Introducción
unos raton clicks y varios minutos son suficientes para obtener Ubuntu servidor en Serverspace nube.
Después de la instalación del servidor:
- la cuenta raíz solo existe;
- El puerto estándar 22 está en uso para SSH servidor;
- no firewall en el sistema operativo;
- la zona horaria es UTC.
Se recomienda realizar varias acciones para aumentar la seguridad:
- no hay necesidad de usar la cuenta raíz para tareas regulares debido a las posibilidades de dañar el sistema operativo cuando se ejecuta un comando incorrecto (ya sea un error tipográfico o algún malentendido de configuración). En su lugar, se debe crear un nuevo usuario regular y otorgarle permisos administrativos. Además, muchos atacantes están buscando servidores en Internet para el puerto 22 abierto e intentan obtener la contraseña de root; la recomendación común es deshabilitar la conexión para root en SSH config y conéctese con el usuario habitual;
- el cambio SSH puerto de 22 a uno no utilizado: disminuirá la cantidad de intentos de conexión desde el exterior;
- instalar UFW (Sin complicaciones FireWall) para restringir las conexiones no deseadas a su servidor;
- establezca la zona horaria adecuada para obtener la hora correcta de los eventos al analizar los registros del sistema.
Crear nuevo usuario y otorgar permisos
Conéctese al servidor con la cuenta raíz:
ssh root@server_ip
Ejecute este comando para crear un nuevo usuario normal:
useradd -m -s /bin/bash myuser
Agregará un usuario con el nombre myuser al sistema (la opción "-m" se usa para crear el directorio de inicio).
Establecer una contraseña compleja:
passwd myuser
Los caracteres ingresados no serán visibles (razón de seguridad) y se deben ingresar dos veces para garantizar que la nueva contraseña se establezca correctamente.
El uso de la utilidad "sudo" es una forma de proporcionar privilegios administrativos a un usuario normal. Ubuntu tiene el grupo de usuarios llamado "sudo" por defecto y el usuario de este grupo puede ejecutar cualquier comando (escribiendo sudo antes del comando deseado). Basta con agregar un nuevo usuario a este grupo:
usermod -aG sudo myuser
Desconéctese del servidor y vuelva a conectarse con el nuevo usuario:
ssh myuser@server_ip
Compruebe si sudo está disponible:
sudo less /etc/sudoers
Contenido del archivo / etc / sudoers debe mostrarse en la pantalla. Significa que myuser ha necesitado permisos. el usuario raíz se puede deshabilitar; el siguiente párrafo muestra la modificación SSH archivo de configuración del servidor.
Haciendo cambios en SSH archivo de configuración del servidor
Editar archivo /etc/ ssh/sshd_config en su editor de texto preferido, por ejemplo, en nano:
sudo nano /etc/ssh/sshd_config
Busque la cadena comentada con la asignación de puerto "#Port 22":
Descoméntelo y configure otro número de puerto (el que no se usa en el sistema), por ejemplo, 4680:
A continuación, en la sección "Autenticación", busque la cadena "PermitRootLogin prohibit-password" y reemplácela con "PermitRootLogin no":
Guarde los cambios y cierre el archivo. Reanudar SSH servidor para aplicar los cambios:
systemctl restart sshd.service
Intente iniciar sesión con la cuenta raíz y el puerto 4680:
ssh root@server_ip -p 4680
Recibirá un mensaje de error porque la raíz ya no puede conectarse. Conéctese con mi usuario:
ssh myuser@server_ip -p 4680
Se debe permitir la conexión.
Instalación de UFW
Nuevo instalado Ubuntu el servidor no tiene firewall las reglas por defecto y las conexiones desde el exterior no están restringidas. UFW se utiliza para crear las reglas, la instalación es simple:
sudo apt update && sudo apt install ufw
Después de la instalación, UFW no está habilitado:
Cree una nueva regla para permitir el puerto 4680 para SSH conexiones (reemplace con su puerto si es diferente):
sudo ufw allow 4680/tcp comment 'Allow SSH connections'
Habilitar UFW:
sudo ufw enable
Verifique el estado: también mostrará el estado actual y la regla creada:
Se pueden agregar otros servicios y puertos de la misma manera, por ejemplo, para agregar el puerto 443 para NGINX:
sudo ufw allow 443/tcp comment 'Allow HTTPS'
Hay una publicación adicional donde se describe cómo usar UFW: Comandos comunes de UFW
Configuración de la zona horaria
Compruebe la configuración de la hora actual:
timedatectl
Actualmente es UTC. Las zonas horarias disponibles se muestran con el comando:
timedatectl list-timezones
Elija uno de los deseos para establecer. Por ejemplo, debe establecer la zona horaria de Chicago y luego ejecutar:
sudo timedatectl set-timezone "America/Chicago"
Compruebe la zona horaria actual una vez más:
Ahora los eventos en los registros del sistema tienen un registro de tiempo adecuado.