Вступление
Впервые попадая на новый сервер, нужно обезопасить его, совершив несколько шагов. Некоторые из первых задач, необходимых на виртуальном выделенном сервере, включают в себя создание нового пользователя и предоставление ему соответствующих прав, а также конфигурирование SSH.
Что значит красный цвет?
Строки, которые пользователь должен ввести или настроить самостоятельно, выделены в данном руководстве красным!
Остальное можно преимущественно скопировать и вставить.
1. Основная регистрация
После получения IP-адреса и root-пароля войдите в качестве главного пользователя, или root.
Постоянно использовать root на VPS не рекомендуется. Это руководство поможет создать альтернативного пользователя для постоянной работы.
ssh root@123.45.67.890
Терминал покажет:
The authenticity of host '69.55.55.20 (69.55.55.20)' can't be established.
ECDSA key fingerprint is 79:95:46:1a:ab:37:11:8e:86:54:36:38:bb:3c:fa:c0.
Are you sure you want to continue connecting (yes/no)?
Далее наберите «yes» и введите root пароль.
2. Изменение пароля
Сейчас root пароль установлен по умолчанию и был выслан после регистрации сервера. Первое, что необходимо сделать, – это изменить пароль по собственному усмотрению.
рasswd
3. Создание нового пользователя
После изменения пароля входить на сервер как root-пользователь больше не понадобится. На этом этапе нужно создать нового пользователя и передать ему все root-права.
Для нового пользователя можно выбрать любое имя. В качестве примера используется имя Demo:
adduser demo
После установки пароля вводить дополнительную информацию о новом пользователе не нужно. Если хотите, можете оставить поля незаполненными.
4. Root-права
На данный момент все права администратора принадлежат root-пользователю. Теперь нужно передать root-права новому пользователю.
Выполняя какую-либо root-задачу через нового пользователя, перед командой нужно использовать фразу «sudo». Эта фраза полезна по двум причинам: 1) она предотвращает любые ошибки, разрушающие систему; 2) все команды, работающие с «sudo», сохраняются в файле «/var/log/secure», который при необходимости можно просмотреть.
Далее нужно отредактировать конфигурацию «sudo». Это можно сделать с помощью редактора по умолчанию, в Ubuntu он называется «nano».
Visudo
Найдите раздел под названием user privilege specification («параметры пользовательских привилегий»).
Он выглядит так:
# User privilege specification
root ALL=(ALL:ALL) ALL
После этого добавьте следующую строку, передающую все права доступа новому пользователю:
demo ALL=(ALL:ALL) ALL
Чтоб закрыть файл, наберите «cntrl x».
Чтоб сохранить, нажмите Y; нажмите Enter, и файл будет сохранен в надлежащем месте.
5 (дополнительно). Конфигурирование SSH
Теперь следует усилить защиту сервера. Эти этапы не требуют обязательного выполнения. Пожалуйста, имейте в виду, что при изменении порта и ограничении root в будущем вход на сервер может проходить сложнее. Если эта информация будет утеряна, вход будет практически невозможен.
Откройте конфигурационный файл
nano /etc/ssh/sshd_config
Найдите следующие разделы и измените информацию в соответствующих случаях:
Port 25000
Protocol 2
PermitRootLogin no
Ниже данные строки рассмотрены подробнее.
Port: хотя порт 22 установлен по умолчанию, его можно изменить на любой другой номер от 1025 до 65536. В этом примере используется 25000. Убедитесь, что новый номер порта записан. В будущем он понадобится для входа. Это изменение усложнит доступ для неавторизованных пользователей.
PermitRootLogin: чтоб остановить root-вход в будущем, измените в этой форме «yes» на «no». Теперь можно входить только как новый пользователь.
Введите эти строки внизу документа, заменив *demo* в строке AllowUsers своим именем пользователя.
(AllowUsers позволяет вход только тем пользователям, чье имя было введено в эту строку. Чтоб избежать этого, пропустите эту строку).
UseDNS no
AllowUsers demo
Теперь нужно сохраниться и выйти.
6. Финальная перезагрузка
Перезапустите SSH и новые порты и настройки будут приведены в исполнение.
reload ssh
Чтоб проверить новые настройки (пока что не выходите с root), откройте новое окно терминала и войдите как новый пользователь.
Не забудьте добавить новый номер порта.
ssh -p 25000 demo@123.45.67.890
Появится извещение:
[demo@yourname ~]$
После того как сервер защищен с помощью SSH, можно усилить его безопасность, установив такие программы, как Fail2Ban или Deny Hosts, чтоб избежать атак методом подбора ключа к серверу.