Centos 8 замена iptables
Введение В сентябре 2019 года, а именно 24 числа, состоялся релиз CentOS 8, основанного на Red Hat Enterprice Linux 8.0, вобрав в себя все его нововведения. CentOS отказался от использования привычного нам iptables в пользу более удобного и мощного инструмента – nftables, с ним нам теперь работать, поэтому о нем и поговорим. О nftables Синтаксис […]
Введение
В сентябре 2019 года, а именно 24 числа, состоялся релиз CentOS 8, основанного на Red Hat Enterprice Linux 8.0, вобрав в себя все его нововведения. CentOS отказался от использования привычного нам iptables в пользу более удобного и мощного инструмента – nftables, с ним нам теперь работать, поэтому о нем и поговорим.
О nftables
Синтаксис nftables кардинально отличается от всем привычного iptables. На смену линейной схеме пришли блочные структуры.
По умолчанию стандартные настройки хранятся в шаблонах, представленных на скриншоте:
В процессе работы с nftables, мы оперируем:
- Таблицами, в которых определяется семейство протоколов (но не более одного на таблицу)
- Цепочками, состоящими из правил для обработки пакетов
- Правилами для обработки пакетов
- Инструкциями (accept, drop, reject, return, jump, queue, goto, continue). Они задают поведение при попадании пакета под правила.
Все манипуляции производятся посредством утилиты nft. У нее есть интересная особенность – интерактивный режим работы в командной строке (nft -i). Помимо этого, nft можно подкинуть заранее заготовленный конфиг, что довольно удобно для переноса набора правил на несколько машин. Отдать файл с набором правил утилите можно вот таким образом:
Настройка nftables для атс на базе Asterisk
Переходим непосредственно к настройке. Создаем файл с конфигурацией /etc/nftables.conf, и в нем 2 таблицы «table inet filter» и «table inet fail2ban». В эти таблицы будут занесены цепочки и правила для фильтрации сетевых пакетов.
Начнем с цепочки INPUT. В первую очередь добавим правила, которое будут сбрасывать весь битый трафик и разрешать исходящий трафик:
Далее мы разрешим трафик для localhost и добавим правила для защиты от пинг-флуда (разновидность ddos’a «бытовыми средствами»)
Так же хотелось бы разрешить ICMP и IGMP трафик, что мы и сделаем:
Закрываемся от брутфорса по ssh и открываем порты для нашей цепочки VOIP (в ней будет разрешаться трафик для пула наших ip адресов) и ADMIN (разрешается трфафик для административных сетей)
Финальным штрихом стоит сбросить недействительные подключения:
По итогу наш конфиг файл должен выглядеть примерно таким образом:
Отдаем его утилите nft, но не стоит забывать, что после перезагрузки системы конфигурация будет сброшена. Чтобы избежать подобного, необходимо добавить его в загрузку. Для этого мы инклюдим наш конфиг файл в /etc/sysconfig/nftables.conf:
Перезагружаемся и проверяем, что правила добавлены:
CentOS 8 уже запущен, вы все еще используете iptables, пришло время использовать nftables брандмауэра следующего поколения! .
Что такое nftables?
nftables Новая инфраструктура фильтрации пакетов, предназначенная для замены текущей iptables Новая структура фильтрации пакетов. nftables Родился в 2008 году, слит в конце 2013 года Ядро Linux ,Из Linux ядро 3.13 Версия начинается в большинстве сценариев nftables Это уже доступно, но полная поддержка (т.е. nftables Приоритет над iptables ) Должно быть в ядре Linux 3.15 версия.
nftables Предназначен для решения существующих tables Много ограничений инструмента. По отношению к старому iptables , nftables К наиболее привлекательным функциям относятся: улучшенная производительность, поддержка справочных таблиц, обновление правил транзакций, автоматическое применение всех правил и т. Д.
nftables В основном он состоит из трех компонентов: реализация ядра, libnl netlink Связь и nftables Пространство пользователя. Ядро обеспечивает netlink Оценка конфигурации интерфейса и набора правил выполнения, libnl Содержит основные функции для взаимодействия с ядром, пользовательское пространство может быть введено с помощью недавно представленного инструмента командной строки nft Взаимодействовать с пользователем.
nft Данные могут быть обменены путем хранения и загрузки в регистры. Другими словами, его грамматика и iptables разные. но nft Вы можете использовать выражение, предоставленное ядром, для имитации старого iptables Команда для поддержания большей гибкости при сохранении совместимости. Проще говоря, nft Да iptables И его производные ( ip6tables с участием arptables ) Суперсет.
