Einführung
Wenn Sie zum ersten Mal einen neuen Debian 10-Server erstellen, gibt es einige Konfigurationsschritte, die Sie im Rahmen der Grundkonfiguration frühzeitig durchführen sollten. Dies erhöht die Sicherheit und Benutzerfreundlichkeit Ihres Servers und bietet Ihnen eine solide Grundlage für nachfolgende Aktionen.
In diesem Lernprogramm erfahren Sie, wie Sie sich als Benutzer * root * auf unserem Server anmelden, einen neuen Benutzer mit Administratorrechten erstellen und eine grundlegende Firewall einrichten.
Schritt 1 - Melden Sie sich als Root an
Um sich bei Ihrem Server anzumelden, müssen Sie die öffentliche IP-Adresse Ihres * Servers * kennen. Sie benötigen außerdem das Kennwort oder, falls Sie einen SSH-Schlüssel zur Authentifizierung installiert haben, den privaten Schlüssel für das Konto des * root * -Benutzers. Wenn Sie sich noch nicht bei Ihrem Server angemeldet haben, können Sie unseren Leitfaden unter wie Sie sich mit Ihrem Droplet verbinden SSH, das diesen Vorgang ausführlich behandelt.
Wenn Sie noch nicht mit Ihrem Server verbunden sind, melden Sie sich mit dem folgenden Befehl als * root * an (ersetzen Sie den hervorgehobenen Teil des Befehls durch die öffentliche IP-Adresse Ihres Servers):
ssh root@Akzeptieren Sie die Warnung zur Hostauthentizität, falls sie angezeigt wird. Wenn Sie die Kennwortauthentifizierung verwenden, geben Sie Ihr * root * -Kennwort ein, um sich anzumelden. Wenn Sie einen SSH-Schlüssel verwenden, der durch eine Passphrase geschützt ist, werden Sie möglicherweise aufgefordert, die Passphrase einzugeben, wenn Sie den Schlüssel zum ersten Mal in jeder Sitzung verwenden. Wenn Sie sich zum ersten Mal mit einem Kennwort beim Server anmelden, werden Sie möglicherweise auch aufgefordert, das Kennwort * root * zu ändern.
Über Root
Der Benutzer * root * ist der Administrator in einer Linux-Umgebung, der über sehr weitreichende Berechtigungen verfügt. Aufgrund der erhöhten Privilegien des * root * -Kontos wird Ihnen die regelmäßige Nutzung entmutigt. Dies liegt daran, dass ein Teil der Macht, die dem * root * -Konto innewohnt, die Fähigkeit ist, selbst aus Versehen sehr zerstörerische Änderungen vorzunehmen.
Der nächste Schritt ist die Einrichtung eines alternativen Benutzerkontos mit verringertem Einflussbereich für die tägliche Arbeit. Später werden wir erläutern, wie Sie erweiterte Berechtigungen für die Zeiten erhalten, in denen Sie sie benötigen.
Schritt 2 - Erstellen eines neuen Benutzers
Sobald Sie als * root * angemeldet sind, können Sie das neue Benutzerkonto hinzufügen, mit dem wir uns ab sofort anmelden.
In diesem Beispiel wird ein neuer Benutzer mit dem Namen * sammy * erstellt. Sie sollten ihn jedoch durch einen Benutzernamen ersetzen, der Ihnen gefällt:
adduserSie werden einige Fragen gestellt, beginnend mit dem Kontokennwort.
Geben Sie ein sicheres Passwort ein und geben Sie optional weitere Informationen ein. Dies ist nicht erforderlich, und Sie können in jedem Feld, das Sie überspringen möchten, einfach "+ ENTER +" drücken.
Als Nächstes richten wir diesen neuen Benutzer mit Administratorrechten ein.
Schritt 3 - Erteilen von Administratorrechten
Jetzt haben wir ein neues Benutzerkonto mit regulären Kontoberechtigungen erstellt. Es kann jedoch vorkommen, dass Verwaltungsaufgaben erforderlich sind.
