Tài liệu, Hướng dẫn sử dụng Linux

CentOS 7: Hướng dẫn cấu hình nâng cao sau khi thiết lập cơ bản

Đăng vào bởi Nguyễn Trung Văn
CentOS 7: Hướng dẫn cấu hình nâng cao sau khi thiết lập cơ bản
14
Th4

Sau khi hoàn thành các bước cấu hình cơ bản cho máy chủ mới, hầu hết các trường hợp đều khuyến nghị tiến hành thêm một số bước cấu hình bổ sung. Trong bài viết này, chúng ta sẽ đi sâu vào quá trình tinh chỉnh máy chủ bằng cách áp dụng các thủ tục tùy chọn được đề xuất nhằm tối ưu hóa hiệu suất và bảo mật hệ thống.

Yêu cầu và mục tiêu

Trước khi bắt đầu hướng dẫn này, bạn nên thực hiện xong bài hướng dẫn thiết lập máy chủ ban đầu cho CentOS 7.
Điều này là cần thiết để thiết lập các tài khoản người dùng, cấu hình nâng cao đặc quyền với sudo và khóa chặt SSH để bảo mật.

Khi bạn đã hoàn thành bài hướng dẫn trên, bạn có thể tiếp tục với bài viết này. Trong hướng dẫn này, chúng ta sẽ tập trung vào việc cấu hình một số thành phần tùy chọn nhưng được khuyến nghị. Điều này sẽ bao gồm việc cài đặt tường lửa cơ bản và một file swap, cũng như cấu hình đồng bộ hóa giao thức thời gian (NTP).

Cấu hình tường lửa cơ bản

Tường lửa cung cấp một mức độ bảo mật cơ bản cho máy chủ của bạn. Các ứng dụng này có trách nhiệm chặn lưu lượng đến tất cả các cổng trên máy chủ, chỉ cho phép mở các cổng/dịch vụ mà bạn đã phê duyệt. CentOS đi kèm với một tường lửa có tên là firewalld. Công cụ firewall-cmd có thể được sử dụng để cấu hình các chính sách tường lửa. Chiến lược cơ bản của chúng ta sẽ là khóa tất cả các cổng mà không có lý do chính đáng để mở.

Trước tiên, cài đặt firewalld:

sudo yum install firewalld

Dịch vụ firewalld có khả năng thay đổi cấu hình mà không làm gián đoạn các kết nối hiện tại, vì vậy chúng ta có thể bật nó lên trước khi tạo các ngoại lệ:

sudo systemctl start firewalld

Bây giờ, khi dịch vụ đã chạy, chúng ta có thể sử dụng tiện ích firewall-cmd để lấy và thiết lập thông tin chính sách cho tường lửa. Ứng dụng firewalld sử dụng khái niệm “zones” để gán nhãn mức độ tin cậy của các máy chủ khác trong mạng. Việc gán nhãn này cho phép chúng ta áp dụng các quy tắc khác nhau tùy theo mức độ tin cậy của mạng.

Trong hướng dẫn này, chúng ta chỉ điều chỉnh các chính sách cho zone mặc định. Khi tải lại tường lửa, zone này sẽ được áp dụng cho các giao diện của bạn. Chúng ta nên bắt đầu bằng cách thêm các ngoại lệ vào tường lửa cho các dịch vụ đã được phê duyệt. Điều quan trọng nhất là SSH, vì chúng ta cần duy trì quyền truy cập quản trị từ xa vào máy chủ.

Nếu bạn chưa thay đổi cổng mà daemon SSH đang chạy, bạn có thể bật dịch vụ theo tên bằng cách nhập:

sudo firewall-cmd --permanent --add-service=ssh

Nếu bạn đã thay đổi cổng SSH cho máy chủ của mình, bạn sẽ phải chỉ định cổng mới một cách cụ thể. Bạn cũng cần bao gồm giao thức mà dịch vụ sử dụng. Chỉ nhập các lệnh sau nếu máy chủ SSH của bạn đã được khởi động lại với cổng mới:

sudo firewall-cmd --permanent --remove-service=ssh
sudo firewall-cmd --permanent --add-port=4444/tcp

Đây là mức tối thiểu cần thiết để duy trì quyền truy cập quản trị vào máy chủ. Nếu bạn dự định chạy các dịch vụ bổ sung, bạn cần mở tường lửa cho chúng.

