26.07.2023

Configuration initiale de Ubuntu 22.04 serveur

Introduction

quelques souris clicks et plusieurs minutes suffisent pour obtenir Ubuntu serveur dans Serverspace nuage.
Après l'installation du serveur :

le compte root n'existe que ;
le port standard 22 est utilisé pour SSH serveur;
aucune firewall dans le système d'exploitation ;
le fuseau horaire est UTC.

Il est recommandé d'effectuer plusieurs actions pour augmenter la sécurité :

il n'est pas nécessaire d'utiliser le compte root pour les tâches régulières en raison des risques d'endommager le système d'exploitation lors de l'exécution d'une mauvaise commande (faute de frappe ou malentendu dans la configuration). Au lieu de cela, un nouvel utilisateur régulier doit être créé et se voir accorder des autorisations administratives. En outre, de nombreux attaquants recherchent des serveurs sur Internet pour le port 22 ouvert et essaient de forcer le mot de passe root - la recommandation courante consiste à désactiver la connexion pour root in SSH configurer et se connecter avec l'utilisateur régulier ;
Change SSH port de 22 à un port inutilisé - cela réduira le nombre de tentatives de connexion depuis l'extérieur ;
installer UFW (simple FireWall) pour limiter les connexions indésirables à votre serveur ;
définir le fuseau horaire approprié pour obtenir l'heure exacte des événements lors de l'analyse des journaux système.

Ubuntu VPS serveur Serveurs privés virtuels
avec préinstallé Ubuntu.
À partir de € 4

Créer un nouvel utilisateur et accorder des autorisations

Connectez-vous au serveur avec un compte root :

ssh racine@server_ip

Exécutez cette commande pour créer un nouvel utilisateur standard :

useradd -m -s /bin/bash monutilisateur

Il ajoutera un utilisateur avec le nom myuser au système (l'option "-m" est utilisée pour créer le répertoire personnel).

Définissez un mot de passe complexe :

passwd monutilisateur

Les caractères saisis ne seront pas visibles (raison de sécurité) et doivent être saisis deux fois pour s'assurer que le nouveau mot de passe est correctement défini.
L'utilisation de l'utilitaire "sudo" est un moyen de fournir des privilèges administratifs à un utilisateur régulier. Ubuntu a le groupe d'utilisateurs nommé "sudo" par défaut et l'utilisateur de ce groupe peut exécuter n'importe quelle commande (en tapant sudo avant la commande souhaitée). Il suffit d'ajouter un nouvel utilisateur à ce groupe :

usermod -aG sudo monutilisateur

Déconnectez-vous du serveur et reconnectez-vous avec un nouvel utilisateur :

ssh monutilisateur@ip_serveur

Vérifiez si sudo est disponible :

sudo moins /etc/sudoers

Le contenu du fichier /etc/sudoers doit être affiché à l'écran. Cela signifie que myuser a besoin des autorisations. l'utilisateur root peut être désactivé - le paragraphe suivant montre la modification SSH fichier de configuration du serveur.

Faire des changements dans SSH fichier de configuration du serveur

Modifier le fichier /etc/ssh/sshd_config dans votre éditeur de texte préféré, par exemple dans nano :

sudo nano /etc/ssh/sshd_config

Recherchez la chaîne commentée avec l'affectation de port "#Port 22":

Décommentez-le et définissez un autre numéro de port (celui qui n'est pas utilisé dans le système), par exemple, 4680 :

Ensuite, dans la section "Authentification", recherchez la chaîne "PermitRootLogin prohibit-password" et remplacez-la par "PermitRootLogin no":

Enregistrez les modifications et fermez le fichier. Redémarrage SSH serveur pour appliquer les modifications :

redémarrage systemctl sshd.service

Essayez de vous connecter avec le compte root et le port 4680 :

ssh root@server_ip -p 4680

Vous obtiendrez un message d'erreur car root n'est plus autorisé à se connecter. Connectez-vous avec myuser :

ssh monutilisateur@ip_serveur -p 4680

La connexion doit être autorisée.

Installation d'UFW

Nouveau installé Ubuntu le serveur n'a pas firewall règles par défaut et les connexions depuis l'extérieur ne sont pas restreintes. UFW sert à créer les règles, l'installation est simple :

sudo apt mise à jour && sudo apt installer ufw

Après l'installation, UFW n'est pas activé :

Créer une nouvelle règle pour autoriser le port 4680 pour SSH connexions (remplacez par votre port si différent):

sudo ufw allow 4680/tcp comment 'Autoriser SSH Connexions'

Activer UFW :

sudo ufw activer

Vérifiez l'état - il affichera également l'état actuel et la règle créée :

D'autres services et ports peuvent être ajoutés de la même manière, par exemple, pour ajouter le port 443 pour NGINX:

sudo ufw allow 443/tcp comment 'Autoriser HTTPS'

Il y a en plus notre publication où est décrit comment utiliser UFW - Commandes UFW courantes

Réglage du fuseau horaire

Vérifiez les paramètres d'heure actuels :

timedatectl

Actuellement, il s'agit de l'UTC. Les fuseaux horaires disponibles sont affichés avec la commande :

timedatectl list-timezones

Choisissez le désir à définir. Par exemple, vous devez définir le fuseau horaire de Chicago, puis exécuter :

sudo timedatectl set-timezone "Amérique/Chicago"

Vérifiez à nouveau le fuseau horaire actuel :

Désormais, les événements dans les journaux système sont correctement enregistrés.