Початкове налаштування сервера з Ubuntu, ІТ Блог
Головне меню » Операційна система Ubuntu » Початкове налаштування сервера з Ubuntu 16.04
Увійдіть під root
Завершіть процес входу в систему, прийнявши попередження про справжність хоста, якщо воно з'явиться, надання кореневої аутентифікації (пароль або ключ). Якщо це ваш перший вхід на сервер з паролем, вам також буде запропоновано змінити пароль.
Привілейований користувач є користувачем з правами адміністратора в середовищі Linux, який має дуже широкі привілеї. Через збільшені привілеї кореневого облікового запису, вам насправді не рекомендується використовувати його на регулярній основі. Це відбувається тому, що частина можливостей, властивих кореневий обліковий запис є можливість зробити деструктивні зміни, навіть випадково.
Наступним кроком є створення альтернативного облікового запису користувача зі зменшеними рамками впливу. Ми навчимо вас, як отримати підвищені привілеї, коли ви потребуєте їх.
Крок другий – створити нового користувача
Після того, як ви увійшли до системи root , ми готові додати новий обліковий запис користувача, який ми будемо використовувати, щоб увійти.
У цьому прикладі створюється новий користувач з ім'ям “andreyex”, але ви повинні замінити його на ім'я користувача, яке вам подобається:
Вам буде запропоновано кілька запитань, починаючи з пароля облікового запису.
Введіть надійний пароль, якщо потрібно, заповніть додаткову інформацію. Це не потрібно, якщо ви можете просто натиснути ENTER у будь-якій області, яку ви хочете пропустити.
Крок третій – суперкористувач
Тепер ми маємо новий обліковий запис користувачаз регулярними привілеями облікового запису. Тим не менш, нам може іноді необхідно виконувати адміністративні завдання.
Щоб уникнути необхідності вийти з нашого звичайного користувача і знову увійти до системи як кореневий обліковий запис, ми можемо встановити, відомого як “superuser” або кореневих привілеїв для нашого звичайного облікового запису. Це дозволить нашому звичайному користувачеві виконувати команди з правами адміністратора, поставивши слово sudo перед кожною командою.
Щоб додати ці привілеї до нашого нового користувача, нам потрібно додати нового користувача до групи sudo. За замовчуванням в Ubuntu 16.04, користувачі, що належать до групи sudo, дозволено використовувати команду sudo .
Як root , запустіть цю команду, щоб додати нового користувача до групи SUDO (замініть виділене слово новим користувачем):
Тепер ваш користувач може виконувати команди з привілеями суперкористувача! Щоб отримати додаткові відомості про те, як це працює, перевірте цей підручник про sudoers.
Якщо ви хочете підвищити безпеку сервера, виконайте інші кроки в цьому підручнику.
Крок четвертий – додати публічний ключ до аутентифікації (рекомендується)
Наступним кроком у забезпеченні безпеки вашого сервера, це налаштувати автентифікацію відкритого ключа для нового користувача. Встановлення цієї програми дозволить підвищити безпеку сервера, вимагаючи секретний ключ SSH для входу в систему.
Генерація пари ключів
Якщо у вас ще немає пари ключів SSH, що складається з відкритого та секретного ключа, необхідно їх згенерувати. Якщо у вас є ключ, який ви хочете використовувати, перейдіть до кроку скопіюйте відкритий ключ.
Щоб створити нову пару ключів, введітьнаступну команду в терміналі вашоїлокальної машини (тобто вашого комп'ютера.):
Припустимо, що ваш локальний користувач називається “localuser”, ви побачите висновок, який виглядає так:
Тепер поверніться, щоб прийняти це ім'я файлу та шлях до нього (або введіть нове ім'я).
Далі вам буде запропоновано ввести ключову фразу, щоб забезпечити ключ. Ви можете ввести ключову фразу або залишити порожнім парольну фразу.
Це створює закритий ключ id_rsa і відкритий ключ, id_rsa.pub в директорії .ssh домашньої директорії localuser's. Пам'ятайте, що закритий ключ не повинен використовуватися спільно з ким – або хто не повинен мати доступ до серверів!
Скопіюйте відкритий ключ
Після створення пари ключів SSH, ви хочете скопіювати свій відкритий ключ на новий сервер. Ми розглянемо два простих способи, як зробити це.
Після надання пароля в командному рядку, ваш відкритий ключ буде доданий до віддаленого користувача файлу .ssh/authorized_keys . Відповідний секретний ключ тепер можна використовувати для входу на сервер.
