Table of Contents
Wenn Sie zum ersten Mal einen neuen Server erstellen, gibt es einige Konfigurationsschritte, die Sie im Rahmen der Grundeinrichtung frühzeitig vornehmen sollten. Dies erhöht die Sicherheit und Benutzerfreundlichkeit Ihres Servers und gibt Ihnen eine solide Grundlage für spätere Aktionen.
Hier sind die fünf grundlegenden Schritte, die ich persönlich empfehle, nachdem Sie einen neuen CentOS 7-Server eingerichtet haben.
Melden Sie sich als Root an
Um sich bei Ihrem Server anzumelden, müssen Sie die öffentliche IP-Adresse Ihres Servers und das Passwort für das „root“-Benutzerkonto kennen.
Wenn Sie noch nicht mit Ihrem Server verbunden sind, melden Sie sich als an root Benutzer mit dem folgenden Befehl (ersetzen Sie das hervorgehobene Wort durch die öffentliche IP-Adresse Ihres Servers):
ssh root@SERVER_IP_ADDRESSSchließen Sie den Anmeldevorgang ab, indem Sie die Warnung zur Host-Authentizität akzeptieren, falls sie angezeigt wird, und dann Ihre Root-Authentifizierung (Passwort oder privater Schlüssel) angeben. Wenn Sie sich zum ersten Mal mit einem Passwort beim Server anmelden, werden Sie auch aufgefordert, das Root-Passwort zu ändern.
Der Root-Benutzer ist der Benutzer mit Administratorrechten in einer Linux-Umgebung, der über sehr weitreichende Berechtigungen verfügt. Aufgrund der erhöhten Privilegien des Root-Kontos sind Sie es tatsächlich entmutigt davon abhalten, es regelmäßig zu verwenden. Dies liegt daran, dass ein Teil der Macht, die dem Root-Konto innewohnt, die Fähigkeit ist, selbst aus Versehen sehr destruktive Änderungen vorzunehmen.
Im nächsten Schritt wird ein choices Benutzerkonto mit eingeschränktem Einflussbereich für die tägliche Arbeit eingerichtet. Wir zeigen Ihnen, wie Sie in den Zeiten, in denen Sie sie benötigen, erweiterte Privilegien erhalten.
Erstellen Sie einen neuen Benutzer
Sobald Sie angemeldet sind als rootfolgen Sie den unten angegebenen Schritten.
Dieses Beispiel erstellt einen neuen Benutzer namens „demo“, aber Sie sollten ihn durch einen Benutzernamen ersetzen, der Ihnen gefällt:
upload consumer demoWeisen Sie als Nächstes dem neuen Benutzer ein Passwort zu (ersetzen Sie „demo“ wieder durch den Benutzer, den Sie gerade erstellt haben):
passwd demoGeben Sie ein starkes Passwort ein und wiederholen Sie es erneut, um es zu bestätigen.
Geben Sie Root-Rechte
Jetzt haben wir ein neues Benutzerkonto mit regulären Kontoberechtigungen. Es kann jedoch vorkommen, dass wir administrative Aufgaben erledigen müssen.
Damit Sie sich nicht von unserem normalen Benutzer abmelden und wieder als Root-Konto anmelden müssen, können wir für unser normales Konto sogenannte „Superuser“- oder Root-Rechte einrichten. Dadurch kann unser normaler Benutzer Befehle mit Administratorrechten ausführen, indem er das Wort eingibt sudo vor jedem Befehl.
Um diese Privilegien unserem neuen Benutzer hinzuzufügen, müssen wir den neuen Benutzer zur „Wheel“-Gruppe hinzufügen. Standardmäßig dürfen unter CentOS 7 Benutzer, die der Gruppe „Wheel“ angehören, die verwenden sudo Befehl.
gpasswd -a demo wheelJetzt kann Ihr Benutzer Befehle mit Superuser-Rechten ausführen!
Öffentlichen Schlüssel hinzufügen
Der nächste Schritt zur Sicherung Ihres Servers besteht darin, die Public-Key-Authentifizierung für Ihren neuen Benutzer einzurichten. Wenn Sie dies einrichten, wird die Sicherheit Ihres Servers erhöht, da für die Anmeldung ein privater SSH-Schlüssel erforderlich ist.
