giriiş
Yeni bir Debian 10 sunucusu oluşturduğunuzda, ilk kurulumun bir parçası olarak erken gerçekleştirmeniz gereken birkaç yapılandırma adımı vardır. Bu, sunucunuzun güvenliğini ve kullanılabilirliğini artıracak ve sonraki adımlar için sağlam bir temel sağlayacaktır.
Bu eğitimde sunucumuza root kullanıcısı olarak nasıl giriş yapacağımızı, yönetici ayrıcalıklarına sahip yeni bir kullanıcı nasıl oluşturacağımızı ve temel bir güvenlik duvarı nasıl kuracağımızı öğreneceğiz.
Adım 1 – Root olarak oturum açın
Sunucunuza giriş yapmak için sunucunuzun genel IP adresini bilmeniz gerekir. Ayrıca, kimlik doğrulama için bir SSH anahtarı yüklediyseniz, kök kullanıcı hesabının parolasına veya özel anahtarına da ihtiyacınız olacaktır. Sunucunuza daha önce giriş yapmadıysanız, bu işlemi ayrıntılı olarak ele alan Droplet'inize SSH ile nasıl bağlanacağınıza dair kılavuzumuzu takip edebilirsiniz.
Eğer sunucunuza henüz bağlı değilseniz, aşağıdaki komutu kullanarak kök kullanıcı olarak oturum açın (komutun vurgulanan kısmını sunucunuzun genel IP adresiyle değiştirin):
ssh root@your_server_ipAna bilgisayar kimlik bilgileri uyarısı görüntülenirse kabul edin. Parola doğrulaması kullanıyorsanız, oturum açmak için kök parolanızı girin. Parola ile korunan bir SSH anahtarı kullanıyorsanız, anahtarı herhangi bir oturumda ilk kez kullandığınızda parolayı girmeniz istenebilir. Sunucuya parola ile ilk kez oturum açıyorsanız, kök parolanızı değiştirmeniz istenebilir.
Kök hakkında
Kök kullanıcı, Linux ortamında çok geniş ayrıcalıklara sahip bir yönetici kullanıcısıdır. Yüksek ayrıcalıkları nedeniyle kök hesabını düzenli olarak kullanmanız önerilmez. Bunun nedeni, kök hesabının doğasında bulunan güçlerden birinin, yanlışlıkla bile olsa çok yıkıcı değişiklikler yapabilmesidir.
Bir sonraki adım, günlük işler için daha az yetkiye sahip alternatif bir hesap oluşturmaktır. Daha sonra, ihtiyaç duyduğunuzda daha fazla ayrıcalığa nasıl sahip olabileceğinizi açıklayacağız.
Adım 2 – Yeni bir kullanıcı oluşturun
Root olarak giriş yaptıktan sonra, bundan sonra giriş yapmak için kullanacağımız yeni kullanıcı hesabını eklemeye hazırız.
Bu örnekte sammy adında yeni bir kullanıcı oluşturulur, ancak bunu istediğiniz kullanıcı adıyla değiştirmelisiniz:
adduser sammyHesap şifrenizle başlayarak size birkaç soru sorulacak.
Güçlü bir parola girin ve isterseniz ek bilgileri de girin. Bu zorunlu değildir ve atlamak istediğiniz herhangi bir alanda ENTER tuşuna basabilirsiniz.
Daha sonra bu yeni kullanıcıya yönetici ayrıcalıkları vereceğiz.
Adım 3 – İdari Ayrıcalıkların Verilmesi
Artık normal hesap ayrıcalıklarına sahip yeni bir kullanıcı hesabı oluşturduk. Ancak, bazen bu hesapla idari görevler gerçekleştirmemiz gerekebilir.
Normal kullanıcı hesabımızdan çıkış yapıp ana hesap olarak tekrar giriş yapmak zorunda kalmamak için, normal hesabımız için süper kullanıcı veya kök ayrıcalıkları ayarlayabiliriz. Bu, normal kullanıcının komutlara sudo sözcüğünü ekleyerek yönetici ayrıcalıklarıyla komut çalıştırmasına olanak tanır.
Yeni kullanıcımıza bu ayrıcalıkları eklemek için yeni kullanıcıyı sudo grubuna eklememiz gerekiyor. Varsayılan olarak, Debian 10'da sudo grubuna ait kullanıcıların sudo komutunu kullanmasına izin verilir.
Root olarak, yeni kullanıcınızı sudo grubuna eklemek için şu komutu çalıştırın (vurgulanan kelimeyi yeni kullanıcınızla değiştirin):
usermod -aG sudo sammyArtık normal kullanıcı olarak giriş yaptığınızda, komutları süper kullanıcı ayrıcalıklarıyla çalıştırmak için komutlardan önce sudo yazabilirsiniz.
Adım 4 – Temel bir güvenlik duvarı kurun
Debian sunucuları, yalnızca belirli hizmetlere belirli bağlantıların izin verilmesini sağlamak için güvenlik duvarları kullanabilir. Bu kılavuzda, güvenlik duvarı politikalarını ayarlamanıza ve istisnaları yönetmenize yardımcı olmak için UFW güvenlik duvarını kurup kullanacağız.
UFW'yi yüklemek için apt paket yöneticisini kullanabiliriz. Mevcut paketler hakkında en güncel bilgileri almak için yerel dizini yenileyin ve ardından şunu yazarak UFW güvenlik duvarı yazılımını yükleyin:
apt update
apt install ufwGüvenlik duvarı profilleri, UFW'nin yüklü uygulamalar için adlandırılmış güvenlik duvarı kuralları kümelerini yönetmesini sağlar. Bazı yaygın yazılımların profilleri varsayılan olarak UFW ile birlikte gelir ve paketler, kurulum işlemi sırasında UFW'ye ek profiller kaydedebilir. Artık sunucumuza bağlanmamızı sağlayan OpenSSH hizmeti, kullanabileceğimiz bir güvenlik duvarı profiline sahiptir.
Kullanılabilir tüm uygulama profillerini listelemek için şunu yazın:
ufw app list
Output
Available applications:
. . .
OpenSSH
. . .Bir dahaki sefere tekrar oturum açabilmemiz için güvenlik duvarının SSH bağlantılarına izin verdiğinden emin olmamız gerekiyor. Bu bağlantılara şu komutu yazarak izin verebiliriz:
ufw allow OpenSSHDaha sonra şu komutu yazarak güvenlik duvarını etkinleştirebiliriz:
ufw enableDevam etmek için y yazıp ENTER'a basın. SSH bağlantılarının hala izinli olduğunu şu şekilde görebilirsiniz:
ufw statusOutput
Status: active
To Action From
-- ------ ----
OpenSSH ALLOW Anywhere
OpenSSH (v6) ALLOW Anywhere (v6)Güvenlik duvarı şu anda SSH dışındaki tüm bağlantıları engellediğinden, ek hizmetler yükleyip yapılandırırsanız, kabul edilebilir trafiğe izin vermek için güvenlik duvarı ayarlarını düzenlemeniz gerekecektir. Temel UFW kılavuzumuzda bazı yaygın UFW işlemlerini öğrenebilirsiniz.
Adım 5 – Normal kullanıcınız için harici erişimi etkinleştirin
Artık günlük kullanım için düzenli bir kullanıcımız olduğuna göre, hesaba doğrudan SSH ile bağlanabildiğimizden emin olmamız gerekiyor.
Yeni kullanıcınız için SSH erişimini yapılandırma süreci, sunucunuzun kök hesabının kimlik doğrulaması için parola mı yoksa SSH anahtarları mı kullandığına bağlıdır.
Kök hesap parola kimlik doğrulaması kullanıyorsa
Ana hesabınıza parola kullanarak giriş yaptıysanız, SSH için parola doğrulaması etkinleştirilmiştir. Yeni bir terminal oturumu açıp yeni kullanıcı adınızla SSH kullanarak yeni hesabınıza SSH ile bağlanabilirsiniz:
ssh sammy@your_server_ipNormal kullanıcı şifrenizi girdikten sonra oturumunuz açılacaktır. Unutmayın, yönetici ayrıcalıklarıyla bir komut çalıştırmanız gerekiyorsa, öncesinde sudo yazın:
sudo command_to_runHerhangi bir oturumda sudo'yu ilk kez kullandığınızda (ve bundan sonra düzenli olarak kullandığınızda), normal kullanıcı parolanızı girmeniz istenecektir.
Sunucunuzun güvenliğini artırmak için parola kimlik doğrulaması kullanmak yerine SSH anahtarları oluşturmanızı şiddetle tavsiye ederiz. Anahtar tabanlı kimlik doğrulamayı nasıl yapılandıracağınızı öğrenmek için Debian 10'da SSH anahtarları oluşturma kılavuzumuzu izleyin.
Kök hesap SSH anahtar kimlik doğrulamasını kullanıyorsa
Ana hesabınıza SSH anahtarları kullanarak giriş yaptıysanız, SSH için parola doğrulaması devre dışıdır. Başarılı bir şekilde giriş yapabilmek için yerel genel anahtarınızın bir kopyasını yeni kullanıcının ~/.ssh/authorized_keys dosyasına eklemeniz gerekir.
Genel anahtarınız sunucudaki kök hesabının ~/.ssh/authorized_keys dosyasında zaten bulunduğundan, bu dosyayı ve dizin yapısını cp komutuyla mevcut oturumumuzdaki yeni kullanıcı hesabımıza kopyalayabiliriz. Ardından, chown komutunu kullanarak dosyaların sahipliğini ayarlayabiliriz.
Aşağıdaki komutun vurgulanan kısımlarını normal kullanıcı adınızla eşleşecek şekilde değiştirdiğinizden emin olun:
cp -r ~/.ssh /home/sammy
chown -R sammy:sammy /home/sammy/.sshcp -r komutu tüm dizini yeni kullanıcının ana dizinine kopyalar ve chown -R komutu bu dizinin (ve içindeki her şeyin) sahibini belirtilen kullanıcı adı olan grup adı olarak değiştirir (Debian aynı isimde bir grup oluşturur. Varsayılan olarak kullanıcı adınızdır).
Şimdi yeni bir terminal oturumu açın ve yeni kullanıcı adınızla SSH üzerinden oturum açın:
ssh sammy@your_server_ipYeni hesabınıza parola kullanmadan giriş yapmalısınız. Unutmayın, yönetici ayrıcalıklarıyla bir komut çalıştırmanız gerekiyorsa, komutun başına sudo yazın:
sudo command_to_runHerhangi bir oturumda sudo'yu ilk kez kullandığınızda (ve bundan sonra düzenli olarak kullandığınızda), normal kullanıcı parolanızı girmeniz istenecektir.
Sonuç
Bu noktada, sunucunuz için sağlam bir temele sahipsiniz. Artık sunucunuza ihtiyacınız olan tüm yazılımları yükleyebilirsiniz.
