Настройка сервера ubuntu 18
Когда вы впервые создаете новый сервер Ubuntu 18.04, есть несколько шагов по настройке, которые вы должны предпринять на ранних этапах базовой установки. Это повысит безопасность и удобство использования вашего сервера и даст вам прочную основу для последующих действий.
Чтобы войти на свой сервер, вам нужно знать публичный IP-адрес вашего сервера. Вам также понадобится пароль или, если вы установили SSH-ключ для аутентификации, закрытый ключ для учетной записи пользователя root. Если вы еще не вошли в систему на своем сервере, возможно, вы захотите следовать нашему руководству по подключению к вашей капле с помощью SSH, которое подробно описывает этот процесс.
Если вы еще не подключены к своему серверу, войдите в систему как пользователь root с помощью следующей команды (замените выделенную часть команды на публичный IP-адрес вашего сервера):
Примите предупреждение о подлинности хоста, если оно появится. Если вы используете аутентификацию по паролю, укажите свой корневой пароль для входа в систему. Если вы используете ключ SSH, защищенный парольной фразой, вам может быть предложено ввести пароль при первом использовании ключа в каждом сеансе. Если вы впервые заходите на сервер с паролем, вам также может быть предложено изменить пароль root.
О Root
Пользователь root является административным пользователем в среде Linux с очень широкими привилегиями. Из-за повышенных привилегий учетной записи root вам не рекомендуется использовать ее на регулярной основе. Это связано с тем, что частью полномочий, присущих учетной записи root, является способность вносить очень разрушительные изменения даже случайно.
Следующим шагом является создание альтернативной учетной записи пользователя с ограниченной областью влияния для повседневной работы. Мы научим вас, как получить повышенные привилегии в те времена, когда они вам нужны.
Шаг 2 - Создание нового пользователя
Как только вы войдете в систему как пользователь root, мы готовы добавить новую учетную запись пользователя, которую мы будем использовать для входа в систему с этого момента.
В этом примере создается новый пользователь с именем sammy, но вы должны заменить его на имя пользователя, которое вам нравится:
Вам будет задано несколько вопросов, начиная с пароля учетной записи.
Введите надежный пароль и, при желании, заполните любую дополнительную информацию, если хотите. Это не обязательно, и вы можете просто нажать ENTER на любое поле, которое вы хотите пропустить.
Шаг 3 - Предоставление административных привилегий
Теперь у нас есть новая учетная запись пользователя с обычными привилегиями учетной записи. Однако иногда нам может потребоваться выполнить административные задачи.
Чтобы избежать выхода из нашего обычного пользователя и входа в систему в качестве учетной записи root, мы можем настроить так называемые привилегии суперпользователя или привилегии root для нашей обычной учетной записи. Это позволит нашему обычному пользователю запускать команды с правами администратора, помещая слово sudo перед каждой командой.
Чтобы добавить эти привилегии нашему новому пользователю, нам нужно добавить нового пользователя в группу sudo. По умолчанию в Ubuntu 18.04 пользователям, принадлежащим к группе sudo, разрешено использовать эту sudo команду.
От имени пользователя root выполните эту команду, чтобы добавить нового пользователя в группу sudo (замените выделенное слово новым пользователем):
Теперь, когда вы вошли в систему как обычный пользователь, вы можете вводить sudo команды перед тем, чтобы выполнить действия с привилегиями суперпользователя.
Шаг 4 - Настройка базового брандмауэра
Серверы Ubuntu 18.04 могут использовать брандмауэр UFW, чтобы разрешить только подключения к определенным службам. С помощью этого приложения мы можем очень легко настроить базовый брандмауэр.
Вы можете увидеть это, набрав:
Нам нужно убедиться, что брандмауэр разрешает SSH-соединения, чтобы мы могли вернуться в следующий раз. Мы можем разрешить эти подключения, набрав:
После этого мы можем включить брандмауэр, набрав:
Введите « y» и нажмите ENTER для продолжения. Вы можете увидеть, что SSH-соединения по-прежнему разрешены, набрав:
To Action From
-- ------ ----
OpenSSH ALLOW Anywhere
OpenSSH (v6) ALLOW Anywhere (v6)
Поскольку в настоящее время брандмауэр блокирует все соединения, кроме SSH, если вы устанавливаете и настраиваете дополнительные службы, вам необходимо настроить параметры брандмауэра, чтобы разрешить приемлемый трафик. В этом руководстве вы можете узнать некоторые общие операции UFW.
