Первоначальная настройка сервера с Ubuntu

Введение

При первом создании нового сервера Ubuntu необходимо выполнить ряд важных шагов по его настройке. Эти шаги повысят безопасность и удобство использования сервера, а также заложат прочную основу для последующих шагов.

Шаг 1 — Войдите в систему как пользователь root

Для входа на сервер вам потребуется знать его публичный IP-адрес. Также вам понадобится пароль или закрытый ключ учётной записи root, если вы установили SSH-ключ для аутентификации. Если вы ещё не входили на сервер, рекомендуем вам ознакомиться с нашим руководством по подключению к вашим серверам по SSH, в котором подробно описывается этот процесс.

Если вы в данный момент не подключены к серверу, войдите в систему как пользователь root, выполнив следующую команду. Замените выделенную часть your_server_ip на публичный IP-адрес вашего сервера:

ssh root@your_server_ip

Примите предупреждение о необходимости ввода учётных данных хоста, если оно появится. Если ваш сервер использует аутентификацию по паролю, введите пароль root для входа. Если вы используете SSH-ключ, защищённый парольной фразой, вам может потребоваться вводить пароль при первом использовании ключа для каждого сеанса. Если вы впервые входите на сервер с паролем, вам также может потребоваться сменить пароль root. При появлении соответствующего запроса следуйте инструкциям по смене пароля.

О корне

Пользователь root — это администратор в среде Linux с высокими привилегиями. В связи с повышенными привилегиями учётной записи root мы не рекомендуем использовать её регулярно. Учётная запись root может вносить крайне разрушительные изменения, даже случайно.

Следующий шаг — создать новую учётную запись с уменьшенным количеством баллов для ежедневного использования. Позже мы покажем вам, как временно получить больше баллов, когда они вам понадобятся.

Шаг 2 — Создайте нового пользователя

После входа в систему как root вы можете добавить новую учётную запись. В дальнейшем мы будем входить в систему с этой учётной записью вместо root.

В этом примере создается новый пользователь с именем Сэмми, но вам следует заменить его на любое другое имя пользователя:

adduser sammy

Вам будет задано несколько вопросов, начиная с пароля учетной записи.

Введите надёжный пароль и, при желании, укажите любую дополнительную информацию. Эта информация необязательна, и вы можете нажать клавишу ENTER в любой момент, который захотите пропустить.

Шаг 3 — Предоставление административных привилегий

Теперь у вас есть новая учётная запись с обычными правами. Однако иногда вам может потребоваться выполнять административные задачи от имени пользователя root.

Чтобы запретить обычному пользователю выходить из системы и снова входить в неё под учётной записью root, вы можете настроить для своей учётной записи так называемые права суперпользователя (root). Эти права позволяют обычному пользователю выполнять команды с правами администратора, добавляя к команде префикс sudo.

Чтобы предоставить эти привилегии новому пользователю, необходимо добавить его в системную группу sudo. По умолчанию в Ubuntu пользователи, входящие в группу sudo, могут использовать команду sudo.

Как пользователь root выполните эту команду, чтобы добавить нового пользователя в группу sudo (замените выделенное имя пользователя на имя нового пользователя):

usermod -aG sudo sammy

Теперь вы можете вводить sudo перед командами, чтобы запускать их с привилегиями суперпользователя, войдя в систему как обычный пользователь.

Шаг 4 — Настройка брандмауэра

Серверы Ubuntu могут использовать брандмауэр UFW, чтобы разрешить только подключения к определённым службам. С помощью этой программы можно настроить базовый брандмауэр.

После установки приложения могут регистрировать собственные профили в UFW. Эти профили позволяют UFW управлять этими приложениями по имени. OpenSSH, служба, обеспечивающая подключение к серверу, имеет профиль, зарегистрированный в UFW.

Вы можете проверить список установленных профилей UFW, введя:

ufw app list

Output
Available applications:
OpenSSH

Убедитесь, что брандмауэр разрешает SSH-подключения, чтобы вы могли войти на сервер в следующий раз. Чтобы разрешить эти подключения, введите:

ufw allow OpenSSH

Теперь включите брандмауэр, введя:

ufw enable

Введите y и нажмите ENTER, чтобы продолжить. Чтобы убедиться, что SSH-подключения по-прежнему разрешены, введите:

ufw status

Output
Status: active
To Action From
-- ------ ----
OpenSSH ALLOW Anywhere
OpenSSH (v6) ALLOW Anywhere (v6)

В настоящее время брандмауэр блокирует все соединения, кроме SSH. При установке и настройке дополнительных служб вам потребуется изменить настройки брандмауэра, чтобы разрешить новому трафику поступать на ваш сервер. С некоторыми распространёнными операциями UFW можно ознакомиться в нашем руководстве UFW Essentials.

Шаг 5 — Включите внешний доступ для вашего обычного пользователя

Теперь, когда у вас есть обычный пользователь для ежедневного использования, вам нужно убедиться, что вы можете войти напрямую в учетную запись SSH.

Настройка доступа SSH для нового пользователя зависит от того, использует ли учетная запись root вашего сервера пароль или ключи SSH для аутентификации.

Если основная учетная запись использует аутентификацию по паролю

Если вы вошли в свою основную учётную запись с помощью пароля, аутентификация по паролю для SSH включена. Вы можете войти в свою новую учётную запись по SSH, открыв новый сеанс терминала и используя SSH с новым именем пользователя:

ssh sammy@your_server_ip

После ввода обычного пароля пользователя вы войдете в систему. Помните, если вам нужно запустить команду с правами администратора, введите перед ней sudo, как показано ниже:

sudo command_to_run

При первом использовании sudo в каждом сеансе (и периодически в дальнейшем) вам будет предложено ввести свой обычный пароль пользователя.

Для повышения безопасности вашего сервера мы настоятельно рекомендуем настроить SSH-ключи вместо парольной аутентификации. Следуйте нашему руководству по настройке SSH-ключей в Ubuntu, чтобы узнать, как настроить аутентификацию на основе ключей.

Если учетная запись root использует аутентификацию по ключу SSH

Если вы вошли в свою основную учётную запись с помощью SSH-ключей, аутентификация по паролю для SSH отключена. Чтобы войти в систему как обычный пользователь с помощью SSH-ключа, необходимо добавить копию локального открытого ключа в файл ~/.ssh/authorized_keys нового пользователя.

Поскольку ваш открытый ключ уже находится в файле ~/.ssh/authorized_keys учетной записи root на сервере, вы можете скопировать этот файл и структуру каталогов в свою новую учетную запись пользователя, используя текущий сеанс.

Самый простой способ скопировать файлы с правильными владельцами и правами доступа — использовать команду rsync. Эта команда копирует каталог .ssh пользователя root, сохраняет права доступа и меняет владельцев файлов одной командой. Обязательно измените выделенные части команды ниже на ваше обычное имя пользователя:

rsync --archive --chown=sammy:sammy ~/.ssh /home/sammy

Теперь откройте новый сеанс терминала на локальном компьютере и используйте SSH с новым именем пользователя:

ssh sammy@your_server_ip

Вы сможете подключиться к серверу с новой учётной записью без пароля. Помните: если вам нужно выполнить команду с правами администратора, введите sudo перед следующей командой:

sudo command_to_run

При первом использовании sudo в любом сеансе (и периодически в дальнейшем) вам будет предложено ввести свой обычный пароль пользователя.

Результат

На этом этапе у вас есть прочная основа для вашего сервера. Теперь вы можете установить на него любое необходимое программное обеспечение.