مقدمه
هنگامی که برای اولین بار یک سرور Debian 10 جدید ایجاد می کنید، چند مرحله پیکربندی وجود دارد که باید در مراحل اولیه به عنوان بخشی از راه اندازی اولیه انجام دهید. این امر امنیت و قابلیت استفاده سرور شما را افزایش می دهد و به شما پایه ای محکم برای اقدامات بعدی می دهد.
در این آموزش، ما یاد خواهیم گرفت که چگونه به عنوان کاربر اصلی وارد سرور خود شویم، یک کاربر جدید با امتیازات مدیریت ایجاد کنیم و یک فایروال اولیه را راه اندازی کنیم.
مرحله 1 – به عنوان Root وارد شوید
برای ورود به سرور خود، باید آدرس IP عمومی سرور خود را بدانید. همچنین به رمز عبور یا اگر یک کلید SSH برای احراز هویت نصب کرده اید، به کلید خصوصی برای حساب کاربر اصلی نیاز دارید. اگر قبلاً وارد سرور خود نشده اید، ممکن است بخواهید از راهنمای ما در مورد نحوه اتصال به Droplet خود با SSH پیروی کنید، که این فرآیند را به طور مفصل پوشش می دهد.
اگر قبلاً به سرور خود متصل نیستید، ادامه دهید و با استفاده از دستور زیر به عنوان کاربر اصلی وارد شوید (بخش هایلایت شده دستور را با آدرس IP عمومی سرور خود جایگزین کنید):
ssh root@your_server_ip
اخطار مربوط به اعتبار میزبان را در صورت ظاهر شدن بپذیرید. اگر از احراز هویت رمز عبور استفاده میکنید، رمز عبور ریشه خود را برای ورود به سیستم وارد کنید. اگر از یک کلید SSH استفاده میکنید که با عبارت عبور محافظت میشود، ممکن است اولین باری که در هر جلسه از کلید استفاده میکنید، از شما خواسته شود که عبارت عبور را وارد کنید. اگر این اولین باری است که با رمز عبور وارد سرور می شوید، ممکن است از شما خواسته شود رمز عبور ریشه را تغییر دهید.
درباره root
کاربر ریشه، کاربر اداری در یک محیط لینوکس است که دارای امتیازات بسیار گسترده است. به دلیل افزایش امتیازات حساب root، از استفاده منظم از آن منصرف می شوید. این به این دلیل است که بخشی از قدرت ذاتی حساب ریشه، توانایی ایجاد تغییرات بسیار مخرب، حتی به صورت تصادفی است.
گام بعدی راه اندازی یک حساب کاربری جایگزین با دامنه نفوذ کمتر برای کارهای روزمره است. بعداً توضیح خواهیم داد که چگونه برای مواقعی که به آنها نیاز دارید، امتیازات بیشتری کسب کنید.
مرحله 2 – ایجاد یک کاربر جدید
هنگامی که به عنوان root وارد سیستم شدید، ما آماده هستیم تا حساب کاربری جدیدی را اضافه کنیم که از این پس برای ورود به سیستم از آن استفاده خواهیم کرد.
این مثال یک کاربر جدید به نام sammy ایجاد می کند، اما شما باید آن را با نام کاربری که دوست دارید جایگزین کنید:
adduser sammy
از شما چند سوال پرسیده می شود که با رمز عبور حساب شروع می شود.
یک رمز عبور قوی وارد کنید و در صورت تمایل، هر یک از اطلاعات اضافی را که می خواهید پر کنید. این مورد الزامی نیست و فقط می توانید ENTER را در هر فیلدی که می خواهید از آن رد شوید ضربه بزنید.
در مرحله بعد، این کاربر جدید را با امتیازات سرپرست راهاندازی میکنیم.
مرحله 3 – اعطای امتیازات اداری
اکنون یک حساب کاربری جدید با امتیازات حساب معمولی ایجاد کرده ایم. با این حال، ممکن است گاهی اوقات نیاز به انجام کارهای اداری با آن داشته باشیم.
