După crearea unui nou server, trebuie să faceți mai mulți pași pentru ao configura. Acest lucru va spori securitatea și ușurința utilizării serverului și va pune bazele unei acțiuni viitoare.
Pasul 1 - Conectați-vă cu contul de cont
Finalizați procesul de conectare acceptând un avertisment despre autenticitatea gazdei, dacă apare, și apoi identificându-se ca utilizator rădăcină (folosind o parolă sau o cheie secretă). Dacă vă conectați la server pentru prima dată utilizând o parolă, vi se va solicita să schimbați parola pentru contul rădăcină.
Despre contul rădăcină
Următorul pas este crearea unui cont de utilizator alternativ cu privilegii limitate pentru munca zilnică. Vom demonstra cum, dacă este necesar, vom obține acreditări avansate în timpul utilizării acestui cont.
Pasul 2 - Creați un utilizator nou
Conectând-vă cu un cont de utilizator rădăcină, puteți crea un cont nou pe care îl puteți utiliza pentru a vă conecta ulterior la server.
În acest exemplu, vom crea un nou cont de utilizator numit "sammy". Puteți utiliza orice alt nume de cont, înlocuind textul evidențiat cu roșu:
Vi se vor pune câteva întrebări, dintre care prima va fi parola pentru noul cont.
Setați o parolă sigură și, dacă doriți, completați informații suplimentare. Introducerea informațiilor suplimentare nu este necesară, puteți apăsa pur și simplu tasta ENTER în orice câmp pe care doriți să îl ignorați.
Pasul 3 - Privilegiile utilizatorului "rădăcină"
Pentru a adăuga aceste privilegii în contul nostru nou, trebuie să îl adăugați în grupul "sudo". În mod implicit, în Ubuntu 16.04 utilizatorii din grupul "sudo" pot folosi comanda sudo.
Din utilizatorul rădăcină, executați următoarea comandă pentru a adăuga noul utilizator la grupul sudo (înlocuiți roșu evidențiat în noul nume al contului):
Acum, utilizatorul dvs. va putea executa comenzi cu privilegii super-utilizator! Puteți găsi mai multe informații despre modul în care funcționează în articolul despre fișierul Sudoers.
Pentru a spori securitatea serverului, puteți efectua următorii pași.
Creați o pereche de chei
Pentru a crea o pereche nouă de chei, executați următoarea comandă în terminalul de pe mașina dvs. locală (de ex. Pe computer):
Dacă utilizatorul dvs. local este numit "localuser", veți vedea ieșirea astfel:
Apoi, vi se va solicita să introduceți o expresie de acces pentru a proteja cheia. Puteți introduce o expresie de acces sau o puteți lăsa necompletată.
Ca rezultat, în subdirectorul .ssh al directorului de domiciliu al utilizatorului localuser, va fi creată cheia privată id_rsa și cheia publică id_rsa.pub. Nu treceți cheia privată oricui nu are nevoie să aibă acces la serverele dvs.!
După crearea unei perechi de chei SSH, trebuie să copiați cheia publică pe noul server. Vom descrie două modalități simple de a face acest lucru.
După ce introduceți parola, cheia dvs. publică va fi adăugată la fișierul .ssh / authorized_keys de pe serverul dvs. Cheia privată corespunzătoare poate fi acum utilizată pentru a vă conecta la server.
Opțiunea 2: Conduceți manual cheia
Dacă ați creat o pereche de chei SSH, după cum este descris în paragraful anterior, executați următoarea comandă în terminalul de pe mașina dvs. locală pentru a imprima cheia publică (id_rsa.pub):
Ca urmare a acestei comenzi, pe ecran va apărea cheia SSH deschisă, care arată cam așa:
Evidențiați cheia publică și copiați-o în clipboard.
Pe server. conectați-vă ca utilizator root, executați următoarele comenzi pentru a comuta la un utilizator nou (înlocuiți demo-ul cu numele de utilizator):
Acum sunteți în directorul de acasă al noului utilizator.
Creați un nou director numit .ssh și restricționați accesul la acesta utilizând următoarele comenzi:
Apăsați CTRL-X pentru a închide fișierul, apoi y pentru a salva modificările, apoi apăsați ENTER pentru a confirma numele fișierului.
Acum, limitați permisiunile la fișierul authorized_keys cu următoarea comandă:
Tastați următoarea comandă o dată pentru a reveni la utilizatorul rădăcină.
Pasul 5 - Dezactivați autentificarea prin parolă
Acum, că puteți utiliza cheile SSH pentru a vă conecta la server, putem securiza serverul prin dezactivarea autentificării prin parolă. Ca rezultat, veți putea accesa serverul folosind SSH numai utilizând cheia publică. Cu alte cuvinte, pentru a vă conecta la serverul dvs. (cu excepția folosirii consolei), va trebui să aveți o cheie privată asociată cu cheia publică instalată pe server.
Atenție:
Dezactivați autentificarea parolei numai dacă ați instalat cheia publică așa cum este descris în pasul 4. În caz contrar, este posibil să pierdeți accesul la serverul dvs.
Pentru a dezactiva autentificarea prin parolă, urmați pașii de mai jos.
sshd_config - Dezactivați autentificarea prin parolă
În același fișier, celelalte două setări necesare pentru a dezactiva autentificarea prin parolă au deja setările implicite corecte, nu modificați aceste setări decât dacă ați modificat anterior acest fișier:
sshd_config - Setări implicite importante
După efectuarea modificărilor la acest fișier, salvați-l și închideți-l (CTRL-X, apoi Y. apoi ENTER)
Reporniți daemonul SSH:
Acum, autentificarea parolei este dezactivată. Serverul dvs. este accesibil numai prin SSH utilizând cheia.
Acum, înainte de a ieși din server, verificați setările. Nu vă deconectați de la server până când nu sunteți sigur că îl puteți accesa prin SSH.
Dacă ați configurat autentificarea cheii publice pentru utilizatorul dvs., urmând instrucțiunile de la pasul 4 și 5, cheia dvs. privată va fi utilizată pentru a vă conecta.
Atenție:
Dacă ați creat o pereche de chei utilizând o expresie de acces, serverul va solicita această expresie de acces în timpul procesului de autentificare. Dacă nu ați specificat această expresie de acces, vă veți conecta automat la server.
După furnizarea datelor de autentificare, vă veți conecta la server utilizând contul noului dvs. utilizator.
Dacă trebuie să executați o comandă cu privilegii root, tastați "sudo" înaintea comenzii:
Pasul 7 - Configurarea firewall-ului de bază
Serverele din Ubuntu 16.04 pot utiliza paravanul de protecție UFW pentru a permite conexiunile serviciilor selectate. Putem configura cu ușurință acest firewall de bază.
Aplicații diferite pot crea propriile profiluri pentru UFW în timpul instalării. Aceste profiluri permit UFW să gestioneze aceste aplicații după numele lor. Serviciul OpenSSH pe care îl folosim pentru conectarea la server are, de asemenea, un profil propriu în UFW.
Puteți verifica acest lucru executând următoarea comandă:
Trebuie să ne asigurăm că firewall-ul permite conexiuni SSH și putem merge la server data viitoare. Putem activa conexiunile SSH cu următoarea comandă:
Apoi, activați comanda firewall:
Introduceți y și apăsați ENTER pentru a continua. Puteți verifica dacă conexiunile SSH sunt permise de următoarea comandă:
Dacă instalați și configurați aplicații și servicii suplimentare, va trebui să configurați paravanul de protecție pentru a permite traficul de intrare pentru aceste aplicații. Puteți vedea cele mai comune operațiuni cu UFW în acest articol.
Ce urmează?
Acum aveți un server bine configurat. Apoi puteți instala orice software necesar pe acesta.
Articole similare
Trimiteți-le prietenilor: