Wir haben eine neue Debian-Linux-Instanz gestartet, um sie als Produktionsserver für unsere neuen Anwendungen auszuführen. Dies ist eine bewährte Vorgehensweise, um eine anfängliche Servereinrichtung mit dem Debian-Linux-System durchzuführen. Dadurch wird die primäre Serversicherheit und Benutzerfreundlichkeit für Ihren neuen Server verbessert.
Diese Anleitung umfasst die folgenden Schritte:
- Update und Upgrade eines Debian-Systems
- Erstellen Sie einen Sudo-Benutzer in Debian
- Hostnamen in einem Debian-System einrichten
- Sicherer SSH-Server
- FirewallD konfigurieren
Beginnen wir mit der anfänglichen Servereinrichtung auf dem Debian-Linux-System.
1. Aktualisieren Sie Debian
Nach der Anmeldung am Debian-Server besteht die erste Aufgabe darin, die aktuellen Pakete des Debian-Systems zu aktualisieren. Denn es kann sein, dass der Server mit der alten Image-Datei aufgebaut ist. Das Debian-Team arbeitet weiter daran, die Serversicherheit zu verbessern und regelmäßig aktualisierte Pakete bereitzustellen.
Aktualisieren Sie zuerst den Apt-Cache auf Ihrem System.
sudo apt update
Führen Sie dann den Upgrade-Befehl aus, um die Pakete tatsächlich zu aktualisieren.
sudo apt upgrade
Es ist auch eine gute Wahl, das dist-upgrade für ein neu installiertes System auszuführen.
sudo apt dist-upgrade
Drücken Sie 'Y' für jede Bestätigung, die zum Abschließen der Paketinstallation aufgefordert wird.
Führen Sie außerdem den folgenden Befehl aus, um nicht mehr benötigte Pakete zu entfernen. Dies ist auch hilfreich, um Dateien der alten Kernel-Versionen zu entfernen.
sudo apt autoremove
2. Erstellen Sie einen Sudo-Benutzer
Einige der Hosting-Anbieter wie DigitalOcean starten Instanzen nur mit Root-Konto. Dies ist keine gute Vorgehensweise, um eine Produktionsinstanz weiterhin mit dem Superuser-Konto zu verwenden. Wir empfehlen dringend, einen neuen Benutzer mit Sudo-Berechtigungen zu erstellen und diesen für den Zugriff auf Ihre Debian-Instanz zu verwenden.
Angenommen, Sie sind bereits mit einem Root-Konto angemeldet. Führen Sie den folgenden Befehl aus, um einen neuen Benutzer unter Debian zu erstellen:
sudo adduser tecadmin
Das neu erstellte Konto ist ein normaler Benutzer. Sie benötigen Administratorrechte, um mehrere Aufgaben auszuführen. Gewähren Sie diesem Benutzer Administratorrechte, indem Sie sie in sudo hinzufügen Gruppe. Geben Sie Folgendes ein, um einen Benutzer zur sudo-Gruppe hinzuzufügen:
sudo usermod -a -G sudo tecadmin
Jetzt können Sie für weitere Anweisungen zu einem neu erstellten Konto wechseln.
sudo su - tecadmin
3. Konfigurieren Sie den Hostnamen des Systems
Ein Hostname eines Systems ist der Name der Instanz, die als Identität für Computernetzwerke verwendet wird. Es hilft Benutzern und Netzwerkmaschinen, eine Maschine innerhalb eines Netzwerks in einem für Menschen lesbaren Format leicht zu erkennen.
Es empfiehlt sich, einen geeigneten Hostnamen für Ihre Instanz festzulegen. Geben Sie im Systemterminal hostnamectl ein und drücken Sie die Eingabetaste:
hostnamectl
Dadurch erhalten Sie Details zu Systemdetails, einschließlich des Hostnamens. Sie können sogar den Befehl hostname eingeben, um den Hostnamen des Systems anzuzeigen.
Ändern Sie als Nächstes den System-Hostnamen in
sudo hostnamectl set-hostname debian10
Nachdem Sie den Hostnamen des Systems aktualisiert haben, müssen Sie zu einer neuen Shell wechseln, um sie in der aktuellen Sitzung zu aktivieren. Nach dem Ändern der aktuellen Shell wird der Shell-Prompt auf einen neuen Hostnamen geändert.
hostname
4. SSH sichern
SSH (Secure Shell) ist das Protokoll, das verwendet wird, um Remote-Server zu verbinden. Wir empfehlen, den OpenSSH-Server so zu konfigurieren, dass er auf einem Nicht-Standard-Port lauscht. Das bietet Ihnen eine weitere Sicherheitsebene vor Hackern.
Um den Standardport zu ändern und die Root-Anmeldung zu deaktivieren, bearbeiten Sie die OpenSSH-Konfigurationsdatei /etc/ssh/sshd_config und nehmen Sie die folgenden Änderungen vor.
- Standardport ändern – Es ist gut, den Standard-SSH-Port zu ändern, da die Standardports immer Angreifer sind.
Port 2232
- Root-SSH-Anmeldung deaktivieren – Außerdem möchten Sie die Root-Anmeldung über ssh deaktivieren.
PermitRootLogin no
Speichern Sie die Konfigurationsdatei und starten Sie den OpenSSH-Dienst neu, um die Änderungen zu übernehmen.
sudo systemctl restart ssh
5. Firewall konfigurieren (FirewallD)
Auf der Standard-Debian-Server-Edition ist keine Firewall installiert. Sie können einfach den folgenden Befehl ausführen, um erforderliche Pakete aus Standard-Repositories zu installieren.
sudo apt install firewalld -y
Nach erfolgreicher Installation wird der Firewall-Dienst automatisch gestartet und auf Ihrem System aktiviert.
Die Standard-Firewall lässt SSH für die Remote-Benutzer zu. Aber wenn der SSH-Port geändert wird, können Sie eine Regel hinzufügen, um den SSH-Zugriff auf einem anderen Port zuzulassen.
sudo firewall-cmd --permanent --add-port=2232/tcp
Sie können direkt einen Dienstnamen wie „http“ oder „https“ zulassen. Der Firewalld liest die Datei /etc/services, um den entsprechenden Port des Dienstes zu ermitteln.
sudo firewall-cmd --permanent --add-service=httpsudo firewall-cmd --permanent --add-service=https
Nachdem Sie Änderungen an Ihrer Firewall vorgenommen haben, stellen Sie sicher, dass Sie die Änderungen mit dem folgenden Befehl neu laden.
sudo firewall-cmd --reload
Verwenden Sie zum Anzeigen aller zulässigen Ports und Dienste den folgenden Befehl.
sudo firewall-cmd --permanent --list-all
Ausgabe:
public target: default icmp-block-inversion: no interfaces: sources: services: cockpit dhcpv6-client http https ssh ports: protocols: masquerade: no forward-ports: source-ports: icmp-blocks: rich rules:
Schlussfolgerung
In diesem Handbuch haben wir die anfängliche Servereinrichtung eines Debian-Linux-Systems durchgegangen. Sobald Sie alle Erstkonfigurationen des Servers erfolgreich abgeschlossen haben, ist Ihr System einsatzbereit.