Особенности nftables
nftables Имеет некоторые расширенные возможности, подобные языку программирования, такие как: определение переменных и включение внешних файлов, то есть возможность использовать дополнительные сценарии. nftables Его также можно использовать для фильтрации и обработки нескольких адресных кластеров.
Отличный от iptables , nftables Он не содержит встроенных таблиц, и администратор должен решить, какие таблицы необходимы и какие правила обработки добавить в эти таблицы.
Таблица содержит цепочки правил, которые содержат правила.
Преимущества nftables по сравнению с iptables
В iptables Добавление правила к нему будет очень медленным по мере увеличения количества правил. Эта ситуация nftables Его больше не существует, потому что nftables Используйте атомарные быстрые операции для обновления наборов правил.
Использовать iptables В то же время для каждого совпадения или доставки требуется поддержка модуля ядра. Поэтому, если вы что-то забыли или добавили новые функции, вам нужно перекомпилировать ядро. Пока в nftables Это уже не так, потому что в nftables Большая часть работы выполняется в пользовательском режиме, и ядро знает только некоторые базовые инструкции (фильтрация осуществляется с помощью псевдосостояния). Например, icmpv6 Поддержка через nft Простое исправление инструмента, в то время как iptables Для этого типа изменений требуется ядро и iptables Все можно обновить.
Основные операции nftables
nftables с участием iptables Точно так же он состоит из таблиц, цепочек и правил. Таблицы содержат цепочки, а цепочки содержат правила. Правила - это реальные действия.
В nftables В таблице находится контейнер цепи. Так что начните использовать nftables Когда вам сначала нужно сделать это добавить хотя бы одну таблицу. Затем вы можете добавить цепочку к своей таблице, а затем добавить правила в цепочку.
Управление таблицами nftables
против iptables Таблица в другом, nftables Там нет встроенной таблицы в. Количество и название таблиц определяются пользователем. Однако каждая таблица имеет только один адресный кластер и применима только к пакетам данных кластера. nftables Таблица может быть указана как один из следующих пяти кластеров:
| кластер nftables | Инструмент командной строки, соответствующий iptables |
|---|---|
| ip | iptables |
| ip6 | ip6tables |
| inet | iptables и ip6tables |
| arp | arptables |
| bridge | ebtables |
ip (Т.е. IPv4) является кластером по умолчанию, если кластер не указан, кластер используется. Если вы хотите создать IPv4 с участием IPv6 Правила, пожалуйста, используйте inet Кластер. inet Разрешить объединение ip с участием ip6 Кластеры, чтобы упростить определение правил.
Примечание: inet Не может быть использован nat Тип цепи, можно использовать только для filter Тип цепочки.
Давайте взглянем nftables Как происходит управление таблицей, следующее nftables Основной синтаксис команды для создания таблиц.
Здесь мы можем создать inet Возьмите кластерную таблицу в качестве примера, чтобы продемонстрировать, как создавать и управлять новой таблицей.
В Red Hat Enterprise Linux 8 приоритетным низкоуровневым решением является nftables. В этой статье мы поговорим о том, как начать использовать nftables. Наиболее актуальной она будет для системных администраторов и DevOps-специалистов. Там, где это имеет смысл, мы поговорим о различиях между nftables и его предшественником — iptables.
Для начала необходимо отметить, что nftables – это userland-утилита, nft и подсистема ядра. Внутри ядра она строится на базе подсистемы netfilter. В этой статье мы будем говорить о взаимодействии пользователя с утилитой nft.
Здесь вы найдете примеры команд, которые сможете протестировать на машине. Они будут полезны для лучшего понимания содержания.
Примечание: в этой статье некоторые выходные данные могут быть достаточно длинными, поэтому мы сократим или уберем бесполезные или несущественные части вывода.
Начнем
Итак, как будет выглядеть настройка nftables по-умолчанию? Давайте выясним, выведя весь набор правил.
В результате мы получим… ничего. Ладно, это не очень интересно. О чем это говорит?
По умолчанию nftables не создает таблицы и цепочки, в отличие от своего предшественника iptables. Пустой набор правил имеет нулевую стоимость ресурсов. Для сравнения, вспомните iptables, где каждая предварительно созданная таблица и цепочка должны были учитываться, а базовые счетчики пакетов увеличивались, даже если в них было пусто.