Шаг 5 - Включение внешнего доступа для вашего обычного пользователя
Теперь, когда у нас есть постоянный пользователь для ежедневного использования, нам нужно убедиться, что мы можем напрямую подключиться к SSH.
Примечание. До подтверждения того, что вы можете войти в систему и использовать sudo с новым пользователем, мы рекомендуем оставаться в системе как root. Таким образом, если у вас есть проблемы, вы можете устранять неполадки и вносить любые необходимые изменения от имени пользователя root. Если вы используете дроплет DigitalOcean и испытываете проблемы с корневым SSH-соединением, вы можете войти в дроплет с помощью консоли DigitalOcean.
Процесс настройки доступа SSH для вашего нового пользователя зависит от того, использует ли корневая учетная запись вашего сервера пароль или ключи SSH для аутентификации.
Если учетная запись root использует аутентификацию по паролю
Если вы вошли в свою корневую учетную запись, используя пароль, тогда аутентификация по паролю включена для SSH. Вы можете использовать SSH для своей новой учетной записи пользователя, открыв новый сеанс терминала и используя SSH со своим новым именем пользователя:
После ввода пароля вашего обычного пользователя вы войдете в систему. Помните, что если вам нужно запустить команду с правами администратора, введите sudo перед ней:
Вам будет предложено ввести пароль обычного пользователя при sudo первом использовании каждого сеанса (и периодически после него).
Чтобы повысить безопасность вашего сервера, мы настоятельно рекомендуем устанавливать ключи SSH вместо использования аутентификации по паролю. Следуйте нашему руководству по настройке ключей SSH в Ubuntu 18.04, чтобы узнать, как настроить аутентификацию на основе ключей.
Если корневая учетная запись использует аутентификацию по ключу SSH
Если вы вошли в свою корневую учетную запись с использованием ключей SSH, то аутентификация по паролю отключена для SSH. Вам нужно будет добавить копию вашего локального открытого ключа в
/.ssh/authorized_keys файл нового пользователя для успешного входа в систему.
Поскольку ваш открытый ключ уже находится в файле корневой учетной записи
/.ssh/authorized_keys на сервере, мы можем скопировать этот файл и структуру каталогов в нашу новую учетную запись пользователя в нашем существующем сеансе.
Самый простой способ скопировать файлы с правильным владельцем и правами - с помощью rsync команды. Это скопирует каталог пользователя root.ssh, сохранит права доступа и изменит владельцев файлов, все в одной команде. Обязательно измените выделенные части команды ниже, чтобы они соответствовали имени вашего обычного пользователя:
Примечание. rsync Команда обрабатывает источники и места назначения, заканчивающиеся косой чертой, по-другому, чем те, у которых нет косой черты. При использовании rsync ниже убедитесь, что исходный каталог (
/.ssh) не содержит завершающий слеш (убедитесь, что вы не используете
Если вы случайно добавить слэш в команде, rsync будет копировать содержимое из корневой учетной записи
/.ssh директории в sudo домашней директории пользователя, вместо того, чтобы копировать всю
/.ssh структуру каталогов. Файлы будут в неправильном месте, и SSH не сможет их найти и использовать.
Теперь откройте новый сеанс терминала и используйте SSH с вашим новым именем пользователя:
Вы должны войти в новую учетную запись пользователя без использования пароля. Помните, что если вам нужно запустить команду с правами администратора, введите sudo перед ней:
Вам будет предложено ввести пароль обычного пользователя при sudo первом использовании каждого сеанса (и периодически после него).
Создав сервер Ubuntu 18.04, необходимо выполнить его начальную настройку. Это повысит защиту и юзабилити нового сервера, а также обеспечит надёжную платформу для дальнейшей работы.
Примечание: Этот мануал показывает, как вручную выполнить настройку новых серверов Ubuntu 18.04. После этой процедуры может быть полезно изучить некоторые базовые навыки администрирования системы, чтобы лучше понимать, как работает сервер. Если вы хотите быстрее начать работу, вы можете использовать сценарий, который автоматизирует настройку сервера.
