1. Первоначальная настройка debian 9 для OpenVPN

Первоначальная установка сервера с Debian 9

Когда вы впервые создаете новый сервер Debian 9, есть несколько шагов по настройке, которые вы должны выполнить на раннем этапе как часть базовой настройки. Это повысит безопасность и удобство использования вашего сервера и даст вам прочную основу для последующих действий.

Шаг первый - вход в систему как root

Чтобы войти на свой сервер, вам необходимо знать публичный IP-адрес вашего сервера . Вам также понадобится пароль или, если вы установили SSH-ключ для аутентификации, закрытый ключ для учетной записи пользователя root . Если вы еще не вошли на свой сервер, вы можете следовать нашему руководству о том, как подключиться к вашей капле с помощью SSH , которое подробно описывает этот процесс.

Если вы еще не подключились к серверу, войдите в систему как пользователь root, используя следующую команду (замените выделенную часть команды общедоступным IP-адресом вашего сервера):

ssh root@your_server_ip

Примите предупреждение о подлинности хоста, если оно появится. Если вы используете аутентификацию по паролю, укажите свой пароль root для входа в систему. Если вы используете SSH-ключ, защищенный парольной фразой, вам может быть предложено ввести парольную фразу при первом использовании ключа в каждом сеансе. Если вы впервые входите на сервер с паролем, вам также может быть предложено изменить пароль root .

О корне

Пользователь root - это административный пользователь в среде Linux с очень широкими привилегиями. Из-за повышенных привилегий учетной записи root вам не рекомендуется использовать ее на регулярной основе. Это связано с тем, что часть возможностей, присущих учетной записи root, заключается в возможности вносить очень разрушительные изменения, даже случайно.

Следующим шагом является создание альтернативной учетной записи пользователя с ограниченными возможностями для повседневной работы. Мы научим вас, как получить повышенные привилегии, когда они вам понадобятся.

Шаг второй - создание нового пользователя

После того, как вы вошли в систему как root , мы готовы добавить новую учетную запись пользователя, которую мы будем использовать для входа с этого момента.

Примечание . В некоторых средах вызываемый пакет unscdможет быть установлен по умолчанию для ускорения запросов к серверам имен, таким как LDAP. Самая последняя версия, доступная в настоящее время в Debian, содержит ошибку, из-за которой определенные команды (например, adduserкоманда ниже) создают дополнительный вывод, который выглядит следующим образом:

sent invalidate(passwd) request, exiting
sent invalidate(group) request, exiting

Эти сообщения безвредны, но если вы хотите избежать их, можно безопасно удалить unscdпакет, если вы не планируете использовать такие системы, как LDAP, для получения информации о пользователях:

apt remove unscd

 

В этом примере создается новый пользователь с именем sammy , но вы должны заменить его на имя пользователя, которое вам нравится:

adduser sammy

Вам будет задано несколько вопросов, начиная с пароля учетной записи.

Введите надежный пароль и, при желании, введите любую дополнительную информацию. Это не обязательно, и вы можете просто нажать ENTERна любое поле, которое хотите пропустить.

Шаг третий - предоставление административных привилегий

Теперь у нас есть новая учетная запись пользователя с обычными привилегиями учетной записи. Однако иногда нам может потребоваться выполнение административных задач.

Чтобы избежать необходимости выходить из системы обычного пользователя и снова входить в систему как учетная запись root , мы можем настроить так называемые «суперпользовательские» или привилегии root для нашей обычной учетной записи. Это позволит нашему обычному пользователю запускать команды с административными привилегиями, помещая слово sudoперед каждой командой.

Чтобы добавить эти привилегии нашему новому пользователю, нам нужно добавить нового пользователя в группу sudo . По умолчанию в Debian 9 пользователи, принадлежащие к группе sudo, могут использовать эту sudoкоманду.

От имени пользователя root запустите эту команду, чтобы добавить нового пользователя в группу sudo (замените выделенное слово своим новым пользователем):

usermod -aG sudo sammy

Теперь, когда вы вошли в систему как обычный пользователь, вы можете вводить sudoкоманды перед выполнением действий с привилегиями суперпользователя.

Шаг четвертый - настройка базового брандмауэра

Серверы Debian могут использовать брандмауэры, чтобы убедиться, что разрешены только подключения к определенным службам. Хотя iptablesбрандмауэр установлен по умолчанию, Debian не рекомендует использовать какой-либо специальный брандмауэр. В этом руководстве мы установим и будем использовать брандмауэр UFW для настройки политик и управления исключениями.

Мы можем использовать aptменеджер пакетов для установки UFW. Обновите локальный индекс, чтобы получить самую свежую информацию о доступных пакетах, а затем установите брандмауэр, набрав:

apt update
apt install ufw

Примечание. Если ваши серверы работают в DigitalOcean, вы можете дополнительно использовать облачные брандмауэры DigitalOcean вместо брандмауэра UFW. Мы рекомендуем использовать только один брандмауэр за раз, чтобы избежать конфликтов правил, которые может быть сложно отладить.

Профили брандмауэра позволяют UFW управлять наборами правил брандмауэра для приложений по имени. Профили для некоторых распространенных программ по умолчанию поставляются в комплекте с UFW, а пакеты могут регистрировать дополнительные профили в UFW в процессе установки. OpenSSH, служба, позволяющая нам теперь подключаться к нашему серверу, имеет профиль брандмауэра, который мы можем использовать.

Вы можете увидеть это, набрав:

                                    ufw app list
Output
Available applications:
  . . .
  OpenSSH
  . . .

Нам нужно убедиться, что брандмауэр разрешает SSH-соединения, чтобы мы могли снова войти в систему в следующий раз. Мы можем разрешить эти подключения, набрав:

                                     ufw allow OpenSSH

После этого мы можем включить брандмауэр, набрав:

                                    ufw enable

Введите « y» и нажмите, ENTERчтобы продолжить. Вы можете видеть, что соединения SSH по-прежнему разрешены, набрав:

                                     ufw status
Output
Status: active

To                         Action      From
--                         ------      ----
OpenSSH                    ALLOW       Anywhere
OpenSSH (v6)               ALLOW       Anywhere (v6)

Поскольку брандмауэр в настоящее время блокирует все подключения, кроме SSH , при установке и настройке дополнительных служб вам необходимо будет настроить параметры брандмауэра, чтобы разрешить допустимый трафик. В этом руководстве вы можете изучить некоторые общие операции UFW .

Источник: https://www.digitalocean.com/community/tutorials/initial-server-setup-with-debian-9

  • 0 Utilisateurs l'ont trouvée utile
Cette réponse était-elle pertinente?

Articles connexes

3. Создание сертификата сервера, ключа и файлов шифрования

Шаг 3 - Создание сертификата сервера, ключа и файлов шифрования Теперь, когда у вас есть готовый...

4. Создание сертификата клиента и пары ключей

Шаг 4 - Создание сертификата клиента и пары ключей Хотя вы можете сгенерировать закрытый ключ и...

5.Настройка службы OpenVPN

Шаг 5 - Настройка службы OpenVPN Теперь, когда сертификаты и ключи вашего клиента и сервера...

6. Запуск сервера OpenVPN

Шаг 6 - Настройка сетевой конфигурации сервера Есть некоторые аспекты сетевой конфигурации...

7. Отзыв клиентских сертификатов на вашем компьютере CA

Отзыв клиентских сертификатов Иногда вам может потребоваться отозвать сертификат клиента, чтобы...