Вступление
Когда вы впервые создаете новый сервер Ubuntu 18.04, есть несколько шагов по настройке, которые вы должны предпринять на ранних этапах базовой установки. Это повысит безопасность и удобство использования вашего сервера и даст вам прочную основу для последующих действий.
Шаг 1 - Вход в систему как Root
Чтобы войти на свой сервер, вам нужно знать * открытый IP-адрес вашего сервера *. Вам также потребуется пароль или, если вы установили SSH-ключ для аутентификации, закрытый ключ для учетной записи пользователя * root *. Если вы еще не вошли на свой сервер, вы можете следовать нашему руководству на how to подключиться к вашей капле с помощью SSH, которая подробно описывает этот процесс.
Если вы еще не подключены к своему серверу, войдите в систему как пользователь * root *, используя следующую команду (замените выделенную часть команды публичным IP-адресом вашего сервера):
ssh root@
Примите предупреждение о подлинности хоста, если оно появится. Если вы используете аутентификацию по паролю, введите свой пароль root для входа в систему. Если вы используете ключ SSH, защищенный парольной фразой, вам может быть предложено ввести кодовую фразу при первом использовании ключа в каждом сеансе. Если вы впервые заходите на сервер с паролем, вам также может быть предложено изменить пароль * root *.
О корне
Пользователь * root * является административным пользователем в среде Linux с очень широкими привилегиями. Из-за повышенных привилегий учетной записи * root * вы _ _ лишены возможности использовать ее на регулярной основе. Это связано с тем, что часть силы, присущей учетной записи * root *, заключается в способности вносить очень разрушительные изменения даже случайно.
Следующим шагом является создание альтернативной учетной записи пользователя с ограниченной областью влияния для повседневной работы. Мы научим вас, как получить повышенные привилегии в те времена, когда они вам нужны.
Шаг 2 - Создание нового пользователя
После того, как вы вошли в систему как * root *, мы готовы добавить новую учетную запись пользователя, которую мы будем использовать для входа в систему с этого момента.
В этом примере создается новый пользователь с именем * sammy *, но вы должны заменить его на имя пользователя, которое вам нравится:
adduser
Вам будет задано несколько вопросов, начиная с пароля учетной записи.
Введите надежный пароль и, при желании, заполните любую дополнительную информацию, если хотите. Это не обязательно, и вы можете просто нажать + ENTER +
в любом поле, которое вы хотите пропустить.
Шаг 3 - Предоставление административных привилегий
Теперь у нас есть новая учетная запись пользователя с обычными привилегиями учетной записи. Однако иногда нам может потребоваться выполнить административные задачи.
Чтобы избежать выхода из нашего обычного пользователя и входа в систему с учетной записью * root *, мы можем настроить так называемые привилегии «superuser» или «root *» для нашей обычной учетной записи. Это позволит нашему обычному пользователю запускать команды с правами администратора, помещая слово + sudo +
перед каждой командой.
Чтобы добавить эти привилегии нашему новому пользователю, нам нужно добавить нового пользователя в группу * sudo *. По умолчанию в Ubuntu 18.04 пользователям, принадлежащим к группе * sudo *, разрешено использовать команду + sudo +
.
От имени пользователя root выполните эту команду, чтобы добавить нового пользователя в группу * sudo * (замените выделенное слово новым пользователем):
usermod -aG sudo
Теперь, когда вы вошли в систему как обычный пользователь, вы можете набрать + sudo +
перед командами для выполнения действий с привилегиями суперпользователя.
Шаг 4 - Настройка базового брандмауэра
Серверы Ubuntu 18.04 могут использовать брандмауэр UFW, чтобы разрешить только подключения к определенным службам. С помощью этого приложения мы можем очень легко настроить базовый межсетевой экран.
Различные приложения могут зарегистрировать свои профили в UFW после установки. Эти профили позволяют UFW управлять этими приложениями по имени. OpenSSH, сервис, позволяющий нам теперь подключаться к нашему серверу, имеет профиль, зарегистрированный в UFW.
