Корректная настройка сервера с операционной системой Ubuntu предусматривает предварительное корректирование базовых параметров. В данном руководстве приведены исчерпывающие, компетентные рекомендации касательно настройки сервера под версию ОС Ubuntu 18.04. Реализация и применение параметров гарантирует должную безопасность, конфиденциальность, а также удобство последующего конфигурирования.

Snimok-ekrana-ot-2019-01-02-15-40-23.png

Данное руководство позволит ознакомиться с тем, как установить Ubuntu (сервер) с последующей комплексной настройкой. Материал обладает актуальностью при работе с vps/vds под ОС Ubuntu 18.04 версии. Процедуру рекомендуется выполнять вручную, исключив любые неточности или грубые ошибки. Скрупулёзное изучение руководства обеспечит улучшение навыков по администрированию сервера. Дополнительно реализуются специальные скрипты для быстрой настройки vds (виртуальный сервер), что не рекомендуемо.

Примечание: ОС Ubuntu в основе использует структуру операционной системы Linux.

Авторизация в системе: пользователь root

Для получения начального доступа к системе управления сервером используется аккаунт – пользователь root. Чтобы успешно завершить авторизацию, необходимо определить публичный IP-адрес, которым обозначен веб сервер. Если пользователь не произвёл авторизацию на сервере, рекомендуется обратить внимание на особенности подключения к Droplet, используя SSH.

Важно: реализуется два активных метода для входа в аккаунт – использование предустановленного пароля; применение специального файла, который именуется «ssh ключ».

При отсутствии интеграции с системой необходимо произвести замену выделенной команды, указав публичный ip адрес.

$ ssh root@your_server_ip

Для завершения авторизации выполняются, следующие действия:

  1. Подтвердить согласие, указывающее на подлинность хоста (может быть отображено в отдельном окне);
  2. Применение предустановленного пароля. Требует от пользователя указания уникальной последовательности цифр и латинских букв. При первой авторизации система попросит у пользователя указания нового пароля;
  3. Применение SSH-ключа. Понадобится указать специальную кодовую фразу, которая соответствует ключу.

Соединение с Droplets с применением SSH

Droplet – виртуальная машина, созданная на базе операционной системы Linux, которая обрабатывается аппаратными комплектующими. Создание Droplet означает учреждение нового сервера, готового к использованию.

Для успешного создания Droplet потребуется установить дистрибутив SSH (клиент), а также позаботиться о наличии SSH-ключа. Пользователи традиционно используют пароли для авторизации (не рекомендовано, так как не гарантирует достаточный уровень безопасности), или же SSH-ключи с уникальным кодовым словом.

Важно: специалисты рекомендуют устанавливать аутентификацию с помощью ключей SSH – безопасный и прогрессивный метод защиты).

Для успешной авторизации в Droplet с использованием SSH-ключа требуется использовать следующие сведения:

  • IP-адрес сервера Droplets;
  • Имя пользователя сервера, установленное по умолчанию;
  • Пароль, установленный по умолчанию для данного пользователя (если не используется SSH-ключ).

Имя пользователя по умолчанию данного сервера «root», что реализуются в большинстве ОС (Ubuntu, CentOS). Исключение составит CoreOS, которая использует имя «core», Rancher, использующая «rancher» и FreeBSD с одноимённым названием «freebsd».

В случае загрузки и добавления SSH-ключей к аккаунту подключение к Droplet возможно путём использования SSH-клиента или же командной строки. Если пользователь игнорирует использование SSH, паролем сервера Droplet будет пароль, установленный в процессе создания оного.

По факту получения IP-адреса Droplet, имя пользователя и пароля необходимо следовать руководству, прилагаемому к SSH-клиенту. Утилита OpenSSH доступна на следующих операционных системах: Linux, macOS, Linux.

Права пользователя Root

Учётная запись root модерируется пользователем с одноимённым названием, который обладает расширенным пулом прав. Компетентные специалисты предостерегают от использования аккаунта root в качестве основного: первопричина этого заключается в потенциальной возможности изменения параметров, которые частично разрушат сервер Ubuntu.

vi0hGFq.png

С целью обеспечения показательной безопасности и функциональности рекомендуется отказаться от использования root-прав. В следующей части материала приведена инструкция, обеспечивающая создание нового пользователя.

Создание: новый пользователь

По факту прохождения авторизации в системе под именем «root» может быть создан новый пользователь. Учрежденный аккаунт в дальнейшем будет применяться как основной.

Фрагмент кода содержит команду, позволяющую создать пользователя с произвольным именем – «tango».

# adduser tango

Потребуется установить уникальный пароль аккаунта. Возможно указание дополнительных сведений в соответствующую ячейке. Для пропуска необходимо выбрать поле, нажав клавишу Enter.

Базовая настройка – учреждение прав администратора

По завершении создания аккаунта с базовым пулом прав необходимо перейти к расширению функционала. Пользователю может потребоваться выполнение действий, которые доступны исключительно администратору.

Для повышения уровня доступа следует воспользоваться правами вида «superuser», которые будут применены к созданному аккаунту. Активация параметра означает, что при добавлении приставки sudo пользователь сможет выполнять действия с уровнем допуска «Администратор».

Важно: для корректного использования команды sudo необходимо дополнить одноимённую группу пользователей. Операционная система Ubuntu версии 18.04 предусматривает возможность использования команды пользователям, входящим в упомянутую группу.

