Разное

Дебиан 8 настройка после установки: Записки системного администратора

Содержание

7.2. Настройка базовой системы Debian

7.2. Настройка базовой системы Debian

После загрузки вам предложат выполнить настройку базовой системы и затем выбрать дополнительные пакеты, которые нужно установить. Программа, которая проведёт вас через этот процесс называется base-config. Её структура очень похожа на debian-installer из первой стадии. В частности, base-config состоит из специализированных компонентов, каждый компонент выполняет одну задачу настройки, содержит «на заднем плане невидимое меню» и использует ту же самую систему навигации.

base-config можно запустить в любой момент после завершения установки; от пользователя root выполните команду base-config.

7.2.1. Настройка часового пояса

После экрана приветствия вам будет предложено настроить часовой пояс. Сперва выберите, что показывают аппаратные часы на вашей системе: локальное время или по Гринвичу (GMT или UTC). Время, отображённое в диалоге, может помочь вам выбрать правильный вариант.

В зависимости от места, выбранного в начале процесса установки, вам будет показан либо один часовой пояс, либо список часовых поясов возможных в вашей географической точке. Если показан один часовой пояс, выберите Да для подтверждения или Нет для выбора из полного списка часовых поясов. Если показан список, выберите ваш часовой пояс из списка или выберите Другой для просмотра полного списка.

7.2.2. Добавление пользователей и паролей

7.2.2.1. Установка пароля суперпользователя (root)

Учётная запись root также называемая суперпользовательской — это учетная запись, для которой нет никаких преград в вашей системе. Учётная запись root должна использоваться только для администрирования системы и как можно меньшее время.

Любой создаваемый вами пароль должен состоять как минимум из 6 символов и содержать заглавные и строчные буквы, а также знаки препинания. Уделите побольше внимания при установке пароля root, поскольку эта самая мощная учётная запись. Избегайте слов из словаря или использования любой персональной информации, которую можно угадать.

Если кто-то говорит вам, что ему нужен ваш пароль root, будьте очень осторожны. Обычно нет необходимости давать свой пароль root кому-либо, если только вы не администрируете машину вместе с другими системными администратороми.

7.2.2.2. Создание учётной записи обычного пользователя

Система спросит вас, желаете ли вы сейчас создать учётную запись для обычного пользователя. Эта учётная запись должна использоваться в качестве вашей основной рабочей учётной записи. Вы не должны использовать учётную запись root в повседневной работе или в качестве персональной учетной записи.

Почему не должны? Одна из причин, по которой следует избегать использования привилегий root это то, что в качестве root можно очень легко сделать необратимые повреждения. Другая причина: вас могут обманом заставить запустить программу троянского коня — это программа, которая воспользуется преимуществами ваших возможностей суперпользователя, чтобы скомпрометировать систему. В любой хорошей книге по системному администрированию Unix эта тема рассматривается подробно — прочтите одну из них, если это для вас в новинку.

Сначала вас попросят ввести полное имя пользователя. Затем спросят имя пользовательской учётной записи; в общем случае, ваше имя или что-то похожее вполне подойдёт. И, наконец, вас попросят ввести пароль учётной записи.

Если в любой момент после установки вы захотите создать ещё одну учётную запись, воспользуйтесь командой adduser.

7.2.3. Настройка PPP

Если на первом этапе установки не было настроено подключение к сети, то далее вас спросят, хотите ли вы установить оставшуюся часть системы через PPP соединение. PPP — это протокол, используемый для установления удалённого соединения через модем. Если вы настроите модем сейчас, то программа установки сможет загрузить дополнительные пакеты и обновления безопасности из Интернет на следующих этапах установки. Если у вас нет модема или если вы хотите настроить модем после установки, то можете пропустить этот шаг.

Чтобы настроить PPP соединение, вам потребуется некоторая информация от провайдера услуг Интернет (ISP): номер телефона, имя пользователя, пароль и IP адреса DNS серверов (необязательно). Некоторые ISP рассказывают как настроить соединение в Linux для какого-то дистрибутива. Вы можете использовать эту информацию даже если она не относится именно к Debian, так как большинство параметров настройки (и программного обеспечения) одинаковы для всех дистрибутивов Linux.

Если вы сейчас выберете настройку PPP, запустится программа pppconfig. Она поможет вам настроить PPP соединение. Когда она спросит имя удалённого соединения, укажите имя provider.

Надеемся, программа pppconfig проведёт вас через настройку PPP соединения без проблем. Однако, если что-то не получится, обратитесь к описанию ниже.

Чтобы настроить PPP, вам нужно знать основы просмотра и редактирования файлов в GNU/Linux. Для просмотра файлов вы должны использовать программу more или zmore для сжатых файлов с расширением .gz. Например, для просмотра README.debian.gz, наберите zmore README.debian.gz. В базовой системе есть редактор, который называется nano; им очень просто пользоваться и он не содержит большого количества функций. Скорее всего позже вы захотите установить более полноценные редакторы и программы просмотра, такие как jed, nvi, less и emacs.

Отредактируйте /etc/ppp/peers/provider и замените /dev/modem на /dev/ttyS#, где # означает номер вашего последовательного порта. В Linux последовательные порты отсчитываются с 0; первый порт в Linux это /dev/ttyS0. Потом отредактируйте /etc/chatscripts/provider и вставьте телефонный номер вашего провайдера, ваше имя пользователя и пароль. Пожалуйста, не удаляйте «\q» перед паролем. Это не даёт паролю записываться в журнальные файлы.

Многие провайдеры для входа используют PAP или CHAP вместо режима текстовой аутентификации. Другие используют оба метода. Если ваш провайдер использует PAP или CHAP, нужно следовать другой процедуре. Закомментируйте всё после строки дозвона (это та, которая начинается с «ATDT») в /etc/chatscripts/provider, измените /etc/ppp/peers/provider как описано выше и добавьте user name, где name — ваше имя пользователя у провайдера, к которому вы пытаетесь подключиться. Затем отредактируйте /etc/ppp/pap-secrets или /etc/ppp/chap-secrets и введите здесь ваш пароль.

Также вам надо отредактировать /etc/resolv.conf и добавить IP-адреса серверов имён (DNS) вашего провайдера. Строки в /etc/resolv.conf имеют вид: nameserver xxx.xxx.xxx.xxx, где x нужно заменить на цифры IP-адреса. Также, вы можете добавить параметр usepeerdns в файл /etc/ppp/peers/provider, что разрешит автоматический выбор правильных DNS-серверов из настроек, которые обычно передаёт удалённый хост.

Если ваш провайдер не использует процедуру входа, отличающуюся от большинства других ISP, то всё готово! Для установления PPP соединения наберите pon от пользователя root, и наблюдайте за процессом с помощью команды plog. Для отключения используйте poff опять же от root.

Файл /usr/share/doc/ppp/README.Debian.gz содержит более подробную информацию об использовании PPP в Debian.

Для статических соединений SLIP вам надо добавить команду slattach (из пакета net-tools) в /etc/init.d/network. Для динамического SLIP требуется пакет gnudip.

7.2.3.1. Настройка PPP через Ethernet (PPPOE)

PPPOE — это протокол, в котором PPP используется в некоторых широкополосных соединениях. В данный момент, программа установки не поддерживает его настройку. Однако, всё необходимое программное обеспечение уже установлено, а значит, вы можете настроить PPPOE вручную на этом этапе установки, переключившись на VT2 и запустив pppoeconf.

7.2.4. Настройка APT

В основном, для установки пакетов в систему люди используют программу под названием apt-get из пакета apt.[4] Также используются другие программы управления пакетами, например aptitude, synaptic и устаревший dselect: они зависят от apt-get. Эти программы рекомендуются для новичков, так как они объединяют в себе несколько дополнительных свойств (поиск пакетов и отображение состояния) в отличном интерфейсе пользователя.

Для APT должен быть настроен источник из которого будут браться пакеты. С этой задачей поможет справиться программа apt-setup.

Следующим шагом в процессе настройки является указание APT, где можно найти дополнительные пакеты Debian. Заметим, что вы можете запускать эту утилиту в любой момент после установки командой apt-setup или вручную редактировать /etc/apt/sources.list.

Если в этот момент в дисководе есть официальный компакт-диск, то этот диск должен настроиться автоматически в качестве источника apt без всяких указаний. Вы заметите это потому что увидите обращение к CD-ROM.

Для пользователей без официального компакт-диска будет предложен список с выбором метода доступа к пакетам Debian: FTP, HTTP, CD-ROM или локальная файловая система.

Вы должны знать, что допускается использование нескольких разных источников APT, даже для одного и того же архива Debian. apt-get автоматически выберет пакет с наибольшим номером версии среди всех доступных версий. Или, например, если у вас есть и HTTP и CD-ROM источники APT, то apt-get будет автоматически использовать локальный CD-ROM когда это возможно, и обратится к HTTP только если там есть более новая версия. Однако, добавлять ненужные источники APT не очень хорошая идея, поскольку это замедлит процесс поиска более новой версии из-за проверки сетевых архивов.

7.2.4.1. Настройка сетевых источников пакетов

Если вы планируете установить оставшуюся часть системы из сети, наиболее распространённым вариантом является выбор http источника. ftp источник тоже возможен, но приведёт к чуть более медленной установки соединения.

Следующим шагом при настройке сетевых источников пакетов является указание apt-setup в какой стране вы живёте. Это определяет к какому официальному серверу-зеркалу Debian в Интернет вы будете подключены. В зависимости от выбранной страны, вам будет предложен список возможных серверов. Обычно, хорошим является выбор одного из верхних в списке, хотя любой из них должен работать. Обратите внимание на то, что список серверов-зеркал, предлагаемых программой установки, формировался во время выпуска этой версии Debian, и некоторые из серверов-зеркал могут уже не работать.

После выбора сервера-зеркала, вас спросят хотите ли вы использовать прокси сервер. Прокси сервер — это сервер, который будет направлять все ваши HTTP и/или FTP запросы в Интернет и наиболее часто используется для упорядоченного и оптимизированного доступа в Интернет из корпоративных сетей. В некоторых сетях только прокси серверу разрешён доступ в Интернет. Также, вам может потребоваться имя и пароль. Большинству домашних пользователей не нужно указывать прокси сервер, хотя некоторые провайдеры Интернет предоставляют прокси сервера для своих пользователей.

После выбора сервера-зеркала будет произведена проверка данного сетевого источника пакетов. Если всё нормально, вам будет предложено добавить другой сетевой источник. Если у вас возникли какие-то проблемы с источником пакетов, попробуйте задействовать другой сервер-зеркало (из списка для вашей страны или из глобального списка) или попробуйте перейти на другой сетевой источник пакетов.

7.2.5. Установка пакетов

Далее вам будет предложено несколько предопределённых компоновок программного обеспечения, предлагаемого Debian. Вы всегда можете выбрать требуемые для установки на машину пакеты по отдельности. Для этого предназначена программа aptitude, описанная ниже. Но это может занять много времени, так как в Debian сейчас включено
14650

пакетов!

Поэтому, сначала вы можете выбрать задачи, а позже установить дополнительно какие-то определённые пакеты. В общем, под задачей подразумевается какая-то работа или вещь, которую по вашему требованию должен выполнять компьютер, например предоставлять «среду рабочего стола», служить в качестве «веб сервера» или «сервера печати» [5]. В таблице Раздел C.3, «Дисковое пространство, необходимое для задач» показано необходимое для имеющихся задач пространство.

После выделения задач выберите Ok. Теперь aptitude начнёт установку выбранных пакетов.

Замечание

Даже если вы не выбрали ни одной задачи, будут установлены все пакеты со стандартным, важным или требуемым приоритетом, которых ещё нет в системе. Это то же самое, что запуск в командной строке tasksel -ris, и в настоящий момент вызывает загрузку приблизительно 37МБ архивов. Вам будет показано число устанавливаемых пакетов и сколько килобайт пакетов нужно загрузить.

Если вы хотите выбирать устанавливаемые пакеты из списка пакетов, в tasksel выберите «выбор пакетов вручную». Если вы выбрали одну или более задач помимо этого, то aptitude будет вызвана с параметром —visual-preview. То есть вы сможете просмотреть[6] список пакетов, которые будут установлены. Если вы не выбрали ни одной задачи, то будет показан обычный экран aptitude. После выбора всех пакетов вы должны нажать «g», чтобы запустить процесс загрузки и установки пакетов.

Замечание

Если вы предпочли «выбор пакетов вручную» и не выбрали ни одной задачи, то по умолчанию не будет установлено ни одного пакета. Этот вариант можно использовать для установки минимальной системы, но в этом случае ответственность за выбор пакетов, которые не устанавливаются как часть базовой системы (перед перезагрузкой) лежит полностью на вас.

Из
14650

пакетов, доступных в Debian, только малая часть выбирается с помощью задач. Чтобы посмотреть информацию об остальных пакетах, используйте apt-cache search строка поиска (смотрите man-страницу apt-cache(8)), либо запустите aptitude как это описано ниже.

7.2.5.1. Усовершенствованный выбор пакетов с помощью

aptitude

Aptitude — это новая программа управления пакетами. aptitude позволяет вам выбирать индивидуальные пакеты, наборы пакетов, соответствующие заданным критериям (для опытных пользователей) или по задаче.

Часто используемые сочетания клавиш:

КлавишаДействие
Вверх, ВнизПереместить выделение вверх или вниз.
EnterОткрыть/развернуть/активировать пункт.
+Пометить пакет для установки.
Пометить пакет для удаления.
dПоказать зависимости пакета.
gВыполнить загрузку/установку/удаление пакетов.
qВыход из текущего вида.
F10Активация меню.

Остальные команды смотрите в справке к программе вызываемой по клавише ?.

7.2.6. Вопросы во время установки программ

Каждый пакет, который вы выбрали программой tasksel или aptitude загружается, распаковывается и затем устанавливается программами apt-get и dpkg. Если какой-то программе нужно больше информации от пользователя, она попросит её во время этого процесса. Также вы можете наблюдать за процессом установки, чтобы увидеть возможные ошибки (хотя, вас всё равно спросят что делать с ошибкой, которая мешает установке пакета).

7.2.7. Настройка программы пересылки почты (MTA)

Сегодня электронная почта (email) — это очень важная часть жизни многих людей, и не удивительно, что настройка почтовой системы в Debian производится как одна из частей процесса установки. Стандартной программой доставки почты в Debian является exim4. Это относительно маленькая, гибкая и лёгкая в освоении программа.

Вы можете спросить, необходимо ли это, особенно если компьютер не подключён к сети. Краткий ответ: Да. Более длинное описание: Некоторые системные утилиты (такие как cron, quota, aide, …) смогут отправлять вам важные извещения по электронной почте.