Nếu bạn dự định chạy một máy chủ web HTTP thông thường, bạn sẽ cần bật dịch vụ http:

sudo firewall-cmd --permanent --add-service=http

Nếu bạn dự định chạy máy chủ web có hỗ trợ SSL/TLS, bạn nên cho phép lưu lượng cho https:

sudo firewall-cmd --permanent --add-service=https

Nếu bạn cần bật SMTP cho email, bạn có thể nhập:

sudo firewall-cmd --permanent --add-service=smtp

Để xem các dịch vụ bổ sung có thể được bật theo tên, nhập:

sudo firewall-cmd --get-services

Khi bạn đã hoàn thành, bạn có thể xem danh sách các ngoại lệ sẽ được áp dụng bằng cách nhập:

sudo firewall-cmd --permanent --list-all

Khi bạn sẵn sàng áp dụng các thay đổi, tải lại tường lửa:

sudo firewall-cmd --reload

Nếu sau khi kiểm tra, mọi thứ hoạt động như mong đợi, hãy đảm bảo tường lửa sẽ được khởi động cùng hệ thống:

sudo systemctl enable firewalld

Nhớ rằng bạn sẽ phải mở tường lửa (theo dịch vụ hoặc cổng) một cách rõ ràng cho bất kỳ dịch vụ bổ sung nào bạn có thể cấu hình sau này.

Cấu hình múi giờ và đồng bộ hóa giao thức thời gian (NTP)

Bước tiếp theo là điều chỉnh các cài đặt địa phương cho máy chủ của bạn và cấu hình đồng bộ hóa giao thức thời gian (NTP).

Bước đầu tiên sẽ đảm bảo rằng máy chủ của bạn hoạt động theo múi giờ chính xác. Bước thứ hai sẽ cấu hình hệ thống của bạn để đồng bộ hóa đồng hồ hệ thống với thời gian chuẩn do một mạng lưới máy chủ NTP toàn cầu duy trì. Điều này sẽ giúp ngăn ngừa một số hành vi không nhất quán có thể phát sinh do đồng hồ không đồng bộ.

Cài đặt múi giờ

Bước đầu tiên là đặt múi giờ cho máy chủ của bạn. Đây là một thủ tục rất đơn giản có thể được thực hiện bằng lệnh timedatectl:

Đầu tiên, xem các múi giờ có sẵn bằng cách nhập:

sudo timedatectl list-timezones

Lệnh trên sẽ hiển thị danh sách các múi giờ có sẵn cho máy chủ của bạn. Khi bạn tìm thấy cấu hình region/múi giờ phù hợp, đặt nó bằng cách nhập:

sudo timedatectl set-timezone region/timezone

Ví dụ, để đặt múi giờ theo giờ miền phía đông của Hoa Kỳ, nhập:

sudo timedatectl set-timezone America/New_York

Hệ thống của bạn sẽ được cập nhật để sử dụng múi giờ đã chọn. Bạn có thể xác nhận điều này bằng cách nhập:

sudo timedatectl

Cấu hình đồng bộ hóa NTP

Bây giờ, khi bạn đã thiết lập múi giờ, chúng ta sẽ cấu hình NTP. Điều này sẽ giúp máy tính của bạn luôn đồng bộ với các máy chủ khác, tạo ra sự nhất quán trong các hoạt động phụ thuộc vào thời gian chính xác.

Để đồng bộ hóa NTP, chúng ta sẽ sử dụng dịch vụ có tên ntp, có thể được cài đặt từ kho lưu trữ mặc định của CentOS:

sudo yum install ntp

Tiếp theo, bạn cần khởi động dịch vụ này cho phiên làm việc hiện tại. Chúng ta cũng sẽ kích hoạt dịch vụ để nó tự động khởi động mỗi khi máy chủ khởi động:

sudo systemctl start ntpd
sudo systemctl enable ntpd

Máy chủ của bạn bây giờ sẽ tự động điều chỉnh đồng hồ hệ thống để phù hợp với các máy chủ toàn cầu.

Tạo file swap

Thêm “swap” vào máy chủ Linux cho phép hệ thống chuyển những thông tin ít được truy cập của một chương trình đang chạy từ RAM sang một vị trí trên đĩa. Việc truy xuất dữ liệu lưu trữ trên đĩa chậm hơn rất nhiều so với truy xuất từ RAM, nhưng có swap sẵn sàng có thể quyết định giữa việc ứng dụng của bạn tiếp tục chạy hay bị treo. Điều này đặc biệt hữu ích nếu bạn dự định lưu trữ bất kỳ cơ sở dữ liệu nào trên hệ thống của mình.

Các khuyến nghị về kích thước tối ưu cho không gian swap có sự khác nhau đáng kể tùy theo nguồn tham khảo. Nói chung, một dung lượng bằng hoặc gấp đôi dung lượng RAM trên hệ thống của bạn là một điểm khởi đầu tốt.

