Основы настройки и администрирования сервера с ОС Ubuntu 20.04 LTS
Представляем статью от нового автора — OfShad0ws. В ней описываются основы настройки сервера с операционной системой Ubuntu Server 20.04 с акцентом на безопасность. Рассматриваются следующие вопросы:
• Создание сервера в DigitalOcean
• Ключи SSH
• Пользователи в системе
• Редактирование файлов в Nano
• Обновление системы
• Безопасность SSH
• Сетевой экран UFW
• Защита от атак с помощью Fail2Ban
• Защита с помощью port knocking
• Ограничение размера журналов
• Бесплатные сертификаты TLS от Let’s Encrypt
Веб-сайт: https://causa-arcana.com/blog/2021/11/10/server-administration.html
Telegraph: https://telegra.ph/Osnovy-nastrojki-i-administrirovaniya-servera-s-OS-Ubuntu-2004-LTS-11-10
@causa_arcana > RSA
Но ведь в тренде ed25519
> echo '<YOUR SSH PUBLIC KEY>'
ssh-copy-id
> Конфигурация сервера SSH находится в файле /etc/ssh/sshd_config. Необходимо изменить некоторые строки.
Для этого есть каталог sshd_config.d
> Смена порта SSH
> Fail2Ban
У второго есть дефолтная настройка для отстрела брутфорсеров. Я только заменил бан IP-адреса на бан подсети /24.
> pre-hook = sudo systemctl stop nginx.service
> post-hook = sudo systemctl start nginx.service
Тушить сервер на время обновления сертификата? Смело.
> SystemMaxUse=50M
Там 20 гигов места. Зачем так жидиться?
@radjah Не знал про каталог для дополнительных файлов конфигурации. Это хорошая практика. Исправлять статью не будем уже, но в будущем будем внимательнее смотреть, есть ли в ПО такая возможность.
@causa_arcana в дебианах и deb-подобных обычно дефолтный конфиг содержит инклуды для пользовательских правок, или само приложение смотрит несколько каталогов.
@radjah
>> SystemMaxUse=50M
> Там 20 гигов места.
У меня на ноуте баг в UEFI, журнал может легко скушать и 20 GB.
У меня встречный вопрос - зачем нужны системные логи годичной давности? Всё нужное легко поместится в 50 MB.
@radjah
> ssh-copy-id
Если в точности следовать инструкциям в статье, эта команда не сработает, т.к. вход по паролю будет запрещён по умолчанию.
Мы уже подключаемся с помощью ключа к пользователю root, а потом создаём нового пользователя и в его файл сохраняем ключ.
Написал статью (выше) в сотрудничестве с @kotovalexarian
Приходите в комментарии и обсуждайте :)
Лицензия - CC BY 4.0 https://creativecommons.org/licenses/by/4.0/