Einführung
Wenn Sie zum ersten Mal einen neuen Debian 8-Server erstellen, gibt es einige Konfigurationsschritte, die Sie als Teil der Grundkonfiguration frühzeitig durchführen sollten. Dies erhöht die Sicherheit und Benutzerfreundlichkeit Ihres Servers und bietet Ihnen eine solide Grundlage für nachfolgende Aktionen.
Erster Schritt - Root Login
Um sich bei Ihrem Server anzumelden, müssen Sie die öffentliche IP-Adresse Ihres Servers und das Kennwort für das Konto des Root-Benutzers kennen. Wenn Sie sich noch nicht bei Ihrem Server angemeldet haben, können Sie dem ersten Lernprogramm dieser Reihe folgen: https://www.digitalocean.com/community/tutorials/how-to-connect-to-your-droplet-with- ssh [So stellen Sie mit SSH eine Verbindung zu Ihrem Droplet her], das diesen Vorgang ausführlich behandelt.
Wenn Sie noch nicht mit Ihrem Server verbunden sind, melden Sie sich mit dem folgenden Befehl als "+ root +" - Benutzer an (ersetzen Sie das hervorgehobene Wort durch die öffentliche IP-Adresse Ihres Servers):
ssh root@Schließen Sie den Anmeldevorgang ab, indem Sie die angezeigte Warnung zur Hostauthentizität akzeptieren und anschließend Ihre Root-Authentifizierung (Kennwort oder privater Schlüssel) angeben. Wenn Sie sich zum ersten Mal mit einem Kennwort beim Server anmelden, werden Sie auch aufgefordert, das Root-Kennwort zu ändern.
Über Root
Der Root-Benutzer ist der administrative Benutzer in einer Linux-Umgebung, der über sehr weitreichende Berechtigungen verfügt. Aufgrund der erhöhten Privilegien des Root-Kontos werden Sie tatsächlich davon abgehalten, es regelmäßig zu verwenden. Dies liegt daran, dass ein Teil der Macht, die dem Root-Konto innewohnt, die Fähigkeit ist, sehr zerstörerische Änderungen vorzunehmen, selbst aus Versehen.
Der nächste Schritt ist die Einrichtung eines alternativen Benutzerkontos mit verringertem Einflussbereich für die tägliche Arbeit. Wir bringen Ihnen bei, wie Sie in Zeiten, in denen Sie sie benötigen, erweiterte Berechtigungen erhalten.
Schritt Zwei - Erstellen Sie einen neuen Benutzer
Sobald Sie als "+ root" angemeldet sind, können Sie das neue Benutzerkonto hinzufügen, mit dem Sie sich ab sofort anmelden.
In diesem Beispiel wird ein neuer Benutzer mit dem Namen "Demo" erstellt. Sie sollten ihn jedoch durch einen Benutzernamen ersetzen, der Ihnen gefällt:
adduserSie werden einige Fragen gestellt, beginnend mit dem Kontokennwort.
Geben Sie ein sicheres Passwort ein und geben Sie optional zusätzliche Informationen ein, wenn Sie möchten. Dies ist nicht erforderlich und Sie können in jedem Feld, das Sie überspringen möchten, einfach die Eingabetaste drücken.
Dritter Schritt - Root-Rechte
Jetzt haben wir ein neues Benutzerkonto mit regulären Kontoberechtigungen. Manchmal müssen wir jedoch administrative Aufgaben erledigen.
Um zu vermeiden, dass wir uns von unserem normalen Benutzer abmelden und uns erneut als Root-Konto anmelden müssen, können wir für unser normales Konto sogenannte "Super-User" - oder Root-Berechtigungen einrichten. Auf diese Weise kann unser normaler Benutzer Befehle mit Administratorrechten ausführen, indem er vor jeden Befehl das Wort "+ sudo +" einfügt.
Installieren Sie Sudo
Debian 8 wird ohne + sudo + ausgeliefert, also installieren wir es mit apt-get.
Aktualisieren Sie zunächst den apt-Paketindex:
apt-get updateVerwenden Sie dann diesen Befehl, um sudo zu installieren:
apt-get install sudoJetzt können Sie die Befehle + sudo + und + visudo + verwenden.
Gewähren Sie Sudo-Privilegien
Um diese Berechtigungen unserem neuen Benutzer hinzuzufügen, müssen wir den neuen Benutzer der Gruppe "sudo" hinzufügen. Standardmäßig dürfen Benutzer unter Debian 8, die der Gruppe "sudo" angehören, den Befehl "+ sudo +" verwenden.
Führen Sie als + root + diesen Befehl aus, um Ihren neuen Benutzer zur sudo-Gruppe hinzuzufügen (ersetzen Sie das hervorgehobene Wort durch Ihren neuen Benutzer):
usermod -a -G sudoJetzt kann Ihr Benutzer Befehle mit Superuser-Rechten ausführen! Weitere Informationen dazu finden Sie unter this sudoers tutorial.
