Configurazione iniziale del server con Ubuntu 20.04

Tutorial

Introduzione

Quando crei un nuovo server Ubuntu 20.04, dovresti eseguire alcune importanti operazioni di configurazione come parte dell’impostazione iniziale. Queste operazioni aumenteranno la sicurezza e la facilità d’uso del tuo server e ti forniranno una solida base per le azioni successive.

Quando crei un DigitalOcean Droplet, puoi scegliere una versione di Ubuntu che verrà aggiunta automaticamente al tuo nuovo Droplet. Semplifica la tua configurazione con le nostre soluzioni già pronte.

Passaggio 1 — Accesso come root

Per accedere al tuo server, avrai bisogno di conoscere l’indirizzo IP pubblico del tuo server. Avrai anche bisogno della password o — se hai installato una chiave SSH per l’autenticazione — della chiave privata dell’account dell’utente root. Se non hai ancora effettuato l’accesso al tuo server, potresti voler seguire la nostra guida su come collegarsi ai Droplet con SSH, che copre questo processo in dettaglio.

Se non sei già connesso al tuo server, accedi ora come utente root utilizzando il seguente comando (sostituisci la parte evidenziata del comando con l’indirizzo IP pubblico del tuo server):

  1. ssh root@your_server_ip

Accetta l’avviso sull’autenticità dell’host se compare. Se stai utilizzando l’autenticazione tramite password, fornisci la tua password root per accedere. Se stai utilizzando una chiave SSH protetta da passphrase, potresti essere invitato a inserire la passphrase la prima volta che utilizzi la chiave durante ogni sessione. Se è la tua prima volta che accedi al server con una password, potresti anche essere invitato a cambiare la password di root.

Informazioni su root

L’utente root è l’utente amministratore in un ambiente Linux che ha privilegi molto ampi. A causa dei privilegi elevati dell’account root, è sconsigliato utilizzarlo regolarmente. Questo perché l’account root è in grado di apportare modifiche molto distruttive, anche per errore.

Il passo successivo è configurare un nuovo account utente con privilegi ridotti per l’uso quotidiano. In seguito, ti mostreremo come ottenere temporaneamente privilegi aumentati nei momenti in cui ne hai bisogno.

Passo 2 — Creazione di un Nuovo Utente

Una volta effettuato l’accesso come root, sarai in grado di aggiungere il nuovo account utente. In futuro, effettueremo l’accesso con questo nuovo account anziché con root.

In questo esempio viene creato un nuovo utente chiamato sammy, ma dovresti sostituirlo con un nome utente che ti piace:

  1. adduser sammy

Ti verranno poste alcune domande, iniziando dalla password dell’account.

Inserisci una password sicura e, facoltativamente, compila eventuali informazioni aggiuntive se desideri. Questo non è obbligatorio e puoi semplicemente premere INVIO in qualsiasi campo desideri saltare.

Passaggio 3 — Concessione di Privilegi Amministrativi

Ora abbiamo un nuovo account utente con privilegi di account regolari. Tuttavia, potremmo avere bisogno a volte di eseguire attività amministrative.

Per evitare di dover effettuare il logout dal nostro utente normale e effettuare nuovamente l’accesso con l’account root, possiamo configurare ciò che è noto come privilegi superutente o root per il nostro utente normale. Ciò consentirà al nostro utente normale di eseguire comandi con privilegi amministrativi ponendo la parola sudo prima del comando.

Per aggiungere questi privilegi al nostro nuovo utente, dobbiamo aggiungere l’utente al gruppo sudo. Per impostazione predefinita, su Ubuntu 20.04, gli utenti che fanno parte del gruppo sudo sono autorizzati a utilizzare il comando sudo.

Come root, esegui questo comando per aggiungere il tuo nuovo utente al gruppo sudo (sostituisci il nome utente evidenziato con il tuo nuovo utente):

  1. usermod -aG sudo sammy

Ora, quando sei loggato come il tuo utente regolare, puoi digitare sudo prima dei comandi per eseguirli con privilegi di superutente.

Passaggio 4 — Configurazione di un firewall di base

I server Ubuntu 20.04 possono utilizzare il firewall UFW per garantire che siano consentite solo connessioni a determinati servizi. Possiamo configurare un firewall di base utilizzando questa applicazione.

Nota: Se i tuoi server sono in esecuzione su DigitalOcean, puoi eventualmente utilizzare i Firewall Cloud DigitalOcean invece del firewall UFW. Consigliamo di utilizzare un solo firewall alla volta per evitare regole in conflitto che potrebbero essere difficili da risolvere.

Le applicazioni possono registrare i loro profili con UFW durante l’installazione. Questi profili consentono a UFW di gestire queste applicazioni per nome. OpenSSH, il servizio che ci consente di connetterci al nostro server ora, ha un profilo registrato con UFW.