Для активации прав необходимо выполнить следующую команду, изменив имя пользователя в примере на требуемое.

# usermod -aG sudo tango

В результате по прохождению авторизации перед выполнением любой команды потребуется добавлять приставку sudo, что позволит выполнять действия с уровнем допуска «Администратор».

Руководство: установка брандмауэра

Первоначальная настройка параметров брандмауэра варьируется в зависимости от используемой версии ОС и непосредственно брандмауэра. Применение UFW на версии ОС 18.04 обеспечит возможностью гибко настроить подключение к исключительно предустановленным сервисам.

4PN0vT6.png

Важно: не рекомендуется одновременно интегрировать несколько брандмауэров, что может привести к последовательной программной конфликтологии.

С добавлением UFW и установкой утилит обе могут быть связаны с помощью специального профиля. В результате брандмауэр будет производить точечное управление программой, подключённой к системе. Использование OpenSSH позволит убедиться в интеграции профиля в UFW.

Использование команд для проверки соединения:

#ufw app list

Output
Available applications:
OpenSSH

Руководство предполагает также проверку SSH-соединения, что позволило бы оптимизировать последующую авторизацию в системе. Следующая команда позволит установить соединение:

# ufw allow OpenSSH

Для активации брандмауэра, используется:

# ufw enable

Впоследствии потребуется ввести значение «, а затем подтвердить действие, нажав Enter. Для проверки статуса соединения SSH применяется команда:

# ufw status

Output
Status: active
To Action From
-- ------ ----
OpenSSH ALLOW Anywhere
OpenSSH (v6) ALLOW Anywhere (v6)

В дальнейшем брандмауэр будет блокировать сторонние подключения, подключая исключительно SSH. Для разрешения подключения потребуется перейти в расширенные параметры, изменив уровни допуска.

Настройка Ubuntu: внешний доступ к серверу

Настройка Ubuntu предполагает проверку факта применения SSH при работе с аккаунта обычного пользователя.

Важно: перед тем как настроить сервер окончательно, войдя в запись обычного пользователя с применением команды sudo, требуется проверить работоспособность функций под аккаунтом root. Прерогатива Root – возможность своевременного устранения актуальных проблем, без потребности в повторной авторизации.

Базовая настройка системы будет зависеть от способа авторизации учётной записи Root: применения уникального пароля; использования кодового слова и SSH-ключа – о чём далее в материале.

Авторизация по паролю в учётной записи Root

В случае успешной авторизации в системе по паролю – учётная запись Root, – SSH будет использован аутентификацию по добавленному паролю. Схожим образом SSH может быть применён для новой учётной записи, реализовав следующую команду:

$ ssh tango@your_server_ip

После указания корректного пароля обычного аккаунта аутентификация будет завершена. Для инициализации команды с уровнем допуска «Администратор» не стоит забывать о применении команды sudo:

$ sudo command_to_run

С использованием команды для повышения уровня допуска будет необходимо указывать пароль аккаунта (несколько раз).

Примечание: с целью повышения уровня защищённости сервера на убунту показано использовать аутентификацию по SSH-ключу, когда применение пароля не оправдано.

Авторизация по SSH-ключу в учётную запись Root

При авторизации в аккаунт root с применением кодового слова (SSH-ключа) необходимо понимать, что вход с помощью пароля невозможен. Чтобы обеспечить безопасную и быструю аутентификацию показана интеграция копии открытого ключа в следующий файл созданного аккаунта:

~/.ssh/authorized_keys

На данный момент ключ-SSH уже добавлен в упомянутый файл пользователя root, что позволит попросту скопировать структуру каталога, а затем перенести в базу новосозданной записи.

Для обеспечения корректного копирования файлов с учётом уровней допуска рекомендуется использовать функцию – команда: rsync. Выбранная функция обеспечивает копирование структуры каталога, учитывая предустановленные права с последующим переназначением владельца. Используя нижеприведённую команду, необходимо заменить названия исходного и конечного пользователей:

# rsync --archive --chown=tango:tango ~/.ssh /home/Tango

Важно: необходимо крайне осторожно использовать символ «/» (слэш), который определяет метод обработки файлов при копировании с использованием команды rsync. Каталог, из которого осуществляется копирование не должен содержать символ закрывающего слэша. Пример: ~/.ssh/.

При добавлении в команду завершающий слэш rsync осуществит копирование лишь содержащихся в каталоге файлов, когда потребуется скопировать целую структуру – корректная команда: ~/.ssh. Нарушение последовательности символов может привести к некорректному определению и использованию файлов со стороны SSH.

По завершении копирования необходимо инициализировать новый сеанс, войдя в запись. Команда:

$ ssh tango@your_server_ip

Последующий вход в запись произойдёт без потребности в указании поля. При возникновении прецедента не стоит забывать об актуальности команды повышения уровня допуска, в частности:

$ sudo command_to_run

Схожим образом с применением команды sudo система запросит указание действующего пароля от учётной записи.

Заключение

По завершении первоначальной настройки сервера основные параметры будут отлажены с обеспечением должного уровня безопасности и защищённости. По факту успешной индивидуализации администратор сервера располагает возможность инсталлировать профильное ПО.

Вопрос-ответ

Что безопаснее: пароль или SSH-ключ?

Ответ: SSH-ключ гарантирует полную безопасность сервера.

Как получить права администратора?

Ответ: используется комадна sudo.

Можно ли использовать руководство для ОС старой версии?

Ответ: нет.