介绍
当你第一次创建一个新的Ubuntu 16.04服务器时,有一些配置步骤,你应该早早作为基本设置的一部分。这将增加服务器的安全性和可用性,并为后续操作提供坚实的基础。第一步 - Root登录
要登录到您的服务器,您需要知道您的服务器的公共IP地址。您还需要密码或(如果您安装了SSH密钥进行身份验证)“root”用户帐户的私钥。如果您尚未登录到你的服务器,你可能要遵循先教程在这个系列中, 如何连接到你的SSH Droplet ,这将详细介绍这个过程。 如果您尚未连接到你的服务器,继续前进,登录为root使用以下命令(替换您的服务器的公网IP地址高亮显示的字)用户:
ssh root@SERVER_IP_ADDRESS
关于Root
root用户是具有非常广泛特权的Linux环境中的管理用户。因为root帐户的更高权限的,你实际上是使用它定期 气馁 。这是因为固有的root帐户的权力的一部分,甚至是偶然做出极具破坏性的变化,能力。 下一步是设置一个替代用户帐户,减少日常工作的影响范围。我们会教你如何在你需要时获得更多的权限。第二步 - 创建新用户
一旦你登录为root ,我们准备补充一点,我们将使用从现在起登录的新用户帐户。 此示例创建一个名为“sammy”的新用户,但您应该将其替换为您喜欢的用户名:
adduser sammy
ENTER你想跳过任何领域。
第三步 - Root特权
现在,我们有一个具有常规帐户权限的新用户帐户。但是,我们有时可能需要执行管理任务。 为了避免必须注销正常用户并以root帐户重新登录,我们可以为我们的普通帐户设置所谓的“超级用户”或root权限。这将使我们的普通用户通过字当头运行具有管理权限的命令sudo每一个命令。 要向我们的新用户添加这些权限,我们需要将新用户添加到“sudo”组。默认情况下,在Ubuntu 16.04,谁属于“命令”组中的用户被允许使用
sudo命令。 作为
root ,运行这个命令到新的用户加入到
Sudo组(替换用新的用户突出显示的单词):
usermod -aG sudo sammy
第四步 - 添加公钥认证(推荐)
保护服务器的下一步是为新用户设置公钥认证。设置此项将通过要求私有SSH密钥登录来提高服务器的安全性。生成密钥对
如果您还没有SSH密钥对,它由一个公钥和私钥,你需要生成一个。如果您已经有您想要使用一个密钥,跳到 复制公钥一步。 要生成一个新的密钥对,在 本地计算机 (即计算机)的终端输入以下命令:ssh-keygen
ssh-keygen outputGenerating public/private rsa key pair.
Enter file in which to save the key (/Users/localuser/.ssh/id_rsa):
id_rsa和公钥
id_rsa.pub ,在
.ssh的
为localuser的主目录的目录。请记住,不应与不应访问您的服务器的任何人共享私钥!
复制公钥
生成SSH密钥对后,您需要将公钥复制到新服务器。我们将介绍两种简单的方法。选项1:使用ssh-copy-id
如果你的本地计算机具有ssh-copy-id安装的脚本,你可以用它来你的公钥安装到您的登录凭据的任何用户。 运行
ssh-copy-id通过指定要安装的关键,这样的服务器的用户和IP地址的脚本:
ssh-copy-id sammy@SERVER_IP_ADDRESS
.ssh/authorized_keys文件。现在可以使用相应的私钥登录服务器。
选项2:手动安装密钥
假设你产生使用上一步SSH密钥对,在 本地计算机的终端使用下面的命令来打印你的公钥(id_rsa.pub ):
cat ~/.ssh/id_rsa.pub
id_rsa.pub contentsssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQDBGTO0tsVejssuaYR5R3Y/i73SppJAhme1dH7W2c47d4gOqB4izP0+fRLfvbz/tnXFz4iOP/H6eCV05hqUhF+KYRxt9Y8tVMrpDZR2l75o6+xSbUOMu6xN+uVF0T9XzKcxmzTmnV7Na5up3QM3DoSRYX/EP3utr2+zAqpJIfKPLdA74w7g56oYWI9blpnpzxkEd3edVJOivUkpZ4JoenWManvIaSdMTJXMy3MtlQhva+j9CgguyVbUkdzK9KKEuah+pFZvaugtebsU+bllPTB0nlXGIJk98Ie9ZtxuY3nCKneB+KjKiXrAvXUPCI9mWkYS/1rggpFmu3HbXBnWSUdf [email protected]
su - sammy
.ssh并用下面的命令限制其权限:
mkdir ~/.ssh
chmod 700 ~/.ssh
.ssh名为
authorized_keys用文本编辑器。 我们将用
nano来编辑文件:
nano ~/.ssh/authorized_keys
CTRL-x退出该文件,然后
y以保存您所做的更改,然后
ENTER确认文件名。 现在限制使用此命令
authorized_keys文件的权限:
chmod 600 ~/.ssh/authorized_keys
root用户:
exit
第五步 - 禁用密码验证(推荐)
现在您的新用户可以使用SSH密钥登录,您可以通过禁用仅密码身份验证来提高服务器的安全性。这样做将限制对您的服务器的SSH访问仅限于公钥认证。也就是说,登录到您的服务器(除了控制台)的唯一方法是拥有与安装的公钥配对的私钥。 注意:只有当你安装了一个公共密钥用户在上一节中,建议禁用密码身份验证,第四步。 否则,你将锁定自己的服务器! 要在服务器上禁用密码验证,请按照下列步骤操作。 作为 root或 新的用户Sudo ,打开SSH守护程序配置:sudo nano /etc/ssh/sshd_config
PasswordAuthentication ,删去前面的注释它
# ,然后将其值改为“无”。在进行更改后,它应该如下所示:
sshd_config - 禁用密码认证
PasswordAuthentication no
sshd_config - 重要默认值
PubkeyAuthentication yes
ChallengeResponseAuthentication no
CTRL-X然后
Y ,然后
ENTER )。 键入此以重新加载SSH守护程序:
sudo systemctl reload sshd
第六步 - 测试登录
现在,在注销服务器之前,您应该测试新的配置。在您确认可以通过SSH成功登录之前,请不要断开连接。 在 本地机器上 的一个新的终端,使用我们新创建的帐户登录到服务器。为此,请使用此命令(替换您的用户名和服务器IP地址):ssh sammy@SERVER_IP_ADDRESS
sudo command_to_run
第七步 - 设置基本防火墙
Ubuntu 16.04服务器可以使用UFW防火墙来确保只允许与某些服务的连接。我们可以很容易地使用这个应用程序设置基本的防火墙。 不同的应用程序可以在安装时向UFW注册其配置文件。这些配置文件允许UFW按名称管理这些应用程序。 OpenSSH,该服务允许我们现在连接到我们的服务器,已在UFW注册了一个配置文件。 您可以通过键入以下内容查看此内容:sudo ufw app list
OutputAvailable applications:
OpenSSH
sudo ufw allow OpenSSH
sudo ufw enable
sudo ufw status
OutputStatus: active
To Action From
-- ------ ----
OpenSSH ALLOW Anywhere
OpenSSH (v6) ALLOW Anywhere (v6)
