Jan 23, 2018
Начальная настройка сервера с Ubuntu
Совместимо с версиями 14–22
Введение
Если вы разворачиваете сервер в сети интернет, то его необходимо настроить для удобного использования и безопасности. В данной статье описаны шаги для достижения этих целей.
Шаг 1 — первое подключение
Для входа на сервер и управления им используется подключение через SSH клиент. Протокол SSH обеспечивает зашифрованную передачу данных при общении с сервером, так что никто кроме вас не сможет подсмотреть, что именно вы делаете. Даже в момент создания подключения логин и пароль передаются в зашифрованном виде.
Для подключения вам понадобится публичный IP адрес сервера и пароль учетной записи root.
Вы можете подключиться к серверу по SSH, если выполните указанную ниже команду, заменив USER на имя вашего пользователя и IP_ADDRESS на IP адрес вашего сервера:
ssh USER@IP_ADDRESSПри первом подключении к серверу ваш компьютер ничего не знает о нем, в связи с чем вы увидите сообщение:
The authenticity of host '203.0.113.0 (203.0.113.0)' can't be established.
ECDSA key fingerprint is SHA256:IcLk6dLi+0yTOB6d7x1GMgExamplewZ2BuMn5/I5Jvo.
Are you sure you want to continue connecting (yes/no)? yesНапечатайте yes и нажмите Enter.
Далее система предложит вам ввести пароль учетной записи, используемой при подключении. Введите его и нажмите Enter. После успешного подключения вы увидите приветствие системы, а поле ввода в интерпретаторе команд будет начинаться со строки root@ServerName:~$. Это очень удобно, так как при выполнении команд вы всегда видите имя сервера, а не имя своего домашнего или рабочего компьютера, и всегда можете убедиться, что ничего не сломаете.
Шаг 2 — смена пароля root
Сразу после первого подключения стоит изменить стандартный пароль учетной записи root. Для этого выполните команду:
passwdСистема предложит вам ввести новый пароль и его подтверждение. Подтверждение необходимо для удостоверения в том, что вы не ошиблись, когда печатали пароль.
Придумывайте как можно более сложные пароли — от этого напрямую зависит безопасность сервера. Короткие пароли, состоящие из настоящих слов, очень легко подобрать по словарю. Лучше всего будет, если длина пароля будет более 12 символов, включая строчные и прописные буквы, цифры и служебные символы.
Чтобы создать случайный пароль в 24 символа, включающий буквы различных регистров и цифры, вы можете воспользоваться командой:
head /dev/urandom | tr -dc A-Za-z0-9 | head -c 24 ; echo ''Шаг 3 — создание нового пользователя
Учетная запись root является администратором ОС Linux. От его имени следует выполнять только самые важные задачи, которые требуют особых привилегий. Из-за того, что он обладает неограниченными правами, следует обезопасить себя и создать специального пользователя для подключения к серверу. При этом доступ к серверу через SSH под root следует запретить.
Нового пользователя можно создать командой:
adduser ИМЯ_ПОЛЬЗОВАТЕЛЯ_СИСТЕМЫВам зададут несколько вопросов, первым из которых будет пароль для новой учетной записи. Его так же нужно сделать как можно более сложным. Можете воспользоваться тем же способом, что и при создании пароля для root.
Вводить дополнительную информацию не обязательно. Можно просто нажать Enter в любом поле.
Шаг 4 — привилегии пользователя
Теперь у вас есть учетная запись со стандартными привилегиями для работы с сервером. Однако, иногда необходима возможность выполнять команды с повышенными привилегиями от лица созданного вами пользователя.
Чтобы выполнить команду с повышенными привилегиями, нужно сделать это в режиме “супер-пользователя”, добавив к началу команды слово sudo. Однако, по умолчанию пользователи не обладают таким правом.
Чтобы предоставить возможность использовать команду sudo в Ubuntu есть несколько способов.
Первый способ — добавить пользователя в группу sudo. В Ubuntu все пользователи, находящиеся в данной группе могут выполнять команды в режиме “супер-пользователя”. Для этого выполните команду:
usermod -aG sudo ИМЯ_ПОЛЬЗОВАТЕЛЯ_СИСТЕМЫВторой способ — выдать пользователю права на выполнение команды sudo по его имени.
Я предпочитаю второй способ, так как он явно указывает на привилегии конкретного пользователя, когда в первом способе легко забыть, что пользователь находится в группе sudo, или что все пользователи в этой группе обладают определенными правами.
Разрешения на команду sudo находятся в файле /etc/sudoers. Для просмотра и редактирования файлов я предпочитаю использовать программу vim, которую можно установить указанной ниже командой, но вы можете воспользоваться любым другим удобным вам способом.
apt-get install vimИтак, в файле /etc/sudoers уже должна быть такая строчка:
root ALL=(ALL) ALLЕе присутствие позволяет пользователю или группе root (первый параметр), исполнять на любой машине (второй параметр) команды, указанные в третьем параметре (после знака равно).
Аналогичным способом нужно наделить нового пользователя правом на команду sudo, добавив в файл следующую строку:
ИМЯ_ПОЛЬЗОВАТЕЛЯ_СИСТЕМЫ ALL=(ALL) ALLЕсли внимательно посмотреть содержание файла /etc/sudoers, то в нем можно увидеть строчку sudo ALL=(ALL:ALL) ALL, которая дает права группе sudo на использование соответствующей команды.
Шаг 5 — запрет подключения через SSH под root
Возможность подключиться к серверу через SSH под учетной записью root, это дырка в безопасности, которую хотелось бы закрыть.
Так как мы создали специального пользователя для управления сервером, который наделен всеми необходимыми правами, то доступ под root к SSH там больше не нужен.
Изменим настройки ssh сервера. Запретим логин под root, доступ по доменному имени и разрешим логин только под нашим новым пользователем.
Для этого нужно внести в файл /etc/ssh/sshd_config следующие изменения:
PermitRootLogin no
UseDNS no
AllowUsers ИМЯ_ПОЛЬЗОВАТЕЛЯ_СИСТЕМЫВозможно, директивы PermitRootLogin и UseDNS уже присутствуют в файле, и необходимо просто задать им нужное значение.
Если вы используете Ubuntu 14, то перезапустите ssh сервер командой:
reload sshИли для Ubuntu ≥ 16:
service ssh restartШаг 6 — смена порта для SSH
Для дополнительной защиты можно сменить порт SSH, который по умолчанию имеет значение 22:
Port 50683Выбирайте значение между 49152 и 65535, это диапазон динамических портов (частных). Можно воспользоваться командой shuf для случайного выбора в этом диапазоне:
shuf -i 49152-65535 -n 1На всякий случай можно проверить, не занят ли выбранный порт. Выполните указанную ниже команду. Если результат выполнения пустой, значит порт свободен:
sudo lsof -i :22Если вы используете Ubuntu 14, то перезапустите ssh сервер командой:
reload sshИли для Ubuntu ≥ 16:
service ssh restartШаг 7— Настройка авторизации по открытому ключу (Рекомендуется)
Намного удобнее и безопаснее способ авторизации по ключу, а вход по паролю может быть даже и вовсе заблокирован. Обращение к системе по SSH не вполне безопасно. Злоумышленники могут подсмотреть пароль, когда вы будете вводить его в другой программе. Так же, если у вас множество серверов, то все пароли запомнить довольно проблематично, особенно если они состоят из набора букв и цифр. Поэтому лучше для авторизации использовать ключи, которые и так защищены дальше некуда.
Для начала проверьте, существует ли на вашем локальном компьютере папка /home/ВАШ_ПОЛЬЗОВАТЕЛЬ/.ssh. Если нет, то создайте ее командой:
mkdir ~/.sshДля генерации ключа выполните команду:
ssh-keygen -t rsa -f ~/.ssh/myrsakeyЕсли не указать имя файла, то по умолчанию он будет создан в каталоге ~/.ssh с именем id_rsa.
После выполнения команды система предложит вам ввести кодовую фразу для ключа и повторить ее для минимизации опечаток. Если ее указать, то в момент подключения по SSH вместо введения пароля вам нужно будет ввести эту самую фразу. Кодовой фразой может быть любое короткое запоминающееся предложение. Если при создании ключа фразу не указывать, то и при подключении вводить ее не придется. Более защищенным вариантом будет подключение с кодовой фразой, но и подключение без нее будет лучше, чем подключение по паролю:
Generating public/private rsa key pair.
Enter passphrase (empty for no passphrase):
Enter same passphrase again:После успешного создания ключа вы увидите сообщение о том, что создались секретный и открытый ключи:
Your identification has been saved in /home/ВАШ_ПОЛЬЗОВАТЕЛЬ/.ssh/myrsakey.
Your public key has been saved in /home/ВАШ_ПОЛЬЗОВАТЕЛЬ/.ssh/myrsakey.pubОтобразите на экране содержание файла myrsakey.pub:
cat ~/.ssh/myrsakey.pubВы должны увидеть примерно следующее:
ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQDBGTO0tsVejssuaYR5R3Y/i73SppJAhme1dH7W2c47d4gOqB4izP0+fRLfvbz/tnXFz4iOP/H6eCV05hqUhF+KYRxt9Y8tVMrpDZR2l75o6+xSbUOMu6xN+uVF0T9XzKcxmzTmnV7Na5up3QM3DoSRYX/EP3utr2+zAqpJIfKPLdA74w7g56oYWI9blpnpzxkEd3edVJOivUkpZ4JoenWManvIaSdMTJXMy3MtlQhva+j9CgguyVbUkdzK9KKEuah+pFZvaugtebsU+bllPTB0nlXGIJk98Ie9ZtxuY3nCKneB+KjKiXrAvXUPCI9mWkYS/1rggpFmu3HbXBnWSUdf localuser@machine.localНа сервере, осуществив вход под созданным вами пользователем, создайте новую директорию под названием .ssh и ограничьте права на доступ к ней при помощи следующих команд:
mkdir ~/.ssh
chmod 700 ~/.sshТеперь создайте или откройте файл в директории .ssh с названием authorized_keys в текстовом редакторе и добавьте в его конец содержание файла ~/.ssh/myrsakey.pub с вашего локального компьютера. Только убедитесь, что владельцем файла authorized_keys является пользователь, под которым вы осуществляете подключение к серверу.
Далее ограничьте права на доступ к файлу authorized_keys при помощи следующей команды:
chmod 600 ~/.ssh/authorized_keysТеперь вы можете заходить на сервер по SSH с учетной записью вашего нового пользователя, используя закрытый ключ для авторизации:
ssh -i ~/.ssh/myrsakey ИМЯ_ПОЛЬЗОВАТЕЛЯ_СИСТЕМЫ@IP_адрес_сервераЕсли при создании ключа вы указали кодовую фразу, то ее необходимо будет ввести.
Если при подключении по ключу выдаётся ошибка “authentication error”, добавьте в файл /etc/ssh/sshd_config следующие строки:
PubkeyAcceptedKeyTypes=+ssh-rsaИтак, вход по ключу настроен. Если вы хотите отключить доступ по паролю, то добавьте строчку PasswordAuthentication no в файл /etc/ssh/sshd_config и перезапустить ssh сервер.
Заключение
Теперь ваш сервер имеет удобный доступ и минимальную защиту, с которыми можно начинать работу.
