مقدمه
هنگامی که برای اولین بار یک سرور اوبونتو جدید ایجاد می کنید، باید برخی از مراحل پیکربندی مهم را به عنوان بخشی از راه اندازی اولیه انجام دهید. این مراحل امنیت و قابلیت استفاده سرور شما را افزایش می دهد و پایه ای محکم برای اقدامات بعدی به شما می دهد.
مرحله 1 – وارد شدن به عنوان root
برای ورود به سرور خود، باید آدرس IP عمومی سرور خود را بدانید. همچنین در صورت نصب کلید SSH برای احراز هویت، به رمز عبور یا کلید خصوصی برای حساب کاربر اصلی نیاز خواهید داشت. اگر قبلاً وارد سرور خود نشدهاید، ممکن است بخواهید راهنمای ما را در مورد نحوه اتصال به قطرهها با SSH دنبال کنید که این فرآیند را به طور مفصل پوشش میدهد.
اگر در حال حاضر به سرور خود متصل نیستید، با استفاده از دستور زیر به عنوان کاربر root وارد شوید. قسمت برجسته شده your_server_ip دستور را با آدرس IP عمومی سرور خود جایگزین کنید:
ssh root@your_server_ip
اخطار مربوط به اعتبار میزبان را در صورت ظاهر شدن بپذیرید. اگر سرور شما از احراز هویت رمز عبور استفاده می کند، رمز عبور ریشه خود را برای ورود به سیستم وارد کنید. اگر از یک کلید SSH استفاده می کنید که با عبارت عبور محافظت می شود، ممکن است لازم باشد اولین بار که از کلید هر جلسه استفاده می کنید، عبارت عبور را وارد کنید. اگر این اولین باری است که با رمز عبور وارد سرور می شوید، ممکن است لازم باشد رمز عبور root را نیز تغییر دهید. در صورت دریافت درخواست، دستورالعمل ها را برای تغییر رمز عبور دنبال کنید.
درباره root
کاربر ریشه، کاربر مدیریتی در یک محیط لینوکس با امتیازات بالا است. به دلیل افزایش امتیازات حساب ریشه، شما از استفاده منظم از آن منصرف می شوید. اکانت ریشه می تواند تغییرات بسیار مخربی را حتی به صورت تصادفی ایجاد کند.
مرحله بعدی راه اندازی یک حساب کاربری جدید با امتیازات کاهش یافته برای استفاده روزانه است. بعداً به شما نشان خواهیم داد که چگونه به طور موقت امتیازات بیشتری را برای مواقعی که به آنها نیاز دارید به دست آورید.
مرحله 2 – ایجاد یک کاربر جدید
پس از ورود به عنوان root، می توانید حساب کاربری جدید را اضافه کنید. در آینده، به جای root با این حساب جدید وارد میشویم.
این مثال یک کاربر جدید به نام Sammy ایجاد می کند، اما شما باید آن را با نام کاربری که دوست دارید جایگزین کنید:
adduser sammy
از شما چند سوال پرسیده می شود که با رمز عبور حساب شروع می شود.
یک رمز عبور قوی وارد کنید و در صورت تمایل، اطلاعات اضافی را که می خواهید وارد کنید. این اطلاعات مورد نیاز نیست، و می توانید ENTER را در هر قسمتی که می خواهید از آن رد شوید فشار دهید.
مرحله 3 – اعطای امتیازات اداری
اکنون یک حساب کاربری جدید با امتیازات حساب عادی دارید. با این حال، گاهی اوقات به انجام وظایف مدیریتی به عنوان کاربر اصلی نیاز خواهید داشت.
برای جلوگیری از خروج از کاربر معمولی خود و ورود مجدد به عنوان حساب ریشه، می توانید آنچه را که به عنوان امتیازات superuser یا root شناخته می شود برای حساب معمولی کاربر خود تنظیم کنید. این امتیازات به کاربر عادی شما اجازه میدهد تا با قرار دادن کلمه sudo قبل از دستور دستورات با امتیازات مدیریتی را اجرا کند.
برای افزودن این امتیازات به کاربر جدید خود، باید کاربر را به گروه سیستم sudo اضافه کنید. به طور پیش فرض در اوبونتو، کاربرانی که عضو گروه sudo هستند، مجاز به استفاده از دستور sudo هستند.
به عنوان root، این دستور را اجرا کنید تا کاربر جدید خود را به گروه sudo اضافه کنید (نام کاربری سامی برجسته شده را با کاربر جدید خود جایگزین کنید):
usermod -aG sudo sammy
اکنون می توانید sudo را قبل از دستورات تایپ کنید تا زمانی که به عنوان کاربر عادی خود وارد سیستم شوید، آنها را با امتیازات superuser اجرا کنید.
مرحله 4 – راه اندازی فایروال
سرورهای اوبونتو می توانند از فایروال UFW استفاده کنند تا اطمینان حاصل کنند که فقط اتصالات به برخی خدمات مجاز است. با استفاده از این برنامه می توانید یک فایروال اساسی راه اندازی کنید.
برنامه ها می توانند پس از نصب پروفایل های خود را در UFW ثبت کنند. این پروفایل ها به UFW اجازه می دهد تا این برنامه ها را با نام مدیریت کند. OpenSSH، سرویسی که به شما امکان می دهد به سرور خود متصل شوید، دارای یک نمایه ثبت شده در UFW است.