1: Логин root
Для подключения к серверу вам понадобится его внешний IP-адрес. Кроме того, нужно знать пароль или иметь закрытый ключ (в случае использования аутентификации на основе SSH-ключей) администратора – пользователя root.
Чтобы войти как пользователь root, используйте команду:
На данном этапе может появиться предупреждение о подлинности хоста; примите его и предоставьте учётные root. Если вы используете SSH-ключи, защищенные парольной фразой, вам нужно будет ввести эту фразу сейчас. При первом подключении к серверу вам также будет предложено изменить root-пароль.
Что такое root?
Пользователь root является администратором среды Linux и обладает максимальными правами. Именно из-за широких привилегий аккаунта root использовать его для рутинной работы крайне небезопасно – так можно случайно нанести системе непоправимый вред.
Потому для постоянной работы в окружении Linux используется специально созданный аккаунт с расширенными привилегиями – доступом к команде sudo, о которой можно прочитать далее в этом руководстве.
2: Создание нового пользователя
Войдя в систему как root пользователь, создайте новый аккаунт для постоянной работы с сервером. Запустите:
Примечание: Замените условное имя 8host именем своего пользователя.
После запуска команды вам будет предложено предоставить информацию о пользователе.
Установите надёжный пароль и при желании укажите дополнительную информацию. Чтобы принять информацию по умолчанию, просто нажмите Enter.
3: Доступ к sudo
Итак, теперь у вас есть новый пользователь с обычными правами. Однако для управления сервером таких привилегий недостаточно.
Чтобы иметь возможность выполнять задачи администратора в сессии нового пользователя, передайте ему права суперпользователя. Для этого нужно открыть ему доступ к использованию команды sudo.
В Ubuntu 18.04 доступ к этой команде по умолчанию есть у всех пользователей, которые входят в группу sudo. Чтобы добавить нового пользователя в эту группу, запустите следующую команду в сессии пользователя root:
usermod -aG sudo 8host
Теперь новый пользователь имеет права суперпользователя.
4: Настройка брандмауэра
Серверы Ubuntu 18.04 могут использовать брандмауэр UFW для блокирования соединений с отдельными сервисами.
Чтобы просмотреть его, введите:
ufw app list
Available applications:
OpenSSH
Теперь нужно разрешить SSH-соединения, чтобы иметь возможность подключиться к серверу в следующий раз. Для этого введите:
ufw allow OpenSSH
После этого можно включить брандмауэр:
Чтобы продолжить, нажмите у и Enter. Чтобы убедиться в том, что соединения SSH не блокируются брандмауэром, введите:
ufw status
Status: active
To Action From
-- ------ ----
OpenSSH ALLOW Anywhere
OpenSSH (v6) ALLOW Anywhere (v6)
Если вы установили и настроили дополнительные сервисы, вам необходимо откорректировать настройки брандмауэра, чтобы он не блокировал трафик этих сервисов.
5: Доступ к новому пользователю
Теперь, когда у вас есть обычный пользователь для ежедневной работы, нужно убедиться, что вы можем использовать SSH непосредственно в учетной записи.
Примечание: Пока вы не убедитесь, что можете войти в систему и использовать sudo в сессии своего нового пользователя, мы рекомендуем оставаться в системе как пользователь root. Таким образом, если у вас возникнут проблемы, вы сможете устранить неполадки и внести необходимые изменения с правами root.
Процесс настройки SSH-доступа для вашего нового пользователя зависит от того, что использует ваша учетная запись root для аутентификации – пароль или SSH-ключи.
Парольная аутентификация
Если вы вошли в свою учетную запись root, указав пароль, значит, SSH поддерживает парольную аутентификацию. Вы можете подключиться по SSH к новому пользователю, открыв новую сессию терминала и используя SSH с именем нового пользователя:
Введите пароль пользователя, после этого вы войдете в систему. Помните, что если вам нужно запустить команду с правами администратора, вам нужно для этого добавить sudo:
При первом запуске sudo в каждом сеансе (и периодически при запуске разных команд) вам будет предложено ввести пароль текущего пользователя.
Чтобы повысить безопасность сервера, вместо парольной аутентификации мы настоятельно рекомендуем настроить SSH-ключи. Следуйте инструкциям в мануале Установка SSH-ключей в Ubuntu 18.04.