Um zu vermeiden, dass wir uns von unserem normalen Benutzer abmelden und uns erneut als * root * - Konto anmelden müssen, können wir für unser normales Konto sogenannte superuser - oder * root * -Privilegien einrichten. Dadurch kann unser normaler Benutzer Befehle mit Administratorrechten ausführen, indem er das Wort "+ sudo +" vor den Befehl setzt.
Um diese Berechtigungen unserem neuen Benutzer hinzuzufügen, müssen wir den neuen Benutzer der Gruppe * sudo * hinzufügen. Standardmäßig dürfen Benutzer, die zur Gruppe * sudo * gehören, unter Debian 10 den Befehl + sudo + verwenden.
Führen Sie als * root * diesen Befehl aus, um Ihren neuen Benutzer der * sudo * -Gruppe hinzuzufügen (ersetzen Sie das hervorgehobene Wort durch Ihren neuen Benutzer):
usermod -aG sudoWenn Sie als normaler Benutzer angemeldet sind, können Sie vor den Befehlen "+ sudo +" eingeben, um den Befehl mit Superuser-Rechten auszuführen.
Schritt 4 - Einrichten einer Basis-Firewall
Debian-Server können Firewalls verwenden, um sicherzustellen, dass nur bestimmte Verbindungen zu bestimmten Diensten zulässig sind. In diesem Handbuch installieren und verwenden wir die UFW-Firewall, um Firewall-Richtlinien festzulegen und Ausnahmen zu verwalten.
Wir können den "+ apt +" - Paketmanager verwenden, um UFW zu installieren. Aktualisieren Sie den lokalen Index, um die neuesten Informationen zu verfügbaren Paketen abzurufen, und installieren Sie dann die UFW-Firewall-Software, indem Sie Folgendes eingeben:
apt update
apt install ufwMithilfe von Firewall-Profilen kann UFW benannte Gruppen von Firewall-Regeln für installierte Anwendungen verwalten. Profile für einige gängige Software werden standardmäßig mit UFW gebündelt, und Pakete können während des Installationsprozesses zusätzliche Profile bei UFW registrieren. OpenSSH, der Dienst, mit dem wir uns jetzt mit unserem Server verbinden können, verfügt über ein Firewall-Profil, das wir verwenden können.
Sie listen alle verfügbaren Anwendungsprofile auf, indem Sie Folgendes eingeben:
ufw app listOutputAvailable applications:
. . .
OpenSSH
. . .Wir müssen sicherstellen, dass die Firewall SSH-Verbindungen zulässt, damit wir uns beim nächsten Mal wieder anmelden können. Wir können diese Verbindungen zulassen, indem wir Folgendes eingeben:
ufw allow OpenSSHAnschließend können wir die Firewall aktivieren, indem wir Folgendes eingeben:
ufw enableGeben Sie "+ a " ein und drücken Sie " ENTER", um fortzufahren. Sie können feststellen, dass SSH-Verbindungen weiterhin zulässig sind, indem Sie Folgendes eingeben:
ufw statusOutputStatus: active
To Action From
-- ------ ----
OpenSSH ALLOW Anywhere
OpenSSH (v6) ALLOW Anywhere (v6)Da * die Firewall derzeit alle Verbindungen mit Ausnahme von SSH blockiert *, müssen Sie beim Installieren und Konfigurieren zusätzlicher Dienste die Firewall-Einstellungen anpassen, um akzeptablen Datenverkehr zuzulassen. Einige allgemeine UFW-Vorgänge finden Sie unter our UFW essentials guide.
Schritt 5 - Aktivieren des externen Zugriffs für Ihren regulären Benutzer
Da wir nun einen regulären Benutzer für den täglichen Gebrauch haben, müssen wir sicherstellen, dass wir SSH direkt auf das Konto übertragen können.
