Po utworzeniu nowego serwera należy wprowadzić kilka poprawek w konfiguracji, aby wzmocnić bezpieczeństwo serwera.
Jako użytkownik root masz uprawnienia do robienia z serwerem wszystkiego, co chcesz - bez ograniczeń. Z tego powodu lepiej unikać korzystania z konta użytkownika root dla każdego zadania na serwerze. Zacznijmy od stworzenia nowego użytkownika. Zastąp usernameżądaną nazwą użytkownika:
adduser username
Wybierz nowe bezpieczne hasło i odpowiednio odpowiedz na pytania (lub po prostu naciśnij ENTER, aby użyć wartości domyślnej).
Nowe konta użytkowników nie ma uprawnień poza swoim katalogu domowym i nie można uruchomić polecenia, które zmieniają serwer (jak install, updatelub upgrade). Aby uniknąć korzystania z konta root, przyznamy uprawnienia użytkownika root. Można to zrobić na dwa sposoby:
Prostym sposobem jest dodanie użytkownika do sudogrupy. Zastąp usernameżądaną nazwą użytkownika:
adduser username sudo
Spowoduje to dodanie użytkownika do grupy sudo. Ta grupa ma uprawnienia do uruchamiania poleceń z dostępem sudo.
Innym sposobem jest umieszczenie użytkownika w sudoerspliku. Jeśli twój serwer ma wielu użytkowników z uprawnieniami roota, to takie podejście jest nieco lepsze, ponieważ jeśli ktoś zadziała z sudogrupą, nadal będziesz mógł uruchamiać polecenia z uprawnieniami roota, aby pracować na serwerze.
Najpierw uruchom to polecenie:
visudo
Spowoduje to otwarcie sudoerspliku. Ten plik zawiera definicje grup i użytkowników, którzy mogą uruchamiać polecenia z uprawnieniami administratora.
root ALL=(ALL:ALL) ALL
Po tym wierszu wpisz swoją nazwę użytkownika i nadaj jej pełne uprawnienia root. Zastąp usernameodpowiednio:
username ALL=(ALL:ALL) ALL
Zapisz i zamknij plik ( Ctrl + O i Ctrl + X w nano).
Aby zalogować się na nowe konto użytkownika bez logouti loginpo prostu zadzwoń:
su username
Przetestuj uprawnienia sudo za pomocą tego polecenia:
sudo apt-get update
Powłoka poprosi o podanie hasła. Jeśli sudo zostało poprawnie skonfigurowane, twoje repozytoria powinny zostać zaktualizowane. W przeciwnym razie przejrzyj poprzednie kroki.
Teraz wyloguj się od nowego użytkownika:
exit
Konfiguracja Sudo została zakończona.
Następna część tego przewodnika obejmuje zabezpieczenie logowania ssh na serwerze. Najpierw zmień hasło roota:
passwd root
Wybierz coś trudnego do odgadnięcia, ale o którym pamiętasz.
Klucze SSH to bezpieczniejszy sposób logowania. Jeśli nie interesują Cię klucze SSH, przejdź do następnej części samouczka.
Skorzystaj z następującego Vultr Doc, aby utworzyć klucz SSH: Jak wygenerować klucze SSH?
Po otrzymaniu klucza publicznego zaloguj się ponownie przy użyciu nowego użytkownika.
su username
Teraz utwórz .sshkatalog i authorized_keysplik w katalogu domowym tego konta użytkownika.
cd ~
mkdir .ssh
chmod 700 .ssh
touch .ssh/authorized_keys
Dodaj klucz publiczny wygenerowany z innego samouczka do authorized_keyspliku.
nano .ssh/authorized_keys
Zapisz plik, a następnie zmień uprawnienia do tego pliku.
chmod 600 .ssh/authorized_keys
Wróć do użytkownika root.
exit
Teraz sprawimy, że demon SSH będzie bezpieczniejszy. Zacznijmy od pliku konfiguracyjnego:
nano /etc/ssh/sshd_config
Ten krok zmieni port używany do uzyskania dostępu do serwera, jest całkowicie opcjonalny, ale zalecany.
