Einleitung
Ein paar Mäuse clicks und mehrere Minuten reichen aus, um es zu bekommen Ubuntu Server in Serverspace Wolke.
Nach der Serverinstallation:
- Root-Konto ist nur vorhanden;
- Standardport 22 wird verwendet für SSH Server;
- nicht firewall im Betriebssystem;
- Die Zeitzone ist UTC.
Es wird empfohlen, mehrere Maßnahmen zur Erhöhung der Sicherheit durchzuführen:
- Es besteht keine Notwendigkeit, das Root-Konto für normale Aufgaben zu verwenden, da die Gefahr besteht, dass das Betriebssystem beschädigt wird, wenn ein falscher Befehl ausgeführt wird (entweder ein Tippfehler oder ein Konfigurationsmissverständnis). Stattdessen sollte ein neuer regulärer Benutzer erstellt und ihm Administratorrechte gewährt werden. Außerdem durchsuchen viele Angreifer Server im Internet nach geöffnetem Port 22 und versuchen, das Root-Passwort zu knacken – häufig wird empfohlen, die Verbindung für Root zu deaktivieren SSH Konfigurieren und mit dem regulären Benutzer verbinden;
- Übernehmen SSH Port von 22 auf ungenutzten Port ändern – dadurch wird die Anzahl der Verbindungsversuche von außen verringert;
- UFW installieren (Unkompliziert FireWall), um unerwünschte Verbindungen zu Ihrem Server einzuschränken;
- Stellen Sie die richtige Zeitzone ein, um bei der Analyse von Systemprotokollen die korrekte Zeit von Ereignissen zu erhalten.
Neuen Benutzer erstellen und Berechtigungen erteilen
Stellen Sie mit dem Root-Konto eine Verbindung zum Server her:
ssh root@server_ip
Führen Sie diesen Befehl aus, um einen neuen regulären Benutzer zu erstellen:
useradd -m -s /bin/bash myuser
Es fügt dem System einen Benutzer mit dem Namen myuser hinzu (Option „-m“ wird zum Erstellen des Home-Verzeichnisses verwendet).
Legen Sie ein komplexes Passwort fest:
passwd myuser
Eingegebene Zeichen sind aus Sicherheitsgründen nicht sichtbar und müssen zweimal eingegeben werden, um sicherzustellen, dass das neue Passwort korrekt festgelegt wird.
Mit dem Dienstprogramm „sudo“ können Sie einem normalen Benutzer Administratorrechte gewähren. Ubuntu hat die Benutzergruppe standardmäßig mit dem Namen „sudo“ und Benutzer aus dieser Gruppe können jeden Befehl ausführen (geben Sie sudo vor dem gewünschten Befehl ein). Es reicht aus, einen neuen Benutzer zu dieser Gruppe hinzuzufügen:
usermod -aG sudo myuser
Trennen Sie die Verbindung zum Server und verbinden Sie sich erneut mit einem neuen Benutzer:
ssh myuser@server_ip
Überprüfen Sie, ob sudo verfügbar ist:
sudo less /etc/sudoers
Inhalt der Datei / etc / sudoers sollte auf dem Bildschirm angezeigt werden. Das bedeutet, dass myuser über die erforderlichen Berechtigungen verfügt. Der Root-Benutzer kann deaktiviert werden – der nächste Absatz zeigt die Änderung SSH Serverkonfigurationsdatei.
Änderungen vornehmen SSH Serverkonfigurationsdatei
Datei bearbeiten / Etc /ssh/sshd_config in Ihrem bevorzugten Texteditor, z. B. in Nano:
sudo nano /etc/ssh/sshd_config
Suchen Sie die kommentierte Zeichenfolge mit der Portzuweisung „#Port 22“:
Kommentieren Sie es aus und legen Sie eine andere Portnummer fest (diejenige, die im System nicht verwendet wird), z. B. 4680:
Suchen Sie als Nächstes im Abschnitt „Authentifizierung“ die Zeichenfolge „PermitRootLogin prohibit-password“ und ersetzen Sie sie durch „PermitRootLogin no“:
Speichern Sie die Änderungen und schließen Sie die Datei. Neu starten SSH Server zum Anwenden der Änderungen:
systemctl restart sshd.service
Versuchen Sie, sich mit Root-Konto und Port 4680 anzumelden:
ssh root@server_ip -p 4680
Sie erhalten eine Fehlermeldung, da Root keine Verbindung mehr herstellen darf. Verbinden Sie sich mit myuser:
ssh myuser@server_ip -p 4680
Die Verbindung sollte erlaubt sein.
UFW installieren
Neu installiert Ubuntu Server hat keine firewall Regeln gelten standardmäßig und Verbindungen von außen sind nicht eingeschränkt. Zur Erstellung der Regeln wird UFW verwendet, die Installation ist einfach:
sudo apt update && sudo apt install ufw
Nach der Installation ist UFW nicht aktiviert:
Erstellen Sie eine neue Regel, um Port 4680 zuzulassen SSH Verbindungen (bei Abweichungen durch Ihren Port ersetzen):
sudo ufw allow 4680/tcp comment 'Allow SSH connections'
UFW aktivieren:
sudo ufw enable
Überprüfen Sie den Status – es werden auch der aktuelle Status und die erstellte Regel angezeigt:
Andere Dienste und Ports können auf die gleiche Weise hinzugefügt werden, z. B. um Port 443 hinzuzufügen NGINX:
sudo ufw allow 443/tcp comment 'Allow HTTPS'
Es gibt zusätzlich unsere Veröffentlichung, in der beschrieben wird, wie man UFW verwendet – Allgemeine UFW-Befehle
Zeitzone einstellen
Überprüfen Sie die aktuellen Zeiteinstellungen:
timedatectl
Derzeit ist es UTC. Verfügbare Zeitzonen werden mit dem Befehl angezeigt:
timedatectl list-timezones
Wählte den Wunsch, einen einzustellen. Sie müssen beispielsweise die Zeitzone für Chicago festlegen und dann Folgendes ausführen:
sudo timedatectl set-timezone "America/Chicago"
Überprüfen Sie noch einmal die aktuelle Zeitzone:
Jetzt verfügen Ereignisse in Systemprotokollen über eine ordnungsgemäße Zeitregistrierung.