إعداد خادم أولي مع Debian 11

الدروس التعليمية

المقدمة

عند إنشاء خادم Debian 11 جديد لأول مرة، هناك عدة خطوات تكوين يجب عليك اتخاذها في وقت مبكر كجزء من الإعداد الأساسي. سيزيد ذلك من أمان واستخدامية الخادم الخاص بك وسيمنحك أساسًا قويًا للإجراءات التالية.

في هذا البرنامج التعليمي، سنتعلم كيفية تسجيل الدخول إلى خادمنا كمستخدم root، وإنشاء مستخدم جديد بامتيازات المسؤول، وإعداد جدار ناري أساسي.

الخطوة 1 — تسجيل الدخول كـ Root

لتسجيل الدخول إلى خادمك، ستحتاج إلى معرفة عنوان IP العام للخادم الخاص بك. ستحتاج أيضًا إلى كلمة المرور أو، إذا كنت قد قمت بتثبيت مفتاح SSH للمصادقة، مفتاح الخاص لحساب مستخدم root. إذا لم تقم بتسجيل الدخول بالفعل إلى خادمك، قد ترغب في اتباع دليلنا حول كيفية الاتصال بـ Droplet الخاص بك باستخدام SSH، الذي يغطي هذه العملية بالتفصيل.

إذا لم تكن متصلاً بالفعل بخادمك، فقم بتسجيل الدخول كمستخدم root باستخدام الأمر التالي (استبدل الجزء المظلل في الأمر بعنوان IP العام لخادمك):

  1. ssh root@your_server_ip

قبول التحذير حول مصداقية المضيف إذا ظهر. إذا كنت تستخدم المصادقة بكلمة مرور، قدم كلمة المرور الخاصة بالمستخدم root لتسجيل الدخول. إذا كنت تستخدم مفتاح SSH محمي بكلمة مرور، قد تُطلب إدخال كلمة المرور للمرة الأولى التي تستخدم فيها المفتاح خلال كل جلسة. إذا كانت هذه المرة الأولى التي تسجل فيها الدخول إلى الخادم بكلمة مرور، قد تُطلب أيضًا تغيير كلمة مرور المستخدم root.

حول المستخدم الجذر

المستخدم root هو المستخدم الإداري في بيئة Linux الذي يتمتع بامتيازات واسعة جدًا. بسبب الامتيازات المتفوقة لحساب root، يُنصح بعدم استخدامه بانتظام. يعود هذا إلى أن جزءًا من السلطة الكامنة في حساب root هو القدرة على إجراء تغييرات مدمرة للغاية، حتى عن طريق الخطأ.

الخطوة التالية هي إعداد حساب مستخدم بديل بنطاق مؤثر مخفض للعمل اليومي. لاحقًا، سنشرح كيفية الحصول على امتيازات متزايدة لتلك الأوقات التي تحتاج فيها.

الخطوة 2 — إنشاء مستخدم جديد

بمجرد تسجيل الدخول باسم root، نحن مستعدون لإضافة حساب مستخدم جديد سنستخدمه لتسجيل الدخول من الآن فصاعداً.

هذا المثال ينشئ مستخدمًا جديدًا يسمى sammy، ولكن يجب عليك استبداله بالاسم الذي تفضله:

  1. adduser sammy

سيُطلب منك الإجابة عن بعض الأسئلة، بدءًا من كلمة المرور الخاصة بالحساب.

أدخل كلمة مرور قوية و، اختياريًا، قم بملء أي من المعلومات الإضافية التي ترغب في ذلك. هذا ليس مطلوبًا ويمكنك فقط الضغط على ENTER في أي حقل ترغب في تخطيه.

بعد ذلك، سنقوم بتهيئة هذا المستخدم الجديد بامتيازات المسؤول.

الخطوة 3 — منح الامتيازات الإدارية

الآن، لقد قمنا بإنشاء حساب مستخدم جديد بامتيازات الحساب العادية. ومع ذلك، قد نحتاج في بعض الأحيان إلى القيام بمهام إدارية به.

لتجنب الحاجة إلى تسجيل الخروج من مستخدمنا العادي وتسجيل الدخول مرة أخرى باسم الحساب root، يمكننا تهيئة ما يعرف بامتيازات المستخدم الخاص أو الجذر لحسابنا العادي. وهذا سيتيح لمستخدمنا العادي تشغيل الأوامر بامتيازات إدارية عن طريق وضع كلمة sudo قبل الأمر.

