Einführung
Wenn Sie zum ersten Mal einen neuen Debian 11-Server erstellen, gibt es einige Konfigurationsschritte, die Sie frühzeitig als Teil der grundlegenden Einrichtung durchführen sollten. Dies erhöht die Sicherheit und Benutzerfreundlichkeit Ihres Servers und bietet Ihnen eine solide Grundlage für nachfolgende Aktionen.
In diesem Tutorial erfahren wir, wie wir uns als Benutzer root auf unserem Server anmelden, einen neuen Benutzer mit Administrationsrechten erstellen und eine grundlegende Firewall einrichten.
Schritt 1 – Anmeldung als Root
Um sich auf Ihrem Server anzumelden, müssen Sie die öffentliche IP-Adresse Ihres Servers kennen. Sie benötigen auch das Passwort oder, wenn Sie einen SSH-Schlüssel zur Authentifizierung installiert haben, den privaten Schlüssel für das Konto des root-Benutzers. Wenn Sie sich noch nicht auf Ihrem Server angemeldet haben, sollten Sie unserem Leitfaden folgen, wie Sie eine Verbindung zu Ihrem Droplet mit SSH herstellen, der diesen Vorgang im Detail erläutert.
Wenn Sie noch nicht mit Ihrem Server verbunden sind, melden Sie sich als Benutzer root mit folgendem Befehl an (ersetzen Sie den hervorgehobenen Teil des Befehls durch die öffentliche IP-Adresse Ihres Servers):
Akzeptieren Sie die Warnung zur Host-Authentizität, wenn sie angezeigt wird. Wenn Sie die Passwortauthentifizierung verwenden, geben Sie Ihr Root-Passwort ein, um sich anzumelden. Wenn Sie einen SSH-Schlüssel verwenden, der mit einem Passwort geschützt ist, kann es sein, dass Sie beim ersten Gebrauch des Schlüssels in jeder Sitzung aufgefordert werden, das Passwort einzugeben. Wenn Sie sich zum ersten Mal mit einem Passwort beim Server anmelden, werden Sie möglicherweise auch aufgefordert, das Root-Passwort zu ändern.
Über Root
Der Root-Benutzer ist der administrative Benutzer in einer Linux-Umgebung mit sehr weitreichenden Berechtigungen. Aufgrund der erhöhten Privilegien des Root-Kontos wird davon abgeraten, es regelmäßig zu verwenden. Dies liegt daran, dass ein Teil der mit dem Root-Konto verbundenen Macht die Fähigkeit ist, sehr zerstörerische Änderungen auch versehentlich vorzunehmen.
Der nächste Schritt besteht darin, ein alternatives Benutzerkonto mit einem reduzierten Einflussbereich für die tägliche Arbeit einzurichten. Später erklären wir, wie Sie erhöhte Berechtigungen erhalten, wenn Sie sie benötigen.
Schritt 2 — Ein Neuen Benutzer erstellen
Sobald Sie als Root angemeldet sind, sind wir bereit, das neue Benutzerkonto hinzuzufügen, das wir von nun an zum Anmelden verwenden werden.
Dieses Beispiel erstellt einen neuen Benutzer namens sammy, aber Sie sollten ihn durch einen Benutzernamen ersetzen, den Sie mögen:
Sie werden einige Fragen gestellt, beginnend mit dem Kontokennwort.
Geben Sie ein starkes Passwort ein und füllen Sie optional weitere Informationen aus, wenn Sie möchten. Dies ist nicht erforderlich und Sie können einfach ENTER drücken, um ein Feld zu überspringen, wenn Sie möchten.
Als nächstes richten wir diesen neuen Benutzer mit Administratorrechten ein.
Schritt 3 — Gewährung administrativer Privilegien
Wir haben nun ein neues Benutzerkonto mit normalen Kontoberechtigungen erstellt. Es kann jedoch manchmal erforderlich sein, administrative Aufgaben damit auszuführen.
