Początkowa konfiguracja serwera z Ubuntu 20.04 LTS (Focal Fossa)

W tym samouczku zakładamy, że masz już świeże zainstalowane Ubuntu Ubuntu 20.04 LTS (Focal Fossa). Zalecamy użycie wersji Ubuntu LTS dla twoich serwerów, takich jak Ubuntu 20.04 LTS (Focal Fossa). Teraz po zainstalowaniu serwera Ubuntu 20.04 Serwer, kontynuuj kroki po instalacji na serwerze. Ten samouczek zawiera kroki, które są przydatne do konfigurowania serwera do zastosowania podstawowego zabezpieczenia do serwera.

Wykonaj poniższe kroki.

1. Uaktualnij swój system

Po pierwsze, zaloguj się do Ubuntu 20.04 System za pośrednictwem terminalu systemowego. Teraz wykonaj następujące polecenia, aby zaktualizować Apt Cache i zaktualizować wszystkie pakiety w swoim systemie.

sudo apt aktualizacja sudo apt aktualizację 

2. Utwórz konto użytkownika

Nigdy nie zalecamy użycia użytkownika root do pracy na Ubuntu 20.04. Utwórzmy konto dla administracji systemu i włącz dostęp do tego sudo.

sudo adduser sysadmin 

Teraz dodaj nowo utworzonego użytkownika do grupy Sudo, aby mógł uzyskać wszystkie uprawnienia Sudo.

Ssudo Usermod -Ag sudo sysadmin 

3. Bezpieczny serwer SSH

Zaleciliśmy zmianę domyślnego portu SSH, pomaga zabezpieczyć system przed próbami hackowania. Aby zmienić domyślny plik konfiguracji Port Edytuj /etc/ssh/sshd_config i wykonaj następujące zmiany.

• Zmień port domyślny - dobrze będzie zmienić domyślny port SSH, ponieważ domyślne porty są zawsze na atakujących.

   Port 2222 

• Wyłącz login root SSH - chcesz również wyłączyć login root za pośrednictwem SSH.

   Pertrootlogin nr 

4. SSH oparty na kluczu konfiguracji

Jest to zdecydowanie zalecane do używania loginu SSH opartego na kluczu zamiast logowania hasła. Aby to skonfigurować, utwórz parę klucza SSH w systemie lokalnym.

Użytkownicy Linux mogą korzystać z następującego polecenia, a użytkownicy systemu Windows używają PuttyGen.exe, aby wygenerować parę kluczy SSH.

ssh-keygen 

Przykładowy wyjście:

Generowanie publicznej/prywatnej pary kluczy RSA. Wprowadź plik, w którym można zapisać klucz (/home/sysadmin/.SSH/ID_RSA): Created Directory '/home/sysadmin/.ssh '. Wprowadź hasło (pusta dla braku hasła): Wprowadź ponownie ten sam passfraza: Twoja identyfikacja została zapisana w/home/sysadmin/.ssh/id_rsa Twój klucz publiczny został zapisany w/home/sysadmin/.ssh/id_rsa.Pub Kluczowy odcisk palca to: SHA256: WWUZM5MJMKITQA4ZFKPPGWPOCEEE7TGRLFSGYGPSWHE [chroniony e-mail] Losowy obraz klucza to: + --- [RSA 3072] ---- + |@O%OE | | @@ o+ . |. |*X.+. O | |*… + | | . o . +S . |. | . o + o. |. |… O… | |. oo. |. |. o+ | +---- [SHA256]-----+ 

Teraz skopiuj nowo utworzony klucz publiczny .ssh/id_rsa.pub Zawartość pliku do serwerów ~/.ssh/autoryzowane_keys plik. Możesz bezpośrednio skopiować klucz publiczny do pliku serwerów lub użyć następującego polecenia.

ssh-copy-id -i ~/.ssh/id_rsa.pub [e -mail chroniony] 

Teraz zaloguj się do serwera z SSH, nie będzie ponownie monitować hasła.

SSH [chroniony e -mail] 

5. Skonfiguruj zaporę ogniową za pomocą zapory

Domyślny Ubuntu 20.04 Server Edition, nie ma na niej zainstalowania zapory ogniowej. Możesz po prostu uruchomić następujące polecenie, aby zainstalować wymagane pakiety z domyślnych repozytoriów.

sudo apt instal instaluj zaporę ogniową 

Po instalacji uruchom usługę zapory i włącz ją do automatycznego startowania w rozruchu systemowym.

SystemCtl Start Firewalld Systemctl Włącz zaporę ogniową 

Domyślnie zapora ogniowa pozwoliła SSH dostęp do zdalnych użytkowników. Może być również konieczne zezwolenie na inne usługi za pośrednictwem zapory ogniowej zdalnym użytkownikom.

Możesz bezpośrednio podać nazwę usługi, taką jak „http” lub „https”, aby zezwolić. Firewalld używa pliku /etc /usługi do określenia odpowiedniego portu usługi.

Firewall-CMD --Permanent --add-service = http firewall-cmd --Permanent --add-service = https 

Jeśli którąkolwiek z nazwy usługi nie jest zdefiniowana w pliku /etc /usługi. Możesz bezpośrednio za pomocą numeru portu, używając numeru portu. Na przykład, aby zezwolić na port TCP 8080 lub 10000 (domyślnie Webmin) na zaporę.

Firewall-CMD --Permanent --add-port = 8080/TCP Firewall-CMD --Permanent --add-port = 10000/tcp 

Po wprowadzeniu jakichkolwiek zmian w zaporze, pamiętaj, aby ponownie załadować zmiany za pomocą następującego polecenia.

Firewall-CMD-RELOOD 

Aby wyświetlić, wszystkie dozwolone porty i usługi korzystają z następującego polecenia.

Firewall-CMD-Permanent--liter-all 

Wyjście:

Publiczny cel: Domyślna inwersja ICMP-BLOCK: Brak interfejsów: Źródła: Usługi: kokpit DHCPV6-CLIENT HTTP HTTPS Porty SSH: 8080/TCP 10000/TCP Protokoły: MASQUERADE: Bez napastników: źródło-porty: ICMP-blocks: Rich Rich zasady: 

Wniosek

Twój Ubuntu 20.04 LTS (Focal Fossa) System jest gotowy do użycia. Nie zapomnij podzielić się swoimi pomysłami na temat początkowej konfiguracji serwera, co pomoże innym.