Основы
Подключаясь к только что созданному серверу, нужно принять определенные меры безопасности. Создание нового пользователя и передача ему надлежащих привилегий, а также конфигурирование SSH – одни из первых задач, которые нужно выполнить.
1: вход в систему как root
Когда IP-адрес и root-пароль установлены, войдите на сервер как главный пользователь, или root. На компьютере Mac вход можно выполнить через терминал, на ПК – через PutTTy.
Постоянно использовать root не рекомендуется. Данное руководство поможет создать нового пользователя для постоянного входа на виртуальный выделенный сервер.
ssh root@123.45.67.890
Терминал покажет:
The authenticity of host '123.45.67.890 (123.45.67.890)' can't be established.
ECDSA key fingerprint is 79:95:46:1a:ab:37:11:8e:86:54:36:38:bb:3c:fa:c0.
Are you sure you want to continue connecting (yes/no)?
Наберите «yes», затем введите root-пароль.
2: изменение пароля
На данный момент root-пароль установлен по умолчанию и был выслан при регистрации сервера. Первое, что нужно сделать – изменить его на свое усмотрение.
passwd
3: создание нового пользователя
После изменения пароля входить на VPS как root-пользователь больше не понадобится. Теперь нужно создать нового пользователя и передать ему все root-привилегии на сервере.
Для нового пользователя можно выбрать любое имя. В данном руководстве используется имя «exampleuser».
useradd -m exampleuser
Флаг «-m» создает домашний каталог для нового пользователя.
Чтобы изменить пароль нового пользователя, вызовите команду:
passwd exampleuser
4: root-права
На данный момент все привилегии управления сервером принадлежат пользователю root. Теперь необходимо передать все root-права новому пользователю.
Выполняя какую-либо задачу с нового пользователя, рекомендуется использовать фразу «sudo» перед командой. Данная фраза полезна по двум причинам: 1) она предупреждает любые разрушающие систему ошибки; 2) она сохраняет все запущенные с её помощью команды в файл /var/log/secure, который при необходимости можно просмотреть.
Затем необходимо отредактировать конфигурацию sudo. Vi, текстовый редактор, который используется для данного файла, не распознает клавиш со стрелкой. Для перемещения вниз используется клавиша «j», вверх – «k», влево – «h», вправо – «l». Кроме того, текст можно отредактировать при помощи клавиши «а» и удалить, нажав «Escape» и затем «х».
visudo
Найдите раздел под названием user privilege specification («настройка пользовательских привилегий»).
Он выглядит так:
# User privilege specification
root ALL=(ALL) ALL
Внесите приведенную ниже строку под этой строкой, чтобы передать все привилегии новому пользователю:
exampleuser ALL=(ALL) ALL
Нажмите Escape, и затем Shift ZZ, чтобы сохранить изменения и выйти.
5: конфигурирование SSH
Теперь нужно повысить уровень безопасности сервера.
Откройте конфигурационный файл:
nano /etc/ssh/sshd_config
Найдите следующие разделы и внесите необходимую информацию. Убедитесь, что строки также были раскомментированы, в противном случае изменения не вступят в силу (слова и фразы файла можно найти, нажав Control-W):
Port 25000
PermitRootLogin no
Port: хотя порт 22 используется по умолчанию, его можно заменить любым номером в диапазоне от 1025 до 65536. В данном примере используется порт 25000. Не забудьте записать новый номер порта. В дальнейшем он понадобится при входе на сервер. Данное изменение усложнит вход для неавторизованных пользователей.
PermitRootLogin: чтобы деактивировать вход с root, измените в данной строке yes на no. С этого момента на сервер можно войти только через нового пользователя.
6: финальная перезагрузка
Перезагрузите SSH, чтобы привести новые порты и настройки в исполнение:
systemctl restart sshd
Чтобы проверить новые настройки (не выходите из root), откройте новое окно терминала и войдите как новый пользователь.
Не забудьте внести новый номер порта.
ssh -p 25000 exampleuser@123.45.67.890
Появится извещение:
[exampleuser@yourhostname ~]$
Убедившись, что на сервер можно войти с помощью нового пользователя, можете выйти из root.