برای اینکه مجبور نباشیم از کاربر عادی خود خارج شویم و دوباره به عنوان حساب اصلی وارد شوید، میتوانیم امتیازات سوپرکاربر یا root را برای حساب عادی خود تنظیم کنیم. این به کاربر عادی اجازه می دهد تا با قرار دادن کلمه sudo قبل از دستور دستورات با امتیازات مدیریتی را اجرا کند.
برای افزودن این امتیازات به کاربر جدید خود، باید کاربر جدید را به گروه sudo اضافه کنیم. به طور پیش فرض، در دبیان 10، کاربرانی که به گروه sudo تعلق دارند، مجاز به استفاده از دستور sudo هستند.
به عنوان root، این دستور را اجرا کنید تا کاربر جدید خود را به گروه sudo اضافه کنید (کلمه برجسته شده را با کاربر جدید جایگزین کنید):
usermod -aG sudo sammy
اکنون، هنگامی که به عنوان کاربر معمولی خود وارد شدهاید، میتوانید sudo را قبل از دستورات تایپ کنید تا فرمان را با امتیازات superuser اجرا کنید.
مرحله 4 – راه اندازی یک فایروال اساسی
سرورهای دبیان می توانند از فایروال ها استفاده کنند تا مطمئن شوند که فقط اتصالات خاصی به سرویس های خاص مجاز است. در این راهنما، ما فایروال UFW را برای کمک به تنظیم سیاستهای فایروال و مدیریت استثناها نصب و استفاده میکنیم.
ما می توانیم از مدیر بسته apt برای نصب UFW استفاده کنیم. برای بازیابی آخرین اطلاعات در مورد بسته های موجود، فهرست محلی را به روز کنید و سپس با تایپ کردن، نرم افزار فایروال UFW را نصب کنید:
apt update
apt install ufw
نمایه های فایروال به UFW اجازه می دهد تا مجموعه های نامگذاری شده قوانین فایروال را برای برنامه های نصب شده مدیریت کند. نمایههای برخی از نرمافزارهای رایج بهطور پیشفرض با UFW همراه هستند و بستهها میتوانند نمایههای اضافی را در طول فرآیند نصب با UFW ثبت کنند. OpenSSH، سرویسی که به ما امکان می دهد اکنون به سرور خود متصل شویم، یک نمایه فایروال دارد که می توانیم از آن استفاده کنیم.
شما تمام نمایه های برنامه موجود را با تایپ کردن فهرست می کنید:
ufw app list
Output
Available applications:
. . .
OpenSSH
. . .
ما باید مطمئن شویم که فایروال به اتصالات SSH اجازه می دهد تا بتوانیم دفعه بعد دوباره وارد سیستم شویم. ما می توانیم این اتصالات را با تایپ کردن اجازه دهیم:
ufw allow OpenSSH
پس از آن، می توانیم فایروال را با تایپ کردن فعال کنیم:
ufw enable
y را تایپ کرده و برای ادامه، ENTER را فشار دهید. می توانید ببینید که اتصالات SSH همچنان با تایپ کردن مجاز هستند:
ufw status
Output
Status: active
To Action From
-- ------ ----
OpenSSH ALLOW Anywhere
OpenSSH (v6) ALLOW Anywhere (v6)
از آنجایی که فایروال در حال حاضر همه اتصالات به جز SSH را مسدود می کند، اگر سرویس های اضافی را نصب و پیکربندی کنید، باید تنظیمات فایروال را طوری تنظیم کنید که ترافیک قابل قبولی به آن وارد شود. می توانید برخی از عملیات رایج UFW را در راهنمای ضروری UFW ما بیاموزید.
مرحله 5 – فعال کردن دسترسی خارجی برای کاربر معمولی شما
اکنون که یک کاربر معمولی برای استفاده روزانه داریم، باید مطمئن شویم که میتوانیم مستقیماً SSH را وارد حساب کنیم.
فرآیند پیکربندی دسترسی SSH برای کاربر جدید شما بستگی به این دارد که آیا حساب ریشه سرور شما از رمز عبور یا کلیدهای SSH برای احراز هویت استفاده می کند.
اگر حساب ریشه از احراز هویت رمز عبور استفاده می کند
اگر با استفاده از رمز عبور وارد حساب اصلی خود شده اید، احراز هویت رمز عبور برای SSH فعال می شود. می توانید با باز کردن یک جلسه ترمینال جدید و استفاده از SSH با نام کاربری جدید خود، به حساب کاربری جدید خود SSH کنید:
ssh sammy@your_server_ip
پس از وارد کردن رمز عبور کاربر معمولی خود، وارد سیستم خواهید شد. به خاطر داشته باشید، اگر نیاز به اجرای دستوری با امتیازات مدیریتی دارید، sudo را قبل از آن به صورت زیر تایپ کنید:
sudo command_to_run
هنگام استفاده از sudo برای اولین بار در هر جلسه (و به صورت دوره ای پس از آن) از شما خواسته می شود رمز عبور کاربر معمولی خود را وارد کنید.
برای افزایش امنیت سرور خود، اکیدا توصیه می کنیم به جای استفاده از احراز هویت رمز عبور، کلیدهای SSH را تنظیم کنید. راهنمای ما را در مورد تنظیم کلیدهای SSH در Debian 10 دنبال کنید تا نحوه پیکربندی احراز هویت مبتنی بر کلید را بیاموزید.
اگر حساب ریشه از احراز هویت کلید SSH استفاده می کند
اگر با استفاده از کلیدهای SSH وارد حساب کاربری اصلی خود شده اید، احراز هویت رمز عبور برای SSH غیرفعال است. برای ورود با موفقیت باید یک کپی از کلید عمومی محلی خود را به فایل ~/.ssh/authorized_keys کاربر جدید اضافه کنید.
از آنجایی که کلید عمومی شما از قبل در فایل ~/.ssh/authorized_keys حساب ریشه روی سرور قرار دارد، میتوانیم آن فایل و ساختار دایرکتوری را در حساب کاربری جدید خود در جلسه فعلی خود با دستور cp کپی کنیم. پس از آن، میتوانیم مالکیت فایلها را با استفاده از دستور chown تنظیم کنیم.
مطمئن شوید که قسمت های هایلایت شده دستور زیر را برای مطابقت با نام کاربر معمولی خود تغییر دهید:
cp -r ~/.ssh /home/sammy
chown -R sammy:sammy /home/sammy/.ssh
دستور cp -r کل دایرکتوری را در دایرکتوری اصلی کاربر جدید کپی می کند و دستور chown -R صاحب آن دایرکتوری (و همه چیز داخل آن) را به نام کاربری مشخص شده تغییر می دهد: نام گروه (دبیان گروهی با همان نام ایجاد می کند. نام کاربری شما به طور پیش فرض).
اکنون، یک جلسه ترمینال جدید باز کنید و از طریق SSH با نام کاربری جدید خود وارد شوید:
ssh sammy@your_server_ip
شما باید بدون استفاده از رمز عبور وارد حساب کاربری جدید شوید. به یاد داشته باشید، اگر نیاز به اجرای دستوری با امتیازات مدیریتی دارید، قبل از آن sudo را به صورت زیر تایپ کنید:
sudo command_to_run
هنگام استفاده از sudo برای اولین بار در هر جلسه (و به صورت دوره ای پس از آن) از شما خواسته می شود رمز عبور کاربر معمولی خود را وارد کنید.
نتیجه
در این مرحله، شما یک پایه محکم برای سرور خود دارید. اکنون می توانید هر نرم افزاری را که نیاز دارید بر روی سرور خود نصب کنید.