Аутентификация на основе SSH-ключей
Если вы вошли в учетную запись root с помощью SSH-ключей, аутентификация по паролю отключена. Вам нужно будет добавить копию открытого ключа в файл
/.ssh/authorized_keys нового пользователя для дальнейшего доступа к системе.
Поскольку ваш открытый ключ уже находится на сервере в файле пользователя root,
/.ssh/authorized_keys, вы можете скопировать эту структуру файлов и каталогов в новую учетную запись пользователя в текущем сеансе.
Самый простой способ скопировать файлы с правильными правами – это команда rsync. Она скопирует каталог .ssh пользователя root, сохранит привилегии и изменит владельцев файлов. Обязательно укажите свои данные в приведенной ниже команде.
rsync --archive --chown=8host:8host
Откройте терминал и создайте новое соединение SSH:
Вы должны войти в новую учетную запись пользователя без пароля. Помните, чтобы запустить команду с правами администратора, нужно ввести sudo перед ней:
При первом запуске sudo в каждом сеансе (и периодически при запуске разных команд) вам будет предложено ввести пароль текущего пользователя.
Заключение
Теперь сервер полностью настроен и готов к работе и развёртыванию приложений.
Корректная настройка сервера с операционной системой Ubuntu предусматривает предварительное корректирование базовых параметров. В данном руководстве приведены исчерпывающие, компетентные рекомендации касательно настройки сервера под версию ОС Ubuntu 18.04. Реализация и применение параметров гарантирует должную безопасность, конфиденциальность, а также удобство последующего конфигурирования.
Данное руководство позволит ознакомиться с тем, как установить Ubuntu (сервер) с последующей комплексной настройкой. Материал обладает актуальностью при работе с vps/vds под ОС Ubuntu 18.04 версии. Процедуру рекомендуется выполнять вручную, исключив любые неточности или грубые ошибки. Скрупулёзное изучение руководства обеспечит улучшение навыков по администрированию сервера. Дополнительно реализуются специальные скрипты для быстрой настройки vds (виртуальный сервер), что не рекомендуемо.
Примечание: ОС Ubuntu в основе использует структуру операционной системы Linux.
Авторизация в системе: пользователь root
Для получения начального доступа к системе управления сервером используется аккаунт – пользователь root. Чтобы успешно завершить авторизацию, необходимо определить публичный IP-адрес, которым обозначен веб сервер. Если пользователь не произвёл авторизацию на сервере, рекомендуется обратить внимание на особенности подключения к Droplet, используя SSH.
Важно: реализуется два активных метода для входа в аккаунт – использование предустановленного пароля; применение специального файла, который именуется «ssh ключ».
При отсутствии интеграции с системой необходимо произвести замену выделенной команды, указав публичный ip адрес.
Для завершения авторизации выполняются, следующие действия:
- Подтвердить согласие, указывающее на подлинность хоста (может быть отображено в отдельном окне);
- Применение предустановленного пароля. Требует от пользователя указания уникальной последовательности цифр и латинских букв. При первой авторизации система попросит у пользователя указания нового пароля;
- Применение SSH-ключа. Понадобится указать специальную кодовую фразу, которая соответствует ключу.
Соединение с Droplets с применением SSH
Droplet – виртуальная машина, созданная на базе операционной системы Linux, которая обрабатывается аппаратными комплектующими. Создание Droplet означает учреждение нового сервера, готового к использованию.
Для успешного создания Droplet потребуется установить дистрибутив SSH (клиент), а также позаботиться о наличии SSH-ключа. Пользователи традиционно используют пароли для авторизации (не рекомендовано, так как не гарантирует достаточный уровень безопасности), или же SSH-ключи с уникальным кодовым словом.
Важно: специалисты рекомендуют устанавливать аутентификацию с помощью ключей SSH – безопасный и прогрессивный метод защиты).
Для успешной авторизации в Droplet с использованием SSH-ключа требуется использовать следующие сведения:
- IP-адрес сервера Droplets;
- Имя пользователя сервера, установленное по умолчанию;
- Пароль, установленный по умолчанию для данного пользователя (если не используется SSH-ключ).
Имя пользователя по умолчанию данного сервера «root», что реализуются в большинстве ОС (Ubuntu, CentOS). Исключение составит CoreOS, которая использует имя «core», Rancher, использующая «rancher» и FreeBSD с одноимённым названием «freebsd».
