Persediaan Pelayan Awal dengan Debian 10/9/8

Persediaan Pelayan Awal dengan Debian 10/9/8

Kami telah melancarkan contoh Debian Linux baru untuk menjalankannya sebagai pelayan pengeluaran untuk aplikasi baru kami. Ini adalah amalan yang baik untuk melakukan persediaan pelayan awal dengan sistem Debian Linux. Yang akan meningkatkan keselamatan pelayan utama dan kebolehgunaan untuk pelayan baru anda.

Panduan ini merangkumi langkah -langkah berikut:

  1. Mengemas kini dan menaik taraf sistem debian
  2. Buat pengguna sudo di Debian
  3. Nama Hos Persediaan dalam Sistem Debian
  4. Pelayan SSH selamat
  5. Mengkonfigurasi Firewalld

Mari kita mulakan dengan persediaan pelayan awal pada sistem Debian Linux.

1. Menaik taraf Debian

Selepas log masuk ke pelayan Debian, tugas pertama adalah untuk menaik taraf pakej semasa sistem Debian. Kerana mungkin pelayan dibina dengan fail imej lama. Pasukan Debian terus berusaha untuk meningkatkan keselamatan pelayan dan menyediakan pakej terkini dengan kerap.

Pertama, kemas kini cache tepat pada sistem anda.

Kemas kini sudo apt  

Kemudian, jalankan perintah naik taraf untuk menaikkan pakej.

Sudo apt naik taraf  

Ia juga merupakan pilihan yang baik untuk menjalankan peningkatan distrad untuk sistem yang baru dipasang.

Sudo apt distgrade  

Tekan 'Y' untuk sebarang pengesahan yang diminta untuk menyelesaikan pemasangan pakej.

Juga, laksanakan arahan berikut untuk mengeluarkan pakej tidak lagi diperlukan. Ini juga berguna untuk mengeluarkan fail versi kernel lama.

sudo apt autoremove  

2. Buat pengguna sudo

Beberapa penyedia hosting seperti DigitalOcean melancarkan contoh dengan akaun root sahaja. Ini bukan amalan yang baik untuk terus menggunakan contoh pengeluaran menggunakan akaun superuser. Kami sangat mengesyorkan membuat pengguna baru dengan keistimewaan sudo dan menggunakannya untuk mengakses contoh Debian anda.

Dengan mengandaikan anda sudah log masuk ke akaun akar. Jalankan arahan berikut untuk membuat pengguna baru di Debian:

sudo adduser tecadmin  

Akaun yang baru dibuat adalah pengguna biasa. Anda memerlukan keistimewaan pentadbiran untuk melaksanakan pelbagai tugas. Beri keistimewaan pentadbiran kepada pengguna ini dengan menambahkannya sudo kumpulan. Untuk menambah pengguna ke kumpulan sudo, taipkan:

sudo usermod -a -g sudo tecadmin  

Sekarang, anda boleh beralih ke akaun yang baru dibuat untuk arahan lanjut.

sudo su - tecadmin  

3. Konfigurasikan nama hos sistem

Nama hos sistem adalah nama contoh yang digunakan sebagai identiti untuk rangkaian komputer. Ia membantu pengguna dan mesin rangkaian untuk mengenali mesin dengan mudah dalam rangkaian dalam format yang boleh dibaca manusia.

Ini merupakan amalan yang baik untuk menetapkan nama hos yang sesuai untuk contoh anda. Dalam jenis terminal sistem HostNamectl dan tekan Enter:

Hostnamectl  

Ini akan memberi anda butiran mengenai butiran sistem termasuk nama host. Walaupun anda boleh menaip perintah hostname untuk melihat nama hostname.

Seterusnya, tukar nama hos sistem ke

sudo hostnamect set-hostname debian10  

Sebaik sahaja anda mengemas kini nama hos sistem, anda perlu menukar ke shell baru untuk diaktifkan dalam sesi semasa. Setelah menukar shell semasa, shell prompt akan ditukar kepada nama hos baru.

Nama Host  

4. Mengamankan SSH

SSH (Secure Shell) adalah protokol yang digunakan untuk menyambungkan pelayan jauh. Kami mengesyorkan mengkonfigurasi pelayan OpenSSH untuk mendengar di port bukan standard. Yang memberikan anda satu lagi lapisan keselamatan dari penggodam.

Untuk menukar port lalai dan lumpuhkan log masuk root, edit fail konfigurasi openssh/etc/ssh/sshd_config dan lakukan perubahan berikut.

  • Tukar port lalai - Adalah baik untuk menukar port SSH lalai kerana port lalai selalu ada pada penyerang.
     Pelabuhan 2232 
  • Lumpuhkan log masuk SSH Root - Anda juga ingin melumpuhkan log masuk root melalui SSH.
     Permitrootlogin no 

Simpan fail konfigurasi dan mulakan semula perkhidmatan OpenSSH untuk menggunakan perubahan.

sudo systemctl mulakan semula ssh  

5. Mengkonfigurasi Firewall (Firewalld)

Edisi pelayan debian lalai tidak mempunyai firewall yang dipasang di atasnya. Anda hanya boleh menjalankan arahan berikut untuk memasang pakej yang diperlukan dari repositori lalai.

sudo apt memasang firewalld -y  

Pada pemasangan yang berjaya, perkhidmatan firewall akan dimulakan secara automatik dan didayakan pada sistem anda.

Firewall lalai membolehkan SSH kepada pengguna terpencil. Tetapi jika port SSH diubah, anda boleh menambah peraturan untuk membenarkan akses SSH di pelabuhan lain.

sudo firewall-cmd --permanent --add-port = 2232/tcp  

Anda boleh memberikan nama perkhidmatan secara langsung seperti "http" atau "https" untuk membenarkan. Firewalld membaca /etc /perkhidmatan Fail untuk menentukan port perkhidmatan yang sepadan.

sudo firewall-cmd --permanent --add-service = http  sudo firewall-cmd --permanent --add-service = https  

Setelah membuat perubahan pada firewall anda, pastikan untuk memuatkan semula perubahan menggunakan arahan berikut.

Sudo Firewall-CMD-Reload  

Untuk melihat, semua port dan perkhidmatan yang dibenarkan menggunakan arahan berikut.

sudo firewall-cmd --permanent-list-all  

Pengeluaran:

Sasaran Awam: ICMP-Block-Inversion: Tiada Antara muka: Sumber: Perkhidmatan: Cockpit DHCPV6-Client HTTP HTTPS SSH Port: Protokol: Masquerade: No Forward-Ports: Sumber-Ports: ICMP-Blocks: Kaedah Kaya: 

Kesimpulan

Dalam panduan ini, kami telah melalui persediaan pelayan awal sistem Debian Linux. Sebaik sahaja anda berjaya menyelesaikan semua konfigurasi persediaan pelayan awal, sistem anda sudah bersedia untuk digunakan.