لإضافة هذه الامتيازات إلى مستخدمنا الجديد، نحتاج إلى إضافة المستخدم الجديد إلى مجموعة sudo. بشكل افتراضي، على Debian 11، يُسمح للمستخدمين الذين ينتمون إلى مجموعة sudo باستخدام الأمر sudo.

كـ root، قم بتشغيل هذا الأمر لإضافة المستخدم الجديد إلى مجموعة sudo (استبدل الكلمة المظللة بالمستخدم الجديد الخاص بك):

  1. usermod -aG sudo sammy

الآن، عند تسجيل الدخول كمستخدم عادي، يمكنك كتابة sudo قبل الأوامر لتشغيل الأمر بامتيازات المستخدم الجذر.

الخطوة 4 — إعداد جدار ناري أساسي

يمكن لخوادم Debian استخدام جدران نارية للتأكد من أنه يُسمح فقط باتصالات معينة بخدمات محددة. في هذا الدليل، سنقوم بتثبيت واستخدام جدار الحماية UFW للمساعدة في تعيين سياسات الجدار الناري وإدارة الاستثناءات.

يمكننا استخدام مدير الحزم apt لتثبيت UFW. قم بتحديث الفهرس المحلي لاسترداد أحدث المعلومات حول الحزم المتاحة ثم قم بتثبيت برنامج جدار الحماية UFW بكتابة:

  1. apt update

  2. apt install ufw

ملاحظة: إذا كانت خوادمك تعمل على DigitalOcean، يمكنك استخدام اختياريًا جدران نارية سحابية DigitalOcean بدلاً من جدار الحماية UFW. نوصي باستخدام جدار ناري واحد فقط في نفس الوقت لتجنب قواعد التعارض التي قد تكون صعبة التصحيح.

تُسمح ملفات التعريف للجدار الناري UFW بإدارة مجموعات مسماة من قواعد الجدار الناري للتطبيقات المثبتة. تأتي ملفات التعريف لبعض البرمجيات الشائعة مع UFW افتراضيًا، ويمكن للحزم تسجيل ملفات تعريف إضافية مع UFW أثناء عملية التثبيت. بروتوكول OpenSSH، الخدمة التي تسمح لنا بالاتصال بخادمنا الآن، لديه ملف تعريف لجدار الحماية يمكننا استخدامه.

يمكنك عرض جميع ملفات التعريف للتطبيقات المتاحة بكتابة:

  1. ufw app list



Output
Available applications:
 . . .
 OpenSSH
 . . .

نحتاج إلى التأكد من أن جدار الحماية يسمح باتصالات SSH حتى نتمكن من تسجيل الدخول مرة أخرى في المرة القادمة. يمكننا السماح بهذه الاتصالات عن طريق كتابة:

  1. ufw allow OpenSSH

بعد ذلك، يمكننا تمكين جدار الحماية عن طريق كتابة:

  1. ufw enable

اكتب y واضغط ENTER للمتابعة. يمكنك ملاحظة أن اتصالات SSH لا تزال مسموحة عن طريق كتابة:

  1. ufw status



Output
Status: active

To             Action   From
--             ------   ----
OpenSSH          ALLOW    Anywhere
OpenSSH (v6)     ALLOW    Anywhere (v6)

حيث أن جدار الحماية يمنع حاليًا جميع الاتصالات باستثناء SSH، إذا قمت بتثبيت وتكوين خدمات إضافية، ستحتاج إلى ضبط إعدادات جدار الحماية للسماح بحركة المرور المقبولة. يمكنك معرفة بعض العمليات الشائعة لـ UFW في دليل أساسيات UFW الخاص بنا.

الخطوة 5 — تمكين الوصول الخارجي للمستخدم العادي الخاص بك

الآن بعد أن لدينا مستخدم عادي للاستخدام اليومي، نحتاج إلى التأكد من أنه يمكننا الوصول إلى الحساب مباشرة عبر SSH.

