Вступление
Когда вы впервые создаете новый сервер Debian 10, есть несколько шагов по настройке, которые вы должны предпринять на ранних стадиях как часть базовой установки. Это повысит безопасность и удобство использования вашего сервера и даст вам прочную основу для последующих действий.
В этом руководстве мы узнаем, как войти на наш сервер в качестве пользователя * root *, создать нового пользователя с правами администратора и настроить базовый брандмауэр.
Шаг 1 - Вход в систему как Root
Чтобы войти на свой сервер, вам нужно знать * открытый IP-адрес вашего сервера *. Вам также потребуется пароль или, если вы установили SSH-ключ для аутентификации, закрытый ключ для учетной записи пользователя * root *. Если вы еще не вошли на свой сервер, вы можете следовать нашему руководству по адресу how, чтобы подключиться к вашей капле с SSH, которая подробно описывает этот процесс.
Если вы еще не подключены к своему серверу, войдите в систему как пользователь * root *, используя следующую команду (замените выделенную часть команды публичным IP-адресом вашего сервера):
ssh root@Примите предупреждение о подлинности хоста, если оно появится. Если вы используете аутентификацию по паролю, введите свой пароль root для входа в систему. Если вы используете ключ SSH, защищенный парольной фразой, вам может быть предложено ввести кодовую фразу при первом использовании ключа в каждом сеансе. Если вы впервые заходите на сервер с паролем, вам также может быть предложено изменить пароль * root *.
О корне
Пользователь * root * является административным пользователем в среде Linux с очень широкими привилегиями. Из-за повышенных привилегий учетной записи * root * вы _ _ лишены возможности использовать ее на регулярной основе. Это связано с тем, что часть силы, присущей учетной записи * root *, заключается в способности вносить очень разрушительные изменения даже случайно.
Следующим шагом является создание альтернативной учетной записи пользователя с ограниченной областью влияния для повседневной работы. Позже мы расскажем, как получить повышенные привилегии для тех случаев, когда они вам нужны.
Шаг 2 - Создание нового пользователя
После того, как вы вошли в систему как * root *, мы готовы добавить новую учетную запись пользователя, которую мы будем использовать для входа в систему с этого момента.
В этом примере создается новый пользователь с именем * sammy *, но вы должны заменить его на имя пользователя, которое вам нравится:
adduserВам будет задано несколько вопросов, начиная с пароля учетной записи.
Введите надежный пароль и, при необходимости, заполните любую дополнительную информацию, которую вы хотите. Это не обязательно, и вы можете просто нажать + ENTER + в любом поле, которое вы хотите пропустить.
Далее мы настроим этого нового пользователя с правами администратора.
Шаг 3 - Предоставление административных привилегий
Теперь мы создали новую учетную запись пользователя с правами обычной учетной записи. Однако иногда нам может потребоваться выполнить административные задачи.
Чтобы избежать выхода из нашего обычного пользователя и входа в систему с учетной записью * root *, мы можем настроить так называемые привилегии superuser или * root * для нашей обычной учетной записи. Это позволит нашему обычному пользователю запускать команды с правами администратора, поставив перед командой слово + sudo +.
Чтобы добавить эти привилегии нашему новому пользователю, нам нужно добавить нового пользователя в группу * sudo *. По умолчанию в Debian 10 пользователям, принадлежащим к группе * sudo *, разрешено использовать команду + sudo +.
От имени пользователя root выполните эту команду, чтобы добавить нового пользователя в группу * sudo * (замените выделенное слово новым пользователем):
usermod -aG sudoТеперь, когда вы вошли в систему как обычный пользователь, вы можете набрать + sudo + перед командами, чтобы запустить команду с привилегиями суперпользователя.
Шаг 4 - Настройка базового брандмауэра
Серверы Debian могут использовать брандмауэры, чтобы разрешить только определенные подключения к определенным службам. В этом руководстве мы установим и используем брандмауэр UFW для настройки политик брандмауэра и управления исключениями.
Мы можем использовать менеджер пакетов + apt + для установки UFW. Обновите локальный индекс, чтобы получить последнюю информацию о доступных пакетах, а затем установите программное обеспечение брандмауэра UFW, введя:
apt update
apt install ufwПрофили брандмауэра позволяют UFW управлять именованными наборами правил брандмауэра для установленных приложений. Профили для некоторых распространенных программ по умолчанию связаны с UFW, и пакеты могут регистрировать дополнительные профили в UFW во время процесса установки. OpenSSH, сервис, позволяющий нам теперь подключаться к нашему серверу, имеет профиль брандмауэра, который мы можем использовать.
Вы можете просмотреть все доступные профили приложений, набрав:
ufw app listOutputAvailable applications:
. . .
OpenSSH
. . .Нам нужно убедиться, что брандмауэр разрешает SSH-соединения, чтобы мы могли вернуться в следующий раз. Мы можем разрешить эти подключения, набрав:
ufw allow OpenSSHПосле этого мы можем включить брандмауэр, набрав:
ufw enableВведите + a + и нажмите + ENTER для продолжения. Вы можете увидеть, что SSH-соединения все еще разрешены, набрав:
ufw statusOutputStatus: active
To Action From
-- ------ ----
OpenSSH ALLOW Anywhere
OpenSSH (v6) ALLOW Anywhere (v6)Поскольку * брандмауэр в настоящее время блокирует все соединения, кроме SSH *, если вы устанавливаете и настраиваете дополнительные службы, вам необходимо настроить параметры брандмауэра, чтобы разрешить приемлемый трафик. Вы можете узнать некоторые общие операции UFW в our Руководство по основам UFW.
Шаг 5 - Включение внешнего доступа для вашего обычного пользователя
Теперь, когда у нас есть постоянный пользователь для ежедневного использования, нам нужно убедиться, что мы можем напрямую подключиться к SSH.
Процесс настройки доступа SSH для вашего нового пользователя зависит от того, использует ли учетная запись * root * на вашем сервере пароль или ключи SSH для аутентификации.
Если учетная запись root использует аутентификацию по паролю
Если вы вошли в свою учетную запись * root * с использованием пароля_, тогда аутентификация по паролю включена для SSH. Вы можете использовать SSH для своей новой учетной записи, открыв новый сеанс терминала и используя SSH со своим новым именем пользователя:
ssh @После ввода пароля вашего обычного пользователя, вы войдете в систему. Помните, что если вам нужно запустить команду с административными привилегиями, наберите + sudo + перед этим следующим образом:
sudoВам будет предложено ввести пароль обычного пользователя, когда вы используете + sudo + в первый раз каждый сеанс (и периодически после него).
Для повышения безопасности вашего сервера * мы настоятельно рекомендуем устанавливать ключи SSH вместо использования аутентификации по паролю *. Следуйте нашему руководству по setting up SSH-ключей в Debian 10, чтобы узнать, как настроить ключ аутентификация
Если корневая учетная запись использует аутентификацию по ключу SSH
Если вы вошли в свою учетную запись * root * с использованием ключей SSH, то аутентификация по паролю disabled для SSH. Вам потребуется добавить копию вашего локального открытого ключа в файл нового пользователя + ~ / .ssh / authorized_keys для успешного входа.
Так как ваш открытый ключ уже находится в файле + ~ / .ssh / authorized_keys + учетной записи * root * на сервере, мы можем скопировать этот файл и структуру каталогов в нашу новую учетную запись пользователя в нашей существующей сессии с помощью команды + cp + , После этого мы можем настроить владение файлами с помощью команды + chown +.
Обязательно измените выделенные части команды ниже, чтобы они соответствовали имени вашего обычного пользователя:
cp -r ~/.ssh /home/
chown -R : /home//.sshКоманда + cp -r + копирует весь каталог в домашний каталог нового пользователя, а команда + chown -R + меняет владельца этого каталога (и всего внутри него) на указанный + username: groupname + ( Debian по умолчанию создает группу с тем же именем, что и ваше имя пользователя.
Теперь откройте новый сеанс терминала и войдите через SSH под своим новым именем пользователя:
ssh @Вы должны войти в новую учетную запись пользователя без использования пароля. Помните, что если вам нужно запустить команду с административными привилегиями, наберите + sudo + перед этим следующим образом:
sudoВам будет предложено ввести пароль обычного пользователя, когда вы используете + sudo + в первый раз каждый сеанс (и периодически после него).
Куда пойти отсюда?
На данный момент у вас есть прочная основа для вашего сервера. Вы можете установить любое необходимое вам программное обеспечение на свой сервер сейчас.