הגדרת התקנה ראשונית עם Debian 11

מדריכים

הקדמה

כאשר אתה יוצר שרת Debian 11 חדש, ישנם מספר שלבי הגדרה שעליך לבצע בשלב מוקדם כחלק מההגדרה הבסיסית. זה ישפר את האבטחה ואת נגישות השרת שלך ויתן לך בסיס יציב לפעולות נוספות.

במדריך זה, נלמד כיצד להתחבר לשרת שלנו כמשתמש root, ליצור משתמש חדש עם הרשאות מנהל, ולהגדיר גישה מהסיסמה הבסיסית.

שלב 1 — כניסה כמשתמש Root

כדי להיכנס לשרת שלך, תצטרך לדעת את כתובת ה־IP הציבורית של השרת שלך. תצטרך גם את הסיסמה או, אם התקנת מפתח SSH לאימות, את המפתח הפרטי של חשבון ה־root. אם עדיין לא התחברת לשרת שלך, כדאי לעקוב אחר המדריך שלנו על כיצד להתחבר ל־Droplet שלך באמצעות SSH, שמסביר את התהליך בפרטיות.

אם עדיין לא מחובר לשרת, התחבר כמשתמש root באמצעות הפקודה הבאה (החלף את החלק המודגש של הפקודה עם כתובת ה־IP הציבורית של השרת שלך):

  1. ssh root@your_server_ip

קבל את האזהרה על תקינות מארח אם היא מופיעה. אם אתה משתמש באימות באמצעות סיסמה, ספק את הסיסמה שלך ל-root כדי להתחבר. אם אתה משתמש במפתח SSH שמוגן בסיסמה, ייתכן שישיבוש יתבקש להזין את הסיסמה האישית בפעם הראשונה שאתה משתמש במפתח בכל סשן. אם זה הפעם הראשונה שלך שאתה מתחבר לשרת באמצעות סיסמה, ייתכן גם שיתבקש ממך לשנות את הסיסמה של root.

אודות Root

משתמש ה-root הוא המשתמש המנהלי בסביבת Linux שיש לו סמכויות רחבות מאוד. עקב הסמכויות הגבוהות של חשבון ה-root, אין לך מומלץ להשתמש בו באופן קבוע. זה כי חלק מהכוח הקיים בחשבון ה-root הוא היכולת לבצע שינויים מאוד הרסניים, אפילו בטעות.

השלב הבא הוא להגדיר חשבון משתמש אלטרנטיבי עם טווח השפעה מוזנח לעבודה יומיומית. מאוחר יותר, נסביר כיצד להשיג סמכויות מורחבות לפעמים שבהן נדרש.

שלב 2 — יצירת משתמש חדש

פעם שאתה מחובר כ-root, אנו מוכנים להוסיף את חשבון המשתמש החדש שנשתמש בו להתחבר מעתה ואילך.

הדוגמה הזו יוצרת משתמש חדש בשם sammy, אך אתה צריך להחליף אותו בשם משתמש שאתה מעדיף:

  1. adduser sammy

תתבקש לענות על מספר שאלות, החל מסיסמת החשבון.

הזן סיסמה חזקה ואם תרצה, תוכל למלא גם את המידע הנוסף שתרצה. זה אינו דרוש וניתן פשוט ללחוץ על ENTER בכל שדה שתרצה לדלג עליו.

בשלב הבא, נקבע הרשאות מנהל עבור המשתמש החדש הזה.

שלב 3 — הענקת הרשאות מנהל

עכשיו, יצרנו חשבון משתמש חדש עם זכויות חשבון רגילות. אולם, לפעמים עשויים להיות צורך בביצוע משימות מנהליות עם זה.

כדי למנוע מאיתנו להתנתק מהמשתמש הרגיל שלנו ולהתחבר מחדש כמשתמש השורש (root), אנו יכולים להגדיר מה שנקרא כרשאות משתמש על או root עבור המשתמש הרגיל שלנו. זה יאפשר למשתמש הרגיל שלנו להריץ פקודות עם זכויות מנהליות על ידי הוספת המילה sudo לפני הפקודה.