Generieren Sie ein Schlüsselpaar
Wenn Sie noch kein SSH-Schlüsselpaar haben, das aus einem öffentlichen und einem privaten Schlüssel besteht, müssen Sie eines generieren. Wenn Sie bereits einen Schlüssel haben, den Sie verwenden möchten, fahren Sie mit fortress Kopieren Sie den öffentlichen Schlüssel Schritt.
Um ein neues Schlüsselpaar zu generieren, geben Sie den folgenden Befehl am Terminal Ihres ein lokale Maschine:
ssh-keygenAngenommen, Ihr lokaler Benutzer heißt „localuser“, sehen Sie eine Ausgabe, die wie folgt aussieht:
ssh-keygen outputDrücken Sie die Eingabetaste, um diesen Dateinamen und Pfad zu akzeptieren (oder geben Sie einen neuen Namen ein).
Als nächstes werden Sie aufgefordert, eine Passphrase einzugeben, um den Schlüssel zu sichern. Sie können entweder eine Passphrase eingeben oder die Passphrase leer lassen.
Notiz: Wenn Sie die Passphrase leer lassen, können Sie den privaten Schlüssel zur Authentifizierung verwenden, ohne eine Passphrase einzugeben. Wenn Sie eine Passphrase eingeben, benötigen Sie sowohl den privaten Schlüssel und die Passphrase für die Anmeldung. Das Sichern Ihrer Schlüssel mit Passphrasen ist sicherer, aber beide Methoden haben ihren Nutzen und sind sicherer als die einfache Passwortauthentifizierung.
Dadurch wird ein privater Schlüssel generiert, id_rsaund einen öffentlichen Schlüssel, id_rsa.pubin dem .ssh Verzeichnis der lokaler BenutzerHouse-Verzeichnis von . Denken Sie daran, dass der non-public Schlüssel nicht mit jemandem geteilt werden sollte, der keinen Zugriff auf Ihre Server haben sollte!
Kopieren Sie den öffentlichen Schlüssel
Nachdem Sie ein SSH-Schlüsselpaar generiert haben, möchten Sie Ihren öffentlichen Schlüssel auf Ihren neuen Server kopieren. Wir werden zwei einfache Möglichkeiten behandeln, dies zu tun.
Choice 1. Verwenden Sie ssh-copy-id
Wenn Ihr lokaler Laptop über die ssh-copy-id Skript installiert haben, können Sie es verwenden, um Ihren öffentlichen Schlüssel für jeden Benutzer zu installieren, für den Sie Anmeldeinformationen haben.
Führen Sie die aus ssh-copy-id Skript, indem Sie den Benutzer und die IP-Adresse des Servers angeben, auf dem Sie den Schlüssel installieren möchten, wie folgt:
ssh-copy-id demo@SERVER_IP_ADDRESSNachdem Sie Ihr Passwort an der Eingabeaufforderung eingegeben haben, wird Ihr öffentlicher Schlüssel dem des Far off-Benutzers hinzugefügt .ssh/authorized_keys Datei. Mit dem entsprechenden privaten Schlüssel kann guy sich nun am Server anmelden.
Choice 2. Installieren Sie den Schlüssel manuell
Angenommen, Sie haben im vorherigen Schritt ein SSH-Schlüsselpaar generiert, verwenden Sie den folgenden Befehl am Terminal Ihres lokalen Rechners um Ihren öffentlichen Schlüssel auszudrucken (id_rsa.pub):
cat ~/.ssh/id_rsa.pubDies sollte Ihren öffentlichen SSH-Schlüssel drucken, der ungefähr so aussehen sollte:
ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQDBGTO0tsVejssuaYR5R3Y/i73SppJAhme1dH7W2c47d4gOqB4izP0+fRLfvbz/tnXFz4iOP/H6eCV05hqUhF+KYRxt9Y8tVMrpDZR2l75o6+xSbUOMu6xN+uVF0T9XzKcxmzTmnV7Na5up3QM3DoSRYX/EP3utr2+zAqpJIfKPLdA74w7g56oYWI9blpnpzxkEd3edVJOivUkpZ4JoenWManvIaSdMTJXMy3MtlQhva+j9CgguyVbUkdzK9KKEuah+pFZvaugtebsU+bllPTB0nlXGIJk98Ie9ZtxuY3nCKneB+KjKiXrAvXUPCI9mWkYS/1rggpFmu3HbXBnWSUdf localuser@gadget.nativeWählen Sie den öffentlichen Schlüssel aus und kopieren Sie ihn in Ihre Zwischenablage.
