyến nghị giữ phiên đăng nhập với tư cách root. Nếu bạn gặp sự cố với kết nối SSH của root, bạn có thể đăng nhập vào máy chủ thông qua DataOnline Console.

Quy trình cấu hình SSH cho người dùng mới phụ thuộc vào việc tài khoản root của bạn sử dụng xác thực bằng mật khẩu hay bằng SSH key.

Nếu tài khoản root sử dụng xác thực bằng mật khẩu

Nếu bạn đã đăng nhập vào tài khoản root bằng mật khẩu, thì xác thực bằng mật khẩu đang được bật cho SSH. Bạn có thể SSH đến tài khoản người dùng mới bằng cách mở một phiên terminal mới và sử dụng lệnh với tên người dùng mới:

ssh sammy@your_server_ip

Sau khi nhập mật khẩu của người dùng, bạn sẽ đăng nhập thành công. Nhớ rằng, nếu cần chạy lệnh với quyền quản trị, hãy thêm sudo trước lệnh, ví dụ:

sudo command_to_run

Bạn sẽ được yêu cầu nhập mật khẩu người dùng thông thường của mình khi sử dụng sudo lần đầu tiên trong mỗi phiên (và định kỳ sau đó).

Để tăng cường bảo mật cho máy chủ, chúng tôi khuyến khích mạnh mẽ việc thiết lập khóa SSH thay vì sử dụng xác thực bằng mật khẩu. Hãy làm theo hướng dẫn của chúng tôi về cách thiết lập khóa SSH trên Rocky Linux 8 để cấu hình xác thực dựa trên khóa.

Nếu tài khoản root sử dụng xác thực bằng SSH key

Nếu bạn đã đăng nhập vào tài khoản root bằng SSH key, thì xác thực bằng mật khẩu đã bị vô hiệu hóa. Bạn sẽ cần thêm một bản sao của Public Key vào file ~/.ssh/authorized_keys của người dùng mới để đăng nhập thành công.

Vì Public Key của bạn đã có trong file ~/.ssh/authorized_keys của tài khoản root trên máy chủ, chúng ta có thể sao chép file và cấu trúc thư mục đó sang tài khoản người dùng mới.

Cách đơn giản nhất để sao chép các file với quyền sở hữu và quyền truy cập đúng là sử dụng lệnh rsync. Lệnh này sẽ sao chép thư mục .ssh của root, giữ nguyên quyền truy cập, và thay đổi chủ sở hữu của file, tất cả chỉ trong một lệnh. Hãy thay thế phần được đánh dấu bằng tên người dùng của bạn:

Lưu ý: Lệnh rsync phân biệt khác khi kết thúc bằng dấu gạch chéo so với không có dấu gạch chéo. Khi sử dụng lệnh dưới đây, đảm bảo rằng thư mục nguồn (~/.ssh) không có dấu gạch chéo ở cuối.

Nếu bạn vô tình thêm dấu gạch chéo, rsync sẽ chỉ sao chép nội dung của thư mục .ssh của root vào thư mục home của người dùng mới, thay vì sao chép toàn bộ cấu trúc thư mục .ssh. Các file sẽ ở sai vị trí và SSH sẽ không thể tìm thấy chúng.

rsync --archive --chown=sammy:sammy ~/.ssh /home/sammy

Giờ, trên máy tính cục bộ, mở một phiên SSH mới với tài khoản không phải root:

ssh sammy@your_server_ip

Bạn sẽ được đăng nhập vào tài khoản người dùng mới mà không cần sử dụng mật khẩu. Nhớ rằng, nếu cần chạy lệnh với quyền quản trị, hãy thêm sudo trước lệnh, ví dụ:

sudo command_to_run

Bạn sẽ được nhắc nhập mật khẩu của người dùng khi sử dụng sudo lần đầu mỗi phiên (và định kỳ sau đó).

Kết luận

Đến thời điểm này, bạn đã thiết lập một nền tảng vững chắc cho máy chủ của mình. Giờ đây, bạn có thể tiếp tục cài đặt và cấu hình bất kỳ phần mềm nào cần thiết để đáp ứng nhu cầu sử dụng của mình.

Sau khi nắm rõ cách cài đặt Rocky Linux 8, việc thuê VPS chất lượng là yếu tố then chốt. DataOnline mang đến dịch vụ thuê VPS với băng thông không giới hạn, hỗ trợ 24/7, giúp bạn triển khai máy chủ ổn định và tiết kiệm chi phí tối đa.

Nguyễn Trung Văn

Tôi là Nguyễn Trung Văn | Đồng sáng lập DataOnline. Với hơn 10 năm kinh nghiệm làm việc trong lĩnh vực Server, Cloud. Mục tiêu của tôi là hỗ trợ khách hàng, giúp khách hàng tiết kiệm thời gian, chi phí & tăng hiệu quả sử dụng CNTT. Với hiểu biết sâu về Network, System cũng như xu hướng của CNTT, tôi tự tin sẽ mang đến những trải nghiệm tốt cho mọi khách hàng sử dụng dịch vụ tại DataOnline. Ngoài việc tham gia vận hành Doanh nghiệp, tôi sẽ viết nhiều bài hướng dẫn nhằm tăng cường khả năng nhận thức của mọi người về CNTT.

Để lại một bình luận

Email của bạn sẽ không được hiển thị công khai. Các trường bắt buộc được đánh dấu *