Configuration initiale du serveur avec Debian 10

introduction

Lorsque vous créez un nouveau serveur Debian 10 pour la première fois, vous devez suivre quelques étapes de configuration dans le cadre de la configuration de base. Cela augmentera la sécurité et la convivialité de votre serveur et vous donnera une base solide pour les actions suivantes.

Dans ce didacticiel, nous allons apprendre à vous connecter à notre serveur en tant qu’utilisateur * root *, à créer un nouvel utilisateur disposant des privilèges d’administrateur et à configurer un pare-feu de base.

Étape 1 - Connexion en tant que racine

Pour vous connecter à votre serveur, vous devez connaître l’adresse IP publique de votre * serveur *. Vous aurez également besoin du mot de passe ou, si vous avez installé une clé SSH pour l’authentification, de la clé privée pour le compte de l’utilisateur * root *. Si vous n’êtes pas encore connecté à votre serveur, vous pouvez suivre notre guide sur how pour vous connecter à votre Droplet avec SSH, qui couvre ce processus en détail.

Si vous n’êtes pas déjà connecté à votre serveur, continuez et connectez-vous en tant qu’utilisateur * root * à l’aide de la commande suivante (remplacez la partie en surbrillance de la commande par l’adresse IP publique de votre serveur):

Acceptez l’avertissement concernant l’authenticité de l’hôte s’il apparaît. Si vous utilisez une authentification par mot de passe, entrez votre mot de passe * root * pour vous connecter. Si vous utilisez une clé SSH protégée par une phrase secrète, vous pouvez être invité à saisir la phrase secrète lors de la première utilisation de la clé à chaque session. Si vous vous connectez pour la première fois au serveur avec un mot de passe, vous pouvez également être invité à modifier le mot de passe * root *.

À propos de la racine

L’utilisateur * root * est l’utilisateur administratif dans un environnement Linux doté de privilèges très étendus. En raison des privilèges élevés du compte * root *, vous êtes déconseillé de l’utiliser régulièrement. En effet, une partie du pouvoir inhérent au compte * root * réside dans sa capacité à effectuer des modifications très destructrices, même par accident.

L’étape suivante consiste à configurer un compte d’utilisateur alternatif avec une influence réduite pour le travail quotidien. Nous expliquerons plus tard comment obtenir des privilèges plus importants pour les moments où vous en avez besoin.

Étape 2 - Création d’un nouvel utilisateur

Une fois que vous êtes connecté en tant que * root *, nous sommes prêts à ajouter le nouveau compte utilisateur que nous utiliserons désormais pour vous connecter.

Cet exemple crée un nouvel utilisateur appelé * sammy *, mais vous devez le remplacer par un nom d’utilisateur que vous aimez:

adduser

On vous posera quelques questions, en commençant par le mot de passe du compte.

Entrez un mot de passe fort et, éventuellement, renseignez les informations supplémentaires que vous souhaitez. Ce n’est pas obligatoire et vous pouvez simplement appuyer sur + ENTER + dans n’importe quel champ que vous souhaitez ignorer.

Ensuite, nous allons configurer ce nouvel utilisateur avec des privilèges d’administrateur.

Étape 3 - Octroi de privilèges administratifs

Nous avons maintenant créé un nouveau compte utilisateur avec des privilèges de compte réguliers. Cependant, nous pouvons parfois avoir besoin de faire des tâches administratives avec.

Pour éviter de devoir vous déconnecter de notre utilisateur normal et vous reconnecter en tant que compte * root *, nous pouvons configurer les privilèges appelés privilèges superuser ou * root * pour notre compte normal. Cela permettra à notre utilisateur normal d’exécuter des commandes avec des privilèges d’administrateur en plaçant le mot + sudo + avant la commande.

Pour ajouter ces privilèges à notre nouvel utilisateur, nous devons ajouter le nouvel utilisateur au groupe * sudo *. Par défaut, sous Debian 10, les utilisateurs appartenant au groupe * sudo * sont autorisés à utiliser la commande + sudo +.

En tant que * root *, exécutez cette commande pour ajouter votre nouvel utilisateur au groupe * sudo * (remplacez le mot en surbrillance par votre nouvel utilisateur):

usermod -aG sudo

Maintenant, lorsque vous êtes connecté en tant qu’utilisateur régulier, vous pouvez taper + sudo + before commandes pour exécuter la commande avec les privilèges de superutilisateur.

Étape 4 - Configuration d’un pare-feu de base

Les serveurs Debian peuvent utiliser des pare-feu pour s’assurer que seules certaines connexions à des services spécifiques sont autorisées. Dans ce guide, nous allons installer et utiliser le pare-feu UFW pour aider à définir les stratégies de pare-feu et à gérer les exceptions.

Nous pouvons utiliser le gestionnaire de paquets + apt + pour installer UFW. Mettez à jour l’index local pour extraire les dernières informations sur les packages disponibles, puis installez le logiciel de pare-feu UFW en tapant:

apt update
apt install ufw

Les profils de pare-feu permettent à UFW de gérer des ensembles nommés de règles de pare-feu pour les applications installées. Les profils de certains logiciels courants sont associés par défaut à UFW et les packages peuvent enregistrer des profils supplémentaires avec UFW pendant le processus d’installation. OpenSSH, le service nous permettant maintenant de nous connecter à notre serveur, a un profil de pare-feu que nous pouvons utiliser.

Vous listez tous les profils d’application disponibles en tapant:

ufw app list
OutputAvailable applications:
. . .
OpenSSH
. . .

Nous devons nous assurer que le pare-feu autorise les connexions SSH afin que nous puissions nous reconnecter la prochaine fois. Nous pouvons permettre ces connexions en tapant:

ufw allow OpenSSH

Ensuite, nous pouvons activer le pare-feu en tapant:

ufw enable

Tapez + a + et appuyez sur + ENTER pour continuer. Vous pouvez voir que les connexions SSH sont toujours autorisées en tapant:

ufw status
OutputStatus: active

To             Action   From
--             ------   ----
OpenSSH          ALLOW    Anywhere
OpenSSH (v6)     ALLOW    Anywhere (v6)

Étant donné que * le pare-feu bloque actuellement toutes les connexions, à l’exception de SSH *, si vous installez et configurez des services supplémentaires, vous devrez ajuster les paramètres de pare-feu pour autoriser un trafic acceptable. Vous pouvez apprendre certaines opérations UFW courantes dans notre guide sur les éléments essentiels de UFW.

Étape 5 - Activation de l’accès externe pour votre utilisateur régulier

Maintenant que nous avons un utilisateur régulier pour une utilisation quotidienne, nous devons nous assurer que nous pouvons directement SSH dans le compte.

Le processus de configuration de l’accès SSH pour votre nouvel utilisateur varie selon que le compte * racine * de votre serveur utilise un mot de passe ou des clés SSH pour l’authentification.

Si le compte racine utilise l’authentification par mot de passe

Si vous vous êtes connecté à votre compte * root * en utilisant un mot de passe_, l’authentification par mot de passe est activée pour SSH. Vous pouvez SSH sur votre nouveau compte utilisateur en ouvrant une nouvelle session de terminal et en utilisant SSH avec votre nouveau nom d’utilisateur:

ssh @

Après avoir entré le mot de passe de votre utilisateur habituel, vous serez connecté. Souvenez-vous que si vous avez besoin d’exécuter une commande avec des privilèges d’administrateur, tapez + sudo + comme suit:

sudo

Votre mot de passe utilisateur habituel vous sera demandé lors de la première utilisation de + sudo + à chaque session (et périodiquement par la suite).

Pour améliorer la sécurité de votre serveur *, nous vous recommandons vivement de configurer des clés SSH au lieu d’utiliser une authentification par mot de passe *. Suivez notre guide à l’adresse https://www.digitalocean.com/community/tutorials/how-to-set-up-ssh-keys-on-debian-10 (configuration des clés SSH sur Debian 10) pour apprendre à configurer les clés. l’authentification à base de.

Si le compte racine utilise l’authentification par clé SSH

Si vous vous êtes connecté à votre compte * root * à l’aide de clés SSH_, l’authentification par mot de passe est définie sur disabled pour SSH. Vous devrez ajouter une copie de votre clé publique locale au fichier + ~ / .ssh / registered_keys + du nouvel utilisateur pour vous connecter avec succès.

Étant donné que votre clé publique se trouve déjà dans le fichier + ~ / .ssh / registered_keys + du compte * root *, nous pouvons copier ce fichier et cette structure de répertoires dans notre nouveau compte d’utilisateur dans notre session existante à l’aide de la commande + cp + . Ensuite, nous pouvons ajuster la propriété des fichiers à l’aide de la commande + chown +.

Assurez-vous de modifier les parties en surbrillance de la commande ci-dessous pour qu’elles correspondent au nom de votre utilisateur habituel:

cp -r ~/.ssh /home/
chown -R : /home//.ssh

La commande + cp -r + copie l’intégralité du répertoire dans le répertoire de base du nouvel utilisateur, et la commande + chown -R + change le propriétaire de ce répertoire (et de tout ce qui se trouve à l’intérieur) en le + nom d’utilisateur: nom_groupe + ( Debian crée un groupe avec le même nom que votre nom d’utilisateur par défaut).

Ouvrez maintenant une nouvelle session de terminal et connectez-vous via SSH avec votre nouveau nom d’utilisateur:

ssh @

Vous devez être connecté au nouveau compte d’utilisateur sans utiliser de mot de passe. Souvenez-vous que si vous avez besoin d’exécuter une commande avec des privilèges d’administrateur, tapez + sudo + comme suit:

sudo

Votre mot de passe utilisateur habituel vous sera demandé lors de la première utilisation de + sudo + à chaque session (et périodiquement par la suite).

Où aller en partant d’ici?

À ce stade, votre serveur repose sur une base solide. Vous pouvez maintenant installer n’importe quel logiciel dont vous avez besoin sur votre serveur.