Първоначална настройка на сървъра с Ubuntu, IT блог

Главно меню » Операционна система Ubuntu » Първоначална настройка на сървъра с Ubuntu 16.04

Първа стъпка - Влезте като root

Завършете процеса на влизане, като приемете предупреждението за удостоверяване на хоста, ако се появи, след това предоставите root удостоверяване (парола или ключ). Ако това е първото ви влизане в сървъра с парола, ще бъдете подканени да промените паролата си.

Потребителят root е потребител с административни права в Linux среда, който има много широки привилегии. Поради повишените привилегии на root акаунта, вие всъщност не сте склонни да го използвате редовно. Това е така, защото част от силата, присъща на root акаунта, е способността да се правят разрушителни промени, дори случайно.

Следващата стъпка е да създадете алтернативен потребителски акаунт с намален обхват. Ще ви научим как да получавате повишени привилегии, когато имате нужда от тях.

Стъпка втора - създайте нов потребител

След като влезете като root, ние сме готови да добавим нов потребителски акаунт, който ще използваме за влизане.

Този пример създава нов потребител, наречен "andreyex", но трябва да го замените с потребителско име, което харесвате:

Ще ви бъдат зададени няколко въпроса, започвайки с паролата за акаунта.

Въведете силна парола, ако е необходимо, попълнете допълнителна информация, ако желаете. Това не е необходимо, ако можете просто да натиснете ENTER във всяка област, която искате да пропуснете.

Стъпка трета - суперпотребител

Вече имаме нов потребителски акаунтс редовни привилегии за акаунт. Понякога обаче може да се наложи да изпълняваме административни задачи.

За да избегнем необходимостта да излизаме от нашия обикновен потребител и да влизаме отново като root акаунт, можем да зададем това, което е известно като „superuser“ или root привилегии на нашия обикновен акаунт. Това ще позволи на нашия нормален потребител да изпълнява команди с администраторски права, като поставя думата sudo пред всяка команда.

За да добавим тези привилегии към нашия нов потребител, трябва да добавим новия потребител към групата "sudo". По подразбиране в Ubuntu 16.04 потребителите, принадлежащи към групата „sudo“, имат право да използват командата sudo.

Като root изпълнете тази команда, за да добавите нов потребител към SUDO групата (заменете маркираната дума с новия потребител):

Сега вашият потребител може да изпълнява команди с привилегии на суперпотребител! За повече информация как работи това, вижте този урок за sudoers.

Ако искате да подобрите сигурността на вашия сървър, следвайте останалите стъпки в този урок.

Стъпка четвърта - Добавяне на удостоверяване с публичен ключ (препоръчително)

Следващата стъпка в защитата на вашия сървър е да настроите удостоверяване с публичен ключ за новия потребител. Инсталирането на тази програма ще увеличи сигурността на вашия сървър, като изисква частен SSH ключ за влизане.

Генериране на двойка ключове

Ако все още нямате двойка SSH ключове, която се състои от публичен и частен ключ, трябва да генерирате такъв. Ако вече имате ключа, който искате да използвате, преминете към стъпката Копиране на публичния ключ.

За да създадете нова двойка ключове, въведетеследната команда в терминала на вашаталокална машина (т.е. вашия компютър.):

Да приемем, че вашият локален потребител се нарича "localuser", ще видите резултат, който изглежда така:

Сега се върнете, за да приемете това име на файл и път (или въведете ново име).

След това ще бъдете помолени да въведете парола, за да защитите ключа. Можете или да въведете парола, или да я оставите празна.

Това създава частен ключ, id_rsa, и публичен ключ, id_rsa.pub, в .ssh директорията на домашната директория на localuser. Не забравяйте, че частният ключ не трябва да се споделя с никого, който не трябва да има достъп до сървърите!

Копирайте публичния ключ

След като генерирате двойка SSH ключове, искате да копирате своя публичен ключ на новия сървър. Ще разгледаме два прости начина да направите това.

След като въведете парола в командния ред, вашият публичен ключ ще бъде добавен към файла .ssh/authorized_keys на отдалечения потребител. Съответният частен ключ вече може да се използва за влизане в сървъра.

