Configuration initiale du serveur avec CentOS 7

L'utilisateur root est l'utilisateur administratif dans un environnement Linux doté de privilèges très étendus. En raison des privilèges accrus du compte root, vous êtes en faitdiscouraged de l'utiliser régulièrement. En effet, une partie du pouvoir inhérent au compte root réside dans sa capacité à effectuer des modifications très destructrices, même par accident.

L'étape suivante consiste à configurer un compte d'utilisateur alternatif avec une influence réduite pour le travail quotidien. Nous allons vous apprendre à obtenir des privilèges plus importants lorsque vous en avez besoin.

[[step-two -—- create-a-new-user]] == Étape 2 - Créer un nouvel utilisateur

Une fois que vous êtes connecté en tant queroot, nous sommes prêts à ajouter le nouveau compte utilisateur que nous utiliserons pour nous connecter à partir de maintenant.

Cet exemple crée un nouvel utilisateur appelé "démo", mais vous devez le remplacer par un nom d'utilisateur que vous aimez:

Ensuite, attribuez un mot de passe au nouvel utilisateur (à nouveau, remplacez «démo» par l'utilisateur que vous venez de créer):

Entrez un mot de passe fort, puis répétez-le pour le vérifier.

[[step-three -—- root-privileges]] == Étape trois - Root Privileges

Nous avons maintenant un nouveau compte utilisateur avec des privilèges de compte réguliers. Cependant, nous pouvons parfois avoir besoin de tâches administratives.

Pour éviter de devoir vous déconnecter de notre utilisateur normal et vous reconnecter en tant que compte root, nous pouvons configurer ce que nous appelons des privilèges de «super utilisateur» ou privilèges root pour notre compte normal. Cela permettra à notre utilisateur normal d'exécuter des commandes avec des privilèges administratifs en mettant le motsudo avant chaque commande.

Pour ajouter ces privilèges à notre nouvel utilisateur, nous devons ajouter le nouvel utilisateur au groupe «molette». Par défaut, sur CentOS 7, les utilisateurs appartenant au groupe «wheel» sont autorisés à utiliser la commandesudo.

En tant queroot, exécutez cette commande pour ajouter votre nouvel utilisateur au groupewheel (remplacez le mot en surbrillance par votre nouvel utilisateur):

Maintenant, votre utilisateur peut exécuter des commandes avec des privilèges de super utilisateur! Pour plus d'informations sur son fonctionnement, consultezour sudoers tutorial.

[[step-four -—- add-public-key-authentication-recommended]] == Étape quatre - Ajouter une authentification par clé publique (recommandé)

La prochaine étape de la sécurisation de votre serveur consiste à configurer l’authentification par clé publique pour votre nouvel utilisateur. Cette configuration augmentera la sécurité de votre serveur en exigeant une clé privée SSH pour vous connecter.

Si vous ne disposez pas déjà d'une paire de clés SSH, composée d'une clé publique et d'une clé privée, vous devez en générer une. Si vous avez déjà une clé que vous souhaitez utiliser, passez à l'étapeCopy the Public Key.

Pour générer une nouvelle paire de clés, entrez la commande suivante sur le terminal de voslocal machine:

En supposant que votre utilisateur local s'appelle «localuser», vous obtiendrez un résultat ressemblant à ce qui suit:

Appuyez sur Entrée pour accepter ce nom de fichier et ce chemin (ou entrez un nouveau nom).

Ensuite, vous serez invité à entrer un mot de passe composé pour sécuriser la clé. Vous pouvez soit entrer une phrase secrète, soit la laisser vide.

Note: Si vous laissez la phrase secrète vide, vous pourrez utiliser la clé privée pour l'authentification sans entrer de phrase secrète. Si vous entrez une phrase de passe, vous aurez besoin à la fois de la clé privéeandet de la phrase de passe pour vous connecter. Sécuriser vos clés avec des mots de passe est plus sécurisé, mais les deux méthodes ont leurs utilisations et sont plus sécurisées que l’authentification de base par mot de passe.

Cela génère une clé privée,id_rsa, et une clé publique,id_rsa.pub, dans le répertoire.ssh du répertoire personnel delocaluser. Rappelez-vous que la clé privée ne doit pas être partagée avec des personnes qui ne devraient pas avoir accès à vos serveurs!

Après avoir généré une paire de clés SSH, vous souhaiterez copier votre clé publique sur votre nouveau serveur. Nous allons couvrir deux façons simples de le faire.

[.Remarque]##

Note: la méthodessh-copy-id ne fonctionnera pas sur DigitalOcean si une clé SSH a été sélectionnée lors de la création de gouttelettes. Cela est dû au fait que DigitalOcean désactive l'authentification par mot de passe si une clé SSH est présente et quessh-copy-id s'appuie sur l'authentification par mot de passe pour copier la clé.

Si vous utilisez DigitalOcean et avez sélectionné une clé SSH lors de la création de droplet, utilisez plutôtoption 2.

Si le scriptssh-copy-id est installé sur votre ordinateur local, vous pouvez l'utiliser pour installer votre clé publique auprès de tout utilisateur pour lequel vous avez des informations de connexion.

Exécutez le scriptssh-copy-id en spécifiant l'utilisateur et l'adresse IP du serveur sur lequel vous souhaitez installer la clé, comme ceci:

Après avoir fourni votre mot de passe à l'invite, votre clé publique sera ajoutée au fichier.ssh/authorized_keys de l'utilisateur distant. La clé privée correspondante peut maintenant être utilisée pour se connecter au serveur.

En supposant que vous ayez généré une paire de clés SSH à l'aide de l'étape précédente, utilisez la commande suivanteat the terminal of your local machine pour imprimer votre clé publique (id_rsa.pub):

Cela devrait imprimer votre clé publique SSH, qui devrait ressembler à ceci:

Sélectionnez la clé publique et copiez-la dans votre presse-papiers.

Maintenant que nous avons apporté nos modifications, nous devons redémarrer le service SSH pour qu’il utilise notre nouvelle configuration.

Tapez ceci pour redémarrer SSH:

Maintenant, avant de nous déconnecter du serveur, nous devrionstest notre nouvelle configuration. Nous ne voulons pas nous déconnecter avant de pouvoir confirmer que de nouvelles connexions peuvent être établies avec succès.

Ouvrez une fenêtre de terminalnew. Dans la nouvelle fenêtre, nous devons commencer une nouvelle connexion à notre serveur. Cette fois, au lieu d'utiliser le compte root, nous voulons utiliser le nouveau compte que nous avons créé.

Pour le serveur que nous avons configuré ci-dessus, connectez-vous à l'aide de cette commande. Remplacez vos propres informations, le cas échéant:

Note: Si vous utilisez PuTTY pour vous connecter à vos serveurs, veillez à mettre à jour le numéroportde la session pour qu'il corresponde à la configuration actuelle de votre serveur.

On vous demandera le mot de passe du nouvel utilisateur que vous avez configuré. Après cela, vous serez connecté en tant que nouvel utilisateur.

Rappelez-vous, si vous devez exécuter une commande avec les privilèges root, tapez «sudo» comme suit:

Si tout va bien, vous pouvez quitter vos sessions en tapant: