معرفی
هنگامی که برای اولین بار سرور جدید Rocky Linux 8 ایجاد می کنید ، چند مرحله پیکربندی وجود دارد که باید به عنوان بخشی از تنظیمات اولیه ، اوایل آن را انجام دهید. این امر امنیت و قابلیت استفاده از سرور شما را افزایش می دهد و پایه محکمی برای اقدامات بعدی به شما می دهد.
مرحله 1 – ورود به سیستم به عنوان Root
برای ورود به سرور خود ، باید آدرس IP عمومی سرور خود را بدانید. شما همچنین به رمز عبور یا اگر یک کلید SSH برای احراز هویت نصب کرده اید ، به کلید خصوصی حساب کاربر اصلی نیاز دارید. اگر قبلاً به سرور خود وارد نشده اید ، ممکن است بخواهید اسناد ما را در مورد نحوه اتصال به Droplet خود با SSH دنبال کنید ، که این فرآیند را با جزئیات پوشش می دهد.
اگر قبلاً به سرور خود متصل نیستید ، اکنون با استفاده از دستور زیر به عنوان کاربر اصلی وارد شوید (قسمت برجسته شده فرمان را با آدرس IP عمومی سرور خود جایگزین کنید):
ssh root@your_server_ip
در صورت ظاهر شدن هشدار مربوط به اصالت میزبان را بپذیرید. اگر از احراز هویت رمز عبور استفاده می کنید ، رمز ورود خود را برای ورود وارد کنید. اگر از کلید SSH که از رمز عبور محافظت می کند استفاده می کنید ، ممکن است از شما خواسته شود که اولین بار که از کلید در هر جلسه استفاده می کنید عبارت عبور را وارد کنید. اگر برای اولین بار است که با گذرواژه وارد سرور می شوید ، ممکن است از شما خواسته شود که رمز اصلی را تغییر دهید.
درباره Root
کاربر اصلی کاربر اداری در یک محیط لینوکس است و دارای امتیازات بسیار وسیعی است. به دلیل افزایش امتیازات حساب اصلی ، از استفاده منظم آن دلسرد می شوید. این به این دلیل است که بخشی از قدرت ذاتی حساب اصلی ، توانایی ایجاد تغییرات بسیار مخرب ، حتی به طور تصادفی است.
به این ترتیب ، گام بعدی این است که یک حساب کاربری جایگزین با دامنه نفوذ کاهش یافته برای کارهای روزمره ایجاد کنید. این حساب همچنان می تواند در صورت لزوم امتیازات بیشتری را به دست آورد.
مرحله 2 – ایجاد یک کاربر جدید
پس از ورود به سیستم root ، می توانید حساب کاربری جدیدی ایجاد کنید که از این پس برای ورود به سیستم از آن استفاده می کنیم.
این مثال یک کاربر جدید به نام sammy ایجاد می کند ، اما شما باید نام کاربری دیگری را که ترجیح می دهید جایگزین کنید:
adduser sammy
در مرحله بعد ، یک رمز عبور قوی برای کاربر sammy تعیین کنید:
passwd sammy
دوبار از شما خواسته می شود که رمز عبور را وارد کنید. پس از انجام این کار ، کاربر شما آماده استفاده می شود ، اما ابتدا به این کاربر امتیازات بیشتری می دهیم تا از دستور sudo استفاده کند. این به ما اجازه می دهد تا در صورت لزوم دستورات را به عنوان root اجرا کنیم
مرحله 3 – اعطای امتیازات اداری
اکنون ، ما یک حساب کاربری جدید با امتیازات حساب معمولی داریم. با این حال ، ممکن است گاهی اوقات نیاز به انجام کارهای اداری داشته باشیم.
برای اجتناب از خروج از کاربر معمولی و ورود مجدد به عنوان حساب اصلی ، می توانیم مواردی را که به عنوان “superuser” یا امتیازات root برای حساب معمولی خود شناخته می شود ، تنظیم کنیم. این به کاربر معمولی ما این امکان را می دهد که با قرار دادن کلمه sudo قبل از هر فرمان ، فرمان هایی با امتیاز مدیریتی اجرا کند.
