Впервые заходя на новый виртуальный выделенный сервер, необходимо выполнить несколько действий, которые повысят его безопасность. В данном руководстве речь пойдет о том, как создать нового пользователя, передать ему соответствующие привилегии и настроить SSH.
1: Войдите как root-пользователь
Получив свой IP-адрес и root-пароль, войдите на сервер как главный пользователь (root). Для этого используйте команду (замените выделенный IP своим IP-адресом):
ssh root@111.22.33.444
Терминал вернет что-то вроде:
The authenticity of host '111.22.33.444 (111.22.33.444)' can't be established.
ECDSA key fingerprint is 79:95:46:1a:ab:37:11:8e:86:54:36:38:bb:3c:fa:c0.
Are you sure you want to continue connecting (yes/no)?
Выберите yes и введите свой root-пароль.
Примечание: использовать учетную запись root на регулярной основе не рекомендуется; данное руководство поможет создать другого пользователя для постоянной работы.
2: Измените пароль
На данный момент используется root-пароль, установленный по умолчанию и полученный после регистрации сервера. Первое, что нужно сделать, – заменить его собственным паролем.
passwd
Что касается устанавливаемых паролей, система CentOS очень осторожна. Потому после ввода нового пароля может появиться извещение BAD PASSWORD. Можно либо установить более сложный пароль, либо же проигнорировать сообщение: на самом деле, CentOS примет даже слишком простой или короткий пароль, хотя и предложит использовать более сложную комбинацию.
3: Создайте нового пользователя
Войдя на сервер и изменив root-пароль, нужно снова войти на VPS как root. Данный раздел продемонстрирует, как создать нового пользователя и установить пароль для него.
Итак, создайте нового пользователя; для этого используйте следующую команду (замените demo своим именем пользователя):
adduser demo
Теперь создайте пароль для этого пользователя (опять же, замените demo именем только что созданного пользователя):
passwd demo
4: Root-привилегии
На данный момент все права администратора принадлежат root-пользователю. Чтобы иметь возможность постоянно использовать новую учетную запись, нужно передать новому пользователю (demo) все root-привилегии.
Для выполнения задач с привилегиями root нужно начинать команду с sudo. Эта фраза полезна по двум причинам: 1) она защищает систему от разрушающих ошибок, допущенных пользователем; 2) она хранит все запущенные с sudo команды в файле /var/log/secure, который позже можно просмотреть.
Теперь нужно изменить настройки sudo; для этого используйте текстовый редактор CentOS по умолчанию, который называется vi:
visudo
Найдите раздел User privilege specification, который выглядит так:
# User privilege specification
root ALL=(ALL) ALL
После строки с привилегиями root внесите следующую строку, которая передаст все привилегии новому пользователю (чтобы начать ввод текста в vi, нажмите i):
demo ALL=(ALL) ALL
Чтобы завершить ввод текста, нажмите Esc; затем введите :, wq, Enter, чтобы сохранить и закрыть файл.
5: Настройте SSH (дополнительно)
Теперь нужно обезопасить сервер. Этот дополнительный раздел расскажет, как защитить сервер путем усложнения процедуры авторизации.
Откройте конфигурационный файл:
sudo vi /etc/ssh/sshd_config
Найдите следующие разделы и внесите в них соответствующие изменения:
Port 25000
PermitRootLogin no
Port: хотя по умолчанию используется порт 22, его номер можно заменить любым другим в диапазоне от 1025 до 65536. В данном руководстве используется SSHD-порт 25000. Обратите внимание: новый номер порта нужно обязательно запомнить/записать, поскольку он понадобится для входа на сервер через SSH.
PermitRootLogin:измените значение yes на no, чтобы отключить вход в систему как root. Теперь войти на сервер можно только при помощи нового пользователя.
Чтобы SSH мог использовать только конкретный пользователь, добавьте эту строку в нижней части документа (замените demo своим именем пользователя):
AllowUsers demo
Затем сохраните изменения и закройте файл.
Перезапуск SSH
Чтобы активировать внесенные изменения, перезапустите сервис SSHD:
sudo systemctl reload sshd.service
Чтобы протестировать новые настройки (пока что не выходите из учетной записи root), откройте терминал и войдите на сервер как новый пользователь (не забудьте указать правильный IP-адрес и порт):
ssh -p 25000 demo@111.22.33.444
Должно появиться извещение:
[demo@hostname ~]$
Читайте также
Теперь, когда сервер настроен должным образом, можно установить на него все необходимое ПО. Попробуйте, например, установить группы программ LAMP stack или LEMP stack, которые позволяют размещать сайты.