Вариант 2: Ръчно инсталиране на ключа

Ако приемем, че сте генерирали двойка SSH ключове с помощта на предишната стъпка, използвайте следната команда в терминала на вашаталокална машина, за да отпечатате своя публичен ключ ( id_rsa.pub ):

Това трябва да отпечата вашия SSH публичен ключ, който трябва да изглежда така:

Изберете публичния ключ и го копирайте в клипборда.

За да позволите използването на SSH ключ за удостоверяване като нов отдалечен потребител, трябва да добавите публичния ключ към специален файл в домашната директория на потребителя.

На сървъра, катоroot потребител, въведете следната команда, за да превключите временно към новия потребител (заменете със собственото си потребителско име):

Сега ще бъдете в началната директория на вашия нов потребител.

Създайте нова папка с име .ssh и ограничете разрешенията със следните команди:

Натиснете CTRL-x, за да излезете от файла, след това y, за да запазите промените, които сте направили, след това ENTER, за да потвърдите името на файла.

Сега ограничете разрешенията за файла authorized_keys със следната команда:

Въведете тази командаведнъж, за да се върнете към root потребител:

Вашият публичен ключ вече е зададен и можете да използвате SSH ключове, за да влезете като потребител.

След това ще ви покажем как да увеличите сигурността на вашия сървър, като деактивирате удостоверяването с парола.

Стъпка пета - Деактивиране на удостоверяването с парола (препоръчително)

Сега, когато вашият нов потребител може да използва SSH ключове за влизане, можете да увеличите сигурността на вашия сървър, като деактивирате удостоверяването с парола. Това ще ограничи SSH достъпа до сървъра само до удостоверяване с публичен ключ. Тоест, единственият начин да влезете във вашия сървър (различен от конзолата) е да имате частен ключ, който се сдвоява с публичния ключ, който е зададен.

За да деактивирате проверката на паролата на сървъра, изпълнете следните стъпки:

Вглавната директория илина новия SUDO потребител отворете конфигурацията на SSH демон:

Намерете реда, който дефинира PasswordAuthentication, разкоментирайте го, като премахнете # в началото, и след това променете стойността му на „не“. Трябва да изглежда така, след като направите промените:

Ето два други параметъра, които са важни само за ключа за удостоверяване и са зададени по подразбиране. Ако не сте променяли този файл преди, не трябва да променяте тези настройки:

Когато приключите с промените, запазете и затворете файла, като използвате метода, който използвахме по-рано (CTRL-X, след това Y, след това ENTER).

Презаредете SSH демона:

Удостоверяването с парола вече е деактивирано. Вашият сървър вече е достъпен само с SSH ключ за удостоверяване.

Стъпка шеста – Тест за влизане

Сега, преди да излезете от сървъра, трябва да проверите новата конфигурация. Не прекъсвайте връзката, докато не сте сигурни, че можете успешно да влезете през SSH.

Ако сте добавили публичен ключ за удостоверяване към вашия потребител, както е описано в стъпки четири и пет, вашият личен ключ ще се използва като удостоверяване. В противен случай ще бъдете подканени да въведете потребителската си парола.

След удостоверяване ще влезете като нов потребител.

Не забравяйте, че ако трябва да изпълните команда с root привилегии, напишете „sudo“ пред нея, така:

Стъпка седма - Настройка на основната защитна стена

Сървърите на Ubuntu 16.04 могат да използват защитната стена на UFW, за да гарантират, че са разрешени само връзки към определени услуги. С това приложение можем много лесно да настроим основна защитна стена.

Различни приложения могат да регистрират своите профили в UFW след инсталиране. Тези профили позволяват на UFW да управлява тези приложения по име. OpenSSH, услугата ни позволява да се свързваме с нашия сървър, в момента има профил, регистриран в UFW.

Можете да видите това, като напишете:

Трябва да се уверим, че защитната стенави позволява да установите SSH връзка, за да можем да влезем отново следващия път. Можем да разрешим тези връзки, като напишем:

След това можем да активираме защитната стена, като напишем:

Въведете "y" и натиснете бутона ENTER, за да продължите. Можете да видите, че SSH връзките все още могат да бъдат изведени:

Ако инсталирате и конфигурирате допълнителни услуги, ще трябва да конфигурирате настройките на вашата защитна стена, за да позволите приемлив трафик.

Накъде да отида от тук?

На този етап имате солидна основа за вашия сървър. Можете да инсталирате всеки от необходимия софтуер на сървъра в този момент.

---