Fügen Sie dem neuen Benutzer den öffentlichen Schlüssel hinzu
Um die Verwendung des SSH-Schlüssels zur Authentifizierung als neuer Far off-Benutzer zu aktivieren, müssen Sie den öffentlichen Schlüssel zu einer speziellen Datei im House-Verzeichnis des Benutzers hinzufügen.
Auf dem Serverals die root Benutzer, geben Sie den folgenden Befehl ein, um zum neuen Benutzer zu wechseln (ersetzen Sie Ihren eigenen Benutzernamen):
su - demoJetzt befinden Sie sich im House-Verzeichnis Ihres neuen Benutzers.
Erstellen Sie ein neues Verzeichnis mit dem Namen .ssh und schränken Sie seine Berechtigungen mit den folgenden Befehlen ein:
mkdir .ssh
chmod 700 .sshÖffnen Sie nun eine Datei in .ssh namens authorized_keys mit einem Texteditor. Wir werden verwenden nano um die Datei zu bearbeiten:
nano .ssh/authorized_keysFügen Sie den öffentlichen Schlüssel ein, dann Strg und X, dann y, um die Änderungen zu speichern.
Schränken Sie nun die Berechtigungen der Berechtigte_Schlüssel Datei mit diesem Befehl:
chmod 600 .ssh/authorized_keysGeben Sie diesen Befehl ein Einmal zurück zu den root Benutzer:
go outJetzt können Sie sich als Ihr neuer Benutzer consistent with SSH anmelden und den privaten Schlüssel als Authentifizierung verwenden.
Konfigurieren Sie den SSH-Daemon
Jetzt, da wir unser neues Konto haben, können wir unseren Server ein wenig sichern, indem wir seine SSH-Daemon-Konfiguration (das Programm, mit dem wir uns aus der Ferne anmelden können) ändern, um den Far off-SSH-Zugriff auf die zu verbieten Wurzel Konto.
Öffnen Sie zunächst die Konfigurationsdatei mit Ihrem Texteditor als root:
nano /and so forth/ssh/sshd_configHier haben wir die Möglichkeit, die Root-Anmeldung über SSH zu deaktivieren. Dies ist im Allgemeinen eine sicherere Einstellung, da wir jetzt über unser normales Benutzerkonto auf unseren Server zugreifen und die Berechtigungen bei Bedarf eskalieren können.
Um Far off-Root-Logins zu deaktivieren, müssen wir die Zeile finden, die so aussieht:
#PermitRootLogin sureKommentieren Sie die Zeile aus, indem Sie das #-Image löschen, speichern und beenden Sie sie.
Das Deaktivieren der Far off-Root-Anmeldung wird auf jedem Server dringend empfohlen!
SSH neu weighted down
Nachdem wir unsere Änderungen vorgenommen haben, müssen wir den SSH-Dienst neu starten, damit er unsere neue Konfiguration verwendet.
Geben Sie dies ein, um SSH neu zu starten:
systemctl reload sshdBevor wir uns jetzt vom Server abmelden, sollten wir das tun Prüfung unsere neue Konfiguration. Wir möchten die Verbindung nicht trennen, bis wir bestätigen können, dass neue Verbindungen erfolgreich hergestellt werden können.
Öffne ein Neu Terminalfenster. Im neuen Fenster müssen wir eine neue Verbindung zu unserem Server herstellen. Dieses Mal möchten wir anstelle des Root-Kontos das neue Konto verwenden, das wir erstellt haben.
Verbinden Sie sich für den oben konfigurierten Server mit diesem Befehl. Ersetzen Sie Ihre eigenen Informationen, wo es angebracht ist:
ssh demo@SERVER_IP_ADDRESSNotiz: Wenn Sie PuTTY verwenden, um eine Verbindung zu Ihren Servern herzustellen, stellen Sie sicher, dass Sie die der Sitzung aktualisieren Hafen Nummer, die der aktuellen Konfiguration Ihres Servers entspricht.
Sie werden zur Eingabe des von Ihnen konfigurierten neuen Benutzerkennworts aufgefordert. Danach werden Sie als Ihr neuer Benutzer angemeldet.
Denken Sie daran, wenn Sie einen Befehl mit Root-Rechten ausführen müssen, geben Sie „sudo“ davor wie folgt ein:
sudo command_to_runWenn alles in Ordnung ist, können Sie Ihre Sitzungen beenden, indem Sie Folgendes eingeben:
go outhttps://aspiringsysadmin.com/