Cấp phát không gian mà bạn muốn sử dụng cho file swap bằng cách sử dụng tiện ích fallocate. Ví dụ, nếu chúng ta cần một file 4 Gigabyte, ta có thể tạo file swap tại /swapfile bằng cách nhập:

sudo fallocate -l 4G /swapfile

Sau khi tạo file, chúng ta cần hạn chế quyền truy cập vào file này để người dùng hoặc tiến trình khác không thể xem nội dung bên trong:

sudo chmod 600 /swapfile

Bây giờ, file đã có quyền truy cập đúng. Để thông báo cho hệ thống định dạng file này để sử dụng làm swap, nhập:

sudo mkswap /swapfile

Tiếp theo, thông báo cho hệ thống rằng có thể sử dụng file swap bằng cách nhập:

sudo swapon /swapfile

Hệ thống của bạn đang sử dụng file swap cho phiên làm việc hiện tại, nhưng bạn cần sửa đổi một file hệ thống để máy chủ tự động sử dụng file swap này khi khởi động. Bạn có thể thực hiện điều này bằng cách nhập:

sudo sh -c 'echo "/swapfile none swap sw 0 0" >> /etc/fstab'

Với bổ sung này, hệ thống của bạn sẽ tự động sử dụng file swap mỗi khi khởi động.

Hướng đi tiếp theo

Bây giờ, bạn đã có một cấu hình khởi đầu khá vững chắc cho máy chủ Linux của mình. Từ đây, có khá nhiều hướng để bạn phát triển. Trước tiên, bạn có thể chụp ảnh snapshot cấu hình hiện tại của máy chủ.

Chụp snapshot cấu hình hiện tại

Nếu bạn hài lòng với cấu hình của mình và muốn sử dụng nó làm cơ sở cho các cài đặt trong tương lai, bạn có thể chụp snapshot máy chủ thông qua bảng điều khiển của DataOnline.

Kể từ tháng 10 năm 2016, việc chụp snapshot có giá 0.05 USD cho mỗi gigabyte mỗi tháng dựa trên không gian sử dụng trong hệ thống tập tin.

Để thực hiện, tắt máy chủ của bạn từ dòng lệnh. Mặc dù có thể chụp snapshot một hệ thống đang chạy, việc tắt máy đảm bảo rằng các file trên đĩa ở trạng thái nhất quán:

sudo poweroff

Bây giờ, trong bảng điều khiển của DataOnline, bạn có thể chụp snapshot bằng cách truy cập tab “Snapshots” của máy chủ.

Sau khi chụp snapshot, bạn sẽ có thể sử dụng hình ảnh đó làm cơ sở cho các cài đặt tương lai bằng cách chọn snapshot từ tab “My Snapshots” khi tạo máy chủ mới.

Tài nguyên bổ sung và các bước tiếp theo

Từ đây, con đường của bạn phụ thuộc hoàn toàn vào những gì bạn muốn làm với máy chủ của mình. Danh sách các hướng dẫn dưới đây không phải là đầy đủ, nhưng đại diện cho một số cấu hình phổ biến mà người dùng thường thực hiện sau này:

Kết luận

Qua bài viết này, bạn đã nắm bắt được cách thiết lập một nền tảng ổn định cho các máy chủ mới, mở ra nhiều cơ hội tối ưu hóa hiệu năng và bảo mật hệ thống. Hy vọng bạn cũng sẽ tìm thấy nguồn cảm hứng cho những bước cấu hình tiếp theo. Hãy khám phá thêm trên website của chúng tôi để cập nhật những ý tưởng và giải pháp IT sáng tạo, phù hợp với nhu cầu quản trị hệ thống của mình.

Nguyễn Trung Văn

Tôi là Nguyễn Trung Văn | Đồng sáng lập DataOnline. Với hơn 10 năm kinh nghiệm làm việc trong lĩnh vực Server, Cloud. Mục tiêu của tôi là hỗ trợ khách hàng, giúp khách hàng tiết kiệm thời gian, chi phí & tăng hiệu quả sử dụng CNTT. Với hiểu biết sâu về Network, System cũng như xu hướng của CNTT, tôi tự tin sẽ mang đến những trải nghiệm tốt cho mọi khách hàng sử dụng dịch vụ tại DataOnline. Ngoài việc tham gia vận hành Doanh nghiệp, tôi sẽ viết nhiều bài hướng dẫn nhằm tăng cường khả năng nhận thức của mọi người về CNTT.

Để lại một bình luận

Email của bạn sẽ không được hiển thị công khai. Các trường bắt buộc được đánh dấu *