Вир­туаль­ный сер­вер годит­ся для решения очень мно­гих задач, тем более что сто­ит его арен­да недоро­го. Если ты поль­зуешь­ся VDS, обя­затель­но обра­ти вни­мание на этот неболь­шой чек‑лист, по которо­му нуж­но прой­тись пос­ле покуп­ки вир­туаль­ного сер­вера. Если про­игно­риро­вать эти прос­тые пра­вила, в безопас­ности сис­темы обра­зует­ся серь­езная дыра. В статье рас­смат­рива­ется нас­трой­ка VDS на при­мере Ubuntu, но при­веден­ные инс­трук­ции дол­жны работать в боль­шинс­тве сов­ремен­ных дис­три­бути­вов.

warning

Эта статья — не линей­ная инс­трук­ция, которую мож­но сле­по выпол­нять. Сна­чала про­читай ее, вник­ни, пой­ми, что тебе нуж­но, а что нет, и толь­ко потом сле­дуй рекомен­даци­ям! Если ты прос­то ско­пиру­ешь некото­рые коман­ды в рутовую кон­соль, ты можешь потерять дос­туп к сер­веру. Сап­порт тебе, конеч­но, поможет, но пот­рачен­ное вре­мя ник­то не вер­нет.

 

1. Меняем пароль пользователя root

Как пра­вило, пос­ле заказа сер­вера тебе сооб­щают его IP-адрес и пароль поль­зовате­ля. При­чем он прек­расно виден в панели управле­ния вир­туаль­ным сер­вером. Про­вай­дер, если он сге­нери­ровал этот пароль, его зна­ет и хра­нит в базе дан­ных — ведь его где‑то записа­ли, что­бы показы­вать тебе каж­дый раз в панели управле­ния.

К тому же пароли от сер­вера обыч­но генери­руют­ся слу­чай­ным обра­зом и слож­ны для под­бора, а вот пароли, отоб­ража­емые в панели управле­ния, не всег­да соот­ветс­тву­ют этим тре­бова­ниям. Поэто­му пер­вым делом меня­ем пароль root. Счи­тай это не параной­ей, а прос­той пре­дос­торож­ностью. Не забывай менять пароль каж­дые два‑три месяца — так­же из сооб­ражений безопас­ности. Зай­ди по SSH как root и вве­ди коман­ду

passwd

Да, при вво­де сим­волы не отоб­ража­ются — нет ни букв, ни цифр, ни звез­дочек, это нор­маль­но. Вве­ди новый пароль и наж­ми Enter. На пер­вом эта­пе мы себя обе­зопа­сили и можем прис­тупить к нас­трой­ке.

Су­щес­тву­ет нес­коль­ко стра­тегий защиты учет­ной записи root. Пер­вая зак­люча­ется в сле­дующем: ты соз­даешь учет­ку поль­зовате­ля с извес­тным толь­ко тебе име­нем, пре­дос­тавля­ешь ей воз­можность исполь­зовать коман­ду sudo (что­бы ты мог редак­тировать фай­лы кон­фигура­ции и уста­нав­ливать софт), а затем отклю­чаешь вход для root по SSH. На выходе получа­ем пароль­ную аутен­тифика­цию, но будет исполь­зовать­ся учет­ная запись, имя которой извес­тно лишь тебе. Пре­иму­щес­тва сле­дующие: ник­то не взло­мает учет­ку root, пос­коль­ку она будет вык­лючена. Недос­таток пря­чет­ся в сло­ве «пароль­ная».

Са­ма по себе пароль­ная аутен­тифика­ция не так надеж­на, как аутен­тифика­ция по пуб­лично­му клю­чу. Вто­рая стра­тегия как раз и зак­люча­ется в исполь­зовании такой аутен­тифика­ции. Недос­таток — более слож­ная нас­трой­ка, преж­де все­го для конеч­ных поль­зовате­лей: при­дет­ся генери­ровать пару клю­чей, и для челове­ка, который никог­да это­го не делал, понача­лу это может показать­ся слож­ным. Но, как пра­вило, на арен­дован­ном VDS мало кто соз­дает мно­го учет­ных записей для вхо­да по SSH — обыч­но исполь­зует­ся одна‑две учет­ки, если адми­нов нес­коль­ко. Пре­иму­щес­тва аутен­тифика­ции по пуб­лично­му клю­чу — ник­то не смо­жет подоб­рать пароль и, сле­дова­тель­но, получить дос­туп к тво­ему сер­веру. Если ты будешь исполь­зовать аутен­тифика­цию по клю­чу, сме­ло про­пус­кай пун­кты 2 и 4 — не нуж­но соз­давать допол­нитель­ную учет­ку и вно­сить ее в sudoers. А вот про­межу­точ­ный пункт 3 обя­затель­но про­читай, так как удоб­ный редак­тор тебе при­годит­ся.

