Cand creati un nou server, sunt cativa pasi de configurare pe care ar trebui sa ii urmati mai intai ca parte a setarii de baza. Aceasta va creste securitatea si gradul de utilizare a server-ului si va va oferi o baza solida pentru actiunile ulterioare. Pasul Unu – Autentificarea Root Pentru a va autentifica pe server, va trebui sa cunoasteti adresa IP publica si parola contului de utilizator “root”. Daca nu v-ati conectat inca la server-ul dvs. mergeti mai departe si autentificati-va ca utilizator cu drepturi root folosind urmatoarea comanda (inlocuiti cuvintele subliniate cu adresa IP publica a dvs.):
ssh root@SERVER_IP_ADDRESS
Finalizati procesul de autentificare acceptand avertizarea despre autenticitatea host-ului, daca va este solicitata, apoi oferind autentificarea root (parola si cheia privata). Daca este prima data cand va conectati la server, cu parola, vi se va cere sa schimbati parola root.
Despre Root: Utilizatorul root este un utilizator administrativ intr-un mediu Linux care are privilegii extinse.
Din cauza privilegiilor crescute ale contului root, suntem descurajati sa il folosim in mod regulat. Acest lucru se datoreaza faptului ca puterea oferita de drepturile root poate face schimbari distructive, chiar si din greseala.
Pasul urmator este sa configuram un alt cont de utilizator cu drepturi limitate pentru munca de zi cu zi. Va vom arata cum sa obtinem privilegii crescute pentru situatiile cand veti avea nevoie de ele.
Pasul Doi – Crearea Unui Nou Utilizator Odata autentificat ca root, ne vom pregati sa adaugam un nou cont de utilizator pe care sa il folosim de acum inainte. in acest exemplu, vom crea un nou cont de utilizator numit “demo”, dar puteti inlocui numele cu unul care va place:
adduser demo
In continuare, atribuiti o parola noului utilizator (inca o data, substituiti “demo” cu utilizatorul pe care tocmai l-ati creat):
passwd demo
Introduce-ti o parola puternica si repetati-o pentru a o verifica.
Pasul Trei – Drepturile Root Acum, avem un nou cont de utilizator cu drepturi obisnuite. Cu toate aceste, vom avea nevoie uneori sa indeplinim sarcini administrative. Pentru a evita sa deconectarea de la utilizatorul normal si autentificarea in contul cu drepturi root, putem putem configura un “super user” sau drepturi root pentru contul obisnuit. Aceasta va permite utilizatorului obisnuit sa execute comenzi cu drepturi administrative prin adaugarea cuvantului sudo inaintea fiecarei comenzi.
Pentru a adauga aceste drepturi noului utilizator, va trebui sa il adaugam in grupul “wheel”. Implicit, pe CentOS 7, utilizatorii care apartin grupului “wheel” li se permite sa foloseasca comanda sudo. Ca root, rulati aceasta comanda pentru a adauga noul utilizator la grupul wheel (inlocuiti cuvintele ingrosate cu noul utilizator):
gpasswd -a demo wheel
Acum noul utilizator poate rula comenzi cu drepturi de “super user”. Pentru mai multe informatii despre modul in care functioneaza consultati tutorialul sudoers.
Pasul Patru – Adaugarea Autentificarii cu Cheia Publica (Recomandat) Urmatorul pas in securizarea server-ului este configurarea autentificarii cu cheia publica pentru noul utilizator. Configurand aceasta veti creste securitatea server-ului prin solicitarea unei chei private SSH la autentificare. Generarea unei Perechi de Chei Daca nu aveti deja o pereche de chei SSH, care e alcatuita dintr-o cheie publica si una privata, va trebui sa generati una. Daca aveti deja o cheie pe care doriti sa o folositi, sariti la pasul Copiati Cheia Publica. Pentru a genera o noua pereche de chei introduceti urmatoarea comanda:
ssh-keygen
Presupunand ca utilizatorul este numit „localuser”, o sa vedeti un mesaj care va arata ca urmatorul:
ssh-keygen output
Generating public/private rsa key pair.
Enter file in which to save the key (/Users/localuser/.ssh/id_rsa):
Apasati „return” pentru a accepta acest nume si aceasta cale (sau introduceti un nume nou). in continuare vi se va solicita o parola pentru a securiza cheia. Fie introduceti o parola, fie lasati spatiul liber. Observatie: Daca lasati spatiul pentru parola liber, o sa va puteti autentifica folosind cheia privata fara a fi nevoie de parola. Daca introduceti o parola, o sa aveti nevoie de ambele pentru a va loga, atat de cheia privata cat si de parola.
Securizandu-va cheile cu parole este mai sigur, dar ambele metode au utilizarile lor fiind mai sigure decat clasica autentificare cu parola.
Aceasta genereaza o cheie privata, id_rsa, si o cheie publica, id_rsa.pub, in directorul .ssh al utilizatorului localuser.
Nu uitati ca acea cheie privata nu trebuie dezvaluita nici unei persoane care nu are acces la serverul dumneavoastra.
Copierea Cheii Publice Dupa generarea unei perechi de chei SSH, va trebui sa copiati cheia publica pe noul server. Va vom prezenta doua metode simple pentru a face acest lucru.
Metoda 1: Folosirea copiei id-ului ssh Daca computerul dumneavoastra are script-ul ssh-copy-id instalat, il puteti folosi pentru a instala cheia publica pentru orice utilizator pentru care aveti acreditare.
Rulati scriptul ssh-copy-id specificand utilizatorul si adresa IP a server-ului pe care doriti instalarea acestei chei, ca mai jos:
ssh-copy-id demo@SERVER_IP_ADDRESS
Dupa furnizarea parolei, cheia publica va fi adaugata in fisierul utilizatorilor la distanta .ssh/authorized_keys. Cheia privata corespunzatoare poate fi folosita pentru a va loga in server.
Metoda 2: Instalarea manuala a cheii Presupunand ca ati generat o pereche de chei SSH folosind pasul anterior, utilizati urmatoarea comanda pe computerul dumneavoastra pentru a imprima cheia publica (id_rsa.pub):
cat ~/.ssh/id_rsa.pub
Aceasta ar trebui sa va afiseze cheia publica SSH, care ar trebui sa arate ca mai jos:
id_rsa.pub contents
ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQDBGTO0tsVejssuaYR5R3Y/i73SppJAhme1dH7W2c47d4gOqB4izP0+fRLfvbz/tnXFz4iOP/H6eCV05hqUhF+KYRxt9Y8tVMrpDZR2l75o6+xSbUOMu6xN+uVF0T9XzKcxmzTmnV7Na5up3QM3DoSRYX/EP3utr2+zAqpJIfKPLdA74w7g56oYWI9blpnpzxkEd3edVJOivUkpZ4JoenWManvIaSdMTJXMy3MtlQhva+j9CgguyVbUkdzK9KKEuah+pFZvaugtebsU+bllPTB0nlXGIJk98Ie9ZtxuY3nCKneB+KjKiXrAvXUPCI9mWkYS/1rggpFmu3HbXBnWSUdf localuser@machine.local
Selectati cheia publica si copiati-o in clipboard. Adaugarea cheii publice pentru utilizatorul nou de la distanta Pentru activarea utilizarii cheii SSH necesara autentificarii utilizatorilor la distanta, trebuie sa adaugati cheia publica intr-un fisier special directorul home al utilizatorului. Pe server, ca utilizatorul root, introduceti urmatoarea comanda pentru a comuta temporar la noul utilizator (inlocuiti cu propriul nume de utilizator):
su - demo
Acum veti fi in directorul home al utilizatorului dumneavoastra. Creati un nou director numit .ssh si restrictionati accesul cu ajutorul urmatoarelor comenzi:
-
mkdir .ssh
-
chmod 700 .ssh
Deschideti un fisier in .ssh denumit authorized_keys cu un editor de text. Vom folosi editorul vi pentru a edita fisierul:
vi .ssh/authorized_keys
Introduceti insert mode, tastand i, apoi introduceti cheia publica (care ar trebui sa fie copiata in clipboard) lipind-o in editor. Acum apasati ESC pentru a parasi insert mode. Introduceti :x apoi apasati ENTER pentru a salva si inchide fisierul. Acum restrictionati permisiunea fisierului authorized_keys cu aceasta comanda:
chmod 600 .ssh/authorized_keys
Tastati aceasta comanda o data pentru a va intoarce la utilizatorul root:
exit
Acum cheia publica este instalata si puteti folosi cheile SSH pentru a va loga ca utilizator. Pasul Cinci – Configurarea SSH Deamon. Acum ca avem noul cont, putem securiza server-ul inca putin prin modificarea configurarii SSH deamon ( programul care ne permite sa ne conecta la distanta) pentru a refuza accesul de la distanta la contul root:
Incepeti prin a deschide fisierul de configurare cu editorul text ca root:
vi /etc/ssh/sshd_config
Aici avem optiunea de a dezactiva autentificarea root prin SSH. Aceasta este, in general, o setare mai sigura deoarece acum putem accesa server-ul prin intermediul contului de utilizator normal putand folosi privilegiile cand este necesar. Pentru a dezactiva autentificarile root de la distanta, trebuie sa gasim linia care arata ca cea de mai jos:
/etc/ssh/sshd_config (inainte)
#PermitRootLogin yes
Indiciu: Pentru a linia, tastati /PermitRoot apoi apasati ENTER. Acesta ar trebui sa aduca cursorul pe caracterul „P” din linie. Eliminati linia stergand simbolul “#”(apasati Shift-x). Acum mutati cursorul pe “yes” tastand c. inlocuiti “yes” tastand cw, apoi tastand „no”. Apasati Escape cand ati terminat de editat. Ar trebui sa arate ca mai jos:
/etc/ssh/sshd_config (dupa)
PermitRootLogin no
Dezactivarea autentificarii root de la distanta este recomandata pentru fiecare server. Tastati :x apoi ENTER pentru a salva si inchide fisierul. Reload SSH Acum ca am modificarile, va trebui sa repornim serviciul SSH pentru a folosi noua configurare. Pentru a reporni SSH tastati:
systemctl reload sshd
Acum, inainte de a va deconecta de la server, va trebui sa testati noua configurare. Nu trebuie sa va deconectati pana nu aveti confirmarea ca se pot stabili noi conexiuni cu succes. Deschideti o noua fereastra. in noua fereastra, va trebui sa incepem o noua conexiune la server. De aceasta data vom folosi noul cont pe care l-am creat. Pentru server-ul pe care l-am configurat mai sus, conectati-va folosind comanda. inlocuiti cu propriile informatii in cazul in care este necesar:
ssh demo@SERVER_IP_ADDRESS
Observatie: Daca folositi PuTTY pentru a va conecta la servere, asigurati-va ca actualizati numarul sesiunilor port pentru a se potrivi cu setarea curenta a server-ului. Vi se va cere parola noului utilizator pe care ati configurat-o. Dupa aceasta, va veti autentifica cu noul utilizator. Retineti, pentru a rula comenzi cu drepturi root, tastati inainte “sudo ”ca mai jos:
sudo command_to_run
Daca totul este in regula, puteti parasi sesiunea tastand:
exit
Ce puteti face mai departe? in acest moment aveti o baza solida pentru server-ul dvs. Acum aveti posibilitatea sa instalati orice software aveti nevoie pe server. Daca nu sunteti siguri inca ce doriti sa faceti cu server-ul dvs., puteti citi cu atentie celelalte articole de pe blog. Cele mai populare idei sunt configurarea grupului LAMP sau a grupului LEMP, care va permit sa gazduiti site-uri web.
Facebook Twitter