Um zu vermeiden, dass wir uns von unserem normalen Benutzer abmelden und als Benutzerkonto root erneut anmelden müssen, können wir das einrichten, was als Superuser– oder Root-Berechtigungen für unser normales Konto bekannt ist. Dies ermöglicht es unserem normalen Benutzer, Befehle mit administrativen Rechten auszuführen, indem das Wort sudo vor den Befehl gesetzt wird.
Um diese Berechtigungen unserem neuen Benutzer hinzuzufügen, müssen wir den neuen Benutzer der sudo-Gruppe hinzufügen. Standardmäßig dürfen Benutzer, die zur sudo-Gruppe gehören, auf Debian 11 den sudo-Befehl verwenden.
Als root führen Sie diesen Befehl aus, um Ihren neuen Benutzer der sudo-Gruppe hinzuzufügen (ersetzen Sie das markierte Wort durch Ihren neuen Benutzer):
Nun, wenn Sie als regulärer Benutzer angemeldet sind, können Sie sudo vor Befehle eingeben, um den Befehl mit Superuser-Berechtigungen auszuführen.
Schritt 4 — Einrichten einer grundlegenden Firewall
Debian-Server können Firewalls verwenden, um sicherzustellen, dass nur bestimmte Verbindungen zu bestimmten Diensten zugelassen werden. In diesem Handbuch installieren und verwenden wir die UFW-Firewall, um Firewall-Richtlinien festzulegen und Ausnahmen zu verwalten.
Wir können den Paketmanager apt verwenden, um UFW zu installieren. Aktualisieren Sie den lokalen Index, um die neuesten Informationen zu verfügbaren Paketen abzurufen, und installieren Sie dann die UFW-Firewall-Software, indem Sie Folgendes eingeben:
Hinweis: Wenn Ihre Server auf DigitalOcean ausgeführt werden, können Sie optional Digitale Ozean-Cloud-Firewalls anstelle der UFW-Firewall verwenden. Wir empfehlen, nur eine Firewall gleichzeitig zu verwenden, um Konflikte bei Regeln zu vermeiden, die schwer zu debuggen sein können.
Firewall-Profile ermöglichen es UFW, benannte Sets von Firewall-Regeln für installierte Anwendungen zu verwalten. Profile für einige gängige Software sind standardmäßig mit UFW gebündelt, und Pakete können während des Installationsvorgangs zusätzliche Profile bei UFW registrieren. OpenSSH, der Dienst, mit dem wir uns jetzt mit unserem Server verbinden können, hat ein Firewall-Profil, das wir verwenden können.
Sie listen alle verfügbaren Anwendungsprofile auf, indem Sie Folgendes eingeben:
OutputAvailable applications:
. . .
OpenSSH
. . .
Wir müssen sicherstellen, dass die Firewall SSH-Verbindungen zulässt, damit wir uns das nächste Mal wieder einloggen können. Diese Verbindungen können wir zulassen, indem wir Folgendes eingeben:
Nachher können wir die Firewall aktivieren, indem wir Folgendes eingeben:
Geben Sie y ein und drücken Sie ENTER, um fortzufahren. Sie können sehen, dass SSH-Verbindungen immer noch erlaubt sind, indem Sie Folgendes eingeben:
OutputStatus: active
To Action From
-- ------ ----
OpenSSH ALLOW Anywhere
OpenSSH (v6) ALLOW Anywhere (v6)
Weil die Firewall derzeit alle Verbindungen außer SSH blockiert, müssen Sie die Firewall-Einstellungen anpassen, um akzeptablen Datenverkehr zuzulassen, wenn Sie zusätzliche Dienste installieren und konfigurieren. Sie können einige häufige UFW-Operationen in unserem UFW-Essentials-Leitfaden lernen.
Schritt 5 – Externen Zugriff für Ihren regulären Benutzer aktivieren
Jetzt, da wir einen regulären Benutzer für den täglichen Gebrauch haben, müssen wir sicherstellen, dass wir uns direkt auf das Konto per SSH einloggen können.
Hinweis: Bis Sie überprüft haben, dass Sie sich mit Ihrem neuen Benutzer anmelden und sudo verwenden können, empfehlen wir, als root angemeldet zu bleiben. Auf diese Weise können Sie bei Problemen Fehlerbehebung durchführen und alle erforderlichen Änderungen als root vornehmen. Wenn Sie einen DigitalOcean-Droplet verwenden und Probleme mit Ihrer root-SSH-Verbindung haben, können Sie sich auch über die DigitalOcean-Konsole beim Droplet anmelden.
Der Prozess zum Konfigurieren des SSH-Zugriffs für Ihren neuen Benutzer hängt davon ab, ob das root-Konto Ihres Servers zur Authentifizierung ein Passwort oder SSH-Schlüssel verwendet.
Wenn das Root-Konto die Passwortauthentifizierung verwendet
Wenn Sie sich mit Ihrem root-Konto über ein Passwort angemeldet haben, ist die Passwortauthentifizierung für SSH aktiviert. Sie können sich über eine neue Terminalsession mit Ihrem neuen Benutzernamen per SSH anmelden:
Nach Eingabe Ihres regulären Benutzerpassworts werden Sie angemeldet. Denken Sie daran, wenn Sie einen Befehl mit administrativen Rechten ausführen müssen, geben Sie vorher sudo ein, wie folgt:
Sie werden beim ersten Mal jeder Sitzung (und gelegentlich danach) nach Ihrem regulären Benutzerpasswort gefragt, wenn Sie sudo verwenden.
Um die Sicherheit Ihres Servers zu erhöhen, empfehlen wir dringend, SSH-Schlüssel anstelle der Verwendung von Passwortauthentifizierung einzurichten. Befolgen Sie unsere Anleitung zum Einrichten von SSH-Schlüsseln unter Debian 11, um zu erfahren, wie Sie die authentifizierung mit Schlüsseln konfigurieren.
Wenn das Root-Konto SSH-Schlüsselauthentifizierung verwendet
Wenn Sie sich bei Ihrem Root-Konto mit SSH-Schlüsseln angemeldet haben, ist die Passwortauthentifizierung für SSH deaktiviert. Sie müssen eine Kopie Ihres lokalen öffentlichen Schlüssels zur Datei ~/.ssh/authorized_keys des neuen Benutzers hinzufügen, um sich erfolgreich anzumelden.
Da sich Ihr öffentlicher Schlüssel bereits in der Datei ~/.ssh/authorized_keys des Root-Kontos auf dem Server befindet, können wir diese Datei und Verzeichnisstruktur mit dem Befehl cp in unser neues Benutzerkonto in unserer bestehenden Sitzung kopieren. Anschließend können wir die Eigentümerschaft der Dateien mit dem Befehl chown anpassen.
Vergewissern Sie sich, dass Sie die markierten Teile des untenstehenden Befehls an den Namen Ihres regulären Benutzers anpassen:
Der Befehl cp -r kopiert das gesamte Verzeichnis in das Heimatverzeichnis des neuen Benutzers, und der Befehl chown -R ändert den Besitzer dieses Verzeichnisses (und alles darin) auf den angegebenen Benutzername:Gruppennamen (Debian erstellt standardmäßig eine Gruppe mit demselben Namen wie Ihr Benutzername).
Öffnen Sie jetzt eine neue Terminal-Sitzung und melden Sie sich über SSH mit Ihrem neuen Benutzernamen an:
Sie sollten sich im neuen Benutzerkonto angemeldet haben, ohne ein Passwort eingeben zu müssen. Denken Sie daran, wenn Sie einen Befehl mit Administratorrechten ausführen müssen, geben Sie vorher sudo ein, so wie hier:
Sie werden aufgefordert, Ihr reguläres Benutzerpasswort einzugeben, wenn Sie sudo das erste Mal in jeder Sitzung verwenden (und gelegentlich danach).
Wo geht es von hier aus weiter?
Zu diesem Zeitpunkt haben Sie eine solide Grundlage für Ihren Server. Sie können jetzt jede Software installieren, die Sie auf Ihrem Server benötigen.
Source:
https://www.digitalocean.com/community/tutorials/initial-server-setup-with-debian-11