Puoi vedere questo digitando:

  1. ufw app list



Output
Available applications:
  OpenSSH

Dobbiamo assicurarci che il firewall consenta le connessioni SSH in modo che possiamo accedere di nuovo la prossima volta. Possiamo consentire queste connessioni digitando:

  1. ufw allow OpenSSH

In seguito, possiamo abilitare il firewall digitando:

  1. ufw enable

Digita y e premi INVIO per procedere. Puoi vedere che le connessioni SSH sono ancora consentite digitando:

  1. ufw status



Output
Status: active

To                         Action      From
--                         ------      ----
OpenSSH                    ALLOW       Anywhere
OpenSSH (v6)               ALLOW       Anywhere (v6)

Poiché il firewall attualmente blocca tutte le connessioni tranne quelle SSH, se installi e configurare servizi aggiuntivi, sarà necessario modificare le impostazioni del firewall per consentire il traffico. Puoi apprendere alcune operazioni comuni di UFW nella nostra guida UFW Essentials.

Passaggio 5 — Abilitare l’Accesso Esterno per il Tuo Utente Normale

Ora che abbiamo un utente normale per l’uso quotidiano, dobbiamo assicurarci di poter accedere via SSH direttamente all’account.

Nota: Fino a quando non verifichi di poter accedere e utilizzare sudo con il tuo nuovo utente, ti consigliamo di rimanere connesso come root. In questo modo, se riscontri problemi, puoi risolverli e apportare eventuali modifiche necessarie come root. Se stai utilizzando un Droplet DigitalOcean e riscontri problemi con la connessione SSH di root, puoi riottenere l’accesso ai Droplet utilizzando la Console di Ripristino.

Il processo per configurare l’accesso SSH per il tuo nuovo utente dipende dal fatto che l’account root del tuo server utilizzi una password o chiavi SSH per l’autenticazione.

Se l’account root utilizza l’autenticazione tramite password

Se hai effettuato l’accesso al tuo account root utilizzando una password, allora l’autenticazione tramite password è abilitata per SSH. Puoi accedere via SSH al tuo nuovo account utente aprendo una nuova sessione terminale e utilizzando SSH con il tuo nuovo nome utente:

  1. ssh sammy@your_server_ip

Dopo aver inserito la password del tuo utente normale, verrai connesso. Ricorda, se devi eseguire un comando con privilegi amministrativi, digita sudo prima come questo:

  1. sudo command_to_run

Ti verrà richiesta la password del tuo utente normale quando utilizzi sudo per la prima volta in ogni sessione (e periodicamente in seguito).

Per migliorare la sicurezza del tuo server, ti consigliamo vivamente di configurare le chiavi SSH invece di utilizzare l’autenticazione tramite password. Segui la nostra guida su come configurare le chiavi SSH su Ubuntu 20.04 per imparare come configurare l’autenticazione basata su chiave.

Se l’account root utilizza l’autenticazione tramite chiave SSH

Se hai effettuato l’accesso al tuo account root utilizzando le chiavi SSH, allora l’autenticazione tramite password è disabilitata per SSH. Dovrai aggiungere una copia della tua chiave pubblica locale al file ~/.ssh/authorized_keys del nuovo utente per effettuare l’accesso con successo.

Dato che la tua chiave pubblica è già presente nel file ~/.ssh/authorized_keys dell’account root sul server, possiamo copiare quel file e la struttura delle directory nel nostro nuovo account utente nella sessione esistente.

Il modo più semplice per copiare i file con i permessi e i proprietari corretti è utilizzare il comando rsync. Questo copierà la directory .ssh dell’utente root, preservando i permessi e modificando i proprietari dei file, tutto in un unico comando. Assicurati di modificare le parti evidenziate nel comando qui sotto per corrispondere al nome del tuo utente regolare:

Nota: Il comando rsync tratta in modo diverso le sorgenti e le destinazioni che terminano con una barra obliqua finale rispetto a quelle senza barra obliqua finale. Quando si utilizza rsync di seguito, assicurarsi che la directory di origine (~/.ssh) non includa una barra obliqua finale (controllare per essere sicuri di non utilizzare ~/.ssh/).

Se si aggiunge accidentalmente una barra obliqua finale al comando, rsync copierà i contenuti della directory ~/.ssh dell’account root nella directory home dell’utente sudo invece di copiare l’intera struttura della directory ~/.ssh. I file saranno nella posizione sbagliata e SSH non sarà in grado di trovarli e utilizzarli.

  1. rsync --archive --chown=sammy:sammy ~/.ssh /home/sammy

Ora, apri una nuova sessione terminale sul tuo computer locale e utilizza SSH con il tuo nuovo nome utente:

  1. ssh sammy@your_server_ip

Dovresti essere loggato nel nuovo account utente senza utilizzare una password. Ricorda, se devi eseguire un comando con privilegi amministrativi, digita sudo prima come questo:

  1. sudo command_to_run

Ti verrà richiesta la password del tuo utente regolare quando utilizzi sudo per la prima volta in ogni sessione (e periodicamente dopo).

Cosa fare ora?

A questo punto, hai una solida base per il tuo server. Ora puoi installare qualsiasi software di cui hai bisogno sul tuo server.

Source:
https://www.digitalocean.com/community/tutorials/initial-server-setup-with-ubuntu-20-04