Abbiamo lanciato una nuova istanza Debian Linux per eseguirla come server di produzione per le nostre nuove applicazioni. Questa è una buona pratica per eseguire una configurazione iniziale del server con il sistema Debian Linux. Ciò migliorerà la sicurezza e l'usabilità del server primario per il tuo nuovo server.
Questa guida include i seguenti passaggi:
- Aggiorna e aggiorna un sistema Debian
- Crea un utente Sudo in Debian
- Imposta il nome host in un sistema Debian
- Server SSH sicuro
- Configurazione di FirewallD
Iniziamo con la configurazione iniziale del server sul sistema Debian Linux.
1. Aggiorna Debian
Dopo aver effettuato l'accesso al server Debian, il primo compito è aggiornare i pacchetti correnti del sistema Debian. Perché potrebbe essere che il server sia costruito con il vecchio file di immagine. Il team Debian continua a lavorare per migliorare la sicurezza del server e fornire regolarmente pacchetti aggiornati.
Innanzitutto, aggiorna la cache di Apt sul tuo sistema.
sudo apt update
Quindi, esegui il comando upgrade per aggiornare effettivamente i pacchetti.
sudo apt upgrade
È anche una buona scelta eseguire l'aggiornamento dist per un sistema appena installato.
sudo apt dist-upgrade
Premi "Y" per qualsiasi conferma richiesta per completare l'installazione dei pacchetti.
Inoltre, esegui il comando seguente per rimuovere i pacchetti non più necessari. Questo è utile anche per rimuovere i file delle vecchie versioni del kernel.
sudo apt autoremove
2. Crea un utente Sudo
Alcuni dei provider di hosting come DigitalOcean lanciano istanze solo con account root. Questa non è una buona pratica per continuare a utilizzare un'istanza di produzione utilizzando l'account superutente. Raccomandiamo vivamente di creare un nuovo utente con privilegi Sudo e di usarlo per accedere alla tua istanza Debian.
Supponendo che tu abbia già effettuato l'accesso a un account root. Esegui il seguente comando per creare un nuovo utente su Debian:
sudo adduser tecadmin
L'account appena creato è un utente normale. Avrai bisogno dei privilegi di amministratore per eseguire più attività. Concedi i privilegi di amministratore a questo utente aggiungendolo in sudo gruppo. Per aggiungere un utente al gruppo sudo, digita:
sudo usermod -a -G sudo tecadmin
Ora puoi passare a un account appena creato per ulteriori istruzioni.
sudo su - tecadmin
3. Configura il nome host del sistema
Un nome host di un sistema è il nome dell'istanza utilizzata come identità per le reti di computer. Aiuta gli utenti e la macchina di rete a riconoscere facilmente una macchina all'interno di una rete in un formato leggibile dall'uomo.
È buona norma impostare un nome host appropriato per la tua istanza. Nel terminale di sistema digita hostnamectl e premi invio:
hostnamectl
Questo ti darà i dettagli sui dettagli del sistema incluso il nome host. Anche tu puoi digitare il comando hostname per visualizzare il nome host del sistema.
Quindi, cambia il nome host del sistema in
sudo hostnamectl set-hostname debian10
Dopo aver aggiornato il nome host dei sistemi, è necessario passare a una nuova shell per l'attivazione nella sessione corrente. Dopo aver modificato la shell corrente, il prompt della shell verrà modificato in un nuovo nome host.
hostname
4. Protezione SSH
SSH (Secure Shell) è il protocollo utilizzato per connettere i server remoti. Si consiglia di configurare il server OpenSSH per l'ascolto su una porta non standard. Il che ti offre un ulteriore livello di sicurezza dagli hacker.
Per modificare la porta predefinita e disabilitare l'accesso come root, modifica il file di configurazione di OpenSSH /etc/ssh/sshd_config e apporta le seguenti modifiche.
- Cambia porta predefinita – Sarebbe utile cambiare la porta ssh predefinita poiché le porte predefinite sono sempre sugli attaccanti.
Port 2232
- Disabilita accesso SSH root – Inoltre, vorresti disabilitare l'accesso come root tramite ssh.
PermitRootLogin no
Salva il file di configurazione e riavvia il servizio OpenSSH per applicare le modifiche.
sudo systemctl restart ssh
5. Configurazione del firewall (FirewallD)
L'edizione predefinita del server Debian non ha un firewall installato. Puoi semplicemente eseguire il comando seguente per installare i pacchetti richiesti dai repository predefiniti.
sudo apt install firewalld -y
Una volta completata l'installazione, il servizio firewall verrà avviato e abilitato automaticamente sul tuo sistema.
Il firewall predefinito consente SSH agli utenti remoti. Ma se la porta SSH viene modificata, puoi aggiungere una regola per consentire l'accesso SSH su un'altra porta.
sudo firewall-cmd --permanent --add-port=2232/tcp
Puoi fornire direttamente un nome di servizio come "http" o "https" per consentire. Il firewalld legge il file /etc/services per determinare la porta corrispondente del servizio.
sudo firewall-cmd --permanent --add-service=httpsudo firewall-cmd --permanent --add-service=https
Dopo aver apportato modifiche al firewall, assicurati di ricaricare le modifiche utilizzando il comando seguente.
sudo firewall-cmd --reload
Per visualizzare, tutte le porte e i servizi consentiti utilizzano il comando seguente.
sudo firewall-cmd --permanent --list-all
Risultato:
public target: default icmp-block-inversion: no interfaces: sources: services: cockpit dhcpv6-client http https ssh ports: protocols: masquerade: no forward-ports: source-ports: icmp-blocks: rich rules:
Conclusione
In questa guida, abbiamo esaminato la configurazione iniziale del server di un sistema Debian Linux. Dopo aver completato con successo tutte le configurazioni di configurazione iniziale del server, il tuo sistema è pronto per l'uso.