ملاحظة: حتى تتأكد من أنه يمكنك تسجيل الدخول واستخدام sudo باستخدام مستخدمك الجديد، نوصي بالبقاء مسجلاً كـ root. بهذه الطريقة، إذا كنت تواجه مشاكل، يمكنك تحديد المشكلة وإجراء أي تغييرات ضرورية كـ root. إذا كنت تستخدم Droplet من DigitalOcean وواجهت مشاكل مع اتصال SSH الخاص بك باسم root، يمكنك أيضًا تسجيل الدخول إلى Droplet باستخدام DigitalOcean Console.

يعتمد عملية تكوين الوصول إلى SSH لمستخدمك الجديد على ما إذا كان حساب root لخادمك يستخدم كلمة مرور أو مفاتيح SSH للمصادقة.

إذا كان حساب الـ Root يستخدم المصادقة بواسطة كلمة المرور

إذا قمت بتسجيل الدخول إلى حسابك root باستخدام كلمة مرور، فإن المصادقة بواسطة كلمة المرور ممكنة لـ SSH. يمكنك الاتصال بـ حساب مستخدمك الجديد عبر SSH عن طريق فتح جلسة تيرمينال جديدة واستخدام SSH مع اسم المستخدم الجديد الخاص بك:

  1. ssh sammy@your_server_ip

بعد إدخال كلمة مرور مستخدمك العادية، ستتمكن من تسجيل الدخول. تذكر، إذا كنت بحاجة إلى تشغيل أمر بامتيازات إدارية، اكتب sudo قبله مثل هذا:

  1. sudo command_to_run

سيُطلب منك كلمة مرور مستخدمك العادية عند استخدام sudo للمرة الأولى في كل جلسة (وبشكل دوري بعد ذلك).

لتعزيز أمان الخادم الخاص بك، نوصي بشدة بإعداد مفاتيح SSH بدلاً من استخدام المصادقة بكلمة المرور. اتبع دليلنا على إعداد مفاتيح SSH على Debian 11 لتعرف كيفية تكوين المصادقة القائمة على المفتاح.

إذا كان حساب الجذر يستخدم مصادقة مفتاح SSH

إذا قمت بتسجيل الدخول إلى حساب الجذر باستخدام مفاتيح SSH، فإن مصادقة كلمة المرور معطلة لبروتوكول SSH. ستحتاج إلى إضافة نسخة من المفتاح العام المحلي الخاص بك إلى ملف ~/.ssh/authorized_keys للمستخدم الجديد لتسجيل الدخول بنجاح.

نظرًا لأن مفتاحك العام موجود بالفعل في ملف ~/.ssh/authorized_keys الخاص بحساب الجذر على الخادم، يمكننا نسخ ذلك الملف وهيكل الدليل إلى حساب المستخدم الجديد في الجلسة الحالية باستخدام الأمر cp. بعد ذلك، يمكننا ضبط ملكية الملفات باستخدام الأمر chown.

تأكد من تغيير الأجزاء المظللة في الأمر أدناه لتتناسب مع اسم مستخدمك العادي:

  1. cp -r ~/.ssh /home/sammy

  2. chown -R sammy:sammy /home/sammy/.ssh

الأمر cp -r ينسخ المجلد بأكمله إلى مجلد المستخدم الجديد في المجلد الرئيسي، والأمر chown -R يغير مالك ذلك المجلد (وكل ما فيه) إلى اسم_المستخدم:اسم_المجموعة المحددة (تنشئ Debian مجموعة بنفس اسم المستخدم افتراضيًا).

الآن، افتح جلسة وحدة تحكم جديدة وسجّل الدخول عبر SSH باسم المستخدم الجديد:

  1. ssh sammy@your_server_ip

يجب أن تكون قد سجلت الدخول إلى حساب المستخدم الجديد دون استخدام كلمة مرور. تذكّر، إذا كنت بحاجة لتشغيل أمر بامتيازات إدارية، اكتب sudo قبله مثل هذا:

  1. sudo command_to_run

سيُطلب منك كلمة مرور المستخدم العادي عند استخدام sudo لأول مرة في كل جلسة (وبانتظام بعد ذلك).

ما الذي يجب فعله بعد هذا؟

في هذه النقطة، لديك أساس قوي لخادمك. يمكنك الآن تثبيت أي من البرامج التي تحتاجها على خادمك.

Source:
https://www.digitalocean.com/community/tutorials/initial-server-setup-with-debian-11