Вы можете увидеть это, набрав:
ufw app list
OutputAvailable applications:
OpenSSH
Нам нужно убедиться, что брандмауэр разрешает SSH-соединения, чтобы мы могли вернуться в следующий раз. Мы можем разрешить эти подключения, набрав:
ufw allow OpenSSH
После этого мы можем включить брандмауэр, набрав:
ufw enable
Введите «+ a » и нажмите « ENTER» для продолжения. Вы можете увидеть, что SSH-соединения все еще разрешены, набрав:
ufw status
OutputStatus: active
To Action From
-- ------ ----
OpenSSH ALLOW Anywhere
OpenSSH (v6) ALLOW Anywhere (v6)
Поскольку * брандмауэр в настоящее время блокирует все соединения, кроме SSH *, если вы устанавливаете и настраиваете дополнительные службы, вам необходимо настроить параметры брандмауэра, чтобы разрешить приемлемый трафик. Вы можете узнать некоторые общие операции UFW в this guide.
Шаг 5 - Включение внешнего доступа для вашего обычного пользователя
Теперь, когда у нас есть постоянный пользователь для ежедневного использования, нам нужно убедиться, что мы можем напрямую подключиться к SSH.
Процесс настройки доступа SSH для вашего нового пользователя зависит от того, использует ли учетная запись * root * на вашем сервере пароль или ключи SSH для аутентификации.
Если учетная запись root использует аутентификацию по паролю
Если вы вошли в свою учетную запись * root * с использованием пароля_, тогда аутентификация по паролю включена для SSH. Вы можете использовать SSH для своей новой учетной записи, открыв новый сеанс терминала и используя SSH со своим новым именем пользователя:
ssh @
После ввода пароля вашего обычного пользователя, вы войдете в систему. Помните, что если вам нужно запустить команду с административными привилегиями, наберите + sudo +
перед этим следующим образом:
sudo
Вам будет предложено ввести пароль обычного пользователя, когда вы используете + sudo +
в первый раз каждый сеанс (и периодически после него).
Для повышения безопасности вашего сервера * мы настоятельно рекомендуем устанавливать ключи SSH вместо использования аутентификации по паролю *. Следуйте нашему руководству на setting up SSH keys на Ubuntu 18.04, чтобы узнать, как настроить ключ аутентификация
Если корневая учетная запись использует аутентификацию по ключу SSH
Если вы вошли в свою учетную запись * root * с использованием ключей SSH, то аутентификация по паролю disabled для SSH. Вам потребуется добавить копию вашего локального открытого ключа в файл нового пользователя + ~ / .ssh / authorized_keys
для успешного входа.
Так как ваш открытый ключ уже находится в файле + ~ / .ssh / authorized_keys +
учетной записи * root * на сервере, мы можем скопировать этот файл и структуру каталогов в нашу новую учетную запись пользователя в нашей существующей сессии.
Самый простой способ скопировать файлы с правильным владельцем и правами доступа - это команда + rsync +
. Это скопирует каталог + .ssh +
пользователя * root *, сохранит права доступа и изменит владельцев файлов, все в одной команде. Обязательно измените выделенные части команды ниже, чтобы они соответствовали имени вашего обычного пользователя:
rsync --archive --chown=: ~/.ssh /home/
Теперь откройте новый сеанс терминала и используйте SSH с вашим новым именем пользователя:
ssh @
Вы должны войти в новую учетную запись пользователя без использования пароля. Помните, что если вам нужно запустить команду с административными привилегиями, наберите + sudo +
перед этим следующим образом:
sudo
Вам будет предложено ввести пароль обычного пользователя, когда вы используете + sudo +
в первый раз каждый сеанс (и периодически после него).
Куда пойти отсюда?
На данный момент у вас есть прочная основа для вашего сервера. Вы можете установить любое необходимое вам программное обеспечение на свой сервер сейчас.