Ubuntu

Persediaan pelayan awal dengan Ubuntu 20.04 LTS (Focal Fossa)

Persediaan pelayan awal dengan Ubuntu 20.04 LTS (Focal Fossa)

Dalam tutorial ini, kami mengandaikan bahawa anda sudah mempunyai Ubuntu Ubuntu 20 yang baru dipasang.04 LTS (Focal Fossa) pelayan. Kami mengesyorkan menggunakan versi LTS Ubuntu untuk pelayan anda seperti Ubuntu 20.04 LTS (Focal Fossa). Sekarang setelah memasang pelayan Ubuntu 20.04 pelayan, teruskan langkah pasca pemasangan di pelayan anda. Tutorial ini merangkumi langkah -langkah yang berguna untuk mengkonfigurasi pelayan untuk menggunakan keselamatan asas ke pelayan.

Ikuti langkah di bawah.

1. Menaik taraf sistem anda

Pertama sekali, log masuk ke Ubuntu 20.04 Sistem melalui terminal sistem. Sekarang, laksanakan arahan berikut untuk mengemas kini cache apt dan menaik taraf semua pakej pada sistem anda.

sudo apt kemas kini sudo apt menaik taraf

2. Buat Akaun Pengguna

Kami tidak pernah mengesyorkan menggunakan pengguna root untuk bekerja di Ubuntu 20.04. Mari buat akaun untuk pentadbiran sistem dan membolehkan akses sudo untuk itu.

sudo adduser sysadmin

Sekarang tambahkan pengguna yang baru dibuat ke kumpulan sudo, sehingga dapat memperoleh semua keistimewaan sudo.

ssudo usermod -ag sudo sysadmin

3. Pelayan SSH selamat

Kami mengesyorkan menukar port SSH lalai, ia membantu anda untuk menjamin sistem anda dari percubaan hack. Untuk menukar fail konfigurasi Openssh Edit Port Default /etc/ssh/sshd_config dan lakukan perubahan berikut.

  • Tukar port lalai - Adalah baik untuk menukar port SSH lalai kerana port lalai selalu pada penyerang.
     Pelabuhan 2222
  • Lumpuhkan Log Masuk SSH Root - Juga anda ingin melumpuhkan log masuk root melalui SSH.
     Permitrootlogin no

4. Persediaan SSH berasaskan kunci

Ini sangat disyorkan untuk menggunakan log masuk SSH berasaskan utama dan bukannya log masuk kata laluan. Untuk mengkonfigurasi ini, buat pasangan kunci SSH pada sistem tempatan anda.

Pengguna Linux boleh menggunakan arahan berikut, dan pengguna Windows menggunakan PuttyGen.exe untuk menjana pasangan kunci ssh.

SSH-Keygen

Output Contoh:

Menjana pasangan kunci RSA awam/swasta. Masukkan fail di mana untuk menyimpan kunci (/rumah/sysadmin/.SSH/ID_RSA): direktori '/rumah/sysadmin/.ssh '. Masukkan frasa laluan (kosong tanpa frasa laluan): Masukkan frasa laluan yang sama sekali lagi: pengenalan anda telah disimpan di/rumah/sysadmin/.ssh/id_rsa kunci awam anda telah disimpan di/rumah/sysadmin/.SSH/ID_RSA.PUB Cap jari utama ialah: SHA256: Wewuzm5mjmkitqa4Zfkppgwpoce7tgrlfsgygpswhe [dilindungi e-mel] Imej rawak kunci adalah: + --- [RSA 3072] ---- + |@o%oe | | @@ o+ . | |*X.+. O | |*... + | | . o . +S . | | . o + o. | | ... O ... | | oo. | | O+ | +---- [SHA256]-----+

Sekarang salin kunci awam yang baru diwujudkan .SSH/ID_RSA.pub Kandungan fail ke pelayan ~/.SSH/Authorized_keys fail. Anda boleh menyalin kunci awam secara langsung ke fail pelayan atau menggunakan arahan berikut.

ssh-copy-id -i ~/.SSH/ID_RSA.pub [dilindungi e -mel]

Sekarang log masuk ke pelayan dengan SSH, ia tidak akan meminta kata laluan lagi.

SSH [dilindungi e -mel]

5. Konfigurasikan firewall dengan firewalld

Ubuntu lalai 20.Edisi pelayan 04, tidak dipasang di atasnya. Anda hanya boleh menjalankan arahan berikut untuk memasang pakej yang diperlukan dari repositori lalai.

sudo apt memasang firewalld

Selepas pemasangan, mulakan perkhidmatan firewall dan membolehkannya untuk memulakan auto pada boot sistem.

Systemctl Start Firewalld SystemCtl Dayakan Firewalld

Secara lalai firewall membenarkan akses SSH kepada pengguna jauh. Anda juga mungkin perlu membenarkan perkhidmatan lain melalui firewall ke pengguna terpencil.

Anda boleh memberikan nama perkhidmatan secara langsung seperti "http" atau "https" untuk membenarkan. Fail Firewalld menggunakan /etc /perkhidmatan untuk menentukan port perkhidmatan yang sepadan.

firewall-cmd --permanent --add-service = http firewall-cmd --permanent --add-service = https

Sekiranya mana -mana nama perkhidmatan tidak ditakrifkan dalam fail /etc /perkhidmatan. Anda boleh menguasai firewall menggunakan nombor port secara langsung. Contohnya untuk membenarkan port TCP 8080 atau 10000 (webmin lalai) ke firewall anda.

Firewall-CMD --PerManent --Add-Port = 8080/TCP Firewall-CMD --PerManent --Add-Port = 10000/TCP

Setelah membuat perubahan pada firewall anda, pastikan untuk memuatkan semula perubahan menggunakan arahan berikut.

Firewall-CMD-Reload

Untuk melihat, semua port dan perkhidmatan yang dibenarkan menggunakan arahan berikut.

firewall-cmd --permanent --list-all

Pengeluaran:

Sasaran Awam: ICMP-block-inversion lalai: Tiada antara muka: Sumber: Perkhidmatan: Cockpit DHCPV6-Client HTTP HTTPS SSH Port: 8080/TCP 10000/TCP Protokol: Masquerade: Tidak Kaedah:

Kesimpulan

Ubuntu anda 20.Sistem 04 LTS (Focal Fossa) sudah siap digunakan. Jangan lupa untuk berkongsi idea anda mengenai persediaan pelayan awal, yang akan membantu orang lain.