برای افزودن این امتیازات به کاربر جدید ، باید کاربر جدید را به گروه چرخ اضافه کنیم. به طور پیش فرض ، در Rocky Linux 8 ، کاربرانی که به گروه چرخ تعلق دارند مجاز به استفاده از دستور sudo هستند.
به عنوان root ، این دستور را اجرا کنید تا کاربر جدید خود را به گروه چرخ اضافه کنید (کلمه برجسته شده را با نام کاربری جدید خود جایگزین کنید):
usermod -aG wheel sammy
اکنون ، هنگامی که به عنوان کاربر معمولی خود وارد سیستم شده اید ، می توانید sudo را قبل از دستورات برای انجام اقدامات با امتیازات فوق العاده کاربر تایپ کنید.
مرحله 4 – راه اندازی یک فایروال اساسی
فایروال ها سطح اولیه امنیت را برای سرور شما فراهم می کنند. این برنامه ها مسئول جلوگیری از تردد به هر پورت سرور شما هستند ، به جز درگاه ها/سرویس هایی که صراحتاً تأیید کرده اید. راکی لینوکس برای انجام این عملکرد سرویسی به نام firewalld دارد. ابزاری به نام firewall-cmd برای پیکربندی خط مشی های دیوار آتش استفاده می شود
ابتدا firewalld را نصب کنید:
dnf install firewalld -y
پیکربندی پیش فرض firewalld اجازه اتصال ssh را می دهد ، بنابراین می توانیم فایروال را بلافاصله روشن کنیم
systemctl start firewalld
برای اطمینان از شروع سرویس ، وضعیت آن را بررسی کنید:
systemctl status firewalld
● firewalld.service - firewalld - dynamic firewall daemon
Loaded: loaded (/usr/lib/systemd/system/firewalld.service; enabled; vendor preset: enabled)
Active: active (running) since Thu 2020-02-06 16:39:40 UTC; 3s ago
Docs: man:firewalld(1)
Main PID: 13180 (firewalld)
Tasks: 2 (limit: 5059)
Memory: 22.4M
CGroup: /system.slice/firewalld.service
└─13180 /usr/libexec/platform-python -s /usr/sbin/firewalld --nofork --nopidتوجه داشته باشید که هم فعال است و هم فعال ، یعنی اگر سرور راه اندازی مجدد شود به طور پیش فرض شروع می شود.
اکنون که سرویس راه اندازی شده است ، می توانیم از برنامه firewall-cmd برای بدست آوردن و تنظیم اطلاعات خط مشی برای فایروال استفاده کنیم.
ابتدا بیایید فهرست کنیم که کدام سرویس ها قبلاً مجاز هستند:
firewall-cmd –permanent –list-all
public (active)
target: default
icmp-block-inversion: no
interfaces: eth0 eth1
sources:
services: cockpit dhcpv6-client ssh
ports:
protocols:
masquerade: no
forward-ports:
source-ports:
icmp-blocks:
rich rules:برای مشاهده خدمات اضافی که می توانید با نام آنها را فعال کنید ، تایپ کنید:
firewall-cmd –get-services
برای افزودن سرویسی که باید مجاز باشد ، از پرچم –add-service استفاده کنید:
firewall-cmd –permanent –add-service=http
با این کار سرویس http اضافه می شود و ترافیک ورودی TCP به پورت 80 امکان پذیر می شود. پیکربندی پس از بارگیری مجدد فایروال به روز می شود:
firewall-cmd –reload
به یاد داشته باشید که برای هرگونه سرویس اضافی که بعداً ممکن است پیکربندی کنید ، باید فایروال (با سرویس یا پورت) را به صراحت باز کنید.