На первом экране вам будет предложено несколько общих почтовых сценариев. Выберите тот, который подходит вам больше всего:

интернет-сайт

Ваша система подключена к сети, почта отправляется и получается напрямую по протоколу SMTP. На следующих экранах вам зададут несколько основных вопросов, таких как почтовое имя вашей машины или список доменов, для которых вы принимаете или передаёте почту.

отправка почты через компьютер-шлюз (smarthost)

По этому сценарию ваша исходящая почта переправляется на другую машину, называемую «smarthost», которая и выполняет всю работу за вас. Smarthost обычно ещё и хранит входящую почту, адресованную вашему компьютеру, так что вам не надо постоянно находиться в сети. Это также означает, что вам нужно загружать почту со smarthost с помощью программ типа fetchmail. Этот вариант подходит пользователям, которые используют модемное подключение по телефонной линии.

доставка только локальной почты

Ваша система не в сети, почта отправляется и принимается только между локальным пользователями. Даже если вы не планируете отправку сообщений, этот вариант настоятельно рекомендуется, потому что различные системные утилиты смогут отправлять вам предупреждения (например, любимое: «Превышена дисковая квота»). Этот вариант подходит новым пользователям, потому что далее не задаётся больше никаких вопросов.

в данный момент конфигурация отсутствует

Выберите этот вариант, если вы абсолютно уверены в том, что делаете. Это оставит вас с ненастроенной почтовой системой; до тех пор пока вы не настроите её, вы не сможете отправлять или получать почту и вы можете пропустить некоторые важные сообщения от ваших системных утилит.

Если ни один из этих сценариев не подходит или нужна более тонкая настройка, то после завершения установки вам нужно отредактировать файлы конфигурации в каталоге /etc/exim4. Дополнительную информацию про exim4 можно найти в /usr/share/doc/exim4.

Первоначальная настройка сервера Debian 8

При создании нового сервера Debian 8, есть несколько шагов настройки, которые необходимо принимать на раннем этапе в рамках базовой установки. Это позволит повысить безопасность и удобство использования вашего сервера, и даст вам прочную основу для дальнейших действий.

Шаг первый – Войти как root

Для того, чтобы войти на свой сервер, вам нужно знать общественный IP – адрес сервера и пароль для учетной записи пользователя “root”. Если вы еще не вошли на свой сервер, вы можете следовать учебнику как подключиться к серверу с помощью SSH.

Если вы еще не подключены к серверу, идти вперед и войдите в систему как пользователь root, используя следующую команду (замените выделенное слово на IP адрес вашего сервера):

ssh root@SERVER_IP_ADDRESS

 

Завершив процесс входа в систему, приняв предупреждение о подлинности хоста, если он появится, то предоставление корневой аутентификации (пароль или ключ). Если вход ваш первый раз на сервер, с помощью пароля, вам также будет предложено изменить пароль.

О root

Привилегированный пользователь является пользователь с правами администратора в среде Linux, который имеет очень широкие привилегии. Из-за возросшей привилегий корневой учетной записи, вам на самом деле не рекомендуется использовать его на регулярной основе. Это происходит потому, что часть привилегии, присущей корневой учетной записи является возможность сделать очень деструктивные изменения, даже случайно.

Следующим шагом является создание альтернативной учетной записи пользователя с уменьшенными привилегиями для повседневной работы. Мы научим вас, как получить повышенные привилегии, когда вы нуждаетесь в них.

Шаг второй – создание нового пользователя

После того, как вы вошли в систему с помощью root, мы готовы, чтобы добавить новую учетную запись пользователя, которую мы будем использовать , чтобы войти с этого момента.

В этом примере создается новый пользователь с именем “demo”, но вы должны заменить его на имя пользователя, который вам нравится:

adduser demo

 

Вам будет предложено несколько вопросов, начиная с пароля учетной записи.

Введите надежный пароль и, при необходимости, заполните дополнительную информацию, если вы хотите. Это не требуется, и вы можете просто нажать “ENTER” в любой области, которую вы хотите пропустить.

Шаг третий – суперпользователь

Теперь мы имеем новую учетную запись пользователя с регулярными привилегиями учетной записи. Тем не менее, мы можем иногда выполнять административные задачи.

Чтобы избежать необходимости выйти из нашего обычного пользователя и снова войти в систему в качестве корневой учетной записи, мы можем установить пользователя, известного как “супер – пользователь” или корневые привилегии для нашей обычной учетной записи. Это позволит нашему обычному пользователю выполнять команды с правами администратора, поставив слово sudo перед каждой командой.

Установка Sudo

Debian 8 не поставляется с установленным sudo, так что давайте установить его с помощью apt-get.

Во-первых, обновим индекс пакетов:

apt-get update

 

Затем используйте эту команду, чтобы установить sudo:

apt-get install sudo

 

Теперь вы можете использовать команды sudo и visudo.

О SUDO привилегиях

Чтобы добавить эти привилегии к нашему новому пользователю, нам нужно добавить нового пользователя в группу «sudo». По умолчанию в Debian 8, пользователи, принадлежащие к группе “sudo” разрешено использовать команду sudo.

Как root, запустите эту команду, чтобы добавить нового пользователя к группе sudo  (замените выделенное слово новым пользователем):

usermod -a -G sudo demo

 

Теперь ваш пользователь может запускать команды с пользовательскими привилегиями!

Шаг четвертый – добавить ключ аутентификации Public (рекомендуется)

Следующим шагом в обеспечении безопасности вашего сервера, это настроить проверку подлинность открытого ключа для нового пользователя. Установка этой программы позволит повысить безопасность вашего сервера, требуя секретный ключ SSH для входа в систему.

Генерация пары ключей

Если у вас еще нет пары ключей SSH, который состоит из открытого и секретного ключа, необходимо сгенерировать. Если у вас уже есть ключ, который вы хотите использовать, перейдите к шагу скопировать открытый ключ.

Для создания новой пары ключей, введите следующую команду в терминале вашей локальной машине (то есть вашего компьютера):

ssh-keygen

 

Предположим, что ваш локальный пользователь называется “localuser”, вы увидите вывод, который выглядит следующим образом:

ssh-keygen output

Generating public/private rsa key pair.
Enter file in which to save the key (/Users/localuser/.ssh/id_rsa):

Вернуться, принять это имя файла и путь к нему (или введите новое имя).

Далее, вам будет предложено ввести ключевую фразу, чтобы обеспечить ключ. Вы можете либо ввести ключевую фразу или оставьте пустым парольную фразу.

Примечание

Если оставить ключевую фразу пустым, вы будете иметь возможность использовать секретный ключ для аутентификации без ввода пароля. Если ввести ключевую фразу, вам потребуется как закрытый ключ и ключевая фраза, чтобы войти. Защита ключей с фразами является более безопасным, но оба метода имеют свое применение и более безопасны, чем базовая аутентификация пароля.

Это создает закрытый ключ id_rsa и открытый ключ, id_rsa.pub, в .ssh домашней директории localuser’s. Помните, что закрытый ключ не должен использоваться совместно с кем – либо, кто не должен иметь доступ к серверам!

Скопируйте открытый ключ

После генерации пары ключей SSH, вы хотите скопировать свой открытый ключ на новый сервер. Мы рассмотрим два простых способа сделать это.

Вариант 1: Использование ssh-copy-id

Если ваша локальная машина имеет установленный скрипт ssh-copy-id, вы можете использовать его, чтобы установить свой открытый ключ любому пользователю, который вы получили в учетных данных для входа.

Запустите скрипт ssh-copy-id, указав пользователя и IP – адрес сервера, на который вы хотите установить ключ, так:

ssh-copy-id demo@SERVER_IP_ADDRESS

 

После предоставления пароля в командной строке, ваш открытый ключ будет добавлен к файлу удаленного пользователя .ssh/authorized_keys. Соответствующий секретный ключ теперь может быть использован для входа на сервер.

Вариант 2: Вручную установить ключ

Предполагая, что вы сгенерировали пару ключей SSH, используя предыдущий шаг, используйте следующую команду в терминале вашей локальной машине , чтобы напечатать ваш открытый ключ ( id_rsa.pub):

cat ~/.ssh/id_rsa.pub

 

Это должно напечатать ваш публичный ключ SSH, который должен выглядеть следующим образом:

id_rsa.pub contents
ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQDBGTO0tsVejssuaYR5R3Y/i73SppJAhme1dH7W2c47d4gOqB4izP0+fRLfvbz/tnXFz4iOP/H6eCV05hqUhF+KYRxt9Y8tVMrpDZR2l75o6+xSbUOMu6xN+uVF0T9XzKcxmzTmnV7Na5up3QM3DoSRYX/EP3utr2+zAqpJIfKPLdA74w7g56oYWI9blpnpzxkEd3edVJOivUkpZ4JoenWManvIaSdMTJXMy3MtlQhva+j9CgguyVbUkdzK9KKEuah+pFZvaugtebsU+bllPTB0nlXGIJk98Ie9ZtxuY3nCKneB+KjKiXrAvXUPCI9mWkYS/1rggpFmu3HbXBnWSUdf [email protected]

 

Выберите открытый ключ, и скопируйте его в буфер обмена.

Добавить открытый ключ для новых удаленных пользователей

Для того, чтобы разрешить использование ключа SSH для аутентификации в качестве нового удаленного пользователя, вы должны добавить открытый ключ в специальный файл в домашнем каталоге пользователя.

На сервере , как root, введите следующую команду, чтобы перейти к новому пользователю (заменить собственное имя пользователя):

su - demo

 

Теперь вы будете в домашнем каталоге вашего нового пользователя.

Создайте новую папку с именем .ssh и ограничьте права доступа со следующими командами:

    mkdir .ssh
    chmod 700 .ssh

 

Теперь откройте файл .ssh под названием authorized_keys с помощью текстового редактора. Мы будем использовать nano для редактирования файла:

nano .ssh/authorized_keys

 

Теперь вставьте свой открытый ключ (который должен быть в вашем буфере обмена), вставив его в редактор.

Нажмите , CTRL-X чтобы выйти из файла, а затем чтобы сохранить изменения, которые вы сделали, и , ENTER чтобы подтвердить имя файла.

Теперь ограничить права доступа к файлу authorized_keys с помощью следующей команды:

chmod 600 .ssh/authorized_keys

 

Введите эту команду один раз, чтобы вернуться к пользователю root:

exit

 

Теперь вы можете войти через SSH в качестве нового пользователя, с помощью закрытого ключа в качестве проверки подлинности.

Шаг пятый – Настройка SSH

Теперь, когда у нас есть наш новый аккаунт, мы можем обеспечить наш сервер немного изменяя его конфигурацию SSH – демоном (программа, которая позволяет нам войти в систему удаленно) , чтобы запретить удаленный доступ по SSH к корневой учетной записи.

Начните с открытия файла конфигурации с помощью текстового редактора в качестве root:

nano /etc/ssh/sshd_config

 

Здесь мы имеем возможность отключить корневой вход через SSH. Это, как правило, более безопасный параметр, так как теперь мы можем получить доступ к нашему серверу через нашей обычной учетной записи пользователя и повышения привилегий при необходимости.

Чтобы отключить удаленный корневой логин, нам нужно найти строку, которая выглядит следующим образом:

/etc/ssh/sshd_config (до)

#PermitRootLogin yes

Вы можете изменить эту строку на “no”, если вы хотите отключить корневой логин:

/etc/ssh/sshd_config (после)

PermitRootLogin no

Отключение удаленного корневого входа настоятельно рекомендуется на каждом сервере!

Когда вы закончите внесения изменений, сохраните и закройте файл, используя метод, который мы использовали ранее ( CTRL-X, а затем Y, потом ENTER).

Перезагрузить SSH

Теперь, когда мы сделали наши изменения, нам необходимо перезапустить службу SSH, так что он будет использовать нашу новую конфигурацию.

Введите эту функцию, чтобы перезапустить SSH:

systemctl restart ssh

 

Теперь, прежде чем выйти из системы сервера, мы должны проверить нашу новую конфигурацию. Мы же не хотим, отключиться , не подтвердив, что новые соединения могут быть успешно установлены.

Открыть новое окно терминала. В новом окне, мы должны начать новое соединение с нашим сервером. На этот раз, вместо того чтобы использовать корневую учетную запись, мы хотим использовать новую учетную запись, которую мы создали.

ssh demo@SERVER_IP_ADDRESS

 

Вам будет предложено ввести пароль нового пользователя, который был настроен. После этого вы войдете в систему в качестве нового пользователя.

Помните, что если вам нужно выполнить команду с привилегиями суперпользователя, введите “sudo” перед ним, как в примере:

sudo command_to_run

 

Если все хорошо, вы можете выйти из ваших сессий, набрав:

exit

 

На данный момент, у вас есть прочный фундамент для вашего сервера Debian 8. Вы можете установить любое из программного обеспечения, которое вам нужно на сервере в настоящее время.

Если вы нашли ошибку, пожалуйста, выделите фрагмент текста и нажмите Ctrl+Enter.

Базовая настройка безопасности Linux-систем | Помощь

В этом руководстве будут рассмотрены базовые аспекты защиты операционных систем Debian / Ubuntu, CentOS / Fedora от несанкционированного доступа: установка прав пользователей, управление аутентификацией при удаленном подключении, настройка firewall и другие. Материал написан для людей, минимально знакомых с администрированием Linux, но может быть полезен и более опытным пользователям как инструмент самопроверки.

 

Содержание:

  1. Автообновления безопасности
  2. Добавление пользователя с ограниченными правами
  3. Безопасное подключение через SSH
  4. Конфигурация Fail2Ban для защиты SSH-подключений
  5. Настройка firewall
  6. Добавление, изменение и удаление правил iptables

 

Автообновления безопасности

Поддержание версий ПО в актуальном состоянии – один из основных способ обеспечения безопасности любой операционной системы. Обновления программного обеспечения, как правило, направлены не только на исправление обнаруженных багов, но и на устранение критических уязвимостей, ставших известными к моменту апдейта.Существуют аргументы за и против автоматических обновлений серверных ОС. По нашему мнению, риски сбоев в результате апдейтов можно свести к минимуму, если настроить систему только на автообновление безопасности. Тем не менее, решение зависит, в первую очередь, от специфики использования вами сервера.

Обратите внимание, что автоматические обновления применимы только в отношении пакетов, установленных из репозиториев, а не скомпилированных самостоятельно.

  • Debian/Ubuntu используют пакет unattended upgrades для автоматических обновлений
  • CentOS использует yum-cron
  • В дистрибутиве Fedora используется dnf-automatic

 

Добавление пользователя с ограниченными правами

Если к моменту чтения этого материала вы все еще подключаетесь к вашему серверу от имени пользователя root, обращаем ваше внимание на то, что он имеет неограниченные права на выполнение любых команд, даже если они приводят к критическим системным ошибкам. Рекомендуем создать пользователя с ограниченными правами и всегда работать через него. Задачи администрирования могут выполняться через sudo (substitute user and do) – временное повышение прав пользователя до уровня администратора.

 

Создание нового пользователя:

Debian/Ubuntu:

  1. Создайте пользователя, заменив 1cloud на желаемое имя и укажите пользовательский пароль в ответ на соответствующий запрос. Обратите внимание на то, что пароль вводится вслепую, т.е. вводимые символы не отображаются в командной строке. Для подтверждения введеного пароля используется клавиша Enter:
    adduser 1cloud
  2. Добавьте пользователя в группу sudo для наделения его правами суперпользователя:
    adduser 1cloud sudo

Теперь вы можете подключаться к вашему серверу от имени нового пользователя. Для выполнения команд, требующих прав администратора, используйте префикс sudo. Например:

sudo apt-get install htop

CentOS/Fedora:

  1. Создайте пользователя, заменив 1cloud на желаемое имя, и создайте пароль для его аккаунта:
    useradd 1cloud && passwd 1cloud
  2. Добавьте пользователя в группу wheel для передачи ему прав sudo:
    usermod –aG wheel 1cloud

Безопасное подключение через SSH

По умолчанию, для подключения к хосту по SSH используется аутентификация по паролю. Но есть более безопасный способ – вход по паре криптографических ключей. В этом случае вместо пароля используется закрытый ключ, который гораздо более устойчив к подбору методом грубой силы (brute-force).

Давайте создадим пару ключей для нового пользователя и настроим сервер на запрет SSH-аутентификации по паролю.

  1. Генерация пары ключей для аутентификации:
    Это действие должно выполняться на вашем локальном компьютере, а не на удаленном сервере. В процессе создания пары 4096-битных RSA ключей вам будет предложено указать пароль для доступа к ним. Вы можете оставить это поле пустым, но в таком случае не сможете использовать созданную пару ключей до сохранения ее в keychain-менеджер локального компьютера. Лучше защитить ваши ключи сложным паролем для обеспечения дополнительной безопасности.
    Linux / MacOS:
    Внимание! Если вы ранее уже сгенерировали пару RSA ключей, приведенная ниже команда перезапишет их, что может привести к потере доступа к другим хостам с использованием данных ключей. В случае наличия ранее созданных ключей, пропустите следующую команду. Для проверки наличия существующих ключей, выполните: ls ~/.ssh/id_rsa* Для генерации нового комплекта ключей введите: ssh-keygen –b 4096 Windows:

    Вы можете использовать утилиту PuTTY. Скачайте ее отсюда, распакуйте и запустите ssh-keygen.


    Выбираем ключ ssh-rsa и длину 2048 бит. Жмем «Generate».



    Ключ готов, заполняем кодовую фразу и комментарий к нему. Сохраняем приватный ключ как mykey.ppk и публичный как id_rsa.pub

  2. Загрузка публичного ключа на сервер:

    Замените 1cloud на имя пользователя-владельца ключа, а 1.1.1.1 на ip-адрес вашего сервера.
    Linux:

    С локального компьютера выполните: ssh-copy-id [email protected] Mac OS:

    На сервере (войдя от имени пользователя-владельца ключа) выполните: mkdir –p ~/.ssh && sudo chmod –R 700 ~/.ssh/ Затем введите в терминале локального компьютера Mac: scp ~/.ssh/id_rsa.pub [email protected]:~/.ssh/authorized_keys Windows:
    Способ 1: Вы можете воспользоваться WinSCP. В окне входа введите ip-адрес вашего сервера, а также имя пользователя и пароль пользователя-владельца ключей. Нажмите Login.

    При успешном подключении вы увидите две секции: слева список локальных файлов, справа – файлы на удаленном сервере. В левой секции выберите файл созданного открытого ключа и нажмите «Загрузить» (Upload) в верхней панели. Укажите директорию на сервере, в которую вы хотите сохранить файл, заменив 1cloud на имя вашего пользователя: /home/1cloud/.ssh/authorized_keys Способ 2: Экспортируйте открытый ключ напрямую из PuTTY KeyGen в окно терминала Putty, в котором осуществлено подключение к удаленному серверу под соответствующим пользователем. Из этого терминала введите:
    mkdir ~/.ssh; nano ~/.ssh/authorized_keys Приведенная выше команда откроет пустой файл authorized_keys в текстовом редакторе. Скопируйте содержимое файла открытого ключа в созданный документ (обратите внимание, что вставка должна быть идентичной, одной строкой). Затем нажмите CTRL+X , Y , и Enter.
    Редактирование прав доступа к загруженному ключу.

    Последнее, что нужно сделать с загруженным ключом – предоставить требуемые разрешения. На сервере введите: sudo chmod 700 -R ~/.ssh && chmod 600 ~/.ssh/authorized_keys Группа команд выше добавляет дополнительный уровень безопасности, запрещая другим пользователям доступ к файлу ключа.
  3. Проверка соединения:

    Отключитесь от сервера и повторно подключитесь к нему. Теперь вход должен осуществляться по сгенерированной паре ключей. Если при их создании вы указывали пароль – введите его в ответ на соответствующий запрос.

Конфигурация службы SSH:

  1. Запрет ssh-подключения от имени root-пользователя:

    Это действие приведет к приему сервером ssh-подключений от всех пользователей, кроме root. Для получения прав суперпользователя после подключения к серверу используйте sudo в начале команды или переключитесь на root-пользователя командой su – или sudo –s

    На сервере откройте файл /etc/ssh/sshd_config

    Найдите параметр PermitRootLogin и замените его значение на no:
  2. Запрет ssh-аутентификации по паролю:

    Это действие отключит ssh-подлючение через ввод пароля – теперь каждый пользователь должен будет использовать пару ключей.

    Откройте файл /etc/ssh/sshd_config . В зависимости от Linux-дистрибутива, строка PasswordAuthentification может присутствовать в файле в закомментированном виде (# в начале строки) или отсутствовать – соответственно раскомментируйте или добавьте ее.
    Команда для Debian/Ubuntu: nano /etc/ssh/sshd_config

    ...

    PasswordAuthentication no
    Примечание:В случае, если вы подключаетесь к серверу с большого количества разных устройств, вы можете оставить аутентификацию по паролю включенной – тогда вход сможет осуществляться как по ключам, так и по паролям пользователей.
  3. Перезапустите ssh-демон для применения конфигурации
  4. Если ваш дистрибутив Linux использует systemctl (CentOS 7, Debian 8, Fedora, Ubuntu 15.10 и старше): sudo systemctl restart sshd Если дистрибутив использует System V или Upstart (CentOS 6, Debian 7, Ubuntu 14.04) sudo service ssh restart

 

Конфигурация Fail2Ban для защиты SSH-подключений:

Fail2Ban – утилита, блокирующая ssh-подключения с определенного ip-адреса при превышении установленного числа неверных попыток подключения с него. Так как реальный пользователь обычно не нуждается более чем в трех попытках для ввода верного пароля (в случае с ssh-ключами редко требуется больше одной попытки), «забрасывание» сервера большим количеством запросов может быть попыткой несанкционированного доступа.

Fail2Ban может осуществлять мониторинг различных протоколов, включая SSH, HTTP, FTP и SMTP. При стандартных настройках утилиты контролируется только SSH, так как этот протокол является уязвимым (постоянный прием сервером ssh-подключений с любого ip-адреса).

Примечение: если вы используете Linux-сервер, предоставленный сервисом 1cloud.ru, то пакет Fail2Ban уже предустановлен и контролирует ssh-активность. Информацию об установке и дополнительной конфигурации Fail2Ban вы найдете здесь.

Настройка Firewall

 

Использование фаервола для блокирования нежелательного входящего трафика на сервере – важнейший инструмент повышения уровня защищенности системы. Фильтрация трафика предотвращает различные типы вторжений, особенно из-за пределов вашей локальной сети. Рекомендуемый подход при настройке firewall – разрешить только действительно необходимый трафик и полностью запретить остальной.

Iptables – контроллер для netfilter, стандартного фрейморка фильтрации пакетов для Linux. Он включен в большинство дистрибутивов по умолчанию. Тем не менее, этот инструмент позиционируется, как средство расширенной настройки для опытных пользователей. К счастью, существует несколько дополнительных утилит, призванных упросить общение пользователя с iptables. Самые популярные из них: UFW для Debian/Ubuntu, FirewallD для Fedora. Возможно, эти решение являются более подходящими для реализации ваших задач.

В этой статье мы будем рассматривать настройку непосредственно самого iptables.

Просмотр действующих параметров iptables:

IPv4:

sudo iptables -L

IPv6:

sudo ip6tables -L

По умолчанию iptables разрешает все входящие, исходящие и переадресованные подключения:

Chain INPUT (policy ACCEPT)

target prot opt source destination

Chain FORWARD (policy ACCEPT)

target prot opt source destination

Chain OUTPUT (policy ACCEPT)

target prot opt source destination

Базовая конфигурация iptables:

Конкретные правила фаервола зависят от сервисов, используемых на вашем сервере. Ниже приведен пример правил, подразумевающих использование вами веб-сервера. Прежде, чем применять правила iptables, спланируйте их исходя из вашей вашей конфигурации:

IPv4 (файл /tmp/v4):

*filter

# Allow all loopback (lo0) traffic and reject traffic

# to localhost that does not originate from lo0.

-A INPUT -i lo -j ACCEPT

-A INPUT ! -i lo -s 127.0.0.0/8 -j REJECT

# Allow ping.

-A INPUT -p icmp -m state --state NEW --icmp-type 8 -j ACCEPT

# Allow SSH connections.

-A INPUT -p tcp --dport 22 -m state --state NEW -j ACCEPT

# Allow HTTP and HTTPS connections from anywhere

# (the normal ports for web servers).

-A INPUT -p tcp --dport 80 -m state --state NEW -j ACCEPT

-A INPUT -p tcp --dport 443 -m state --state NEW -j ACCEPT

# Allow inbound traffic from established connections.

# This includes ICMP error returns.

-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

# Log what was incoming but denied (optional but useful).

-A INPUT -m limit --limit 5/min -j LOG --log-prefix "iptables_INPUT_denied: " --log-level 7

# Reject all other inbound.

-A INPUT -j REJECT

# Log any traffic that was sent to you

# for forwarding (optional but useful).

-A FORWARD -m limit --limit 5/min -j LOG --log-prefix "iptables_FORWARD_denied: " --log-level 7

# Reject all traffic forwarding.

-A FORWARD -j REJECT

COMMIT

IPv6 (/tmp/v6):

*filter

# Allow all loopback (lo0) traffic and reject traffic

# to localhost that does not originate from lo0.

-A INPUT -i lo -j ACCEPT

-A INPUT ! -i lo -s ::1/128 -j REJECT

# Allow ICMP

-A INPUT -p icmpv6 -j ACCEPT

# Allow HTTP and HTTPS connections from anywhere

# (the normal ports for web servers).

-A INPUT -p tcp --dport 80 -m state --state NEW -j ACCEPT

-A INPUT -p tcp --dport 443 -m state --state NEW -j ACCEPT

# Allow inbound traffic from established connections.

-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

# Log what was incoming but denied (optional but useful).

-A INPUT -m limit --limit 5/min -j LOG --log-prefix "ip6tables_INPUT_denied: " --log-level 7

# Reject all other inbound.

-A INPUT -j REJECT

# Log any traffic that was sent to you

# for forwarding (optional but useful).

-A FORWARD -m limit --limit 5/min -j LOG --log-prefix "ip6tables_FORWARD_denied: " --log-level 7

# Reject all traffic forwarding.

-A FORWARD -j REJECT

COMMIT

 

Применение приведенных выше правил на различных дистрибутивах Linux:

Arch Linux:

  1. Создайте файлы /etc/iptables/iptables.rules и /etc/iptables/ip6tables.rules . Вставьте правила из примеров выше (/tmp/v4 и /tmp/v4) в созданные документы соответственно.
  2. Импортируйте эти правила для немедленного применения iptables: sudo iptables-restore < /etc/iptables/iptables.rules sudo ip6tables-restore < /etc/iptables/ip6tables.rules
  3. По умолчанию в Arch iptables не запущен. Запустите его: sudo systemctl start iptables && sudo systemctl start ip6tables sudo systemctl enable iptables && sudo systemctl enable ip6tables
  4. Используйте конфигурацию pre-network.conf с ArchWiki чтобы iptables стартовал до подключения сервера к сети.

CentOS / Fedora:

Примечание: применяемые правила хранятся в файлах /etc/sysconfig/iptables и /etc/sysconfig/ip6tables

В этих дистрибутивах FirewallD предлагается для управления правилами фаервола вместо непосредственного администрирования iptables.

CentOS 6 / Fedora 19 и ниже:

sudo service iptables save

sudo service ip6tables save

Создайте файлы /tmp/v4 и /tmp/v6. Вставьте содержимое приведенных выше примеров (/tmp/v4 и /tmp/v6) в созданные документы.

Импортируйте правила из этих временных файлов:

sudo iptables-restore < /tmp/v4

sudo ip6tables-restore < /tmp/v6

Сохраните параметры.

CentOS 7 / Fedora 20 и выше:

Debian / Ubuntu:

Вы можете управлять iptables вручную или использовать утилиту UFW. Ниже рассмотрен первый вариант:

  1. Создайте файлы /tmp/v4 и /tmp/v6 . Вставьте содержимое приведенных выше примеров (/tmp/v4 и /tmp/v6) в созданные документы.
  2. Импортируйте добавленные правила для их немедленного применения:
    sudo iptables-restore < /tmp/v4 sudo ip6tables-restore < /tmp/v6
  3. Пакет iptables-persistent автоматизирует загрузку правил iptables при запуске Debian/Ubuntu сервера. Установите его из репозиториев:
    sudo apt-get install iptables-persistent Ответьте yes в ответ на появляющиеся запросы о сохранении текущих правил фаервола.

Проверка правил iptables

Проверьте правила фаервола вашего сервера на применение внесенных изменений:

В результате должны отобразиться следующие правила:

IPv4:

Chain INPUT (policy ACCEPT 0 packets, 0 bytes)

pkts bytes target prot opt in out source destination

0 0 ACCEPT all -- lo any anywhere anywhere

0 0 REJECT all -- !lo any loopback/8 anywhere reject-with icmp-port-unreachable

0 0 ACCEPT icmp -- any any anywhere anywhere icmp destination-unreachable

0 0 ACCEPT icmp -- any any anywhere anywhere icmp echo-request

0 0 ACCEPT icmp -- any any anywhere anywhere icmp time-exceeded

0 0 ACCEPT tcp -- any any anywhere anywhere tcp dpt:ssh state NEW

0 0 ACCEPT tcp -- any any anywhere anywhere tcp dpt:http state NEW

0 0 ACCEPT tcp -- any any anywhere anywhere tcp dpt:https state NEW

0 0 ACCEPT all -- any any anywhere anywhere state RELATED,ESTABLISHED

0 0 LOG all -- any any anywhere anywhere limit: avg 5/min burst 5 LOG level debug prefix "iptables_INPUT_denied: "

0 0 REJECT all -- any any anywhere anywhere reject-with icmp-port-unreachable

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)

pkts bytes target prot opt in out source destination

0 0 LOG all -- any any anywhere anywhere limit: avg 5/min burst 5 LOG level debug prefix "iptables_FORWARD_denied: "

0 0 REJECT all -- any any anywhere anywhere reject-with icmp-port-unreachable

Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes) pkts bytes target prot opt in out source destination

IPv6:

Chain INPUT (policy ACCEPT 0 packets, 0 bytes)

pkts bytes target prot opt in out source destination

0 0 ACCEPT all lo any anywhere anywhere

0 0 REJECT all !lo any localhost anywhere reject-with icmp6-port-unreachable

0 0 ACCEPT ipv6-icmp any any anywhere anywhere

0 0 ACCEPT tcp any any anywhere anywhere tcp dpt:http state NEW

0 0 ACCEPT tcp any any anywhere anywhere tcp dpt:https state NEW

0 0 ACCEPT all any any anywhere anywhere state RELATED,ESTABLISHED

0 0 LOG all any any anywhere anywhere limit: avg 5/min burst 5 LOG level debug prefix "ip6tables_INPUT_denied: "

0 0 REJECT all any any anywhere anywhere reject-with icmp6-port-unreachable

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)

pkts bytes target prot opt in out source destination

0 0 LOG all any any anywhere anywhere limit: avg 5/min burst 5 LOG level debug prefix "ip6tables_FORWARD_denied: "

0 0 REJECT all any any anywhere anywhere reject-with icmp6-port-unreachable

Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes)

pkts bytes target prot opt in out source destination

  1. Перезагрузите сервер: sudo reboot
  2. Введите эти команды для отображения действующих правил: sudo iptables -vL

    sudo ip6tables –vL

Теперь мы убедились в том, что добавленные правила firewall активны. В дальнейшем при установке новых пакетов, требующих доступ к сети, не забудьте внести соответствующие изменения в конфигурацию iptables.

 

Добавление, изменение и удаление правил iptables

Правила iptables работают последовательно от первого к последнему. Это означает, что добавление новых правил не может осуществляться с помощью команд. iptables –A ip6tables –A Для этого необходимо использовать: iptables –I или ip6tables –I

Добавление правил:

Добавляемые правила должны размещаться в последовательном порядке с учетом других правил в цепочке. Для отображения нумерованного списка правил введите:

sudo iptables –L –line-numbers

Допустим, мы хотим добавить новое правило в приведенный выше пример (/tmp/v4) для разрешения входящих подключений на порту 8080 TCP. Добавим его на позицию 9 цепочки INPUT:

sudo iptables -I INPUT 9 -p tcp --dport 8080 -j ACCEPT

Замена правил:

Процедура замены правил очень похожа на их добавление, но для этого используется команда: iptables –R Предположим, вы хотите изменить параметр сохранения списка заблокированных подключений в лог с пяти записей в минуту до трех, а правило LOG находится на 11-й позиции цепочки INPUT. Соответствующая команда будет выглядеть следующим образом:

sudo iptables -R INPUT 11 -m limit --limit 3/min -j LOG --log-prefix "iptables_INPUT_denied: " --log-level 7

Удаление правил:

Удаление правил iptables также происходит с указанием номера позиции удаляемого правила. Например, чтобы удалить параметр, который мы ранее добавляли (см. выше) для разрешения подключений на порту 8080 TCP, необходимо ввести команду:

sudo iptables -D INPUT 9

Важно: измененные правила не вступают в силу автоматически. Для их применения совершите действия в соответствии с процедурой, используемой для вашего дистрибутива Linux (см. пункт «Базовая конфигурация iptables»).

На этом базовую конфигурацию инструментов обеспечения безопасности вашего Linux-сервера можно считать завершенной, но тему нельзя считать исчерпанной – в наших будущих материалах мы будем рассматривать и другие способы повышения уровня безопасности Linux-систем.

 

P. S. Другие инструкции:




Спасибо за Вашу оценку!
К сожалению, проголосовать не получилось. Попробуйте позже

Настройка зеркал Debian после установки

Мой скрипт на Python apt-smart, который автоматически находит зеркала в вашей стране, измеряет и оценивает их по статусу и скорости, наконец изменяет sources.list, если вы хотите.

  • apt-smart поддерживает как Debian, так и Ubuntu.
  • apt-smart автоматически находит, где вы находитесь, так что вы можете легко получить самое близкое / самое быстрое зеркало.
  • apt-smart выполняет реальную загрузку HTTP с каждого зеркала для получения более точных результатов (пропускная способность и состояние) и поддерживает прокси-сервер HTTP.
  • apt-smart поддерживается, в то время как многие подобные решения слишком стары, чтобы работать или оставлять ошибки нефиксированными в течение длительного времени.

Вы можете легко установить apt-smartчерез pip, подробные команды установки copy’n’paste смотрите в Project Readme .

Пример использования, который позволяет вам перечислить ранжированные зеркала в вашей стране:

$ apt-smart -l

С помощью -l, или --list-mirrorsвы получите (пример выходных данных с сервера Ubuntu Travis CI US):

---------------------------------------------------------------------------------------------------------
| Rank | Mirror URL                            | Available? | Updating? | Last updated    | Bandwidth   |
---------------------------------------------------------------------------------------------------------
|    1 | http://mirrors.gigenet.com/ubuntua... | Yes        | No        | Up to date      | 1.73 MB/s   |
|    2 | http://mirror.genesisadaptive.com/... | Yes        | No        | Up to date      | 1.68 MB/s   |
|    3 | http://ubuntu.mirrors.tds.net/pub/... | Yes        | No        | Up to date      | 1.4 MB/s    |
|    4 | http://repos.forethought.net/ubuntu   | Yes        | No        | Up to date      | 1.35 MB/s   |
|    5 | http://repo.miserver.it.umich.edu/... | Yes        | No        | Up to date      | 937.62 KB/s |
...
|   75 | http://mirror.cc.vt.edu/pub2/ubuntu   | Yes        | No        | 1 day behind    | 659.67 KB/s |
|   76 | http://mirror.atlantic.net/ubuntu     | Yes        | No        | 2 days behind   | 351.26 KB/s |
|   77 | http://mirror.lstn.net/ubuntu         | Yes        | No        | 4 days behind   | 806.81 KB/s |
|   78 | http://mirrors.usinternet.com/ubun... | Yes        | No        | 4 weeks behind  | 514.31 KB/s |
|   79 | http://mirrors.arpnetworks.com/Ubuntu | Yes        | No        | 19 weeks behind | 418.94 KB/s |
|   80 | http://mirrors.ocf.berkeley.edu/ub... | Yes        | Yes       | Up to date      | 446.07 KB/s |
---------------------------------------------------------------------------------------------------------
Full URLs which are too long to be shown in above table:
1: http://mirrors.gigenet.com/ubuntuarchive
2: http://mirror.genesisadaptive.com/ubuntu
3: http://ubuntu.mirrors.tds.net/pub/ubuntu
5: http://repo.miserver.it.umich.edu/ubuntu
...
78: http://mirrors.usinternet.com/ubuntu/archive
80: http://mirrors.ocf.berkeley.edu/ubuntu

Как установить CentOS 8 на выделенный сервер

Бывают ситуации, когда ОС необходимо установить вручную, к примеру, не подходит стандартная разбивка диска из шаблона. В таком случае ОС можно установить вручную и разметить диск так, как это требуется именно вам.

Грузимся с ISO образа и видим приветственное меню, выбираем пункт Install CentOS Linux 8 и ждем загрузки:

Дальше нужно выбрать язык, лучше выбирать английский, жмем Continue:

После выбора языка нам откроется страница, где можно поменять параметры установки. Здесь можно изменить параметры локализации (советую тут ничего не менять, если потребуется изменить язык системы, то лучше это сделать на уже установленной ОС), временную зону, набор установленного ПО и т.д. – мы эти параметры менять не будем, оставим по умолчанию. Всё это можно изменить уже на установленной системе. Что мы будем менять, так это куда будет устанавливаться система, а также настройки сети. Переходим в меню SystemInstallation Destination:

В этом меню можно выбрать, куда будет установлена система, на какой диск, какая у него будет разметка, будет ли создан RAID и какой будет файловая система разделов.

В данном случае у нас в сервер установлен один диск, если вам подходит стандартная разметка диска, то нажимаем кнопку Done в левом верхнем углу. Но если же у вас в сервере два диска и вы хотите их собрать в RAID, либо хотите себе кастомную разметку диска, то в пункте Storage Configuration выбираем Custom и нажимаем кнопку Done. Мы немного изменим разметку, поэтому переходим в меню Custom и в выпадающем списке выбираем Standard Partition:

Жмем + внизу экрана и добавляем раздел. Первым в нашем случае будет /boot/efi:

Таким образом создаем необходимые разделы. Вот результат нашей разметки – efi раздел, boot раздел и / (корень) на весь оставшийся объем диска.

Здесь также видим, что можно изменить тип файловой системы, зашифровать раздел и прочее. Менять ничего не будем, жмём Done, и внизу экрана появляется желтая строка предупреждения, нажимаем ссылку, чтобы узнать подробнее в чем проблема. Предупреждение говорит о том, что у нас нет swap-раздела, нам он не нужен, поэтому закрываем окно предупреждения и жмём еще раз Done.

Теперь видим все изменения, которые будут внесены на диск. Если всё верно, то применяем изменения:

Теперь можно сразу настроить сеть, чтобы после установки сервер был доступен по SSH. Заходим в меню SystemNetwork & Host Name:

Выбираем подключенный интерфейс, обычно это первый интерфейс, и нажимаем кнопку Configure:

В открывшимся окне переходим в раздел IPv4 Settings и выбираем метод (Method) Manual. Далее нажимаем кнопку Add и вводим настройки сети. В поле DNS servers указываем адрес ДНС сервера, который хотим использовать. Проверяем, что всё ввели верно, нажимаем кнопку Save и далее Done.

Теперь проверяем, всё ли верно указали и ничего не забыли. Если всё хорошо, то нажимаем кнопку Begin Installation:

После этого запустится установка системы. Также мы видим, что не указан пароль для пользователя root:

Зададим пользователю root пароль:

Обычного пользователя можно не создавать – если он будет нужен, то его можно создать уже в установленной системе, поэтому просто ждём окончания установки.

После того, как увидим сообщение об окончании установки, нажимаем кнопку Reboot и грузимся в уже установленную систему:

На этом установка ОС завершена, после загрузки сервер должен быть доступен по IP-адресу, который указали при настройке сети.

 

Алексей Гарин, системный администратор

*/
]]>

Установка CentOS Linux сервера

Рассмотрим установку CentOS 8 Linux сервера и настройку отображения русских букв в консоли после установки.

Скачать CentOS Linux можно с официального сайта centos.org. Возможно, будет удобнее для этого воспользоваться Яндекс зеркалом где есть и торрент ссылки. Мы скачали файл CentOS-8.1.1911-x86_64-boot.iso размером 620 Мб. Этот файл необходимо записать на загрузочный USB-Flash диск, воспользовавшись утилитой usb-creator-gtk (Создать загрузочный диск).

Подключаем загрузочный USB-Flash диск к компьютеру, включаем компьютер, настраиваем порядок загрузки компьютера начиная с нашего USB-Flash диска и начинается установка. Этапы установки CentOS на компьютер покажем подробно, в картинках.

На первом экране мы видим название устанавливаемой OS (операционной системы) и можем прервать установку и перейти в меню настройки. Но, чаще всего этого делать не надо.

Когда на экране появится окно «Добро пожаловать в CentOS Linux 8» мы можем выбрать язык диалогов на весь этап установки OS.

Этап «Обзор установки». На этом этапе есть возможность настроить некоторые параметры нашего сервера. Делается это так, например, выбираем пункт «Keyboard», открывается новое окно. В новом окне делаем желаемые настройки, нажимаем кнопку готово и возвращаемся обратно в окно «Обзор установки». Повторяем операцию для настройки других параметров.

На этом этапе мы настраиваем раскладку клавиатуры. Языки русский и английский уже прописаны в настройках, мы только переместили в этом списке английский на первую строчку. А еще, мы сменили комбинацию клавиш для переключения раскладки.

Здесь мы просто включили сеть. Можно сменить имя компьютера (имя узла).

А здесь, выбрали регион и включили сетевое время. Очевидно, пока не настроено сетевое подключение CentOS, сетевое время включить нельзя. 

Этап «Выбор программ» предоставляет нам большие возможности по установке и настройке программного обеспечения сервера. Но, нам пока нужно только удалённое управление Linux.

 Для установки CentOS мы выбрали диск объёмом 120 Гб.

 Выбрали разметку диска по-своему, и выделили для домашнего каталога (точка монтирования /home) 35 Гб.

Для работы Linux на диске должен быть создан раздел swap. Обычно, под swap раздел рекомендуется выделять в 2 раза больше места, чем установлено в компьютере оперативной памяти.

Мы хотели чтобы операционная система занимала на диске 50 Гб. Поэтому под корневую файловую систему (точка монтирования /) мы выделили 46 Гб, что в сумме с разделом swap составит запланированные 50 Гб.

Оставшееся место на диске пока размечать не будем.

 

 

На этапе установки, названном «конфигурация», мы можем создать 2 пользователя.

Пользователю root создадим пароль toor.

 Создадим пользователя Admin с правами локального администратора и паролем Worlds_21

Пусть у пользователя Admin домашним каталогом будет /home/administrator.

 

После перезагрузки компьютера запускается операционная система CentOS без графической оболочки.

 Сразу после установки CentOS сервера на компьютер, мы обнаружили что в локальной консоли вместо русских букв печатаются квадратики.

 Решается проблема просто. В командной строке выполняем команду:

[root@localhost ~]# setfont UniCyr_8x16

и русские буквы тут же появятся. Но после перезагрузки компьютера мы опять увидим квадратики. Поэтому, редактируем файл /etc/vconsole.conf

 В этом файле необходимо закомментировать строку FONT= и добавить свою строку FONT=»UniCyr_8x16″

Перезагружаем компьютер, шрифты не слетают.

Проверяем в консоли возможность переключить ввод с клавиатуры на русский язык. Во время установки я настроил сочетание клавиш для смены языка Ctrl-Shift. НЕ РАБОТАЕТ! Проверяем настройки локали:

[root@localhost ~]# localectl status
   System Locale: LANG=ru_RU.UTF-8
       VC Keymap: us
      X11 Layout: ru,us
       X11 Model: pc105
     X11 Options: terminate:ctrl_alt_bksp,grp:shifts_toggle,grp_led:scroll

Выполняем команду:

[root@localhost ~]# localectl set-keymap ru

Вот теперь, кажется, все с поддержкой русского языка решено.

Следующей нашей задачей на сегодня будет настройка приветствия для пользователя Admin. При входе пользователя Admin в систему должно выводиться сообщение «Hello, its <Дата>», где Дата — текущая дата и время данной OS в любом формате.

По умолчанию интерпретатором командной строки в большинстве версий Linux является bash. Bash отвечает и за текст приглашения (prompt) в командной строке. Поэтому — читаем manual bash.

[Admin@LinuxClient ~]$ man bash

Можно найти быстрее решение поставленной задачи если в командной строке набрать:

[Admin@LinuxClient ~]$ man -k prompt
pam_issue (8)        - PAM module to add issue file to user prompt

Открываем man на странице pam_issue (8)

[Admin@LinuxClient ~]$ man pam_issue
DESCRIPTION
       pam_issue is a PAM module to prepend an issue file to the username prompt. It also by
       default parses escape codes in the issue file similar to some common getty's (using \x
       format).

       Recognized escapes:

       \d
           current day

       \l
           name of this tty

       \m
           machine architecture (uname -m)

       \n
           machine's network node hostname (uname -n)

       \o
           domain name of this system

       \r
           release number of operating system (uname -r)

       \t
           current time

       \s
           operating system name (uname -s)

       \u
           number of users currently logged in

       \U
           same as \u except it is suffixed with "user" or "users" (eg. "1 user" or "10 users")

       \v
           operating system version and build date (uname -v)

 Manual page pam_issue(8) line 9 (press h for help or q to quit)

Теперь всё понятно, задаём новое значение системной переменной PS1

[Admin@LinuxClient ~]$ PS1='Hello, its <\d \t>'
Hello, its <Пт фев 07 19:28:23>

Чтобы настройки не слетели после перезагрузки компьютера, надо поместить эту строку в файл настроек bash в домашней папке пользователя Admin (~/.bashrc) :

Создадим пользователя User

Hello, its <Пт фев 07 20:03:03>sudo adduser User

Добавим пользователя User в группу wheel (sudo):

Hello, its <Пт фев 07 22:02:24>sudo usermod -a -G wheel User

Зададим пароль Worlds_20 для пользователя User

Hello, its <Пт фев 07 20:03:21>sudo passwd User
[sudo] пароль для Admin: 
Изменение пароля пользователя User.
Новый пароль : 
Повторите ввод нового пароля : 
passwd: данные аутентификации успешно обновлены.
Hello, its <Пт фев 07 21:54:57>su User
Пароль: 
[User@LinuxClient home]$

 Для пользователя User настроим sudo допускающее запуск только команды whoami без ввода пароля и оставим выполнение других команд с паролем от текущего пользователя. Для этого в файл /etc/sudoers добавим строчку User All=NOPASSWD:/bin/whoami

Создадим пользователя User1

Hello, its <Пт фев 07 20:03:03>sudo adduser User1

Пусть у пользователя User1 не будет пароля и он должен автоматически входить в систему. Для этого добавим в файл /etc/systemd/system/getty.target.wants/Адрес электронной почты защищен от спам-ботов. Для просмотра адреса в вашем браузере должен быть включен Javascript. в секцию [Service] три строчки:

Type=simple
ExecStart=
ExecStart=-/sbin/agetty --autologin User1 --noclear %I 38400 linux

Должно получиться следующее: 

Debian 10 установка, настройка и обновления репозитория, установка программ

Вышла очередная операционная система Debian 10, название системы «buster». Debian отличает от семейства других Unix-подобных систем стабильностью, удобством работы, поддержкой. Также следует отметить, что linux системы по удобству работы в графической части приблизились к Windows, между тем производительность и возможности намного выше. Установка не займет много времени, практически не отличается от установки предыдущей версии системы Debian 9.

1. Для установки Debian 10 необходимо скачать дистрибутив программы с сайта разработчика. Для установки операционной системы достаточно скачать один диск. Скачиваем отсюда или здесь — далее Debian.

2. Скаченный образ записываем на диск или создаём загрузочную флешку. Затем начинаем установку операционной системы, выбираем Graphical Install.

3. Выбираем язык, который будет использован при инсталляционном процессе и будет использован по умолчанию при использовании операционной системой.

4. Выбираем местонахождение, которое будет учтено при настройке часового пояса.

5. В настройках клавиатуры выбираем свою страну.

6. Производим выбор переключения клавиатуры между национальной раскладкой и стандартной латинской раскладкой.

7. Указываем имя компьютера.

8. Указываем имя домена, если он есть. Если нет, то ничего указывать не надо.

9. Дважды набираем пароль для суперпользователя (root).

 

 

10. Создаём учётную запись пользователя, под которой будем работать в системе вместо суперпользователя (root). Можно ввести полное имя пользователя.

11. Вводим имя пользователя, под которым вы будете известны в системе, далее дважды вводим пароль для нового пользователя.

12. Выбираем часовой пояс из списка.

13. Далее начинается процесс разбивки диска, который можно произвести в автоматическом или ручном режиме. Выбираем «Авто — использовать весь диск и настроить LVM«.

14. Выбираем диск, который будем разбивать. Учтите, что все данные на выбранном диске будут стёрты.

15. Производим разметку диска путем выбора из списка или производим разметку диска вручную. Выбираем «Все файлы в одном разделе (рекомендуется новичкам)«.

16. Выбираем «Да» для того, чтобы записать изменения на диск в соответствии с выбранной схемой.

17. Проверяем разметку диска, если все устраивает, то выбираем «Да» для записи изменений на диск.

18. Отвечаем «Нет» на вопросы «Просканировать другой CD или DVD диск?» и «Использовать зеркало архива из сети?«.  Отвечаем «Нет» на вопрос «Участвовать в опросе популярности пакетов?«. Выбор программного обеспечения оставляем по умолчанию. Можно будет все установить и настроить после окончательной установки системы.

19. Далее придётся немного подождать, произойдёт выбор и установка программного обеспечения. Затем ставим чекбокс «Да» для установки системного загрузчика GRUB на жёсткий диск.

20. Выбираем жесткий диск, на который будет установлен системный загрузчик.

21. На этом все этапы установки операционной системы Debian 10 пройдены, после того как нажмете «Продолжить«, система будет перезагружены и полностью готова к работе.

Первоочередная задача, после установки операционной системы, произвести настройку и обновление репозитория. Для чего нужен репозиторий, можно почитать здесь.

1. Все действия производим под суперпользователем или используем sudo. Для настройки репозитория (откуда и какие обновления будем скачивать), открываем конфигурационный файл с помощью команды:

# nano /etc/apt/sources.list

 2. Прописываем в конфигурационном файле нужные репозитории:

# security updates
deb http://security.debian.org/debian-security buster/updates main contrib non-free
deb-src http://security.debian.org/debian-security buster/ updates main contrib non-free

# binary and source packages

deb http://deb.debian.org/debian/ buster  main contrib non-free
deb-src http://deb.debian.org/debian/ buster  main contrib non-free

3. Теперь можно обновить информацию о репозиториях и пакетах (deb пакетах) с помощью команды:

# apt update

На этом настройка и обновление репозитория Debian 10 закончена, можно устанавливать и обновлять программное обеспечение в систему.

В Debian 10 установка программного обеспечения может осуществлять как из графической части, так и из терминала. Конечно же проще и быстрее произвести установка программ из терминала. Для этого достаточно ввести одну команду, даже если необходимо произвести установку сразу нескольких программ. Например, для установки программ ssh, nt, filezilla, mc:

# apt install ssh ntp filezilla mc -y

 Все вышеперечисленные программы будут установлены, при этом подтверждения установки не потребуется.

Посмотреть название операционной системы и текущей версии достаточно легко, достаточно выполнить две команды:

# lsb_release -a
# uname -a

Посмотреть, как установить Debian 10, настроить и обновить репозиторий, как установить программное обеспечение в Debian 10 можно здесь:

вещей, которые нужно сделать после установки Debian 8

Вот список вещей, которые я рекомендую сделать после новой установки Debian 8.

Похожие сообщения

Чем заняться

Настроить зеркало

Если вы устанавливали с компакт-дисков и не настраивали зеркало, вам нужно будет настроить debian для использования зеркала для обновлений.

  вс
rm / etc / apt / sources.список
редактор /etc/apt/sources.list
  

Заполните файл следующим (взято отсюда):

  deb http://httpredir.debian.org/debian jessie main
deb-src http://httpredir.debian.org/debian jessie main

deb http://httpredir.debian.org/debian jessie-updates main
deb-src http://httpredir.debian.org/debian jessie-updates main

deb http://security.debian.org/ jessie / updates main
deb-src http://security.debian.org/ jessie / updates main
  

В качестве альтернативы можно использовать зеркало для Великобритании следующим образом:

  deb http: // ftp.uk.debian.org/debian jessie main
deb-src http://ftp.uk.debian.org/debian jessie main

deb http://ftp.uk.debian.org/debian jessie-updates main
deb-src http://ftp.uk.debian.org/debian jessie-updates main

deb http://security.debian.org/ jessie / updates main
deb-src http://security.debian.org/ jessie / updates main
  

Настроить Sudo

Войдите в систему как root и установите sudo

  вс
apt-get install sudo
  

Теперь добавьте вашего субпользователя к пользователям sudo и с этого момента используйте этого пользователя.

  adduser $ MY_SUBUSER sudo
  

Обновление

  sudo apt-get update && sudo apt-get dist-upgrade -y
  

Отключить вход root

  SEARCH = "PermitRootLogin yes"
REPLACE = "PermitRootLogin no"
FILEPATH = "/ etc / ssh / sshd_config"
sudo sed -i "s; $ SEARCH; $ REPLACE;" $ FILEPATH

# Перезапустите службу openssh, чтобы изменения вступили в силу.
sudo service ssh перезапуск
  

Установить VIM

  sudo apt-get install vim -y
  

Затем включите подсветку синтаксиса.

Сделать VIM редактором по умолчанию (crontab)

  echo 'РЕДАКТОР экспорта = vim' >> $ HOME / .bashrc
sudo update-alternatives --config editor
  

Добавьте ifconfig в свой PATH.

  echo 'export PATH = "$ PATH: / sbin"' >> $ HOME / .bashrc
  

Установить byobu

  sudo apt-get install byobu -y
  

Killall

В Debian по умолчанию отсутствует команда killall .Вы можете установить его с помощью пакета psmisc .

  sudo apt-get install psmisc
  

SSH Чистый выход

Система systemd в debian не закрывает ssh-соединения перед выключением, что может привести к зависанию вашего терминала, когда вы отправляете poweroff команд перезапуска. Решите это здесь.

Последнее обновление: 12 марта 2020 г.
Первая публикация: 16 августа 2018 г.

Первые шаги после установки Debian 8

Версия 8.0 Debian (известный как Jessie) был выпущен 25 апреля 2015 года. Эта версия включает в себя множество изменений и модификаций. Джесси поставляется с новой системой инициализации по умолчанию с именем «systemd». Пакет «Systemd» предоставляет множество интересных функций, таких как сокращение времени запуска, cgroups для служб или возможность изолировать часть служб. Система инициализации sysvinit всегда доступна с Jessie.

Чтобы установить Debian 8, перейдите по следующей ссылке.

Итак, после установки этой версии Debian, вы должны сделать несколько важных шагов, чтобы повысить безопасность и удобство использования вашего сервера.Таким образом, вы можете поделиться с нами в этой статье, чтобы узнать и сделать эти разные шаги.

Прежде всего, мы начнем с того, что покажем вам, как вы можете войти на свой сервер. Для этого вам необходимо знать публичный IP-адрес вашего сервера и, конечно же, пароль учетной записи пользователя root.

Поэтому используйте следующую команду для входа на сервер как пользователь root и не забудьте изменить «IP_ADDRESS» своим паролем:

 локальный $ ssh [адрес электронной почты защищен] IP_ADDRESS 

Вам будет предложено ввести вашу корневую аутентификацию в качестве пароля или закрытого ключа.Вы также можете изменить пароль root.

Теперь мы создадим новую учетную запись пользователя, и мы будем использовать следующую команду, конечно, вы должны изменить имя нашего выбранного пользователя «anis» на ваше выбранное:

 # adduser anis 

Затем вам зададут несколько вопросов, не забудьте ввести надежный пароль. Есть также некоторая дополнительная информация, на которую вы можете ответить или пропустить, нажав «Enter».

После создания новой учетной записи пользователя необходимо выполнить некоторые административные задачи.Как уже известно, Debian 8 не поставляется с установкой sudo, поэтому для его установки мы сделаем это как товарищи. Мы начнем с обновления индекса пакета apt, используя следующую команду:

 # apt-get update 

Затем мы будем использовать следующую команду для установки sudo:

 # apt-get install sudo 

Теперь мы добавим привилегии sudo к нашей новой учетной записи пользователя, поэтому мы начнем с добавления нового пользователя в группу пользователей, которая сможет использовать команды sudo (что является особенностью Debian 8).Итак, мы будем использовать следующую команду, чтобы сделать это:

 # usermod -a -G судо анис 

Выполнив эти шаги, вы сможете использовать и запускать команды sudo в своей новой учетной записи.

Теперь мы настроим аутентификацию с открытым ключом для нашего нового пользователя, чтобы повысить безопасность нашего сервера. Мы создадим пару ключей SSH, которая будет генерироваться.

Итак, чтобы сгенерировать новую пару ключей, используйте следующую команду:

 локальный $ ssh-keygen 

Затем вы можете ввести пароль или оставить его пустым.Если вы оставите кодовую фразу пустой, вы сможете использовать закрытый ключ для аутентификации без ввода парольной фразы. Если вы введете парольную фразу, вам потребуются и закрытый ключ , и парольная фраза для входа в систему. Защита ваших ключей парольными фразами более безопасна, но оба метода имеют свое применение и более безопасны, чем обычная парольная аутентификация.

Затем, после создания этой пары ключей SSH, мы скопируем открытый ключ на наш новый сервер, используя следующую команду:

 локальный $ cat ~ /.key_SSH / id_rsa.pub 

Выберите свой открытый ключ и скопируйте его в буфер обмена. А чтобы иметь возможность использовать SSH-ключ для аутентификации в качестве нового удаленного пользователя, мы добавим открытый ключ в специальный файл в домашнем каталоге пользователя, используя следующую команду:

 # su - анис 

После ввода этой команды мы находимся в домашнем каталоге нашего нового пользователя, поэтому мы создадим новый каталог с именем .key_SSH, используя следующую команду:

 $ mkdir .key_SSH
 
 $ chmod 700.key_SSH 

Откроем файл в .key_SSH называется принято

с текстовым редактором. Мы будем использовать следующую команду:

 $ nano .key_SSH / accept_keys 

Затем мы вставим наш открытый ключ, вставив его в редактор. Вы можете выйти из файла, нажав

CTRL-X, и для сохранения изменений нажмите Y и ENTER для подтверждения имени файла.

Затем мы ограничим разрешения принятого файла _keys , используя следующую команду:

 $ chmod 600.key_SSH / accept_keys 

И вернитесь к пользователю root, используя следующую команду:

 $ выход 

После выполнения этих шагов вы сможете войти в систему, используя закрытый ключ для аутентификации и вход по SSH в качестве нового пользователя.

Теперь мы изменим конфигурацию SSH, поэтому начнем с открытия файла конфигурации с помощью следующей команды:

 # нано / и т. Д. / Ssh / sshd_config 

Затем найдите строку, которая начинается с порта, который мы хотим изменить. Это порт, на котором работает SSH.Если мы изменим найденный номер на другой в 1025 и 65536, служба SSH будет искать соединения на другом порту. Это полезно для большей безопасности вашего сервера. Не забудьте новый номер порта, на котором в будущем будет работать ваш сервер. Этот номер порта должен быть предоставлен вашему SSH-клиенту, чтобы использовать его.

Затем найдите строку, которая начинается с PermitRootLogin, она выглядит так:



 

Мы просто отключим вход root через SSH, что более безопасно, эта задача рекомендуется для каждого сервера.В этом случае мы получим что-то вроде следующей строки:



 

Затем используйте описанный выше метод, чтобы сохранить и закрыть файл.

Теперь, после внесения всех этих изменений, мы перезапустим SSH-сервер с помощью следующей команды:

 # systemctl перезапуск ssh 

Теперь мы протестируем нашу новую конфигурацию, поэтому мы откроем новое окно терминала, мы будем использовать уже созданную новую учетную запись вместо подключения с использованием учетной записи root. Вы можете сообщить своему клиенту о выбранном вами новом порте, набрав «-p номер», где номер — это номер выбранного вами порта.

 локальный $ ssh -p номер демонстрации @ IP_ADDRESS 

Вам будет предложено ввести новый пароль пользователя, который вы настроили. После этого вы войдете в систему как новый пользователь.

Если вам нужно запустить команду с правами суперпользователя, введите перед ней «sudo», например:

 $ команда sudo 

Если все в порядке, вы можете выйти, набрав следующую команду:

 $ выход 

Заключение

На этом этапе у вас есть надежная установка и конфигурация вашего сервера Debian 8, который будет использоваться в течение 5 лет до создания следующей версии.Теперь вы можете установить любое программное обеспечение, какое захотите.

Выпущен

Debian 8.0 Jessie — свежее руководство по установке и обновление Debian Wheezy до Jessie

25 апреля , 2015 знаменует собой новый основной выпуск популярного дистрибутива Debian Linux. Этот выпуск под кодовым названием Jessie и полон обновлений, предлагает некоторые желанные улучшения, а также обновления программного обеспечения. В этом руководстве будет рассмотрена как новая установка этой новой операционной системы, так и обновление с Debian 7 « wheezy » для тех, кто предпочел бы обновить, а не переустанавливать.

В этом новом выпуске появилось много новых функций. Одно из самых желанных изменений — обновленное ядро. Wheezy ( Debian 7 ) все еще работал с 3.2 , но теперь с Jessie ( Debian 8 ) переход на 3.16 принес замечательную поддержку оборудования! Также в это новое обновление была включена широко обсуждаемая система Systemd и init .

Новая установка по умолчанию для Debian — это установка Systemd , которая вызвала настоящий раскол в сообществе и побудила некоторых последователей Debian уйти и начать новый проект, известный как Devuan (Debian Forked over systemd: рождение Devuan GNU / Linux) .

Однако Debian сохраняет возможность по-прежнему использовать разные системы init , и в этом руководстве будет рассмотрено, как установить Debian с более старой системой SysV init , а также с системой по умолчанию Systemd .

Улучшения выпуска
  1. Обновлено ядро ​​(3.16).
  2. Окружения рабочего стола

  3. Mate, Cinnamon, XFCE доступны непосредственно из установщика.
  4. Поддержка широкого спектра архитектур, включая PowerPC, MIPS, I386, AMD64, AArch64 и другие.
  5. Samba 4, PHP 5, Xen 4.4.
  6. Новая версия GIMP, LibreOffice.
  7. тонн других, которые можно найти здесь: https://www.debian.org/News/2015/20150426.
Системные требования
  1. Минимальный объем оперативной памяти: 256 МБ.
  2. Рекомендуемая оперативная память: 512 МБ.
  3. Место на жестком диске: 10 ГБ.
  4. Процессор Pentium с тактовой частотой не менее 1 ГГц.

Debian 8.0 Jessie Руководство по установке

Эта часть статьи будет посвящена новой установке Debian 8 .Для тех, кто хочет просто выполнить обновление с Wheezy , перейдите к разделу «Обновление с Debian 7 (Wheezy) » ниже. Установка Debian 8 очень похожа на установку других вариантов Debian. Большие изменения будут отмечены и отображены по мере их появления.

1. Сначала перейдите на страницу загрузки Debian. Эта страница позволит пользователю выбрать из установочного компакт-диска или DVD.

DVD обычно содержит Live-версию Debian, а также необходимую утилиту для установки.Обязательно выберите правильную архитектуру для ПК, на котором будет установлен Debian !.

2. Используйте команду dd , чтобы скопировать недавно загруженный ISO на USB-накопитель, или используйте программу записи для записи ISO на CD / DVD (такое программное обеспечение, как K3B или Nero , может выполнить эту задачу).

Однако самый простой способ — это утилита Linux dd и USB-накопитель. Синтаксис команды очень прост, но будьте особенно осторожны, чтобы убедиться, что указаны правильные аргументы.Для этого перейдите в папку «Загрузки».

Загрузите Debian 8 Jessie

. Затем подключите USB-накопитель, на котором нет важных данных. Это разрушительный процесс! Все данные на USB-накопителе будут удалены. Определите имя оборудования для недавно вставленного USB-накопителя с помощью команды lsblk .

 # lsblk
 

Проверьте имя USB-устройства

В этом примере / dev / sdc будет использоваться для создания загрузочного установочного носителя Debian. Теперь пришло время создать команду dd для копирования ISO на USB-накопитель (вы не можете просто скопировать ISO-файл на USB-накопитель, он не загрузится) !.

 $ sudo dd if = debian-jessie-DI-rc3-amd64-CD-1.iso of = / dev / sdc bs = 1M
 

Создать загрузочный USB-накопитель с помощью команды dd

Команда dd не предоставит никакой обратной связи о том, что что-то происходит. Если на USB-накопителе есть индикатор LED , посмотрите на индикатор и проверьте, мигает ли он. dd завершит работу и вернет пользователя в командную строку после завершения.

Обязательно извлеките / извлеките диск из машины.Linux имеет тенденцию кэшировать данные и записывать их позже! Теперь, когда флешка готова, пора вставить USB-накопитель в компьютер и загрузить программу установки Debian.

3. Программа установки загрузится с заставкой Debian , которая предоставляет несколько вариантов расширенных параметров установки.

Меню загрузки Debian 8

4. Используйте клавиатуру, чтобы выбрать желаемый вариант загрузки; На данный момент будет использоваться графическая установка , поскольку большинству пользователей удобно пользоваться мышью.

Это загрузит Debian в программу установки. Первые несколько параметров потребуют от пользователя выбора клавиатуры и локализации для использования. Следующим шагом является установка имени хоста вашего компьютера и разрешение установщику настроить сетевое соединение для доступа к репозиториям программного обеспечения.

Установить имя хоста для Debian 8 Jessie

5. После настройки имени хоста система попросит пользователя создать пароль пользователя « root ».Не забудьте этот пароль, так как его восстановление — неинтересный процесс!

Создание и установка пароля пользователя root

6. После настройки пользователя root потребуется настроить обычного пользователя без полномочий root. Это должно отличаться от « root » в целях безопасности.

Создать пользователя без полномочий root

7. После настройки пользователей root и пользователей без полномочий root программа установки попытается загрузить некоторые пакеты из репозиториев, и поэтому сетевое соединение очень полезно (однако это не так. в этом нет необходимости, и установщик установит базовую систему в любом случае).

Теперь программа установки предложит пользователю настроить схему разделов , которая будет использоваться в этой системе. Для большинства обычных установок будет достаточно опции « Guided — Use all disk », но помните, что при этом все данные на диске будут перезаписаны !.

Выберите Guided Disk Partitioning

8. На следующей странице пользователю будет предложено подтвердить изменения раздела, записать изменения на диск и начать процесс установки базовых файлов Debian.

Если изменения выглядят нормально и существует соответствующий корневой раздел , и пространство подкачки , , нажмите « Завершить разбиение на разделы и записать изменения на диск ». Следующая часть займет некоторое время, поэтому быстро выпейте и вернитесь примерно через 5 минут.

Запись изменений в разделы диска

9. В следующем окне будет задан вопрос, желает ли пользователь участвовать в сборе анонимной статистики Debian. Это личное предпочтение, которое помогает Debian принимать решения о пакетах.Это может быть изменено позже, если пользователь позже решит, что нужно отказаться от участия или отказаться от него.

Настройка конкурса популярности

10. Следующим шагом будет проинформировать программу установки о необходимости использования сетевого репозитория для сбора остальных необходимых пакетов во время установки, а не с CD / DVD. Обязательно выберите тот, который находится близко к текущему местоположению машины, иначе загрузка может занять значительно больше времени.

Настроить репозиторий пакетов Jessie

11. На этом этапе программа установки предложит пользователю установить дополнительные пакеты. Это одно из замечательных изменений в Jessie . Хотя это тривиальное изменение, теперь система дает возможность установить целый ряд различных окружений рабочего стола прямо из установщика.

Лично мне больше всего нравится Cinnamon , и сейчас он установлен на нескольких системах Debian, но имейте в виду, что он требует дополнительных аппаратных ресурсов по сравнению с облегченными вариантами, такими как XFCE .

Jessie Package Selection

В зависимости от того, что здесь выбрано, установка может занять несколько минут или быть относительно быстрой. Чем больше параметров выбрано здесь, тем больше пакетов необходимо будет загрузить и установить. Независимо от того, когда это закончится, установщик спросит, где установить grub (загрузчик , ). Обычно это « / dev / sda », но системы могут варьироваться в зависимости от предпочтений пользователя.

12. После завершения работы grub программа установки попросит перезагрузить в новой операционной системе.Нажмите , хорошо, и извлеките USB-носитель после перезагрузки компьютеров. Если все прошло успешно, появится следующий экран:

.
Экран входа в систему Debian Jessie

Добро пожаловать в Debian 8 « Jessie »! Пришло время войти в систему, обновить все новые пакеты, установить дополнительные пакеты и настроить новую операционную систему.

Пользователям рекомендуется проверять наличие новых обновлений даже после новой установки, поскольку в репозиториях могут быть некоторые исправления безопасности, которых еще нет в загруженном файле ISO.Чтобы выполнить это обновление, выполните следующие команды от имени пользователя root или с помощью служебной программы «sudo»:

 # apt-get update
# apt-get upgrade
 

Наслаждайтесь новой установкой Debian 8 !

Если вы цените то, что мы делаем здесь, на TecMint, вам следует принять во внимание:

TecMint — это самый быстрорастущий и пользующийся наибольшим доверием сайт сообщества, где можно найти любые статьи, руководства и книги по Linux в Интернете. Миллионы людей посещают TecMint! для поиска или просмотра тысяч опубликованных статей доступны БЕСПЛАТНО для всех.

Если вам нравится то, что вы читаете, пожалуйста, купите нам кофе (или 2) в знак признательности.

Мы благодарны за вашу бесконечную поддержку.

Топ-8 вещей, которые нужно сделать после установки Debian 10 (Buster)

Кодовое имя Debian 10 Buster — это последний выпуск LTS от компании Debian, и последний выпуск содержит множество функций. Итак, если вы уже установили Debian 10 в свою систему и думаете, что делать дальше, продолжайте читать статью до конца, поскольку мы расскажем вам о 8 основных вещах, которые нужно сделать после установки Debian 10.Для тех, кто еще не установил Debian 10, прочтите это руководство Debian 10 (Buster) Этапы установки со снимками экрана . Итак, продолжим со статьей:

1) Установите и настройте sudo

После завершения настройки Debian 10 в своей системе первое, что вам нужно сделать, это установить пакет sudo, поскольку он позволяет вам получить права администратора. для установки любого необходимого пакета. Чтобы установить и настроить sudo, используйте следующую команду:

Станьте пользователем root, а затем установите пакет sudo, используя следующую команду:

 [email protected]: ~ $ su -
Пароль:
[защита электронной почты]: ~ # apt install sudo -y 

Добавьте локального пользователя в группу sudo, используя следующую команду usermod,

 [защищенная электронная почта]: ~ # usermod -aG sudo pkumar
[email protected]: ~ # 

Теперь проверьте, получил ли локальный пользователь права sudo или нет,

 [email protected]: ~ $ id
uid = 1000 (pkumar) gid = 1000 (pkumar) группы = 1000 (pkumar), 27 (sudo)
[электронная почта защищена]: ~ $ sudo vi / etc / hosts
[sudo] пароль для pkumar:
[email protected]: ~ 

$

2) Исправить дату и время

После того, как вы успешно настроили пакет sudo, вам нужно будет исправить дату и время в соответствии с вашим местоположением.Чтобы установить дату и время,

Перейдите в Системные Настройки -> Подробности -> Дата и время , а затем измените часовой пояс, соответствующий вашему местоположению.

После изменения часового пояса вы можете видеть, что время автоматически изменилось на ваших часах

3) Применить все обновления

После установки Debian 10 рекомендуется установить все обновления, доступные через репозитории пакетов Debian 10 , выполните следующую команду apt,

 [электронная почта защищена]: ~ $ sudo apt update
[защита электронной почты]: ~ $ sudo apt upgrade -y 

Примечание: Если вы большой поклонник редактора vi, установите vim с помощью следующей команды apt command,

 [защита электронной почты]: ~ $ sudo apt install vim -y 
4) Настройка параметров рабочего стола с помощью инструмента настройки

Когда мы устанавливаем Gnome Desktop, устанавливается инструмент настройки, как следует из названия, он помогает нам изменять или настраивать настройки рабочего стола,

Инструмент настройки доступа:

Щелкните значок «Tweaks» и измените настройки, которые подходят для вашего рабочего стола.

5) Установите программное обеспечение, такое как VLC, SKYPE, FileZilla и инструмент для создания снимков экрана

Итак, теперь мы включили flash player, пора установить все другое программное обеспечение, такое как VLC, Skype, Filezilla и инструмент для создания снимков экрана, например, flameshot в нашей системе Debian 10.

Установите VLC Media Player

Чтобы установить проигрыватель VLC в вашу систему с помощью команды apt,

 [email protected]: ~ $ sudo apt install vlc -y 

После успешной установки проигрывателя VLC попробуйте воспроизвести свой избранные видео

Установите Skype:

Сначала загрузите последний пакет Skype, как показано ниже:

 [электронная почта защищена]: ~ $ wget https://go.skype.com/skypeforlinux-64.deb 

Затем установите пакет с помощью команды apt, как показано ниже:

 [электронная почта защищена]: ~ $ sudo apt install./skypeforlinux-64.deb 

После успешной установки Skype попробуйте получить к нему доступ и введите свои учетные данные,

Установите Filezilla

Чтобы установить Filezilla в вашу систему, используйте следующую команду apt:

 [электронная почта защищена ]: ~ $ sudo apt install filezilla -y 

После успешной установки пакета FileZilla попробуйте получить к нему доступ,

Установить инструмент для создания снимков экрана (пламенный снимок)

Используйте следующую команду, чтобы установить инструмент для снятия снимков с экрана. [email protected]: ~ $ sudo apt install flameshot -y

Примечание: Shutter Tool в Debian 10 был удален

6) Включение и запуск брандмауэра

Всегда рекомендуется запускать брандмауэр для обеспечения безопасности по сети.Если вы хотите включить брандмауэр в Debian 10, лучше всего подойдет брандмауэр UFW (несложный брандмауэр). Поскольку UFW доступен в репозиториях Debian, его довольно легко установить, как показано ниже:

 [защита электронной почты]: ~ $ sudo apt install ufw 

После установки UFW следующим шагом будет настройка брандмауэра. Итак, чтобы настроить брандмауэр, отключите весь входящий трафик, запретив порты, и разрешите только необходимые порты, такие как ssh, http и https.

 [электронная почта защищена]: ~ $ sudo ufw default deny incoming
Политика входящей почты по умолчанию изменена на "запретить"
(обязательно обновите свои правила соответствующим образом)
[электронная почта защищена]: ~ $ sudo ufw по умолчанию разрешить исходящие
Исходящая политика по умолчанию изменена на "разрешить"
(обязательно обновите свои правила соответствующим образом)
[защита электронной почты]: ~ $ 

Разрешить порт SSH

 [защита электронной почты]: ~ $ sudo ufw allow ssh
Правила обновлены
Правила обновлены (v6)
[электронная почта защищена]: ~ 

долларов США

Если вы установили веб-сервер в своей системе, разрешите их порты также в брандмауэре, используя следующую команду ufw,

 [электронная почта защищена]: ~ $ sudo ufw allow 80
Правила обновлены
Правила обновлены (v6)
[электронная почта защищена]: ~ $ sudo ufw allow 443
Правила обновлены
Правила обновлены (v6)
[email protected]: ~ $ 

Наконец, вы можете включить UFW, используя следующую команду

 [email protected]: ~ $ sudo ufw enable
Команда может нарушить существующие соединения ssh.Продолжить операцию (y | n)? y
Брандмауэр активен и включается при запуске системы
[email protected]: ~ $ 

В случае, если вы хотите проверить статус вашего брандмауэра, вы можете проверить его с помощью следующей команды

 [email protected]: ~ $ sudo ufw status 
7) Установите программное обеспечение виртуализации ( VirtualBox)

Первым шагом в установке Virtualbox является импорт открытых ключей репозитория Oracle VirtualBox в вашу систему Debian 10

 [защита электронной почты]: ~ $ wget -q https: // www.virtualbox.org/download/oracle_vbox_2016.asc -O- | sudo apt-key добавить -
Ok
[электронная почта защищена]: ~ $ wget -q https://www.virtualbox.org/download/oracle_vbox.asc -O- | sudo apt-key добавить -
Ok
[электронная почта защищена]: ~ $ 

Если импорт прошел успешно, вы увидите сообщение «ОК».

Далее вам нужно добавить репозиторий в список источников

 [email protected]: ~ $ sudo add-apt-repository "deb http://download.virtualbox.org/virtualbox/debian buster contrib"
[email protected]: ~ $ 

Наконец, пришло время установить VirtualBox 6.0 в вашей системе

 [защита электронной почты]: ~ $ sudo apt update
[email protected]: ~ $ sudo apt install virtualbox-6.0 -y 

После успешной установки пакетов VirtualBox попробуйте получить к нему доступ и начните создавать виртуальные машины,

8) Установите последние драйверы AMD

Наконец, вы также можете установите дополнительные драйверы AMD, такие как видеокарта, проприетарные драйверы ATI и графические адаптеры Nvidia. Чтобы установить последние версии драйверов AMD, сначала необходимо изменить файл / etc / apt / sources.list , добавьте несвободных слов в строки, которые содержат main и contrib , пример показан ниже

 [email protected]: ~ $ sudo vi /etc/apt/sources.list
…………………
deb http://deb.debian.org/debian/ buster main non-free contrib
deb-src http://deb.debian.org/debian/ buster main non-free contrib

deb http://security.debian.org/debian-security buster / updates main contrib non-free
deb-src http://security.debian.org/debian-security buster / updates main contrib non-free

deb http: // ftp.us.debian.org/debian/ buster-updates main contrib non-free
…………………… 

Теперь используйте следующие команды apt для установки последних драйверов AMD в системе Debian 10

 [электронная почта защищена]: ~ $ sudo apt update
[электронная почта защищена]: ~ $ sudo apt install firmware-linux firmware-linux-nonfree libdrm-amdgpu1 xserver-xorg-video-amdgpu -y 

Это все из этой статьи, я надеюсь, вы получили представление о том, что следует делать после установки Debian 10. Пожалуйста, поделитесь своими отзывами и комментариями в разделе комментариев ниже.

Начальная установка сервера с Debian 8

Не используете Debian 8?


Выберите другую версию или дистрибутив.

Debian 8

Введение

Когда вы впервые создаете новый сервер Debian 8, есть несколько шагов по настройке, которые вы должны выполнить на ранней стадии как часть базовой настройки. Это повысит безопасность и удобство использования вашего сервера и даст вам прочную основу для последующих действий.

Шаг первый — вход с правами root

Чтобы войти на свой сервер, вам необходимо знать публичный IP-адрес вашего сервера и пароль для учетной записи пользователя root. Если вы еще не вошли на свой сервер, возможно, вы захотите следовать первому руководству из этой серии «Как подключиться к вашей капле с помощью SSH», в котором подробно рассматривается этот процесс.

Если вы еще не подключены к серверу, войдите в систему как пользователь root , используя следующую команду (замените выделенное слово общедоступным IP-адресом вашего сервера):

  
  • ssh root @ IP_АДРЕС_СЕРВЕРА

Завершите процесс входа в систему, приняв предупреждение о подлинности хоста, если оно появляется, а затем предоставив свою корневую аутентификацию (пароль или закрытый ключ).Если вы впервые входите на сервер с паролем, вам также будет предложено изменить пароль root.

О корне

Пользователь root - это административный пользователь в среде Linux с очень широкими привилегиями. Из-за повышенных привилегий учетной записи root вам фактически не рекомендуется, , использовать ее на регулярной основе. Это связано с тем, что часть возможностей, присущих учетной записи root, заключается в способности вносить очень разрушительные изменения, даже случайно.

Следующим шагом является создание альтернативной учетной записи пользователя с ограниченными возможностями для повседневной работы. Мы научим вас, как получить повышенные привилегии, когда они вам понадобятся.

Шаг второй - создание нового пользователя

После того, как вы войдете в систему как root , мы будем готовы добавить новую учетную запись пользователя, которую мы будем использовать для входа с этого момента.

В этом примере создается новый пользователь с именем «demo», но вы должны заменить его на имя пользователя, которое вам нравится:

  

Вам будет предложено несколько вопросов, начиная с пароля учетной записи.

Введите надежный пароль и, при желании, введите любую дополнительную информацию, если хотите. Это не обязательно, и вы можете просто нажать «ENTER» в любом поле, которое хотите пропустить.

Шаг третий - привилегии root

Теперь у нас есть новая учетная запись пользователя с обычными привилегиями учетной записи. Однако иногда нам может потребоваться выполнение административных задач.

Чтобы избежать необходимости выходить из системы обычного пользователя и снова входить в систему как учетная запись root, мы можем настроить так называемые «суперпользовательские» или привилегии root для нашей обычной учетной записи.Это позволит нашему обычному пользователю запускать команды с правами администратора, помещая слово sudo перед каждой командой.

Установить Sudo

Debian 8 не поставляется с установленным sudo , поэтому давайте установим его с помощью apt-get.

Сначала обновите индекс пакета apt:

  

Затем используйте эту команду для установки sudo:

  

Теперь вы можете использовать команды sudo и visudo .

Привилегии Grant Sudo

Чтобы добавить эти привилегии нашему новому пользователю, нам нужно добавить нового пользователя в группу «sudo». По умолчанию в Debian 8 пользователям, принадлежащим к группе «sudo», разрешено использовать команду sudo .

Как root , запустите эту команду, чтобы добавить вашего нового пользователя в группу sudo (замените выделенное слово своим новым пользователем):

  

Теперь ваш пользователь может запускать команды с привилегиями суперпользователя! Для получения дополнительной информации о том, как это работает, ознакомьтесь с этим руководством по sudoers.

Шаг четвертый - добавьте аутентификацию с открытым ключом (рекомендуется)

Следующим шагом в защите вашего сервера является установка аутентификации с открытым ключом для вашего нового пользователя. Эта настройка повысит безопасность вашего сервера, так как для входа потребуется закрытый SSH-ключ.

Создание пары ключей

Если у вас еще нет пары ключей SSH, которая состоит из открытого и закрытого ключей, вам необходимо ее сгенерировать. Если у вас уже есть ключ, который вы хотите использовать, перейдите к шагу Скопируйте открытый ключ .

Чтобы сгенерировать новую пару ключей, введите следующую команду на терминале вашего локального компьютера (т. Е. Вашего компьютера):

  

Предположим, что ваш локальный пользователь называется «localuser», вы увидите вывод, который выглядит следующим образом:

  

ssh-keygen output

Генерация пары открытого / закрытого ключей rsa. Введите файл, в котором нужно сохранить ключ (/Users/localuser/.ssh/id_rsa):

Нажмите "Return", чтобы принять это имя и путь к файлу (или введите новое имя).

Затем вам будет предложено ввести кодовую фразу для защиты ключа. Вы можете ввести пароль или оставить его пустым.

Примечание: Если вы оставите кодовую фразу пустой, вы сможете использовать закрытый ключ для аутентификации без ввода парольной фразы. Если вы введете парольную фразу, вам потребуются и закрытый ключ , и парольная фраза для входа в систему. Защита ваших ключей парольными фразами более безопасна, но оба метода имеют свое применение и более безопасны, чем обычная парольная аутентификация.

Это создает закрытый ключ id_rsa и открытый ключ id_rsa.pub в каталоге .ssh домашнего каталога localuser . Помните, что закрытый ключ нельзя передавать никому, у кого не должно быть доступа к вашим серверам!

Скопируйте открытый ключ

После создания пары ключей SSH вы захотите скопировать свой открытый ключ на новый сервер. Мы рассмотрим два простых способа сделать это.

Примечание : Метод ssh-copy-id не будет работать в DigitalOcean, если во время создания капли был выбран ключ SSH.Это связано с тем, что DigitalOcean отключает аутентификацию по паролю, если присутствует ключ SSH, а ssh-copy-id полагается на аутентификацию по паролю для копирования ключа.

Если вы используете DigitalOcean и выбрали ключ SSH во время создания капли, используйте вместо этого вариант 2.

Вариант 1. Используйте ssh-copy-id

Если на вашем локальном компьютере установлен сценарий ssh-copy-id , вы можете использовать его для установки открытого ключа любому пользователю, для которого у вас есть учетные данные.

Запустите сценарий ssh-copy-id , указав пользователя и IP-адрес сервера, на котором вы хотите установить ключ, например:

  
  • ssh-copy-id demo @ SERVER_IP_ADDRESS

После ввода пароля в командной строке ваш открытый ключ будет добавлен в файл .ssh / authorized_keys удаленного пользователя. Соответствующий закрытый ключ теперь можно использовать для входа на сервер.

Вариант 2. Установка ключа вручную

Предполагая, что вы сгенерировали пару ключей SSH с помощью предыдущего шага, используйте следующую команду на терминале вашего локального компьютера , чтобы распечатать свой открытый ключ ( id_rsa.паб ):

  

Это должно напечатать ваш публичный ключ SSH, который должен выглядеть примерно так:

  

содержимое id_rsa.pub SSH-RSA AAAAB3NzaC1yc2EAAAADAQABAAABAQDBGTO0tsVejssuaYR5R3Y / i73SppJAhme1dH7W2c47d4gOqB4izP0 + fRLfvbz / tnXFz4iOP / H6eCV05hqUhF + KYRxt9Y8tVMrpDZR2l75o6 + xSbUOMu6xN + uVF0T9XzKcxmzTmnV7Na5up3QM3DoSRYX / EP3utr2 + zAqpJIfKPLdA74w7g56oYWI9blpnpzxkEd3edVJOivUkpZ4JoenWManvIaSdMTJXMy3MtlQhva + j9CgguyVbUkdzK9KKEuah + pFZvaugtebsU + bllPTB0nlXGIJk98Ie9ZtxuY3nCKneB + KjKiXrAvXUPCI9mWkYS / 1rggpFmu3HbXBnWSUdf LocalUser @ машина.местный

Выберите открытый ключ и скопируйте его в буфер обмена.