Schritt 4 - Authentifizierung mit öffentlichem Schlüssel hinzufügen (empfohlen)
Der nächste Schritt zum Sichern Ihres Servers besteht darin, die Authentifizierung mit öffentlichem Schlüssel für Ihren neuen Benutzer einzurichten. Das Einrichten dieser Option erhöht die Sicherheit Ihres Servers, indem ein privater SSH-Schlüssel für die Anmeldung erforderlich ist.
Generieren Sie ein Schlüsselpaar
Wenn Sie noch kein SSH-Schlüsselpaar haben, das aus einem öffentlichen und einem privaten Schlüssel besteht, müssen Sie eines generieren. Wenn Sie bereits einen Schlüssel haben, den Sie verwenden möchten, fahren Sie mit dem Schritt "Kopieren des öffentlichen Schlüssels" fort.
Um ein neues Schlüsselpaar zu generieren, geben Sie den folgenden Befehl am Terminal Ihres * lokalen Rechners * ein (d. H. dein Computer):
ssh-keygenAngenommen, Ihr lokaler Benutzer heißt "localuser" (lokaler Benutzer), sehen Sie eine Ausgabe, die wie folgt aussieht:
ssh-keygen outputGenerating public/private rsa key pair.
Enter file in which to save the key (/Users//.ssh/id_rsa):Drücken Sie die Eingabetaste, um diesen Dateinamen und Pfad zu akzeptieren (oder geben Sie einen neuen Namen ein).
Als nächstes werden Sie aufgefordert, eine Passphrase einzugeben, mit der Sie den Schlüssel sichern können. Sie können entweder eine Passphrase eingeben oder die Passphrase leer lassen.
-
Hinweis: * Wenn Sie die Passphrase leer lassen, können Sie den privaten Schlüssel zur Authentifizierung verwenden, ohne eine Passphrase einzugeben. Wenn Sie eine Passphrase eingeben, benötigen Sie sowohl den privaten Schlüssel als auch die Passphrase, um sich anzumelden. Das Sichern Ihrer Schlüssel mit Passwörtern ist sicherer, aber beide Methoden haben ihre Verwendungsmöglichkeiten und sind sicherer als die grundlegende Kennwortauthentifizierung.
Dies generiert einen privaten Schlüssel, "+ id_rsa ", und einen öffentlichen Schlüssel, " id_rsa.pub ", im " .ssh +" -Verzeichnis des Heimatverzeichnisses des _Lokalbenutzers. Denken Sie daran, dass der private Schlüssel nicht an Personen weitergegeben werden sollte, die keinen Zugriff auf Ihre Server haben sollten!
Kopieren Sie den öffentlichen Schlüssel
Nachdem Sie ein SSH-Schlüsselpaar generiert haben, möchten Sie Ihren öffentlichen Schlüssel auf Ihren neuen Server kopieren. Wir werden zwei einfache Wege beschreiben, um dies zu tun.
Option 1: Verwenden Sie ssh-copy-id
Wenn auf Ihrem lokalen Computer das Skript "+ ssh-copy-id +" installiert ist, können Sie Ihren öffentlichen Schlüssel für jeden Benutzer installieren, für den Sie Anmeldeinformationen haben.
Führen Sie das Skript "+ ssh-copy-id +" aus, indem Sie den Benutzer und die IP-Adresse des Servers angeben, auf dem Sie den Schlüssel installieren möchten.
ssh-copy-id @Nachdem Sie an der Eingabeaufforderung Ihr Kennwort eingegeben haben, wird Ihr öffentlicher Schlüssel zur Datei + .ssh / authorized_keys + des Remote-Benutzers hinzugefügt. Der entsprechende private Schlüssel kann nun zur Anmeldung am Server verwendet werden.
Option 2: Installieren Sie den Schlüssel manuell
Angenommen, Sie haben im vorherigen Schritt ein SSH-Schlüsselpaar generiert, verwenden Sie den folgenden Befehl am Terminal Ihres * lokalen Computers *, um Ihren öffentlichen Schlüssel (+ id_rsa.pub +) zu drucken:
cat ~/.ssh/id_rsa.pubDaraufhin sollte Ihr öffentlicher SSH-Schlüssel gedruckt werden, der ungefähr wie folgt aussehen sollte:
id_rsa.pub contentsssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQDBGTO0tsVejssuaYR5R3Y/i73SppJAhme1dH7W2c47d4gOqB4izP0+fRLfvbz/tnXFz4iOP/H6eCV05hqUhF+KYRxt9Y8tVMrpDZR2l75o6+xSbUOMu6xN+uVF0T9XzKcxmzTmnV7Na5up3QM3DoSRYX/EP3utr2+zAqpJIfKPLdA74w7g56oYWI9blpnpzxkEd3edVJOivUkpZ4JoenWManvIaSdMTJXMy3MtlQhva+j9CgguyVbUkdzK9KKEuah+pFZvaugtebsU+bllPTB0nlXGIJk98Ie9ZtxuY3nCKneB+KjKiXrAvXUPCI9mWkYS/1rggpFmu3HbXBnWSUdf [email protected]Wählen Sie den öffentlichen Schlüssel aus und kopieren Sie ihn in Ihre Zwischenablage.
Hinzufügen eines öffentlichen Schlüssels zu einem neuen Remote-Benutzer
Um die Verwendung des SSH-Schlüssels zur Authentifizierung als neuer Remote-Benutzer zu aktivieren, müssen Sie den öffentlichen Schlüssel einer speziellen Datei im Basisverzeichnis des Benutzers hinzufügen.
-
Geben Sie auf dem Server * als "+ root +" - Benutzer den folgenden Befehl ein, um zum neuen Benutzer zu wechseln (ersetzen Sie Ihren eigenen Benutzernamen):
su -Nun befinden Sie sich im Home-Verzeichnis Ihres neuen Benutzers.
Erstellen Sie ein neues Verzeichnis mit dem Namen "+ .ssh +" und beschränken Sie seine Berechtigungen mit den folgenden Befehlen:
mkdir .ssh
chmod 700 .sshÖffnen Sie nun in .ssh eine Datei mit dem Namen + authorized_keys + mit einem Texteditor. Wir werden nano verwenden, um die Datei zu bearbeiten:
nano .ssh/authorized_keysFügen Sie nun Ihren öffentlichen Schlüssel (der sich in Ihrer Zwischenablage befinden sollte) ein, indem Sie ihn in den Editor einfügen.
Drücken Sie "+ CTRL-X ", um die Datei zu verlassen, und " Y ", um die vorgenommenen Änderungen zu speichern. Drücken Sie dann " ENTER +", um den Dateinamen zu bestätigen.
Beschränken Sie nun die Berechtigungen der authorized_keys-Datei mit diesem Befehl:
chmod 600 .ssh/authorized_keysGeben Sie diesen Befehl once ein, um zum Benutzer + root + zurückzukehren:
exitJetzt können Sie sich mit SSH als neuer Benutzer anmelden und den privaten Schlüssel als Authentifizierung verwenden.
Weitere Informationen zur Funktionsweise der Schlüsselauthentifizierung finden Sie in diesem Lernprogramm: https://www.digitalocean.com/community/tutorials/how-to-configure-ssh-key-based-authentication-on-a-linux-server[How So konfigurieren Sie die SSH-Schlüsselauthentifizierung auf einem Linux-Server
Fünfter Schritt - Konfigurieren Sie SSH
Nachdem wir unser neues Konto haben, können wir unseren Server ein wenig sichern, indem wir seine SSH-Daemon-Konfiguration (das Programm, mit dem wir uns remote anmelden können) so ändern, dass kein Remote-SSH-Zugriff auf das * root * -Konto möglich ist.
Öffnen Sie zunächst die Konfigurationsdatei mit Ihrem Texteditor als root:
nano /etc/ssh/sshd_configHier haben wir die Möglichkeit, die Root-Anmeldung über SSH zu deaktivieren. Dies ist im Allgemeinen eine sicherere Einstellung, da wir jetzt über unser normales Benutzerkonto auf unseren Server zugreifen und die Berechtigungen bei Bedarf erweitern können.
Um Remote-Root-Anmeldungen zu deaktivieren, müssen wir die folgende Zeile finden:
/ etc / ssh / sshd_config (vorher)
#PermitRootLogin yesSie können diese Zeile wie folgt in "nein" ändern, wenn Sie die Root-Anmeldung deaktivieren möchten:
/ etc / ssh / sshd_config (nachher)
PermitRootLogin noDas Deaktivieren der Remote-Root-Anmeldung wird auf jedem Server dringend empfohlen!
Wenn Sie mit den Änderungen fertig sind, speichern und schließen Sie die Datei mit der zuvor beschriebenen Methode (+ STRG-X +, dann + Y +, dann + ENTER +).
Laden Sie SSH neu
Nachdem wir unsere Änderungen vorgenommen haben, müssen wir den SSH-Dienst neu starten, damit er unsere neue Konfiguration verwendet.
Geben Sie dies ein, um SSH neu zu starten:
systemctl restart sshBevor wir uns vom Server abmelden, sollten wir unsere neue Konfiguration * testen *. Wir möchten die Verbindung erst trennen, wenn wir bestätigen können, dass neue Verbindungen erfolgreich hergestellt werden können.
Öffnen Sie ein * neues * Terminalfenster. Im neuen Fenster müssen wir eine neue Verbindung zu unserem Server herstellen. Dieses Mal möchten wir anstelle des Root-Kontos das neu erstellte Konto verwenden.
ssh @Sie werden aufgefordert, das von Ihnen konfigurierte Kennwort des neuen Benutzers einzugeben. Danach werden Sie als Ihr neuer Benutzer angemeldet.
Denken Sie daran, wenn Sie einen Befehl mit Root-Rechten ausführen müssen, geben Sie "sudo" wie folgt ein:
sudoWenn alles in Ordnung ist, können Sie Ihre Sitzungen beenden, indem Sie Folgendes eingeben:
exitWohin soll es von hier aus gehen?
Zu diesem Zeitpunkt haben Sie eine solide Grundlage für Ihren Debian 8-Server. Sie können jede Software, die Sie benötigen, jetzt auf Ihrem Server installieren.