با تایپ کردن می توانید لیست پروفایل های نصب شده UFW را بررسی کنید:
ufw app list
Output
Available applications:
OpenSSH
شما باید مطمئن شوید که فایروال به اتصالات SSH اجازه می دهد تا بتوانید دفعه بعد وارد سرور خود شوید. این اتصالات را با تایپ کردن مجاز کنید:
ufw allow OpenSSH
حالا فایروال را با تایپ کردن فعال کنید:
ufw enable
y را تایپ کرده و برای ادامه، ENTER را فشار دهید. می توانید ببینید که اتصالات SSH همچنان با تایپ کردن مجاز هستند:
ufw status
Output
Status: active
To Action From
-- ------ ----
OpenSSH ALLOW Anywhere
OpenSSH (v6) ALLOW Anywhere (v6)
فایروال در حال حاضر تمام اتصالات به جز SSH را مسدود می کند. اگر سرویسهای اضافی را نصب و پیکربندی کنید، باید تنظیمات فایروال را تنظیم کنید تا ترافیک جدید وارد سرور شما شود. می توانید برخی از عملیات رایج UFW را در راهنمای UFW Essentials ما بیاموزید.
مرحله 5 – فعال کردن دسترسی خارجی برای کاربر معمولی شما
اکنون که یک کاربر معمولی برای استفاده روزانه دارید، باید مطمئن شوید که میتوانید مستقیماً به حساب SSH وارد کنید.
پیکربندی دسترسی SSH برای کاربر جدید شما بستگی به این دارد که آیا حساب ریشه سرور شما از رمز عبور یا کلیدهای SSH برای احراز هویت استفاده می کند.
اگر حساب اصلی از احراز هویت رمز عبور استفاده می کند
اگر با استفاده از رمز عبور وارد حساب اصلی خود شده اید، احراز هویت رمز عبور برای SSH فعال می شود. می توانید با باز کردن یک جلسه ترمینال جدید و استفاده از SSH با نام کاربری جدید خود، به حساب کاربری جدید خود SSH کنید:
ssh sammy@your_server_ip
پس از وارد کردن رمز عبور کاربر معمولی خود، وارد سیستم خواهید شد. به خاطر داشته باشید، اگر نیاز به اجرای دستوری با امتیازات مدیریتی دارید، sudo را قبل از آن به صورت زیر تایپ کنید:
sudo command_to_run
هنگام استفاده از sudo برای اولین بار در هر جلسه (و به صورت دوره ای پس از آن) یک پیام برای رمز عبور کاربر معمولی خود دریافت خواهید کرد.
برای افزایش امنیت سرور خود، اکیدا توصیه می کنیم به جای استفاده از احراز هویت رمز عبور، کلیدهای SSH را تنظیم کنید. راهنمای ما را در مورد تنظیم کلیدهای SSH در اوبونتو دنبال کنید تا نحوه پیکربندی احراز هویت مبتنی بر کلید را بیاموزید.
اگر حساب اصلی از احراز هویت کلید SSH استفاده می کند
اگر با استفاده از کلیدهای SSH وارد حساب کاربری اصلی خود شده اید، احراز هویت رمز عبور برای SSH غیرفعال است. برای ورود به عنوان کاربر معمولی خود با کلید SSH، باید یک کپی از کلید عمومی محلی خود را به فایل ~/.ssh/authorized_keys کاربر جدید خود اضافه کنید.
از آنجایی که کلید عمومی شما از قبل در فایل ~/.ssh/authorized_keys حساب ریشه روی سرور قرار دارد، می توانید با استفاده از جلسه فعلی خود، آن فایل و ساختار دایرکتوری را در حساب کاربری جدید خود کپی کنید.
ساده ترین راه برای کپی کردن فایل ها با مالکیت و مجوزهای صحیح، دستور rsync است. این دستور دایرکتوری .ssh کاربر ریشه را کپی می کند، مجوزها را حفظ می کند و صاحبان فایل ها را در یک دستور تغییر می دهد. مطمئن شوید که بخش های هایلایت شده دستور زیر را برای مطابقت با نام کاربر معمولی خود تغییر دهید:
rsync --archive --chown=sammy:sammy ~/.ssh /home/sammy
اکنون، یک جلسه ترمینال جدید در دستگاه محلی خود باز کنید و از SSH با نام کاربری جدید خود استفاده کنید:
ssh sammy@your_server_ip
شما باید با حساب کاربری جدید بدون استفاده از رمز عبور به سرور خود متصل شوید. به یاد داشته باشید، اگر نیاز به اجرای دستوری با امتیازات مدیریتی دارید، sudo را قبل از دستور زیر تایپ کنید:
sudo command_to_run
هنگام استفاده از sudo برای اولین بار در هر جلسه (و به طور دوره ای پس از آن) از شما خواسته می شود رمز عبور کاربر معمولی خود را وارد کنید.
نتیجه
در این مرحله، شما یک پایه محکم برای سرور خود دارید. اکنون می توانید هر نرم افزاری را که نیاز دارید بر روی سرور خود نصب کنید.