Добавить открытый ключ новому удаленному пользователю

Чтобы использовать SSH-ключ для аутентификации в качестве нового удаленного пользователя, вы должны добавить открытый ключ в специальный файл в домашнем каталоге пользователя.

На сервере в качестве пользователя root введите следующую команду, чтобы переключиться на нового пользователя (замените свое собственное имя пользователя):

  

Теперь вы окажетесь в домашнем каталоге нового пользователя.

Создайте новый каталог с именем .ssh и ограничьте его разрешения с помощью следующих команд:

  
  • мкдир .ssh
  • chmod 700 .ssh

Теперь откройте файл в .ssh с именем authorized_keys с помощью текстового редактора. Мы будем использовать nano для редактирования файла:

  
  • nano .ssh / authorized_keys

Теперь вставьте свой открытый ключ (который должен быть в буфере обмена), вставив его в редактор.

Нажмите CTRL-X для выхода из файла, затем Y для сохранения внесенных изменений, затем ENTER для подтверждения имени файла.

Теперь ограничьте права доступа к файлу authorized_keys с помощью этой команды:

  
  • chmod 600 .ssh / authorized_keys

Введите эту команду один раз , чтобы вернуться к корневому пользователю :

  

Теперь вы можете войти в систему по SSH как новый пользователь, используя закрытый ключ в качестве аутентификации.

Чтобы узнать больше о том, как работает аутентификация по ключу, прочтите это руководство: Как настроить аутентификацию на основе ключей SSH на сервере Linux.

Шаг пятый - настройка SSH

Теперь, когда у нас есть новая учетная запись, мы можем немного защитить наш сервер, изменив конфигурацию его демона SSH (программу, которая позволяет нам удаленно входить в систему), чтобы запретить удаленный доступ SSH к учетной записи root .

Начните с открытия файла конфигурации в текстовом редакторе с правами root:

  
  • нано / и т. Д. / Ssh / sshd_config

Здесь у нас есть возможность отключить вход root через SSH.Как правило, это более безопасная настройка, поскольку теперь мы можем получить доступ к нашему серверу через нашу обычную учетную запись пользователя и при необходимости повысить привилегии.

Чтобы отключить удаленный вход в систему root, нам нужно найти строку, которая выглядит так:

/ etc / ssh / sshd_config (ранее)

  #PermitRootLogin да
  

Вы можете изменить эту строку на «нет», если хотите отключить вход в систему с правами root:

/ etc / ssh / sshd_config (после)

  PermitRootLogin no
  

Настоятельно рекомендуется отключить удаленный вход в систему root на каждом сервере!

Когда вы закончите вносить изменения, сохраните и закройте файл, используя метод, который мы рассмотрели ранее ( CTRL-X , затем Y , затем ENTER ).

Перезагрузить SSH

Теперь, когда мы внесли наши изменения, нам нужно перезапустить службу SSH, чтобы она использовала нашу новую конфигурацию.

Введите это для перезапуска SSH:

  

Теперь, прежде чем мы выйдем из системы, мы должны протестировать нашу новую конфигурацию. Мы не хотим отключаться до тех пор, пока не подтвердим, что новые соединения могут быть успешно установлены.

Открыть новое окно терминала . В новом окне нам нужно начать новое соединение с нашим сервером.На этот раз вместо использования учетной записи root мы хотим использовать новую учетную запись, которую мы создали.

  
  • ssh demo @ SERVER_IP_ADDRESS

Вам будет предложено ввести новый пароль пользователя, который вы настроили. После этого вы войдете в систему как новый пользователь.

Помните, что если вам нужно запустить команду с правами суперпользователя, введите перед ней «sudo», например:

  

Если все в порядке, вы можете выйти из сеанса, набрав:

  

Куда идти дальше?

На данный момент у вас есть прочная основа для вашего сервера Debian 8.Вы можете установить любое необходимое программное обеспечение на свой сервер прямо сейчас.

Установка Passenger + Nginx на Debian 8 (с APT)

Шаг 1: установите пассажирские пакеты

Эти команды установят Passenger + Nginx через репозиторий Phusion APT.
Если у вас уже был установлен Nginx, эти команды обновят Nginx до версии Phusion (со скомпилированным Passenger).

  # Установите наш ключ PGP и добавьте поддержку HTTPS для APT
sudo apt-get install -y dirmngr gnupg
sudo apt-key adv --keyserver hkp: // сервер ключей.ubuntu.com:80 --recv-keys 561F9B9CAC40B2F7
sudo apt-get install -y apt-transport-https ca-сертификаты

# Добавляем наш репозиторий APT
sudo sh -c 'echo deb https://oss-binaries.phusionpassenger.com/apt/passenger jessie main> /etc/apt/sources.list.d/passenger.list'
sudo apt-get update

# Установить Passenger + Nginx
sudo apt-get install -y nginx-extras пассажир  

Шаг 2. Включите модуль Passenger Nginx и перезапустите Nginx

.

Отредактируйте /etc/nginx/nginx.conf и раскомментируйте , включая / etc / nginx / пассажира.conf; . Например, вы можете увидеть это:

 # include /etc/nginx/passenger.conf; 

Удалите символы "#", например:

 включает /etc/nginx/passenger.conf; 

Если вы не видите закомментированную версию , включите /etc/nginx/passenger.conf; внутри nginx.conf, тогда вам нужно вставить его самостоятельно. Вставьте его в /etc/nginx/nginx.conf внутри блока http . Например:

 ...

http {
    включить / etc / nginx / пассажира.conf;
    ...
} 

Когда вы закончите с этим шагом, перезапустите Nginx:

 $ sudo service nginx перезапуск 

Шаг 3: проверьте установку

После установки подтвердите установку, запустив команду sudo / usr / bin / пассажира-config validate-install . Например:

 $ sudo / usr / bin / пассажир-конфигурация, проверка-установка
 * Проверка, находится ли эта установка Phusion Passenger в PATH ... ✓
 * Проверка отсутствия других установок Phusion Passenger... ✓ 

Все проверки должны пройти. Если какая-либо из проверок не прошла, следуйте подсказкам на экране.

Наконец, проверьте, запустил ли Nginx основные процессы Passenger. Запустите sudo / usr / sbin / cabin-memory-stats . Вы должны увидеть процессы Nginx, а также процессы Passenger. Например:

 $ sudo / usr / sbin / пассажир-память-статистика
Версия: 5.0.8
Дата: 2015-05-28 08:46:20 +0200
...

---------- Процессы Nginx ----------
PID PPID VMSize Частное имя
-------------------------------------
12443 4814 60.8 МБ 0,2 МБ nginx: главный процесс / usr / sbin / nginx
12538 12443 64,9 МБ 5,0 МБ nginx: рабочий процесс
### Процессы: 3
### Всего приватных грязных RSS: 5.56 МБ

----- Пассажирские процессы ------
PID VMSize Частное имя
--------------------------------
12517 83,2 МБ 0,6 МБ Сторожевой таймер PassengerAgent
12520 266,0 МБ 3,4 МБ Сервер PassengerAgent
12531 149,5 МБ 1,4 МБ Регистратор PassengerAgent
... 

Если вы не видите никаких процессов Nginx или Passenger, возможно, у вас какая-то проблема с установкой или конфигурацией.См. Руководство по устранению неполадок.

Шаг 4: регулярно обновляйте

Обновления Nginx,
Обновления для пассажиров и системы регулярно доставляются через диспетчер пакетов APT. Вам следует регулярно запускать следующую команду, чтобы поддерживать их в актуальном состоянии:

 $ sudo apt-get update
$ sudo apt-get upgrade 

Вам не нужно перезапускать Nginx или Passenger после обновления, а также вам не нужно изменять какие-либо файлы конфигурации после обновления.Обо всем этом автоматически позаботится APT.

Как установить Debian 8 Linux

Debian 8 Linux

Установка Debian 8 Linux

Установка Debian 8 Linux

Debian 8.0, кодовое имя «Jessie» - это последний выпуск Debian Linux (официально выпущен 25 апреля 2015 г.). Debian - это бесплатная операционная система с открытым исходным кодом, которую можно бесплатно загрузить и установить. Debian - очень популярный дистрибутив Linux, используемый многими домашними пользователями и как серверная реализация.Debian известен своей стабильностью. Вот почему многие другие операционные системы Linux основаны на Debian. Это первый выпуск Debian, в котором используется новый пакет «systemd», улучшающий скорость запуска системы. Чтобы установить Debian 8.0, просто следуйте инструкциям ниже:

Чтобы загрузить свой iso-образ Debian 8.0, просто щелкните эту ссылку: Загрузить Debian 8.0

С этой страницы вы можете загрузить Debian несколькими способами. Вы можете использовать BitTorrent или jigdo.Вам нужно будет выбрать правильный образ, соответствующий архитектуре вашей системы. (amd64 для 64-битных систем или i386 для 32-битных систем).

После того, как вы загрузили ISO-образ Debian 8, соответствующий архитектуре вашей системы, вам нужно будет записать этот образ на DVD. Для программного обеспечения, которое может сделать это за вас, выполните поиск по запросу «программа для записи dvd iso» в поле поиска, расположенном выше. В вашей системе может уже быть установлено программное обеспечение для записи DVD / CD, такое как «Brasero, K3B, Nero, CDBurnerXP или Roxio».После того, как вы записали свой "iso" образ Debian 8 на свой DVD, вам нужно будет оставить DVD в приводе DVD и перезагрузить систему. (В следующем примере я использовал 64-битную версию программного обеспечения). Когда ваш компьютер перезагрузится, вам нужно будет нажать соответствующую клавишу, чтобы получить доступ к настройкам BIOS вашей системы. Во многих системах эта клавиша будет «F8», «F11» или «F12». Большинство систем будут отображать сообщение, указывающее, какую клавишу необходимо нажать. Как только у вас появится доступ к настройкам BIOS, вам нужно будет изменить порядок загрузки вашей системы, чтобы сначала загрузиться с CD / DVD.После внесения этого изменения вы можете перезагрузить систему и следовать приведенным ниже инструкциям. Если вы устанавливаете в виртуализированную среду, просто скопируйте ISO-образ в соответствующий каталог.

Меню установщика Debian 8 GNU / Linux

Чтобы начать установку Debian 8.0, выделите вариант «установить» или «Графическая установка» и нажмите клавишу ВВОД. Ваша установка начнется. В этом примере я выбрал вариант «Графическая установка».

Выберите язык установки

Выберите язык, который вы хотите использовать при установке. В примере я выбрал «английский».

Выберите ваше местоположение

На этом экране вам нужно выбрать свое местоположение. Выбранное место будет использоваться для установки вашего часового пояса. Эта информация может быть изменена позже при необходимости после установки.

Настроить клавиатуру

Выберите настройки клавиатуры.В этом примере был выбран «британский английский».

Настройка сети

В этом примере установка обнаружила активное сетевое соединение и настраивает IP-адрес с помощью DHCP. Если вам нужно настроить статический IP-адрес, его можно легко изменить после установки.

Выберите имя хоста

На этом экране вы должны дать своему компьютеру уникальное имя, которое будет идентифицировать его в вашей сети. Здесь можно использовать любое имя, если оно уникально.

Выберите доменное имя

Эта опция позволяет вам указать доменное имя. В этом примере я использовал доменное имя «landoflinux.com». Если это домашняя сеть, вы можете использовать любое имя.

Создать пароль root

На этом экране вы должны указать пароль root, который вы хотите использовать для своей системы. После того, как вы введете свой пароль root, вам будет предложено подтвердить этот пароль, прежде чем продолжить.

Создание учетной записи пользователя

Здесь вы должны указать , имя новой учетной записи пользователя для использования в вашей системе.Это будет ваша основная учетная запись при входе в систему. После установки можно добавить дополнительных пользователей.

Добавить имя пользователя

Здесь вы должны указать имя пользователя . Это будет ваша основная учетная запись при входе в систему. После установки можно добавить дополнительных пользователей.

Установить пароль для новой учетной записи

Здесь вам нужно будет указать пароль, который будет использоваться с вашей новой учетной записью.

Диски разделов

Выберите схему разбиения диска, которая будет использоваться при установке.В этом примере я выбрал опцию «Управляемый - использовать весь диск». Если вы хотите вручную настроить собственную конфигурацию диска, выберите в меню вариант «вручную».

Подтвердите свой выбор

В этом меню выделите диск, который будет разбит на разделы, и нажмите «Продолжить». В этом примере моей системе назначен только один диск.

Выберите схему раздела

Здесь вам доступны несколько вариантов.В этом примере я выбрал вариант по умолчанию «Все файлы в одном разделе».

Обзор раздела

На этом экране вы должны подтвердить, что вы довольны своим выбором, и предоставить установщику разрешение на запись этих изменений раздела на диск.

Окончательный обзор

Чтобы продолжить и разбить диски на разделы, выберите вариант «Да».

Установка базовой системы

Установка основных пакетов.На этом экране никаких дальнейших действий не требуется.

Настройка диспетчера пакетов - сканирование дополнительных носителей

Чтобы дополнить программное обеспечение на вашем установочном DVD, вы можете выбрать сканирование дополнительных CD / DVD для использования менеджером пакетов «apt». Если у вас нет дополнительных носителей, выберите «Нет» и нажмите «Продолжить».

Настройка диспетчера пакетов - добавление сетевого зеркала

Сетевое зеркало можно использовать в качестве дополнения к программному обеспечению, поставляемому с установочным носителем.Выберите «Да», чтобы использовать сетевое зеркало.

Выбор расположения сетевого зеркала

Выберите ближайшее к вам место из списка. Обычно это страна, в которой вы находитесь. В этом примере было выбрано «Великобритания».

Выбрать зеркало архива Debian

В этом примере я использовал главное зеркало ftp.uk.debian.org.

Добавить информацию о прокси-сервере

Если вам необходимо использовать прокси-сервер HTTP для доступа в Интернет, информацию о вашем прокси-сервере можно ввести в поле ниже.

Настройка конкурса популярности

Если вы решите принять участие в этом автоматическом опросе, подробные сведения о статистике ваших пакетов будут отправлены разработчикам. Просто выберите между «да», чтобы разрешить или «нет», чтобы не принимать участие.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *