Setarea initiala a serverului pentru Ubuntu 16.04

Blog: OS
Cand creati pentru prima data un server cu Ubuntu 16.04, exista cativa pasi ce tin de configurare pe care ar trebui sa ii urmati ca parte a setarii de baza. Acest lucru va spori siguranta si gradul de utilizare a serverului oferindu-va o baza solida pentru actiunile ulterioare.

Cand creati pentru prima data un server cu Ubuntu 16.04, exista cativa pasi ce tin de configurare pe care ar trebui sa ii urmati ca parte a setarii de baza. Acest lucru va spori siguranta si gradul de utilizare a serverului oferindu-va o baza solida pentru actiunile ulterioare.

Pasul 1 – Logarea Root

Pentru a va accesa serverul, trebuie sa stiti adresa IP publica a serverului. Veti avea nevoie, de asemenea, de parola, sau in cazul in care ati instalat autentificarea cu parola SSH, de cheia privata pentru contul utilizatorului "root".

Daca nu sunteti deja conectat la server, logati-va ca utilizator root folosind urmatoarea comanda (inlocuiti cuvantul ingrosat cu adresa IP publica a serverului dumneavoastra):

ssh root@SERVER_IP_ADDRESS

Finalizati procesul de logare acceptand avertizarea despre autenticitatea gazda, daca aceasta apare, atunci cand furnizeaza autentificarea root (parola sau cheie privata).

Despre Root

Utilizatorul root este un utilizator administrativ intr-un mediu Linux care are multe privilegii. Din cauza acestor privilegii asupra contului root, sunteti sfatuit sa nu il folositi cu regularitate. Aceasta se datoreaza faptului ca drepturile asupra contului root, pot face modificari distructive chiar si din gresala.

Urmatorul pas este acela de a va crea un cont alternativ, cu drepturi limitate, pentru munca de zi cu zi. Va vom arata cum sa castigati privilegii de-a lungul timpului sau atunci cand aveti nevoie de ele.

Pasul doi – Crearea unui nou utilizator

Odata logat ca utilizator root, sunteti pregatiti sa adaugati un cont nou de utilizator pe care il veti folosi pentru autentificare de acum inainte.

In acest exemplu vom crea un utilizator pe nume "sammy", dar dumneavoastra il puteti inlocui cu numele de utilizator pe care il preferati:

adduser sammy

Vi se vor pune cateva intrebari, prima fiind parola de acces.

Introduceti o parola complexa si, obtional, completati informatii aditionale daca doriti. Acest lucru nu este necesar asa ca puteti apasa ENTER pentru a trece la urmatorul camp.

Pasul trei – Drepturi Root

Acum, avem un cont nou de utilizator cu drepturi obisnuite. Cu toate acestea, uneori,va trebui sa facem si treburi administrative. Pentru  a evita sa va delogati ca utilizator normal si sa va logati ca utilizator root, puteti seta ceea ce se numeste  "superuser" sau drepturi root pentru contul normal. Acest lucru va permite utilizatorului normal sa execute comenzi cu drepturi administrative prin punerea cuvantului sudo inaintea fiecarei comenzi.

Pentru a adauga aceste drepturi noului utilizator, trebuie sa adaugam noul utilizator la grupul "sudo". Implicit, pe Ubuntu 16.04, utilizatorii care apartin grupului "sudo" au dreptul sa foloseasca comenzi sudo.

Ca utilizator root, executati aceasta comanda pentru a adauga noi utilizatori la grupul "sudo" (inlocuiti cuvantul ingrosat cu noul utilizator):

usermod -aG sudo sammy

Acum puteti executa comenzi cu drepturi de "superuser".

Daca doriti sa cresteti securitatea serverului dumneavoastra, urmati restul pasilor din acest tutorial.

Pasul patru – Adauga autentificarea cu cheia publica (Recomandat)

Urmatorul pas in securizarea server-ului dumneavoastra este configurarea cheii publice de autentificare pentru utilizatorul nou. Setand aceasta, securitatea server-ului va creste prin necesitatea introducerii unei chei private SSH.

Generarea unei perechi de chei

Daca nu aveti deja o pereche de chei SSH, care este alcatuita dintr-o cheie publica si una privata, trebuie sa va generati una. Daca aveti deja o cheie pe care doriti sa o folositi, sariti la pasul " Copiati cheia publica".

Pentru a genera o noua pereche de chei introduceti urmatoarea comanda:

ssh-keygen

Presupunand ca utilizatorul este numit "localuser", o sa vedeti un mesaj care va arata ca urmatorul:

ssh-keygen output
Generating public/private rsa key pair.
Enter file in which to save the key (/Users/localuser/.ssh/id_rsa):

Apasati "return" pentru a accepta acest nume si aceasta cale (sau introduceti un nume nou).

In continuare vi se va solicita o parola pentru a securiza cheia. Fie introduceti o parola, fie lasati spatiul liber.

Observatie: Daca lasati spatiul pentru parola liber, o sa va puteti autentifica folosind cheia privata fara a fi nevoie de parola. Daca introduceti o parola, o sa aveti nevoie  de ambele pentru a va loga, atat de cheia privata cat si de parola. Securizandu-va cheile cu parole este mai sigur, dar ambele metode au utilizarile lor fiind mai sigure decat clasica autentificare cu parola.

Aceasta genereaza o cheie privata, id_rsa, si o cheie publica, id_rsa.pub, in directorul .ssh al utilizatorului localuser. Nu uitati ca acea cheie privata nu trebuie dezvaluita nici unei persoane care nu are acces la serverul dumneavoastra.

Copierea Cheii Publice

Dupa generarea unei perechi de chei SSH, va trebui sa copiati cheia publica pe noul server. Va vom prezenta doua metode simple pentru a face acest lucru.

Metoda 1: Folosirea copiei id-ului ssh

Daca computerul dumneavoastra are script-ul ssh-copy-id instalat, il puteti folosi pentru a instala cheia publica pentru orice utilizator pentru care aveti acreditare.

Rulati scriptul ssh-copy-id specificand utilizatorul si adresa IP a server-ului pe care doriti instalarea acestei chei, ca mai jos:

ssh-copy-id sammy@SERVER_IP_ADDRESS

Dupa furnizarea parolei, cheia publica va fi adaugata in fisierul utilizatorilor la distanta .ssh/authorized_keys. Cheia privata corespunzatoare poate fi folosita pentru a va loga in server.

Metoda 2: Instalarea manuala a cheii

Presupunand ca ati generat o pereche de chei SSH folosin pasul anterior, utilizati urmatoarea comanda pe computerul dumneavoastra pentru a imprima cheia publica (id_rsa.pub):

cat ~/.ssh/id_rsa.pub

Aceasta ar trebui sa va afiseze cheia publica SSH, care ar trebui sa arate ca mai jos:

id_rsa.pub contents
ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQDBGTO0tsVejssuaYR5R3Y/i73SppJAhme1dH7W2c47d4gOqB4izP0+fRLfvbz/tnXFz4iOP/H6eCV05hqUhF+KYRxt9Y8tVMrpDZR2l75o6+xSbUOMu6xN+uVF0T9XzKcxmzTmnV7Na5up3QM3DoSRYX/EP3utr2+zAqpJIfKPLdA74w7g56oYWI9blpnpzxkEd3edVJOivUkpZ4JoenWManvIaSdMTJXMy3MtlQhva+j9CgguyVbUkdzK9KKEuah+pFZvaugtebsU+bllPTB0nlXGIJk98Ie9ZtxuY3nCKneB+KjKiXrAvXUPCI9mWkYS/1rggpFmu3HbXBnWSUdf localuser@machine.local

Selectati cheia publica si copiati-o in clipboard.

Pentru activarea utilizarii cheii SSH necesara autentificarii utilizatorilor la distanta, trebuie sa adaugati cheia publica intr-un fisier special  home directory al utilizatorului.

Pe server, ca utilizatorul root, introduceti urmatoarea comanda pentru a comuta temporar la noul utilizator (inlocuiti cu propriul nume de utilizator):

su - sammy

Acum veti fi in directorul home al utiliztorului dumneavoastra.

Creati un nou director numit.ssh si restrictionati accesul cu ajutorul urmatoarelor comenzi:

mkdir ~/.ssh
chmod 700 ~/.ssh

Deschideti un fisier in .ssh denumit authorized_keys cu un editor de text. Vom folosi nano pentru a edita fiserul:

nano ~/.ssh/authorized_keys

Acum introduceti cheia publica (pe care ati copiat-o in clipboard) lipind-o in editor.

Apasati CTRL-x pentru a iesi din fisier, apoi y pentru a salva modificarile pe care le-ati facut, apoi ENTER pentru a confirma numele fisierului.

Acum restrictionati permisiunea fisierului authorized_keys cu aceasta comanda:

chmod 600 ~/.ssh/authorized_keys

Tastati aceasta comanda o data pentru a va intoarce la utilizatorul root:

exit

Acum cheia publica este instalata si puteti folosi cheile SSH pentru a va loga ca utilizator.

In continuare va vom arata cum sa cresteti securiatea serverului prin dezactivarea parolei de autentificare.

Pasul cinci – Dezactivarea Parolei de Autentificare (Recomandat)

Acum ca noul utilizator poate folosi cheile SSH pentru a se loga, veti putea creste securitatea server-ului prin dezactivarea autentificarii numai cu parole. Acest lucru va limita accesul SSH la server numai cu cheia publica. Singura modalitate de autentificare la server (in afara de consola) fiind cu ajutorul cheii private care face pereche cu cheia publica care a fost instalata.

Observatie: Dezactivati parola de autentificare doar daca instalati o cheie publica pentru utilizatorul dumneavoastra asa cum se recomanda in sectiunea anterioara, pasul patru. in caz contrar, va veti bloca accesul la propriul server.

Pentru a dezactiva logarea cu parola pe server, urmati acesti pasi:

Ca root sau ca new sudo user, deschideti serviciul configurare SSH:

sudo nano /etc/ssh/sshd_config

Gasiti randul care specifica PasswordAuthentication deselectati stergand precedentul #, apoi schimbati valoarea in "no". Ar trebui sa arate asa dupa ce ati facut schimbarile:

sshd_config — Disable password authentication
PasswordAuthentication no

Aici mai sunt alte doua setari importante pentru autentificarea doar prin cheie, acestea fiind setate in mod implicit. Daca nu ati modificat acest fisier inainte, nu trebuie sa modificati aceste setari:

shd_config — Important defaults
PubkeyAuthentication yes
ChallengeResponseAuthentication no

Cand ati terminat de facut modificarile, salvati si inchideti fisierul utilizand metoda prezentata mai devreme (CTRL-X, apoi Y, apoi ENTER)

Tastati asta pentru a reincarca serviciul:

sudo systemctl reload sshd

Autentificarea cu parola este acum dezactivata. Server-ul dumneavoastra poate fi accesat acum numai prin autentificarea cu parola SSH.

Pasul sase – Testare Log In

Acum, inaite de a va deloga din server trebuie sa va testati noua configurare. Nu va deconectati pana cand nu aveti confirmarea ca va puteti loga cu succes folosind cheile SSH.

Deschideti o noua fereastra si logati-va la server folosind noul cont creat. Pentru a face acest lucru, folositi comanda (inlocuiti numele de utilizator si adresa IP a serverului):

ssh sammy@SERVER_IP_ADDRESS

Daca ati ales sa folositi  autentificarea cu ajutorul cheii publice, asa cum a fost descrisa in pasii patru si cinci, cheia dumneavoastra private va fi folosita pentru autentificare. in caz contrar, vi se va cere parola pentru acel utilizator. 

Observatie despre autentificarea cu chei: Daca ati creat perechea de chei cu parole, vi se va cere sa introduceti parola pentru pentru cheii, in caz contrar, daca perechea de chei este fara parola, va veti loga la server fara a avea nevoie de parola.

Odata ce autentificarea este acceptata de server, va puteti loga ca utilizator nou.

Nu uitati, daca trebuie sa executati o comanda cu drepturi root, trebuie sa tastati "sudo" inainte ca mai jos:

sudo command_to_run
 

Pasul sapte – Configurati un Firewall de Baza

Pentru serverele cu Ubuntu 16.04 puteti folosi firewall-ul UFW pentru a va asigura ca numai conexiunile sigure sunt permise. Putem configura un firewall de baza folosind aceasta aplicatie. Diferite aplicatii  se pot inregistra la instalare profilurile lor  UFW. Aceste profiluri permit UFW sa gestioneze aceste aplicatii folosindu-se de nume. Open SSH, serviciul care ne permite conectarea la server, are un profil inregistrat cu UFW. Puteti vedea aceasta tastand:

sudo ufw app list

Output:
Available applications:
  OpenSSH

Trebuie sa ne asiguram ca firewall-ul ne perimite conectarea cu SSH pentru a ne putea loga urmatoarea data. Putem permite aceste conexiuni tastand:

sudo ufw allow OpenSSH

Dupa aceea, putem activa firewall-ul tastand:

sudo ufw enable

Tastati "y" si apasati ENTER pentru a continua. O sa vedeti ca aceste conexiuni SSH sunt inca permise tastand:

sudo ufw status

Output:
Status: active

To                         Action      From
--                         ------      ----
OpenSSH                    ALLOW       Anywhere
OpenSSH (v6)               ALLOW       Anywhere (v6)

Daca instalati si configurati servicii aditionale, va trebui sa ajustati setarile firewall pentru a putea permite trafic. 

Din aceeasi categorie

Te muti la noi?

Migrarea catre un nou furnizor de hosting poate fi extrem de complicata . Fii relaxat si lasa-i expertii nostri sa o faca! Vom muta site-ul existent în 48 de ore, fara intrerupere . Inclus GRATUIT la achizitionarea oricarui pachet de gazduire BTS Telecom.