В случае загрузки и добавления SSH-ключей к аккаунту подключение к Droplet возможно путём использования SSH-клиента или же командной строки. Если пользователь игнорирует использование SSH, паролем сервера Droplet будет пароль, установленный в процессе создания оного.
По факту получения IP-адреса Droplet, имя пользователя и пароля необходимо следовать руководству, прилагаемому к SSH-клиенту. Утилита OpenSSH доступна на следующих операционных системах: Linux, macOS, Linux.
Права пользователя Root
Учётная запись root модерируется пользователем с одноимённым названием, который обладает расширенным пулом прав. Компетентные специалисты предостерегают от использования аккаунта root в качестве основного: первопричина этого заключается в потенциальной возможности изменения параметров, которые частично разрушат сервер Ubuntu.
С целью обеспечения показательной безопасности и функциональности рекомендуется отказаться от использования root-прав. В следующей части материала приведена инструкция, обеспечивающая создание нового пользователя.
Создание: новый пользователь
По факту прохождения авторизации в системе под именем «root» может быть создан новый пользователь. Учрежденный аккаунт в дальнейшем будет применяться как основной.
Фрагмент кода содержит команду, позволяющую создать пользователя с произвольным именем – «tango».
Потребуется установить уникальный пароль аккаунта. Возможно указание дополнительных сведений в соответствующую ячейке. Для пропуска необходимо выбрать поле, нажав клавишу Enter .
Базовая настройка – учреждение прав администратора
По завершении создания аккаунта с базовым пулом прав необходимо перейти к расширению функционала. Пользователю может потребоваться выполнение действий, которые доступны исключительно администратору.
Для повышения уровня доступа следует воспользоваться правами вида «superuser», которые будут применены к созданному аккаунту. Активация параметра означает, что при добавлении приставки sudo пользователь сможет выполнять действия с уровнем допуска «Администратор».
Важно: для корректного использования команды sudo необходимо дополнить одноимённую группу пользователей. Операционная система Ubuntu версии 18.04 предусматривает возможность использования команды пользователям, входящим в упомянутую группу.
Для активации прав необходимо выполнить следующую команду, изменив имя пользователя в примере на требуемое.
В результате по прохождению авторизации перед выполнением любой команды потребуется добавлять приставку sudo, что позволит выполнять действия с уровнем допуска «Администратор».
Руководство: установка брандмауэра
Первоначальная настройка параметров брандмауэра варьируется в зависимости от используемой версии ОС и непосредственно брандмауэра. Применение UFW на версии ОС 18.04 обеспечит возможностью гибко настроить подключение к исключительно предустановленным сервисам.
Важно: не рекомендуется одновременно интегрировать несколько брандмауэров, что может привести к последовательной программной конфликтологии.
С добавлением UFW и установкой утилит обе могут быть связаны с помощью специального профиля. В результате брандмауэр будет производить точечное управление программой, подключённой к системе. Использование OpenSSH позволит убедиться в интеграции профиля в UFW.
Использование команд для проверки соединения:
Output
Available applications:
OpenSSH
Руководство предполагает также проверку SSH-соединения, что позволило бы оптимизировать последующую авторизацию в системе. Следующая команда позволит установить соединение:
Для активации брандмауэра, используется:
Впоследствии потребуется ввести значение «y», а затем подтвердить действие, нажав Enter . Для проверки статуса соединения SSH применяется команда:
Output
Status: active
To Action From
-- ------ ----
OpenSSH ALLOW Anywhere
OpenSSH (v6) ALLOW Anywhere (v6)
В дальнейшем брандмауэр будет блокировать сторонние подключения, подключая исключительно SSH. Для разрешения подключения потребуется перейти в расширенные параметры, изменив уровни допуска.
Настройка Ubuntu: внешний доступ к серверу
Настройка Ubuntu предполагает проверку факта применения SSH при работе с аккаунта обычного пользователя.
Важно: перед тем как настроить сервер окончательно, войдя в запись обычного пользователя с применением команды sudo, требуется проверить работоспособность функций под аккаунтом root. Прерогатива Root – возможность своевременного устранения актуальных проблем, без потребности в повторной авторизации.
Базовая настройка системы будет зависеть от способа авторизации учётной записи Root: применения уникального пароля; использования кодового слова и SSH-ключа – о чём далее в материале.