 

2. Создаем обычного пользователя

Пос­ле покуп­ки VDS поль­зовате­лю сооб­щают пароль root, поль­зователь копиру­ет его в про­филь сво­его SSH-кли­ента. Но это в кор­не неп­равиль­но. Во‑пер­вых, учет­ная запись root — это всем извес­тное имя, и, ког­да зло­умыш­ленник попыта­ется взло­мать твой сер­вер методом гру­бой силы, он будет пытать­ся получить имен­но учет­ную запись root. Все прос­то: име­на соз­данных тобой поль­зовате­лей он не зна­ет, а root есть у всех. Поэто­му нам нужен обыч­ный поль­зователь, под которым ты будешь работать пос­тоян­но. Соз­даем поль­зовате­ля (имя нуж­но изме­нить на свое собс­твен­ное):

adduser user
passwd user

Пер­вая коман­да добав­ляет учет­ную запись с име­нем user, вто­рая изме­няет пароль для нее. Толь­ко не соз­давай поль­зовате­ля admin, пожалуй­ста!

Что­бы этот поль­зователь мог работать с пра­вами root, нуж­но добавить его в sudoers, но сна­чала понадо­бит­ся выпол­нить один про­межу­точ­ный шаг.

 

3. Устанавливаем удобный редактор

Ис­поль­зуемый боль­шинс­твом про­вай­деров по умол­чанию редак­тор Vi неудоб­ный и тре­бует спе­циаль­ных зна­ний, что нем­ного шокиру­ет начина­ющих поль­зовате­лей.

Пе­ред уста­нов­кой любого соф­та пер­вым делом обно­ви спис­ки пакетов. Дела­ется это с помощью коман­ды apt update. Обновлять спи­сок пакетов нуж­но как минимум один раз — перед пер­вой уста­нов­кой. Пос­ле это­го обновле­ние дела­ют по мере необ­ходимос­ти.

# apt update

Итак, уста­нови любой тек­сто­вый редак­тор, который тебе нра­вит­ся. Нап­ример, удоб­ный редак­тор nano:

# apt install nano

За­пус­тить отдель­но редак­тор мож­но коман­дой nano. Смот­рим, где находит­ся этот редак­тор:

which nano

Обыч­но это каталог /bin/nano. Теперь нуж­но сде­лать так, что­бы этот редак­тор исполь­зовал­ся по умол­чанию. В сов­ремен­ном Ubuntu это дела­ется так:

update-alternatives --config editor

Да­лее тебе нуж­но прос­то выб­рать nano из спис­ка пред­лага­емых вари­антов. Если дан­ный спо­соб не сра­ботал (нет коман­ды update-alternatives), мож­но пой­ти прос­тым путем и про­писать перемен­ную окру­жения EDITOR:

export EDITOR=/bin/nano

Что­бы перемен­ная окру­жения EDITOR уста­нав­ливалась при каж­дом вхо­де в сис­тему, отре­дак­тируй файл .bashrc, который находит­ся в домаш­нем катало­ге поль­зовате­ля. Добавь в него коман­ду

export EDITOR=/bin/nano

Об­рати вни­мание, что это нуж­но сде­лать для каж­дого поль­зовате­ля. Для поль­зовате­ля root домаш­ний каталог — /root. Для поль­зовате­ля denis — /home/denis.

Пос­ле это­го все коман­ды, вызыва­ющие редак­тор по умол­чанию, будут исполь­зовать удоб­ный редак­тор nano. Одна из таких команд — visudo.

Продолжение доступно только участникам

Вариант 1. Присоединись к сообществу «Xakep.ru», чтобы читать все материалы на сайте

Членство в сообществе в течение указанного срока откроет тебе доступ ко ВСЕМ материалам «Хакера», позволит скачивать выпуски в PDF, отключит рекламу на сайте и увеличит личную накопительную скидку! Подробнее

Вариант 2. Открой один материал

Заинтересовала статья, но нет возможности стать членом клуба «Xakep.ru»? Тогда этот вариант для тебя! Обрати внимание: этот способ подходит только для статей, опубликованных более двух месяцев назад.


Подписаться
Уведомить о
5 комментариев
Старые
Новые Популярные
Межтекстовые Отзывы
Посмотреть все комментарии