Der Vorgang zum Konfigurieren des SSH-Zugriffs für Ihren neuen Benutzer hängt davon ab, ob das * root * -Konto Ihres Servers ein Kennwort oder SSH-Schlüssel zur Authentifizierung verwendet.
Wenn das Root-Konto die Kennwortauthentifizierung verwendet
Wenn Sie sich mit einem Kennwort bei Ihrem * root * -Konto angemeldet haben, ist die Kennwortauthentifizierung für SSH aktiviert. Sie können SSH für Ihr neues Benutzerkonto einrichten, indem Sie eine neue Terminalsitzung eröffnen und SSH mit Ihrem neuen Benutzernamen verwenden:
ssh @Nachdem Sie das Passwort Ihres regulären Benutzers eingegeben haben, werden Sie angemeldet. Denken Sie daran, wenn Sie einen Befehl mit Administratorrechten ausführen müssen, geben Sie "+ sudo" ein, bevor er folgendermaßen aussieht:
sudoSie werden aufgefordert, Ihr reguläres Benutzerkennwort einzugeben, wenn Sie "+ sudo +" zum ersten Mal in jeder Sitzung (und in regelmäßigen Abständen danach) verwenden.
Um die Sicherheit Ihres Servers zu verbessern *, wird dringend empfohlen, SSH-Schlüssel einzurichten, anstatt die Kennwortauthentifizierung zu verwenden *. Folgen Sie unserem Leitfaden unter Einrichten von SSH-Schlüsseln unter Debian 10, um zu erfahren, wie Sie Schlüssel konfigurieren Authentifizierung.
Wenn das Root-Konto die SSH-Schlüsselauthentifizierung verwendet
Wenn Sie sich mit SSH-Schlüsseln bei Ihrem * root * -Konto angemeldet haben, ist die Kennwortauthentifizierung für SSH deaktiviert. Sie müssen der Datei "+ ~ / .ssh / authorized_keys" des neuen Benutzers eine Kopie Ihres lokalen öffentlichen Schlüssels hinzufügen, um sich erfolgreich anmelden zu können.
Da sich Ihr öffentlicher Schlüssel bereits in der Datei "+ ~ / .ssh / authorized_keys " des * root * -Kontos auf dem Server befindet, können wir diese Datei- und Verzeichnisstruktur in unserer vorhandenen Sitzung mit dem Befehl " cp " in unser neues Benutzerkonto kopieren . Danach können wir den Besitz der Dateien mit dem Befehl ` chown +` anpassen.
Stellen Sie sicher, dass Sie die hervorgehobenen Teile des folgenden Befehls so ändern, dass sie dem Namen Ihres regulären Benutzers entsprechen:
cp -r ~/.ssh /home/
chown -R : /home//.sshDer Befehl "+ cp -r " kopiert das gesamte Verzeichnis in das Ausgangsverzeichnis des neuen Benutzers, und der Befehl " chown -R " ändert den Eigentümer dieses Verzeichnisses (und alles darin) in den angegebenen " username: groupname +" ( Debian erstellt standardmäßig eine Gruppe mit demselben Namen wie Ihr Benutzername.
Eröffnen Sie jetzt eine neue Terminalsitzung und melden Sie sich über SSH mit Ihrem neuen Benutzernamen an:
ssh @Sie sollten bei dem neuen Benutzerkonto angemeldet sein, ohne ein Kennwort zu verwenden. Denken Sie daran, wenn Sie einen Befehl mit Administratorrechten ausführen müssen, geben Sie "+ sudo" ein, bevor er folgendermaßen aussieht:
sudoSie werden aufgefordert, Ihr reguläres Benutzerkennwort einzugeben, wenn Sie "+ sudo +" zum ersten Mal in jeder Sitzung (und in regelmäßigen Abständen danach) verwenden.
Wohin soll es von hier aus gehen?
Zu diesem Zeitpunkt haben Sie eine solide Grundlage für Ihren Server. Sie können jede Software, die Sie benötigen, jetzt auf Ihrem Server installieren.