Introduction
Quelques clics de souris et quelques minutes suffisent pour y parvenir Ubuntu serveur dans Serverspace nuage.
Après l'installation du serveur :
- le compte root n'existe que ;
- le port standard 22 est utilisé pour SSH serveur;
- pas de pare-feu dans le système d'exploitation ;
- le fuseau horaire est UTC.
Il est recommandé d'effectuer plusieurs actions pour augmenter la sécurité :
- il n'est pas nécessaire d'utiliser le compte root pour les tâches régulières en raison des risques d'endommager le système d'exploitation lors de l'exécution d'une mauvaise commande (faute de frappe ou malentendu dans la configuration). Au lieu de cela, un nouvel utilisateur régulier doit être créé et se voir accorder des autorisations administratives. En outre, de nombreux attaquants recherchent des serveurs sur Internet pour le port 22 ouvert et essaient de forcer le mot de passe root - la recommandation courante consiste à désactiver la connexion pour root in SSH configurer et se connecter avec l'utilisateur régulier ;
- Change SSH port de 22 à un port inutilisé - cela réduira le nombre de tentatives de connexion depuis l'extérieur ;
- installez UFW (Uncomplicated FireWall) pour restreindre les connexions indésirables à votre serveur ;
- définir le fuseau horaire approprié pour obtenir l'heure exacte des événements lors de l'analyse des journaux système.
Créer un nouvel utilisateur et accorder des autorisations
Connectez-vous au serveur avec un compte root :
ssh root@server_ipExécutez cette commande pour créer un nouvel utilisateur standard :
useradd -m -s /bin/bash myuserIl ajoutera un utilisateur avec le nom myuser au système (l'option "-m" est utilisée pour créer le répertoire personnel).
Définissez un mot de passe complexe :
passwd myuserLes caractères saisis ne seront pas visibles (raison de sécurité) et doivent être saisis deux fois pour s'assurer que le nouveau mot de passe est correctement défini.
L'utilisation de l'utilitaire "sudo" est un moyen de fournir des privilèges administratifs à un utilisateur régulier. Ubuntu a le groupe d'utilisateurs nommé "sudo" par défaut et l'utilisateur de ce groupe peut exécuter n'importe quelle commande (en tapant sudo avant la commande souhaitée). Il suffit d'ajouter un nouvel utilisateur à ce groupe :
usermod -aG sudo myuserDéconnectez-vous du serveur et reconnectez-vous avec un nouvel utilisateur :
ssh myuser@server_ipVérifiez si sudo est disponible :
sudo less /etc/sudoersContenu du dossier / etc / sudoers doit s'afficher à l'écran. Cela signifie que myuser a besoin des autorisations. l'utilisateur root peut être désactivé - le paragraphe suivant montre la modification SSH fichier de configuration du serveur.
Faire des changements dans SSH fichier de configuration du serveur
Modifier le fichier / etc / ssh / sshd_config dans votre éditeur de texte préféré, par exemple dans nano :
sudo nano /etc/ssh/sshd_configRecherchez la chaîne commentée avec l'affectation de port "#Port 22":
Décommentez-le et définissez un autre numéro de port (celui qui n'est pas utilisé dans le système), par exemple, 4680 :
Ensuite, dans la section "Authentification", recherchez la chaîne "PermitRootLogin prohibit-password" et remplacez-la par "PermitRootLogin no":
Enregistrez les modifications et fermez le fichier. Redémarrage SSH serveur pour appliquer les modifications :
systemctl restart sshd.serviceEssayez de vous connecter avec le compte root et le port 4680 :
ssh root@server_ip -p 4680Vous obtiendrez un message d'erreur car root n'est plus autorisé à se connecter. Connectez-vous avec myuser :
ssh myuser@server_ip -p 4680La connexion doit être autorisée.
Installation d'UFW
Nouveau installé Ubuntu Le serveur n'a pas de règles de pare-feu par défaut et les connexions depuis l'extérieur ne sont pas restreintes. UFW est utilisé pour créer les règles, l'installation est simple :
sudo apt update && sudo apt install ufwAprès l'installation, UFW n'est pas activé :
Créer une nouvelle règle pour autoriser le port 4680 pour SSH connexions (remplacez par votre port si différent):
sudo ufw allow 4680/tcp comment 'Allow SSH connections'Activer UFW :
sudo ufw enableVérifiez l'état - il affichera également l'état actuel et la règle créée :
D'autres services et ports peuvent être ajoutés de la même manière, par exemple pour ajouter le port 443 pour NGINX :
sudo ufw allow 443/tcp comment 'Allow HTTPS'Il y a en plus notre publication où est décrit comment utiliser UFW - Commandes UFW courantes
Réglage du fuseau horaire
Vérifiez les paramètres d'heure actuels :
timedatectl
Actuellement, il s'agit de l'UTC. Les fuseaux horaires disponibles sont affichés avec la commande :
timedatectl list-timezonesChoisissez le désir à définir. Par exemple, vous devez définir le fuseau horaire de Chicago, puis exécuter :
sudo timedatectl set-timezone "America/Chicago"Vérifiez à nouveau le fuseau horaire actuel :
Désormais, les événements dans les journaux système sont correctement enregistrés.