Создание таблиц
В nftables вам понадобится создавать таблицы вручную. Таблицы должны определять семейство: ip, ip6, inet, arp, bridge или netdev. Здесь inet означает, что таблица будет обрабатывать пакеты ipv4 и ipv6. Именно это семейство мы и будем использовать в статье.
Примечание: Для тех, кто переходит с iptables, термин таблица может звучать неоднозначно. В nftables таблица – просто пространство имен, ни больше, ни меньше. По сути, она представляет из себя набор цепочек, правил, наборов и иных объектов.
Давайте создадим нашу первую таблицу и перечислим набор правил.
Отлично, теперь у нас есть таблица, но сама по себе она мало что дает. Давайте перейдем к цепочкам.
Создание цепочек
Цепочки – объекты, которые будут содержать правила брандмауэра.
По аналогии с таблицами, цепочки также нужно создавать вручную. При создании цепочки необходимо указать, к какой таблице она относится, а также тип, хук и приоритет. В этом руководстве мы не будем ничего усложнять и используем filter, input, и priority 0 для фильтрации пакетов, предназначенных для хоста.
Примечание: Обратный слэш () нужен, чтобы shell не интерпретировал скобку как конец команды.
Цепочки также могут быть созданы без указания хука. Созданные таким образом цепочки эквиваленты цепочкам, созданным пользователями в iptables. Правила могут использовать операторы jump или goto для выполнения правил в цепочке. Эта механика полезна для логического разделения правил или для того, чтобы делиться подмножеством правил, которые в противном случае продублировались бы.
Создание правил
Теперь, когда вы создали таблицу и цепочку, вы можете, наконец, добавить правила для брандмауэра. Давайте добавим правило для разрешения SSH.
Здесь следует отметить, что как только мы добавили его в таблицу семейства inet, это единственное правило будет обрабатывать как пакеты IPv4, так и пакеты IPv6.
Глагол add будет добавлять правило в конец цепочки. Также вы можете использовать глагол insert, чтобы добавить правило в начало цепочки.
Мы добавили два правила, а теперь давайте посмотрим, как будет выглядеть полный набор правил.
Также вы можете добавить правило в произвольное место в цепочке. Есть два способа сделать это.
- Используйте index, чтобы указать на индекс в списке правил. Использование add добавит новое правило после указанного индекса. Если же вы используете insert, то новое правило будет добавлено перед правилом с заданным индексом. Значения индексов начинаются с 0.
Примечание: Использование index с insert по факту эквивалентно опции iptables -I с индексом. Первое, о чем нужно помнить, так это о том, что индексы в nftables начинаются с 0. Во-вторых, индекс должен указывать на существующее правило. То есть писать "nft insert rule … index 0" в пустой цепочке недопустимо.
- Используйте handle, чтобы указать правило, до или после которого нужно вставлять другое правило. Для вставки после используйте глагол add. Чтобы вставить до правила, используйте insert. Вы можете получить handle правил, добавив флаг –handle при выводе правил.
В nftables handle правил стабилен и не изменится до тех пор, пока правило не будет удалено. Так ссылка на правило получается надежнее, чем просто индекс, который может поменяться при вставке другого правила.
Также вы можете получить handle правила во время создания, используя сразу два флага –echo и –handle. Правило будет выведено в CLI вместе с его handle.
Примечание: старые версии nftables использовали позицию ключевого слова. С тех пор механика ключевых слов устарела и появился handle.
Удаление правил
Удаление правил выполняется с помощью handle правила по аналогии с командами add и insert выше.
Сначала нужно найти handle правила, которое вы хотите удалить.
Затем используйте этот handle для удаления правила.
Листинг правил
В примерах выше мы выводили весь список правил. Существует много других способов вывести подмножество правил.
Вывести все правила в заданной таблице.
Вывести правила в заданной цепочке.
Наборы
В nftables есть нативная поддержка наборов. Они могут оказаться полезными, если вы хотите, чтобы правило работало с несколькими IP-адресами, портами, интерфейсами или по любым другим критериям.
Анонимные наборы
Любое правило может иметь inline-наборы. Эта механика полезна для наборов, которые вы не собираетесь изменять.
Например, следующая команда будет разрешать весь трафик с 10.10.10.123 и 10.10.10.231.
Недостатком этого метода является то, что если вам нужно изменить набор, то нужно будет заменять и правило. Чтобы получить мутабельные наборы, нужно использовать именованные наборы.
В качестве другого примера, вместо первых трех правил мы могли бы использовать анонимный набор.
Примечание: пользователи iptables скорее всего привыкли к использованию ipset. Поскольку в nftables есть собственная нативная поддержка наборов, ipset использовать не нужно.
