Начальная настройка сервера Ubuntu 12.04

Ubuntu | 8host | Комментировать запись

Вступление

Впервые попадая на новый сервер, нужно обезопасить его, совершив несколько шагов. Некоторые из первых  задач, необходимых на виртуальном выделенном сервере, включают в себя создание нового пользователя и предоставление ему соответствующих прав, а также конфигурирование SSH.

Что значит красный цвет?

Строки, которые пользователь должен ввести или настроить самостоятельно, выделены в данном руководстве красным!

Остальное можно преимущественно скопировать и вставить.

1. Основная регистрация

После получения IP-адреса и root-пароля войдите в качестве главного  пользователя, или root.

Постоянно использовать root на VPS не рекомендуется. Это руководство поможет создать альтернативного пользователя для постоянной работы.

ssh root@123.45.67.890

Терминал покажет:

The authenticity of host '69.55.55.20 (69.55.55.20)' can't be established.
ECDSA key fingerprint is 79:95:46:1a:ab:37:11:8e:86:54:36:38:bb:3c:fa:c0.
Are you sure you want to continue connecting (yes/no)?

Далее наберите «yes» и введите root пароль.

2. Изменение пароля

Сейчас root пароль установлен по умолчанию и был выслан после регистрации сервера. Первое, что необходимо сделать, – это изменить пароль по собственному усмотрению.

рasswd

3. Создание нового пользователя

После изменения пароля входить на сервер как root-пользователь больше не понадобится. На этом этапе нужно создать нового пользователя и передать ему все root-права.

Для нового пользователя можно выбрать любое имя. В качестве примера используется имя Demo:

adduser demo

После установки пароля  вводить дополнительную информацию о новом пользователе не нужно. Если хотите, можете оставить поля незаполненными.

4. Root-права

На данный момент все права администратора принадлежат root-пользователю. Теперь нужно передать root-права новому пользователю.

Выполняя какую-либо root-задачу через нового пользователя, перед командой нужно использовать фразу «sudo». Эта фраза полезна по двум причинам: 1) она предотвращает любые ошибки, разрушающие систему; 2) все команды, работающие с «sudo», сохраняются в файле «/var/log/secure», который при необходимости можно просмотреть.

Далее нужно отредактировать конфигурацию «sudo». Это можно сделать с помощью редактора по умолчанию, в Ubuntu он называется «nano».

Visudo

Найдите раздел под названием user privilege specification («параметры пользовательских привилегий»).

Он выглядит так:

# User privilege specification
root    ALL=(ALL:ALL) ALL

После этого добавьте следующую строку, передающую все права доступа новому пользователю:

demo    ALL=(ALL:ALL) ALL

Чтоб закрыть файл, наберите «cntrl x».

Чтоб сохранить, нажмите Y; нажмите Enter, и файл будет сохранен в надлежащем месте.

5 (дополнительно). Конфигурирование SSH

Теперь следует усилить защиту сервера. Эти этапы не требуют обязательного выполнения. Пожалуйста, имейте в виду, что при изменении порта и ограничении root в будущем вход на сервер может проходить сложнее. Если эта информация будет утеряна, вход будет практически невозможен.

Откройте конфигурационный файл

nano /etc/ssh/sshd_config

Найдите следующие разделы и измените информацию в соответствующих случаях:

Port 25000
Protocol 2
PermitRootLogin no

Ниже данные строки рассмотрены подробнее.

Port: хотя порт 22 установлен по умолчанию, его можно изменить на любой другой номер от 1025 до 65536. В этом примере используется 25000. Убедитесь, что новый номер порта записан. В будущем он понадобится для входа.  Это изменение усложнит доступ для неавторизованных пользователей.

PermitRootLogin: чтоб остановить root-вход в будущем, измените в этой форме «yes» на «no». Теперь можно входить только как новый пользователь.

Введите эти строки внизу документа, заменив *demo* в строке AllowUsers своим именем пользователя.

(AllowUsers позволяет вход только тем пользователям, чье имя было введено в эту строку. Чтоб избежать этого, пропустите эту строку).

UseDNS no
AllowUsers demo

Теперь нужно сохраниться и выйти.

6. Финальная перезагрузка

Перезапустите SSH и новые порты и настройки будут приведены в исполнение.

reload ssh

Чтоб проверить новые настройки (пока что не выходите с root), откройте новое окно терминала и войдите как новый пользователь.

Не забудьте добавить новый номер порта.

ssh -p 25000 demo@123.45.67.890

Появится извещение:

[demo@yourname ~]$

После того как сервер защищен с помощью SSH, можно усилить его безопасность, установив такие программы, как Fail2Ban или Deny Hosts, чтоб избежать атак методом подбора ключа к серверу.