Первоначальная настройка сервера с Debian 10

Введение

При создании нового сервера Debian 10 следует выполнить несколько шагов по настройке в самом начале, в рамках первоначальной настройки. Это повысит безопасность и удобство использования сервера, а также заложит прочную основу для дальнейших действий.

В этом руководстве мы научимся входить на наш сервер как пользователь root, создавать нового пользователя с правами администратора и настраивать базовый брандмауэр.

Шаг 1 — Войдите в систему как пользователь root

Для входа на сервер вам потребуется знать его публичный IP-адрес. Вам также понадобится пароль или, если вы установили SSH-ключ для аутентификации, закрытый ключ учётной записи root. Если вы ещё не входили на сервер, рекомендуем вам ознакомиться с нашим руководством по подключению к вашему Droplet по SSH, в котором этот процесс подробно описан.

Если вы еще не подключены к серверу, войдите в систему как пользователь root, используя следующую команду (замените выделенную часть команды на публичный IP-адрес вашего сервера):

ssh root@your_server_ip

Примите предупреждение о необходимости ввода учётных данных хоста, если оно появится. Если вы используете аутентификацию по паролю, введите пароль root для входа. Если вы используете SSH-ключ, защищённый парольной фразой, вам может быть предложено ввести пароль при первом использовании ключа в любом сеансе. Если вы впервые входите на сервер с паролем, вам может быть предложено сменить пароль root.

О корне

Пользователь root — это администратор в среде Linux с очень широкими привилегиями. Мы не рекомендуем регулярно использовать учётную запись root из-за её повышенных привилегий. Это связано с тем, что одним из основных преимуществ учётной записи root является возможность вносить крайне разрушительные изменения, даже случайно.

Следующий шаг — создать альтернативную учётную запись с меньшими полномочиями для выполнения повседневных задач. Позже мы объясним, как получить больше привилегий, когда они вам понадобятся.

Шаг 2 — Создайте нового пользователя

После того как вы войдете в систему как пользователь root, мы готовы добавить новую учетную запись пользователя, которую мы будем использовать для входа в систему в дальнейшем.

В этом примере создается новый пользователь с именем sammy, но вам следует заменить его на любое другое имя пользователя:

adduser sammy

Вам будет задано несколько вопросов, начиная с пароля учетной записи.

Введите надёжный пароль и, при желании, заполните любую дополнительную информацию. Это не обязательно, и вы можете просто нажать ENTER в любом поле, которое хотите пропустить.

Далее мы настроим нового пользователя с правами администратора.

Шаг 3 — Предоставление административных привилегий

Мы создали новую учётную запись пользователя с правами обычной учётной записи. Однако иногда нам может потребоваться выполнять с её помощью административные задачи.

Чтобы избежать необходимости выходить из системы и снова входить под основной учётной записью, мы можем настроить права суперпользователя или root для нашей обычной учётной записи. Это позволит обычному пользователю выполнять команды с правами администратора, добавив к команде слово sudo.

Чтобы предоставить эти привилегии новому пользователю, необходимо добавить его в группу sudo. По умолчанию в Debian 10 пользователи, принадлежащие к группе sudo, могут использовать команду sudo.

Как пользователь root выполните эту команду, чтобы добавить нового пользователя в группу sudo (замените выделенное слово именем нового пользователя):

usermod -aG sudo sammy

Теперь, когда вы вошли в систему как обычный пользователь, вы можете ввести sudo перед командами, чтобы запустить команду с привилегиями суперпользователя.

Шаг 4 — Настройка базового брандмауэра

Серверы Debian могут использовать брандмауэры, чтобы гарантировать, что разрешены только определённые соединения с определёнными службами. В этом руководстве мы установим и используем брандмауэр UFW для настройки политик брандмауэра и управления исключениями.

Для установки UFW можно использовать менеджер пакетов apt. Обновите локальный каталог, чтобы получить актуальную информацию о доступных пакетах, а затем установите брандмауэр UFW, выполнив команду:

apt update
apt install ufw

Профили брандмауэра позволяют UFW управлять именованными наборами правил брандмауэра для установленных приложений. Профили для некоторых распространённых программ поставляются с UFW по умолчанию, а пакеты могут регистрировать дополнительные профили в UFW во время установки. OpenSSH, служба, которая позволяет нам подключаться к нашему серверу, имеет профиль брандмауэра, который мы можем использовать.

Чтобы просмотреть список всех доступных профилей приложений, введите:

ufw app list

Output
Available applications:
. . .
OpenSSH
. . .

Нам нужно убедиться, что брандмауэр разрешает SSH-подключения, чтобы мы могли войти в систему в следующий раз. Мы можем разрешить эти подключения, введя:

ufw allow OpenSSH

После этого мы можем включить брандмауэр, введя:

ufw enable

Введите y и нажмите ENTER, чтобы продолжить. Чтобы убедиться, что SSH-подключения по-прежнему разрешены, введите:

ufw status

Output
Status: active
To Action From
-- ------ ----
OpenSSH ALLOW Anywhere
OpenSSH (v6) ALLOW Anywhere (v6)

Поскольку в настоящее время брандмауэр блокирует все соединения, кроме SSH, при установке и настройке дополнительных служб вам потребуется изменить настройки брандмауэра, чтобы разрешить приемлемый входящий трафик. Вы можете изучить некоторые общие операции UFW в нашем полном руководстве по UFW.

Шаг 5 — Включите внешний доступ для вашего обычного пользователя

Теперь, когда у нас есть обычный пользователь для ежедневного использования, нам нужно убедиться, что мы можем напрямую подключиться к этой учетной записи по SSH.

Процесс настройки доступа SSH для нового пользователя зависит от того, использует ли учетная запись root вашего сервера пароль или ключи SSH для аутентификации.

Если учетная запись root использует аутентификацию по паролю

Если вы вошли в свою основную учётную запись с помощью пароля, аутентификация по паролю для SSH включена. Вы можете войти в свою новую учётную запись по SSH, открыв новый сеанс терминала и используя SSH с новым именем пользователя:

ssh sammy@your_server_ip

После ввода обычного пароля пользователя вы войдете в систему. Помните, если вам нужно запустить команду с правами администратора, введите перед ней sudo, как показано ниже:

sudo command_to_run

При первом использовании sudo в любом сеансе (и периодически в дальнейшем) вам будет предложено ввести свой обычный пароль пользователя.

Для повышения безопасности вашего сервера мы настоятельно рекомендуем настроить SSH-ключи вместо парольной аутентификации. Следуйте нашему руководству по настройке SSH-ключей в Debian 10, чтобы узнать, как настроить аутентификацию на основе ключей.

Если учетная запись root использует аутентификацию по ключу SSH

Если вы вошли в свою основную учётную запись с помощью SSH-ключей, аутентификация по паролю для SSH отключена. Для успешного входа вам потребуется добавить копию локального открытого ключа в файл ~/.ssh/authorized_keys нового пользователя.

Поскольку ваш открытый ключ уже находится в файле ~/.ssh/authorized_keys учётной записи root на сервере, мы можем скопировать этот файл и структуру каталогов в нашу новую учётную запись в текущем сеансе с помощью команды cp. После этого мы можем установить владельца файлов с помощью команды chown.

Обязательно измените выделенные части команды ниже, чтобы они соответствовали вашему обычному имени пользователя:

cp -r ~/.ssh /home/sammy
chown -R sammy:sammy /home/sammy/.ssh

Команда cp -r копирует весь каталог в домашний каталог нового пользователя, а команда chown -R меняет владельца этого каталога (и всего, что в нем находится) на указанного пользователя с указанной парой имя_пользователя:имя_группы (Debian создает группу с таким же именем. По умолчанию это ваше имя пользователя).

Теперь откройте новый сеанс терминала и войдите через SSH, используя новое имя пользователя:

ssh sammy@your_server_ip

Вам следует войти в новую учётную запись без пароля. Помните: если вам нужно выполнить команду с правами администратора, введите перед ней sudo, как показано ниже:

sudo command_to_run

При первом использовании sudo в любом сеансе (и периодически в дальнейшем) вам будет предложено ввести свой обычный пароль пользователя.

Результат

На этом этапе у вас есть прочная основа для вашего сервера. Теперь вы можете установить на него любое необходимое программное обеспечение.