Именованные наборы
Nftables также поддерживает мутабельные именованные наборы. Для их создания необходимо указать тип элементов, которые будут в них содержаться. Например, типы могут быть такими: ipv4_addr, inet_service, ether_addr.
Давайте создадим пустой набор.
Чтобы сослаться на набор в правиле используйте символ @ и имя набора после него. Следующее правило будет работать как черный список для IP-адресов в нашем наборе.
Конечно, это не особо эффективно, так как в наборе пусто. Давайте добавим в него несколько элементов.
Однако попытка добавить диапазон значений приведет к ошибке.
Чтобы использовать диапазоны в наборах, нужно создать набор с использованием флагов интервалов. Так нужно, чтобы ядро заранее знало, какой тип данных будет храниться в наборе, чтобы использовать соответствующую структуру данных.
Интервалы в наборах
В наборах также могут использовать диапазоны. Для IP-адресов это может быть крайне полезно. Для использования диапазонов, набор должен быть создан с использованием флагов интервалов.
Примечание: Нотация маски сети была неявно преобразована в диапазон IP-адресов. Аналогично, мы могли бы написать 10.20.20.0-10.20.20.255 и получить тот же эффект.
Конкатенации наборов
Наборы также поддерживают агрегатные типы и совпадения. То есть элемент набора также может содержать несколько типов, а правило может использовать оператор конкатенации «.» при обращении к набору.
В этом примере мы сможем сопоставлять IPv4-адреса, IP-протоколы и номера портов одновременно.
Теперь мы можем добавить элементы к списку.
Как видите, символьные имена (tcp, telnet) также можно использовать при добавлении элементов набора.
Использование набора в правиле аналогично именованному набору выше, но правило должно выполнять конкатенацию.
Также стоит отметить, что конкатенация может использоваться с inline-наборами. Вот последний пример, отражающий это.
Надеюсь, теперь вы понимаете всю силу наборов nftables.
Примечание: конкатенации наборов nftables аналогичны агрегатным типам ipset, например, hash:ip,port.
Verdict Map
Verdict map – это интересная функция в nftables, которая позволит вам выполнить действие, основываясь на информации в пакете. Проще говоря, они сопоставляют критерии с действиями.
Например, чтобы логически разделить набор правил, вам нужны отдельные цепочки для обработки TCP и UDP пакетов. Вы можете использовать verdict map, чтобы направлять пакеты в эти цепочки с помощью одного правила.
Конечно, по аналогии с наборами вы можете создавать мутабельные verdict map.
Ваши глаза вас не обманывают. Синтаксис с наборами и вправду очень схож. По факту, под капотом наборы и verdict map строятся на одном и том же типе данных.
Теперь вы можете использовать мутабельную verdict map в правиле.
Таблицы как пространства имен
Еще одна интересная вещь о таблицах в nftables – это то, что они также являются полноценными пространствами имен. То есть две таблицы могут создавать цепочки, наборы и другие объекты с одинаковыми именами.
Это свойство означает, что приложения могут организовывать правила в своих собственных цепочках, не затрагивая другие приложения. В iptables приложениям было тяжело вносить изменения в брандмауэр, не влияя на другие приложения.
Однако и тут есть один нюанс. Каждый хук таблицы или цепочки можно рассматривать как независимый и отдельный брандмауэр. То есть пакет должен пройти через все, чтобы в итоге быть принятым. Если table_one принимает пакет, его все еще может отклонить table_two. Именно здесь в игру вступает приоритезация хуков. Цепочка с более низким приоритетом гарантированно будет выполнена перед цепочкой с более высоким приоритетом. Если приоритеты равны, то поведение не определено.
Сохранение и восстановление набора правил
Правила nftables можно с легкостью сохранить и восстановить. Вывод list в nft можно использовать в инструменте, чтобы провести восстановление. Именно так работает служба nftables systemd.
Сохранить набор правил
Восстановить набор правил
Конечно же, вы можете включить службу systemd и восстановить правила при перезагрузке. Служба читает правила из /etc/sysconfig/nftables.conf.
Примечание: некоторые дистрибутивы, включая RHEL-8, отправляют предопределенную конфигурацию nftables в /etc/nftables. Эти сэмплы часто включают в себя конфигурацию таблиц и цепочек в стиле iptables. Они часто указаны в файле /etc/sysconfig/nftables.conf, но могут быть закомментированы.
Заключение
Надеюсь, эта статья стала хорошим введением и демонстрацией возможностей nftables. Однако мы только коснулись поверхности nftables. Есть множество особенностей, которые здесь не затрагивались. Вы можете найти более подробную информацию на странице документации nft и в вики. Помимо этого, вы можете прочитать несколько следующих статей в этом блоге, в которых мы будем говорить о более продвинутых аспектах nftables.
В этой статье мы рассмотрим чистую установку с нуля и в базовую настройку сервера CentOS 8 в минимальной конфигурации.
Что нового в CentOS 8?
Рассмотрим наиболее крупные изменения в релизе CentOS 8:
- Используется ядро Linux kernel 4.18.
- Переход с пакетного менеджера yum на dnf. В данный момент yum существует как алиас к dnf.
- Выполнено разделение основного репозитория на 2 — это BaseOS и AppStream. Сделано это для того, чтобы у пользователя появилась возможность устанавливать разные версии пакетов на сервер. BaseOS работает как и раньше.
- Обновилось все ПО, в том числе и ядро. В базовом репозитории теперь устанавливается php версии 7.2 (наконец-то).
- Замена iptables на nftables. Лично я пока еще со вторым не работал напрямую, поэтому не могу сказать, хорошо это или плохо. Единственный момент, если нужно будет переносить какие-то проекты на новую ОС, придется разбираться с правилами, так как есть сервера с чистым iptables.
- network-skripts не используются по умолчанию для настройки сети, теперь управления сетью возложено на Network Manager.
- По умолчанию устаналивается веб-интерфейс управления сервером cockpit (удобно для новичков).
- Для управления контейнерами используется podman (вместо docker и mobdy).
- Новая версия стека TCP/IP 4.16 с улучшенной производительностью и поддержкой алгоритмов контроля BBR и NV.
- Новые версии дситрибутивов:
Установка CentOS 8 с помощью ISO-образа
В рекомендуемых требования указано, что для установки CentOS 8 необходимо минимум 10 Гб места на диске и 512 Мб RAM на одно ядро процессора
Перезапустив виртуальную машину с примонтированным образом, я вошел в VNC-консоль. Первым шагом, вам будет предложено выбрать дальнейшие действия. Так как вы выполняем установку, нам интересен первый пункт меню:
Выбрав его, у вас запустится процесс установки:
В процессе пока все необходимое ПО загружается, можно просто наблюдать за процессом, от вас не требуется никаких действий.
И когда черный экран сменится на интерактивный с логотипом CentOS, пора брать в руки мышь и клавиатуру.
Для запуска установки, обязательно настроить только один пункт “Installation Destination”, там вы указываете разбивку диска, но я предпочитаю так же, сразу настроить сеть и дату со временем.
В зависимости от вашего часового пояса, вы устанавливаете свои параметры, для меня это Москва.
Чтобы настроить сеть, переходим в пункт “Network & Host Name”
В поле “Host Name” указываем имя сервера и для конфигурации сетевых интерфейсов нажимаем “Configure”
В главной вкладке, нужно отметить галочкой “Automatically connect to this network when it is available”, это нужно для того, чтобы сетевой интерфейс поднимался автоматически.
Перейдите во вкладку “IPv4 Settings” (либо IPv6 если вы используете данный протокол) настройте IP-адрес, маску подсети и шлюз:
Для ввода конкретного IP, нужно выбрать метод “Manual” и нажать кнопку “Add”, после чего у вас появится возможность ввести нужные данные. Сохранив все, мы вернемся к начальному окну настроек сети
Как можно увидеть на скриншоте, IP адрес добавился и сетевой интерфейс уже поднят (состояние Connected).
Следующим шагом мы перейдем к разбивке диска:
Для примера установки я воспользовался автоматической разбивкой от разработчиков CentOS. Если вы хотите разбить диск по-своему, нужно выбрать пункт “Custom”.
Если контроллер вашего сервера не поддерживает аппаратный RAID, в этом пункте меню вы можете собрать программный RAID из дисков сервера на базе mdadm .Так как на моей виртуальной машине, ранее была установлена ОС, система установки увидела это. Я удалил разделы предыдущей операционной системы в последующих открывающихся меню:
Удалить разделы можно кнопкой “Delete all”, после чего потребуется нажать кнопку “Reclaim space”, чтобы размер дискового пространства стал актуальным.
Список пакетов для установки выбирается в пункте Software Selection. Если вы планируете использовать CentOS 8 в качестве сервера, достаточно выбрать Minimal Install, а из добавлений Standard и Guest Agents (если вы ставите гостевую ОС в виртуальной машине).
После вышеописанных действий, можно запускать установку кнопкой “Begin Installation”
В процессе уже самой распаковки и установки необходимых компонентов, вам потребуется указать пароль для root-пользователя и можно создать дополнительного пользователя, но это не обязательный пункт.
Нажмите на кнопку “Root Password”, введите и повторите пароль и нажмите “Done”, чтобы вернуться к установке:
На этом установка CentOS 8 завершена.
Базовая настройка CentOS 8 после установки
Базовая настройка CentOS 8 практически не отличается от настройки CentOS, я делаю базовые настройки одинаковые на всех серверах.
CentOS 8: Установка обновлений и инструментов администратора
Как уже отмечалось ранее, в CentOS 8 на замену yum, пришел dnf.
Dnf – это следующее поколение приложения YUM, менеджер пакетов для дистрибутивов Linux на основе RPM-пакетов. Ранее dnf использовался в дистрибутивах Fedora, а теперь и в CentOS 8.Первое действие, которое я выполняю на вновь установленном сервере, это обновление системы:
Если образ свежий, то скорее всего у вас не будет пакетов для обновлений как в моем случае:
Если у вас обнаружатся обновления, обязательно их установите.
Следующим шагом, подключим репозиторий EPEL и установим необходимые утилиты для удобного администарирования сервера:
dnf install epel-release -y
dnf install mc wget screen nano net-tools bind-utils curl lsof vim -y
Мне для комфортного администрирования хватает этого набора утилит, вы можете установить свои привычные утилиты.
Автоматическое обновление системы я не включаю, так как всегда устанавливаю необходимые обновления вручную. Если вы хотите настроить автоматическое обновление, установите пакет dnf-automatic:
dnf install -y dnf-automatic
Чтобы проверить активные задания на обновления системы введите:
systemctl list-timers *dnf-*
Отключение SELinux
На начальном этапе я всегда отключаю SELinux (для применения изменения нужно перезагрузить сервер):
Отключение SELinux налету, можно выполнить командой:
Настройка сети в CentOS 8
Так как сеть я настроил на этапе установки системы, настройка ее в данный момент не требуется (подробная статья по настройке сети в CentOS). Хочу лишь сказать, что в CentOS 8, сеть управляется только через Network Manager и утилиту nmcl. Network-scripts по умолчанию не поддерживаются. Если честно, в своей работе я всегда отключал NM и не использовал, для меня это не удобный инструмент, теперь придется разбираться и с ним.
Проверка статуса сети:
Установка и смена hostname
Если вы не задали корректный hostname сервера при установке или просто хотите изменить, это можно выполнить несколькими способами. Измените его в файле /etc/hostname или поменяйте с помощью команды:
hostnamectl set-hostname нужный_хостнейм
Настройка firewalld в CentOS 8
Настройка времени и часового пояса (time-zone)
Чтобы посмотреть текущее время и time-zone, нужно ввести команду date:
Мы указали time-zone при установке самой системы, поэтому у нас время по Москве. Чтобы поменять time-zone, нужно воспользоваться соответствующей командой:
timedatectl set-timezone Europe/Moscow
Где вместо Europe/Moscow вы можете указать свой вариант, например:
Настройка истории команда в bash_history
Для удобного просмотра истории, я всегда добавляю пару строк в .bashrc, чтобы в последствии можно было легко ориентироваться в отчетах.
При настройке по умолчанию, вывод history выглядит следующим образом:
То есть мы видим, что выполнялось на сервере, но не видим время и точную дату, для меня это критично, так как доступ к серверам могут иметь несколько специалистов. Поэтому приведем history к приятному виду:
Откроем файл /root/.bashrc и добавим в него нужные строки:
nano /root/.bashrc
Теперь при проверке history, мы видим точное время выполнения той или иной команды:
Cockpit: Веб-интерфейс управления сервером в CentOS 8
Как мы уже упоминали, в CentOS 8 предустановлен веб-интерфейс управления сервером cockpit. Он также управляется через systemctl. Вы можете запустить его и добавить в автозгрузку:
По–умолчанию веб сервер Cockpit слушает на порту 9090. Добавьте этот порт в разрешенные:
С помощью веб-интерфейса Cockpit вы можете смотреть загрузку своего сервера, управлять сетями и хранилищами, контейнерами, смотреть логи.
На этом моя типовая настройка CentOS сервера закончена, далее я выполняю настройки согласно технического задания по различным проектам и обычно они отличаются.
Читайте также: