Давайте сделаем чеклист подготовки linux сервера?

Question

[Илья Т.]

Есть такие вещи, которые приходится делать (почти) всегда. Из-за их рутинности про многие из них часто забываешь.
Давайте сделаем чеклист, чтобы можно было по нему проходить и быть уверенным что ничего не забыл.
Я понимаю что он у всех будет свой, но наверняка из множества вариантов, каждый сможет собрать что-то для себя.
Начинаю:

• Настройка таймзоны
  
• Настройка хостнейма
  
• Отключение рута
  

Comments

[Илья Т.]

не понял

[Илья Т.]

Владислав Турчинский: тут же не лор. я верю в местный контингент

[Vladimir Samoylov]

Думаю что правильнее будет добавить название дистрибутива..

Answer 1

[Максим Дунаевский]

Общее

1. Обновить все пакеты.
   
2. Добавить нужные репозитории и их ключи в список (Nginx, PostgreSQL)
   
3. В нужные места для deb-based добавить non-free contrib, т.к. в том же Debian из коробки только свободные пакеты.
   
4. Поставить и включить bash-completion
   
5. Поставить sudo, внести себя в группу админов, запретить root'у логиниться в системе
   
6. Поставить ntp и ntp-date, указать сервера в файлах настройки
   

SSH (статья)

1. Установить openssh-server
   
2. Добавить в ~/.ssh/authorized_keys свой публичный ключ.
   
3. Увеличить длину серверных ключей до 2048 бит минимум, по-умолчанию везде 768.
   
4. Сгенерировать серверные ключи заново.
   
5. Отключить авторизацию по паролю.
   
6. Запретить входить без пароля
   
7. Поставить и настроить fail2ban
   
8. Сменить порт SSH с 22 на какой-нибудь другой (отсекает 95% ScriptKiddies сразу же)
   

SSL (статья)

1. Включить шифрование по ГОСТу (не всем нужно, но лично мне по работе - нужно всегда)
   

PostgreSQL (статья)

1. Ставить только из официального репозитория последнюю стабильную версию.
   
2. Оптимизировать настройки postgresql.conf с помощью этого сайта под конкретную систему / машину.
   
3. Сделать Listen только на внутренний интерфейс локальной сети или вообще на localhost, если СУБД и сервер приложений будут на одной машине.
   
4. Настроить pg_hba.conf
   
5. Написать скрипты резервного копирования.
   

Answer 2

[Руслан Федосеев]

напишите себе ansible playbook и все

Comments

[Илья Т.]

логично. предлагаю обсудить что должно быть в этом плейбуке

[Saboteur]

Илья Т.: https://github.com/ansible/ansible-examples

[Руслан Федосеев]

смешно здесь это обсуждать.
Вам надо настроить прокси в yum, если устанавливаемый сервер находится в серой сети без ната? Вам надо установить epel репозиторий? Вам надо установить vmware-tools?
У вас вообще centos на сервере? ;)

[Валентин]

вот-вот, у каждого свои задачи, так что у каждого свой плейбук будет. Я так вообще дистрибутив себе собрал, плейбуком из шаблонов уже всякие named конфиги только закидываю да ключи для VPN.

Answer 3

[Влад Животнев]

https://debian.pro/1856 выдергивай пункты

Answer 4

[alexander sm1ly]

так как ставлю минимал, то:

tcpdump
mc
nano
wget
rsync
scp
remove NetworkManager
check all interfaces configs
add epel repo
update
configure firewall

доеду до работы, допишу

Comments

[Илья Т.]

Александр, у Вас всё хорошо ? а то я переживаю.