Варіант 2: Вручну встановити ключ
Припускаючи, що ви згенерували пару ключів SSH, використовуючи попередній крок, використовуйте наступну команду в терміналі вашоїлокальної машини, щоб надрукувати ваш відкритий ключ ( id_rsa.pub ):
Це має надрукувати ваш публічний ключ SSH, який має виглядати так:
Виберіть відкритий ключ і скопіюйте його в буфер обміну.
Для того, щоб дозволити використання ключа SSH для аутентифікації як нового віддаленого користувача, ви повинні додати відкритий ключ до спеціального файлу домашнього каталогу користувача.
На сервері, яккореневе користувача, введіть наступну команду, щоб тимчасово перейти на нового користувача (замініть на власне ім'я користувача):
Тепер ви будете у домашньому каталозі вашого нового користувача.
Створіть нову папку з ім'ям .ssh та обмежте права доступу такими командами:
Натисніть , CTRL-x щоб вийти з файлу, а потім, щоб зберегти зміни, які ви зробили, а потім ENTER щоб підтвердити ім'я файлу.
Тепер обмежте права доступу до файлу authorized_keys за допомогою наступної команди:
Введіть цю командуодин раз, щоб повернутися до користувача root :
Тепер ваш відкритий ключ встановлено, і ви можете використовувати ключі SSH увійти в систему як користувач.
Далі ми покажемо вам, як підвищити безпеку вашого сервера шляхом вимкнення перевірки автентичності пароля.
Крок п'ятий – вимкнути автентифікацію пароля (рекомендується)
Тепер, коли ваш новий користувач може використовувати ключі SSH, щоб увійти в систему, ви можете підвищити безпеку вашого сервера шляхом вимкнення автентифікації пароля. Це дозволить обмежити SSH доступ до сервера лише для відкритого ключа автентифікації. Тобто, єдиний спосіб увійти на свій сервер (за винятком консолі), це мати секретний ключ, який утворює пару з відкритим ключем, який було встановлено.
Щоб вимкнути перевірку пароля на сервері, виконайте наведені нижче дії.
Укореневому каталозі абонового користувача SUDO, відкрийте конфігурацію SSH-демону:
Знайдіть рядок, який визначає PasswordAuthentication , розкоментувати, видаляючи # на початку, а потім змініть його значення на “no”. Він повинен виглядати так після того, як ви зробили зміни:
Ось два інші параметри, які мають важливе значення лише для ключа автентифікації та встановлюються за замовчуванням. Якщо ви не змінили цей файл раніше, ви не повинні змінювати ці параметри:
Коли ви закінчите вносити змін, збережіть і закрийте файл, використовуючи метод, який ми використовували раніше ( CTRL-X , потім Y , потім ENTER ).
Перезавантажте демон SSH:
Аутентифікація пароля відключена. Ваш сервер тепер доступний лише з ключем автентифікації SSH.
Крок шостий – Тест входу
Тепер, перш ніж вийти з сервера, ви повинні перевірити нову конфігурацію. Не розривайте з'єднання, поки ви не переконаєтесь, що ви можете успішно увійти через SSH.
Якщо ви додали відкритий ключ автентифікації вашому користувачу, як описано за кроки чотири і п'ять, ваш секретний ключ буде використовуватися як автентифікація. В іншому випадку вам буде запропоновано ввести пароль користувача.
Після аутентифікації, ви увійдете в систему як новий користувач.
Пам'ятайте, якщо вам потрібно виконати команду з привілеями суперкористувача, введіть “sudo” перед ним, так:
Крок сьомий – Налаштування основного брандмауера
Сервери Ubuntu 16.04 можуть використовувати брандмауер UFW, щоб переконатися, що тільки підключення до певних служб дозволено. Ми можемо налаштувати основний брандмауер дуже легко за допомогою цієї програми.
Різні програми можуть зареєструвати профілі з UFW після установки. Ці профілі дозволяють UFW керувати цими програмами на ім'я. OpenSSH, послуга дозволяє нам підключитися до нашого сервера зараз, має профіль, зареєстрований в UFW.
Ви можете побачити це, ввівши:
Ми повинні переконатися, що брандмауердозволяє встановлювати з'єднання SSH, тому ми можемо знову увійти наступного разу. Ми можемо дозволити ці з'єднання, набравши:
Після цього ми можемо увімкнути брандмауер, набравши:
Введіть “у” та натисніть кнопку ENTER, щоб продовжити. Ви можете бачити, що з'єднання SSH, як і раніше, дозволено виводити:
Якщо встановити та налаштувати додаткові послуги, вам потрібно буде налаштувати параметри брандмауера для дозволу прийнятного трафіку.
Куди піти звідси?
На даний момент у вас є міцний фундамент для вашого сервера. Ви можете встановити будь-яке програмне забезпечення вам потрібно на сервері в даний час.