Авторизация по паролю в учётной записи Root
После указания корректного пароля обычного аккаунта аутентификация будет завершена. Для инициализации команды с уровнем допуска «Администратор» не стоит забывать о применении команды sudo:
С использованием команды для повышения уровня допуска будет необходимо указывать пароль аккаунта (несколько раз).
Примечание: с целью повышения уровня защищённости сервера на убунту показано использовать аутентификацию по SSH-ключу, когда применение пароля не оправдано.
Авторизация по SSH-ключу в учётную запись Root
При авторизации в аккаунт root с применением кодового слова (SSH-ключа) необходимо понимать, что вход с помощью пароля невозможен. Чтобы обеспечить безопасную и быструю аутентификацию показана интеграция копии открытого ключа в следующий файл созданного аккаунта:
На данный момент ключ-SSH уже добавлен в упомянутый файл пользователя root, что позволит попросту скопировать структуру каталога, а затем перенести в базу новосозданной записи.
Для обеспечения корректного копирования файлов с учётом уровней допуска рекомендуется использовать функцию – команда: rsync . Выбранная функция обеспечивает копирование структуры каталога, учитывая предустановленные права с последующим переназначением владельца. Используя нижеприведённую команду, необходимо заменить названия исходного и конечного пользователей:
Важно: необходимо крайне осторожно использовать символ «/» (слэш), который определяет метод обработки файлов при копировании с использованием команды rsync . Каталог, из которого осуществляется копирование не должен содержать символ закрывающего слэша. Пример:
/.ssh. Нарушение последовательности символов может привести к некорректному определению и использованию файлов со стороны SSH.
По завершении копирования необходимо инициализировать новый сеанс, войдя в запись. Команда:
Последующий вход в запись произойдёт без потребности в указании поля. При возникновении прецедента не стоит забывать об актуальности команды повышения уровня допуска, в частности:
Схожим образом с применением команды sudo система запросит указание действующего пароля от учётной записи.
Заключение
По завершении первоначальной настройки сервера основные параметры будут отлажены с обеспечением должного уровня безопасности и защищённости. По факту успешной индивидуализации администратор сервера располагает возможность инсталлировать профильное ПО.
Для того, чтобы максимально обезопасить ваш сервер, чтобы его не взломали и вы не потеряли свою работу и данные, рекомендуется провести первичную настройку сервера.
Создание нового пользователя и запрет логина root
По умолчанию наши сервера создают для работы пользователя с логином root. Этот пользователь обладает максимальными правами в системе, и наиболее интересен злоумышленникам. Поэтому мы настоятельно рекомендуем создать своего пользователя, а логин под пользователем root отключить.
Первое подключение осуществляется по логину и паролю созданного сервера.
В операционной системе Windows можно подключиться к серверу, используя утилиту Putty, согласно нашему мануалу. В linux просто, достаточно открыть консоль и написать:
После этого надо запретить логин root, для этого создадим пользователя, под которым будем работать. Создаём нового пользователя.
По желанию вы можете добавить необходимую информацию о пользователе, в диалоге его создания или опустить её.
Чтобы от этой учётной записи можно было вести настройку сервера, надо ей дать возможности администратора. Для этого выполняем:
После этого, уже есть возможность выполнять команды с правами администратора. Далее необходимо запретить возможность логина root по ssh. Для этого отредактируем файл sshd_config .
Находим строчку содержащую PermitRootLogin и меняем её на состояние no.
После этого перезапускаем ssh-сервис.
Первоначальная настройка фаервола
Для того, чтобы дополнительного обезопасить сервер, необходимо включить брандмауэр. Можно проверить его работу следующей командой:
Будет дан, примерно такой вот ответ.
Для того, чтобы не потерять сервер, во время настройки, необходимо убедиться, что брандмауэр разрешает SSH-соединение. Разрешим это следующей командой:
После этого мы можем разрешить его работу.
После этого можно проверить статус брандмауэра следующей командой:
В результате мы должны получить примерно такой ответ:
Этот ответ говорит нам то, что брандмауэр в настоящее время блокирует все подключения, кроме SSH! Не забывайте потом разрешить параметры брендмайэра, чтобы разрешать ему входящий трафик для других приложений.
Читайте также: