Начальная установка сервера Arch Linux

Linux, VPS | Amber | Комментировать запись

Основы

Подключаясь к только что созданному серверу, нужно принять определенные меры безопасности. Создание нового пользователя и передача ему надлежащих привилегий, а также конфигурирование SSH – одни из первых задач, которые нужно выполнить.

1: вход в систему как root

Когда IP-адрес и root-пароль установлены, войдите на сервер как главный пользователь, или root. На компьютере Mac вход можно выполнить через терминал, на ПК – через PutTTy.

Постоянно использовать root не рекомендуется. Данное руководство поможет создать нового пользователя для постоянного входа на виртуальный выделенный сервер.

ssh root@123.45.67.890

Терминал покажет:

The authenticity of host '123.45.67.890 (123.45.67.890)' can't be established.
ECDSA key fingerprint is 79:95:46:1a:ab:37:11:8e:86:54:36:38:bb:3c:fa:c0.
Are you sure you want to continue connecting (yes/no)?

Наберите «yes», затем введите root-пароль.

2: изменение пароля

На данный момент root-пароль установлен по умолчанию и был выслан при регистрации сервера. Первое, что нужно сделать – изменить его на свое усмотрение.

passwd

3: создание нового пользователя

После изменения пароля входить на VPS как root-пользователь больше не понадобится. Теперь нужно создать нового пользователя и передать ему все root-привилегии на сервере.

Для нового пользователя можно выбрать любое имя. В данном руководстве используется имя «exampleuser».

useradd -m exampleuser

Флаг «-m» создает домашний каталог для нового пользователя.

Чтобы изменить пароль нового пользователя, вызовите команду:

passwd exampleuser

4: root-права

На данный момент все привилегии управления сервером принадлежат пользователю root. Теперь необходимо передать все root-права новому пользователю.

Выполняя какую-либо задачу с нового пользователя, рекомендуется использовать фразу «sudo» перед командой. Данная фраза полезна по двум причинам: 1) она предупреждает любые разрушающие систему ошибки; 2) она сохраняет все запущенные с её помощью команды в файл /var/log/secure, который при необходимости можно просмотреть.

Затем необходимо отредактировать конфигурацию sudo. Vi, текстовый редактор, который используется для данного файла, не распознает клавиш со стрелкой. Для перемещения вниз используется клавиша «j», вверх – «k», влево – «h», вправо – «l». Кроме того, текст можно отредактировать при помощи клавиши «а» и удалить, нажав «Escape» и затем «х».

visudo

Найдите раздел под названием user privilege specification («настройка пользовательских привилегий»).

Он выглядит так:

# User privilege specification
root ALL=(ALL) ALL

Внесите приведенную ниже строку под этой строкой, чтобы передать все привилегии новому пользователю:

exampleuser ALL=(ALL) ALL

Нажмите Escape, и затем Shift ZZ, чтобы сохранить изменения и выйти.

5: конфигурирование SSH

Теперь нужно повысить уровень безопасности сервера.

Откройте конфигурационный файл:

nano /etc/ssh/sshd_config

Найдите следующие разделы и внесите необходимую информацию. Убедитесь, что строки также были раскомментированы,  в противном случае изменения не вступят в силу (слова и фразы файла можно найти, нажав Control-W):

Port 25000
PermitRootLogin no

Port: хотя порт 22 используется по умолчанию, его можно заменить любым номером в диапазоне от 1025 до 65536. В данном примере используется порт 25000. Не забудьте записать новый номер порта. В дальнейшем он понадобится при входе на сервер. Данное изменение усложнит вход для неавторизованных пользователей.

PermitRootLogin: чтобы деактивировать вход с root, измените в данной строке yes на no. С этого момента на сервер можно войти только через нового пользователя.

6: финальная перезагрузка

Перезагрузите SSH, чтобы привести новые порты и настройки в исполнение:

systemctl restart sshd

Чтобы проверить новые настройки (не выходите из root), откройте новое окно терминала и войдите как новый пользователь.

Не забудьте внести новый номер порта.

ssh -p 25000 exampleuser@123.45.67.890

Появится извещение:

[exampleuser@yourhostname ~]$

Убедившись, что на сервер можно войти с помощью нового пользователя, можете выйти из root.