כדי להוסיף את הרשאות אלה למשתמש החדש שלנו, אנו צריכים להוסיף את המשתמש החדש לקבוצת sudo. כברירת מחדל, ב־Debian 11, משתמשים שמשתייכים לקבוצת sudo מורשים להשתמש בפקודת sudo.

כמשתמש root, הרץ את הפקודה הזו כדי להוסיף את המשתמש החדש שלך לקבוצת sudo (החלף את המילה המודגשת במשתמש החדש שלך):

  1. usermod -aG sudo sammy

עכשיו, כאשר מחוברים כמשתמש רגיל, ניתן להקליד sudo לפני פקודות כדי להריץ את הפקודה עם הרשאות מנהל מערכת.

שלב 4 — הגדרת חומת אש בסיסית

שרתי Debian יכולים להשתמש בחומות אש כדי לוודא כי רק חיבורים מסוימים לשירותים ספציפיים מאושרים. במדריך זה, נתקין ונשתמש בחומת האש UFW כדי לעזור בהגדרת מדיניות חומת אש וניהול יוצאים.

ניתן להשתמש במנהל החבילות apt כדי להתקין את UFW. עדכן את האינדקס המקומי כדי לקבל את המידע האחרון על חבילות זמינות ואז להתקין את תוכנת חומת האש UFW על ידי הקלדה של: 

  1. apt update

  2. apt install ufw

הערה: אם השרתים שלך פועלים על DigitalOcean, תוכל להשתמש בחומות אש של DigitalOcean Cloud Firewalls כחלפות לחומת האש UFW. אנו ממליצים להשתמש בפעם אחת בלבד בחומת אש כדי למנוע כללי חוק שיכולים להיות קונפליקטיים וקשים לאיתור.

פרופילי חומת אש מאפשרים ל-UFW לנהל סטים של כללי חומת אש בשם עבור אפליקציות מותקנות. פרופילים עבור תוכנה נפוצה מסוימת מצורפים עם UFW כברירת מחדל וחבילות יכולות לרשום פרופילים נוספים עם UFW במהלך תהליך ההתקנה. OpenSSH, השירות שמאפשר לנו להתחבר לשרת שלנו כעת, מכיל פרופיל חומת אש שנוכל להשתמש בו.

ניתן לרשום את כל פרופילי האפליקציה הזמינים על ידי הקלדת:

  1. ufw app list



Output
Available applications:
 . . .
 OpenSSH
 . . .

אנו צריכים לוודא שגדר האש מאפשר חיבורי SSH כך שנוכל להתחבר שוב בפעם הבאה. אנו יכולים לאפשר את החיבורים האלה על ידי הקלדת:

  1. ufw allow OpenSSH

לאחר מכן, אנו יכולים להפעיל את גדר האש על ידי הקלדה:

  1. ufw enable

הקלד y ולחץ על ENTER כדי להמשיך. תוכל לראות שחיבורי SSH עדיין מאופשרים על ידי הקלדה:

  1. ufw status



Output
Status: active

To             Action   From
--             ------   ----
OpenSSH          ALLOW    Anywhere
OpenSSH (v6)     ALLOW    Anywhere (v6)

מאחר שגדר האש חוסם כרגע את כל החיבורים חוץ מ-SSH, אם תתקין ותגדיר שירותים נוספים, יהיה עליך להתאים את הגדרות גדר האש כך שיאפשרו תעבורה ראויה. תוכל ללמוד כמה פעולות UFW נפוצות במדריך מדריך אופציות השימוש החיוניות של UFW שלנו.

שלב 5 — הפעלת גישה חיצונית עבור המשתמש הרגיל שלך

עכשיו שיש לנו משתמש רגיל לשימוש יומיומי, אנו צריכים לוודא שנוכל להתחבר ב-SSH לחשבון ישירות.

הערה: עד לאישור שאתה יכול להתחבר ולהשתמש ב־sudo עם המשתמש החדש שלך, אנו ממליצים להישאר מחוברים כ־root. בכך, אם יש לך בעיות, תוכל לאתר ולבצע שינויים נדרשים כ־root. אם אתה משתמש ב־DigitalOcean Droplet וחווית בעיות עם חיבור ה־SSH שלך כ־root, תוכל גם להתחבר ל־Droplet באמצעות DigitalOcean Console.

התהליך להגדרת גישת SSH עבור המשתמש החדש שלך תלוי באם חשבון ה־root של השרת שלך משתמש בסיסמה או מפתחות SSH לאימות.

אם חשבון ה־Root משתמש באימות באמצעות סיסמה

אם התחברת לחשבון ה־root שלך באמצעות סיסמה, אז אימות באמצעות סיסמה מופעל עבור SSH. תוכל להתחבר לחשבון המשתמש החדש שלך באמצעות SSH על ידי פתיחת סשן טרמינל חדש ושימוש ב־SSH עם שם המשתמש החדש שלך:

  1. ssh sammy@your_server_ip

לאחר שתזין את הסיסמה של המשתמש הרגיל שלך, תתחבר. זכור, אם תצטרך להפעיל פקודה עם הרשאות מנהל, הקלד sudo לפני זאת כך:

  1. sudo command_to_run

תתבקש להזין את סיסמת המשתמש הרגיל שלך כאשר משתמשים ב־sudo לראשונה בכל סשן (ולעיתים לאחר מכן).

כדי לשפר את אבטחת השרת שלך, אנו ממליצים בחום על הגדרת מפתחות SSH במקום השימוש באימות בסיסמה. עקוב אחר המדריך שלנו על הגדרת מפתחות SSH ב- Debian 11 כדי ללמוד כיצד להגדיר אימות מבוסס מפתחות.

אם חשבון השורש משתמש באימות מפתחות SSH

אם התחברת לחשבון ה-root באמצעות מפתחות SSH, אז האימות בסיסמה מושבת עבור SSH. תצטרך להוסיף העתק של מפתח הציבור המקומי שלך לקובץ ~/.ssh/authorized_keys של המשתמש החדש כדי להתחבר בהצלחה.

מכיוון שהמפתח הציבורי שלך כבר נמצא בקובץ ~/.ssh/authorized_keys של חשבון ה-root בשרת, נוכל להעתיק את הקובץ ואת מבנה התיקייה לחשבון המשתמש החדש שלנו בהפעלה הקיימת שלנו באמצעות הפקודה cp. לאחר מכן, נוכל להתאים את הבעלות על הקבצים באמצעות הפקודה chown.

ודא שאתה משנה את חלקי הפקודה המודגשים למתאימים לשם המשתמש הרגיל שלך:

  1. cp -r ~/.ssh /home/sammy

  2. chown -R sammy:sammy /home/sammy/.ssh

הפקודה cp -r מעתיקה את כל התיקייה לתיקיית הבית החדשה של המשתמש, והפקודה chown -R משנה את בעל התיקייה (והכל בתוכה) לשם משתמש:שם קבוצה שצוין (ב־Debian נוצרת קבוצה בשם זהה לשם המשתמש שלך כברירת מחדל).

עכשיו, פתח חלון טרמינל חדש והתחבר באמצעות SSH עם שם המשתמש החדש שלך:

  1. ssh sammy@your_server_ip

עליך להתחבר לחשבון המשתמש החדש בלי להשתמש בסיסמה. זכור, אם נדרש להריץ פקודה עם הרשאות מנהל, הקלד sudo לפני כך כך:

  1. sudo command_to_run

תתבקש להזין את סיסמתך הרגילה כאשר משתמשים ב־sudo בפעם הראשונה בכל יום (ומדי פעם לאחר מכן).

לאן ללכת מכאן?

בנקודה זו, יש לך בסיס חזק לשרת שלך. עכשיו אתה יכול להתקין את כל התוכנות שאתה צריך על השרת שלך.

Source:
https://www.digitalocean.com/community/tutorials/initial-server-setup-with-debian-11