Znajdź linię z Portkonfiguracją, powinna wyglądać następująco:
Port 22
Teraz zmień ten port na dowolny, który chcesz. Musi być większy niż 1024.
Port 4422
Ten krok wyłączy logowanie roota przez SSH, jest to całkowicie opcjonalne, ale wysoce zalecane .
Znajdź tę linię:
PermitRootLogin yes
... i zmień na:
PermitRootLogin no
Dzięki temu serwer będzie bardziej bezpieczny przed botami, które próbują brutalnej siły i / lub wspólnych haseł z użytkownikiem rooti portem 22.
Ten krok wyłączy przekazywanie X11, nie rób tego, jeśli używasz jakiegoś programu do zdalnego dostępu do twojego serwera.
Znajdź linię X11:
X11Forwarding yes
... i zmienia się na:
X11Forwarding no
Po wprowadzeniu zmian w celu zabezpieczenia logowania SSH uruchom ponownie usługę SSH:
service ssh restart
Spowoduje to ponowne uruchomienie i ponowne załadowanie ustawień serwera.
Bez rozłączania bieżącej sesji ssh otwórz nowy terminal lub okno PuTTY i przetestuj kolejne logowanie SSH.
ssh -p 4422 username@SERVER_IP_OR_DOMAIN
Jeśli wszystko się sprawdzi, z powodzeniem wzmocniliśmy bezpieczeństwo Twojego serwera. Cieszyć się!
LiteCart to darmowa i otwarta platforma koszyka na zakupy napisana w PHP, jQuery i HTML 5. Jest to prosty, lekki i łatwy w użyciu program do handlu elektronicznego
Używasz innego systemu? Anchor CMS to bardzo prosty i niezwykle lekki, darmowy i otwarty system zarządzania treścią (CMS) Blog Engine, który
NFS to oparty na sieci system plików, który umożliwia komputerom dostęp do plików w sieci komputerowej. Ten przewodnik wyjaśnia, w jaki sposób możesz udostępniać foldery w NF
Używasz innego systemu? Matomo (wcześniej Piwik) to platforma analityczna typu open source, otwarta alternatywa dla Google Analytics. Źródło Matomo jest hostowane o
TeamTalk to system konferencyjny, który pozwala użytkownikom na wysokiej jakości rozmowy audio / wideo, czat tekstowy, przesyłanie plików i udostępnianie ekranów. To ja
Vultr oferuje kilka różnych sposobów uzyskiwania dostępu do VPS w celu konfiguracji, instalacji i użytkowania. Poświadczenia dostępu Domyślne poświadczenia dostępu dla twojego VPS ar
Ranger to oparty na linii poleceń menedżer plików z powiązaniami klawiszy VI. Zapewnia minimalistyczny i ładny interfejs curses z widokiem na hierarchię katalogów
Wprowadzenie RethinkDB to baza danych NoSQL, która przechowuje dane jako dokumenty JSON. Ma bardzo intuicyjny język zapytań i funkcje powszechnie dostępne
Niezależnie od tego, czy chcesz umieścić zapasy sklepów online, czy po prostu prosty sklep z akcesoriami technicznymi, Magento jest doskonałym rozwiązaniem dla eCommerce online. Ten artykuł
Używasz innego systemu? Brotli to nowa metoda kompresji z lepszym współczynnikiem kompresji niż GZIP. Jego kod źródłowy jest publicznie hostowany na tym Githu
Wprowadzenie MySQL ma świetną funkcję znaną jako widoki. Widoki są przechowywane zapytania. Pomyśl o nich jako o aliasie dla długiego zapytania. W tym przewodniku
Zezwolenie na logowanie roota przez SSH jest powszechnie uważane za słabą praktykę bezpieczeństwa w branży technologicznej. Zamiast tego możesz wykonać delikatną administrację
