Начальная настройка сервера с Debian 11

Учебники

Введение

При первоначальной настройке нового сервера Debian 11 есть несколько шагов конфигурации, которые вам следует выполнить в самом начале в рамках базовой настройки. Это повысит безопасность и удобство использования вашего сервера и обеспечит прочный фундамент для последующих действий.

В этом учебнике мы узнаем, как войти на наш сервер от имени пользователя root, создать нового пользователя с правами администратора и настроить базовый брандмауэр.

Шаг 1 — Вход от имени Root

Для входа на ваш сервер вам понадобится знать публичный IP-адрес сервера. Вам также понадобится пароль или, если вы установили ключ SSH для аутентификации, закрытый ключ для учетной записи пользователя root. Если вы еще не вошли на свой сервер, вам может быть полезна наша инструкция о том, как подключиться к вашему Droplet с помощью SSH, которая подробно описывает этот процесс.

Если вы еще не подключены к своему серверу, перейдите и войдите от имени пользователя root с помощью следующей команды (замените выделенную часть команды на публичный IP-адрес вашего сервера):

  1. ssh root@your_server_ip

Примите предупреждение о подлинности хоста, если оно появится. Если вы используете аутентификацию по паролю, укажите ваш пароль root, чтобы войти в систему. Если вы используете SSH-ключ, защищенный паролем, вам может быть предложено ввести пароль при первом использовании ключа в каждой сессии. Если это ваш первый вход в систему с паролем, вам также может быть предложено изменить пароль root.

О пользователе root

Пользователь root является административным пользователем в среде Linux, обладающим очень широкими привилегиями. Из-за повышенных привилегий учетной записи root рекомендуется не использовать ее регулярно. Это связано с тем, что часть власти, присущей учетной записи root, заключается в возможности совершать очень разрушительные изменения, даже случайно.

Следующим шагом будет настройка альтернативной учетной записи пользователя с ограниченным объемом влияния для повседневной работы. Позже мы объясним, как получить расширенные привилегии в те моменты, когда они вам нужны.

Шаг 2 — Создание нового пользователя

После входа в систему под root, мы готовы добавить новую учетную запись пользователя, которую мы будем использовать для входа в систему отныне.

Этот пример создает нового пользователя под именем sammy, но вы можете заменить его на имя пользователя, которое вам нравится:

  1. adduser sammy

Вам будет задано несколько вопросов, начиная с пароля для учетной записи.

Введите надежный пароль и, при необходимости, заполните любую дополнительную информацию. Это необязательно, и вы можете просто нажать ENTER в любом поле, которое хотите пропустить.

Затем мы настроим этого нового пользователя с правами администратора.

Шаг 3 — Предоставление административных привилегий

Теперь мы создали новую учетную запись пользователя с обычными правами учетной записи. Однако иногда нам может потребоваться выполнять административные задачи.

Чтобы избежать необходимости выхода из нашей обычной учетной записи и входа обратно как пользователь root, мы можем настроить то, что известно как суперпользователь или root привилегии для нашей обычной учетной записи. Это позволит нашему обычному пользователю выполнять команды с административными привилегиями, добавляя перед командой слово sudo.

Чтобы добавить эти привилегии нашему новому пользователю, нам нужно добавить нового пользователя в группу sudo. По умолчанию в Debian 11 пользователям, принадлежащим к группе sudo, разрешено использовать команду sudo.

От имени root выполните эту команду, чтобы добавить вашего нового пользователя в группу sudo (замените выделенное слово на имя вашего нового пользователя):

  1. usermod -aG sudo sammy

Теперь, когда вы вошли как обычный пользователь, вы можете вводить sudo перед командами, чтобы выполнить команду с привилегиями суперпользователя.

Шаг 4 — Настройка базового брандмауэра

Серверы Debian могут использовать брандмауэры, чтобы разрешить только определенные соединения к определенным службам. В этом руководстве мы установим и используем брандмауэр UFW для настройки политик брандмауэра и управления исключениями.

Мы можем использовать менеджер пакетов apt для установки UFW. Обновите локальный индекс, чтобы получить последнюю информацию о доступных пакетах, а затем установите программное обеспечение брандмауэра UFW, набрав:

  1. apt update

  2. apt install ufw

Примечание: Если ваши серверы работают на DigitalOcean, вы можете по желанию использовать Брандмауэры DigitalOcean Cloud вместо брандмауэра UFW. Мы рекомендуем использовать только один брандмауэр одновременно, чтобы избежать конфликтующих правил, которые могут быть сложными для отладки.

Профили брандмауэра позволяют UFW управлять наборами именованных правил брандмауэра для установленных приложений. Профили для некоторого распространенного программного обеспечения по умолчанию поставляются с UFW, а пакеты могут регистрировать дополнительные профили с UFW во время процесса установки. OpenSSH, служба, позволяющая нам подключаться к нашему серверу сейчас, имеет профиль брандмауэра, который мы можем использовать.

Вы можете просмотреть список всех доступных профилей приложений, набрав:

  1. ufw app list



Output
Available applications:
 . . .
 OpenSSH
 . . .

Мы должны убедиться, что брандмауэр разрешает подключения SSH, чтобы мы могли войти в систему в следующий раз. Мы можем разрешить эти подключения, введя: 

  1. ufw allow OpenSSH

Затем мы можем включить брандмауэр, набрав: 

  1. ufw enable

Введите y и нажмите ENTER, чтобы продолжить. Вы можете убедиться, что подключения SSH до сих пор разрешены, набрав: 

  1. ufw status



Output
Status: active

To             Action   From
--             ------   ----
OpenSSH          ALLOW    Anywhere
OpenSSH (v6)     ALLOW    Anywhere (v6)

Поскольку брандмауэр в настоящее время блокирует все подключения, кроме SSH, если вы установите и настроите дополнительные службы, вам потребуется настроить параметры брандмауэра для разрешения приемлемого трафика. Вы можете изучить некоторые распространенные операции с UFW в нашем руководстве по основам UFW.

Шаг 5 — Включение внешнего доступа для вашего обычного пользователя

Теперь, когда у нас есть обычный пользователь для ежедневного использования, нам нужно убедиться, что мы можем подключаться к учетной записи напрямую через SSH.

Примечание: Пока вы не проверите, что можете войти и использовать sudo с вашим новым пользователем, мы рекомендуем оставаться в системе под root. Таким образом, если возникнут проблемы, вы сможете их устранить и внести необходимые изменения от имени root. Если вы используете облако DigitalOcean и столкнулись с проблемами при подключении по SSH от имени пользователя root, вы также можете войти в облако используя консоль DigitalOcean.

Процесс настройки доступа по SSH для вашего нового пользователя зависит от того, использует ли учетная запись root вашего сервера пароль или ключи SSH для аутентификации.

Если учетная запись Root использует аутентификацию по паролю

Если вы вошли в свою учетную запись root с помощью пароля, то аутентификация по паролю включена для SSH. Вы можете подключиться по SSH к новой учетной записи пользователя, открыв новую сеанс терминала и используя SSH с вашим новым именем пользователя:

  1. ssh sammy@your_server_ip

После ввода пароля вашего обычного пользователя вы будете войти. Помните, что если вам нужно выполнить команду с правами администратора, введите sudo перед ней, как здесь:

  1. sudo command_to_run

Вам будет предложено ввести пароль вашего обычного пользователя при использовании sudo в первый раз в каждой сессии (и периодически после этого).

Чтобы улучшить безопасность вашего сервера, настоятельно рекомендуем настроить ключи SSH вместо использования аутентификации по паролю. Следуйте нашему руководству по настройке ключей SSH в Debian 11, чтобы узнать, как настроить аутентификацию на основе ключей.

Если учетная запись Root использует аутентификацию по ключу SSH

Если вы вошли в свою учетную запись root с использованием ключей SSH, то аутентификация по паролю отключена для SSH. Для успешного входа вам потребуется добавить копию вашего локального открытого ключа в файл ~/.ssh/authorized_keys нового пользователя.

Поскольку ваш открытый ключ уже содержится в файле ~/.ssh/authorized_keys учетной записи root на сервере, мы можем скопировать этот файл и структуру каталога в нашу новую учетную запись пользователя в текущей сессии с помощью команды cp. Затем мы можем изменить владельца файлов с помощью команды chown.

Обязательно измените выделенные части команды ниже, чтобы они соответствовали имени вашего обычного пользователя:

  1. cp -r ~/.ssh /home/sammy

  2. chown -R sammy:sammy /home/sammy/.ssh

Команда cp -r копирует всю директорию в домашнюю директорию нового пользователя, а команда chown -R изменяет владельца этой директории (и всего ее содержимого) на указанное значение имя_пользователя:имя_группы (По умолчанию Debian создает группу с таким же именем, как ваше имя пользователя).

Теперь откройте новую сессию терминала и войдите через SSH под вашим новым именем пользователя:

  1. ssh sammy@your_server_ip

Вы должны войти в новую учетную запись пользователя без использования пароля. Помните, что если вам нужно выполнить команду с правами администратора, введите sudo перед ней, так:

  1. sudo command_to_run

Вас попросят ввести пароль вашего обычного пользователя при использовании sudo в первый раз в каждой сессии (и периодически после этого).

Куда идти дальше?

На этом этапе у вас есть надежный фундамент для вашего сервера. Теперь вы можете установить любое необходимое вам программное обеспечение на свой сервер.

Source:
https://www.digitalocean.com/community/tutorials/initial-server-setup-with-debian-11