مرحله 5 – فعال کردن دسترسی خارجی برای کاربر معمولی خود
اکنون که یک کاربر معمولی غیر روت برای استفاده روزانه داریم ، باید مطمئن شویم که می توانیم از آن برای SSH در سرور خود استفاده کنیم.
فرایند پیکربندی دسترسی SSH برای کاربر جدید شما بستگی به این دارد که حساب ریشه سرور شما از رمز عبور یا کلیدهای SSH برای احراز هویت استفاده کند.
اگر حساب Root از احراز هویت رمز عبور استفاده می کند
اگر با استفاده از رمز عبور وارد حساب اصلی خود شده اید ، احراز هویت رمز عبور برای SSH فعال است. می توانید با باز کردن یک جلسه ترمینال جدید و استفاده از SSH با نام کاربری جدید خود ، به حساب کاربری جدید خود SSH وارد کنید:
ssh sammy@your_server_ip
پس از وارد کردن گذرواژه کاربر معمولی خود ، وارد سیستم می شوید. به یاد داشته باشید ، اگر نیاز به اجرای فرمان با مجوزهای مدیریتی دارید ، قبل از آن sudo را به این شکل تایپ کنید:
sudo command_to_run
هنگام استفاده از sudo برای اولین بار در هر جلسه (و دوره ای پس از آن) از شما رمز عبور معمولی کاربر درخواست می شود.
برای افزایش امنیت سرور ، توصیه می کنیم به جای استفاده از احراز هویت رمز عبور ، کلیدهای SSH را تنظیم کنید. برای آموزش نحوه پیکربندی احراز هویت مبتنی بر کلید ، راهنمای ما را در مورد تنظیم کلیدهای SSH در Rocky Linux 8 دنبال کنید.
اگر حساب Root از احراز هویت کلید SSH استفاده می کند
اگر با استفاده از کلیدهای SSH وارد حساب اصلی خود شده اید ، احراز هویت رمز عبور برای SSH غیرفعال است. برای ورود موفق به سیستم ، باید یک نسخه از کلید عمومی خود را به فایل user/.ssh/author_keys کاربر جدید اضافه کنید.
از آنجا که کلید عمومی شما قبلاً در فایل root/.ssh/author_keys حساب ریشه در سرور است ، می توانیم آن فایل و ساختار فهرست را در حساب کاربری جدید خود کپی کنیم.
ساده ترین راه برای کپی فایل ها با مالکیت و مجوزهای صحیح ، دستور rsync است. این کار دایرکتوری .ssh کاربر اصلی را کپی می کند ، مجوزها را حفظ می کند و صاحبان فایل را در یک فرمان واحد تغییر می دهد. اطمینان حاصل کنید که قسمت های برجسته فرمان زیر را برای مطابقت با نام کاربر معمولی خود تغییر دهید:
rsync –archive –chown=sammy:sammy ~/.ssh /home/sammy
اکنون ، در یک ترمینال جدید در دستگاه محلی خود ، یک جلسه SSH جدید را با کاربر غیر root خود باز کنید:
ssh sammy@your_server_ip
شما باید بدون استفاده از رمز عبور وارد حساب کاربری جدید شوید. به یاد داشته باشید ، اگر نیاز به اجرای یک فرمان با امتیازات مدیریتی دارید ، قبل از آن sudo را به این شکل تایپ کنید:
sudo command_to_run
هنگام استفاده از sudo برای اولین بار در هر جلسه (و دوره ای پس از آن) از شما رمز عبور معمولی کاربر درخواست می شود.
نتیجه
در این مرحله ، شما یک پایه محکم برای سرور خود دارید. هم اکنون می توانید هر یک از نرم افزارهای مورد نیاز خود را بر روی سرور خود نصب کنید.
https://vpsgol.net/product/vps-germany/
https://vpsgol.net/product/vps-usa/
https://vpsgol.net/product/vps-france/
https://vpsgol.net/product/vps-canada/
https://vpsgol.net/product/vps-poland/
https://vpsgol.net/product/vps-netherlands/
https://vpsgol.net/product/vps-england/