Neos to innowacyjny system zarządzania treścią typu open source, który doskonale nadaje się do tworzenia i edytowania treści online. Z myślą o autorach i redaktorach, Neo
Vtiger CRM to popularna aplikacja do zarządzania relacjami z klientami, która może pomóc przedsiębiorstwom zwiększyć sprzedaż, zapewnić obsługę klienta i zwiększyć zyski. ja
Używasz innego systemu? DokuWiki to program wiki typu open source napisany w PHP, który nie wymaga bazy danych. Przechowuje dane w plikach tekstowych. DokuWik
W tym artykule dowiesz się, jak skonfigurować więzienie chroot w Debianie. Zakładam, że używasz Debiana 7.x. Jeśli używasz Debiana 6 lub 8, może to działać, bu
Wprowadzenie Prostym sposobem na skonfigurowanie serwera VPN na Debianie jest PiVPN. PiVPN to instalator i opakowanie dla OpenVPN. Tworzy proste polecenia dla ciebie
MaraDNS to lekki, ale solidny program serwera DNS typu open source. W porównaniu z innymi aplikacjami tego samego rodzaju, takimi jak ISC BIND, PowerDNS i djbdns
Używasz innego systemu? Wprowadzenie CyberPanel jest jednym z pierwszych paneli sterowania na rynku, który jest zarówno open source, jak i wykorzystuje OpenLiteSpeed. Co ty?
Używasz innego systemu? NodeBB jest forum opartym na Node.js. Wykorzystuje gniazda sieciowe do natychmiastowych interakcji i powiadomień w czasie rzeczywistym. Kod źródłowy NodeBB i
Przeczytaj blog, aby w najprostszy sposób poznać różne warstwy w architekturze Big Data i ich funkcjonalności.
Chcesz zobaczyć rewolucyjne wynalazki Google i jak te wynalazki zmieniły życie każdego człowieka dzisiaj? Następnie czytaj na blogu, aby zobaczyć wynalazki Google.
13 komercyjnych narzędzi do ekstrakcji danych z Big Data
Whatsapp w końcu uruchomił aplikację Desktop dla użytkowników komputerów Mac i Windows. Teraz możesz łatwo uzyskać dostęp do Whatsapp z systemu Windows lub Mac. Dostępne dla Windows 8+ i Mac OS 10.9+
Energia jądrowa jest zawsze pogardzana, nigdy jej nie szanujemy z powodu przeszłych wydarzeń, ale nie zawsze jest zła. Przeczytaj post, aby dowiedzieć się więcej na ten temat.
Koncepcja autonomicznych samochodów, które wyjadą na drogi za pomocą sztucznej inteligencji, to marzenie, które mamy już od jakiegoś czasu. Ale pomimo kilku obietnic nigdzie ich nie widać. Przeczytaj ten blog, aby dowiedzieć się więcej…
Wzrasta liczba ataków ransomware, ale czy sztuczna inteligencja może pomóc w radzeniu sobie z najnowszym wirusem komputerowym? Czy AI jest odpowiedzią? Przeczytaj tutaj, wiedz, że sztuczna inteligencja jest zmorą lub zgubą
Sztuczna inteligencja nie jest dla ludzi nową nazwą. Ponieważ sztuczna inteligencja jest włączona do każdego strumienia, jednym z nich jest opracowywanie narzędzi zwiększających ludzką wydajność i dokładność. Skorzystaj z tych niesamowitych narzędzi uczenia maszynowego i uprość swoje codzienne zadania.
Zawsze potrzebujemy Big Data Analytics do efektywnego zarządzania danymi. W tym artykule omówiliśmy kilka technik analizy Big Data. Sprawdź ten artykuł.
Czy jesteś również ofiarą ataków DDOS i nie masz pewności co do metod zapobiegania? Przeczytaj ten artykuł, aby rozwiązać swoje pytania.
