Follow

Основы настройки и администрирования сервера с ОС Ubuntu 20.04 LTS

Представляем статью от нового автора — OfShad0ws. В ней описываются основы настройки сервера с операционной системой Ubuntu Server 20.04 с акцентом на безопасность. Рассматриваются следующие вопросы:

• Создание сервера в DigitalOcean
• Ключи SSH
• Пользователи в системе
• Редактирование файлов в Nano
• Обновление системы
• Безопасность SSH
• Сетевой экран UFW
• Защита от атак с помощью Fail2Ban
• Защита с помощью port knocking
• Ограничение размера журналов
• Бесплатные сертификаты TLS от Let’s Encrypt

Веб-сайт: causa-arcana.com/blog/2021/11/
Telegraph: telegra.ph/Osnovy-nastrojki-i-


@rf

Написал статью (выше) в сотрудничестве с @kotovalexarian

Приходите в комментарии и обсуждайте :)
Лицензия - CC BY 4.0 creativecommons.org/licenses/b

@rf @causa_arcana OS - Linux, а Ubuntu - это Linux/GNU дистрибутив.

@causa_arcana > RSA
Но ведь в тренде ed25519
> echo '<YOUR SSH PUBLIC KEY>'
ssh-copy-id

> Конфигурация сервера SSH находится в файле /etc/ssh/sshd_config. Необходимо изменить некоторые строки.

Для этого есть каталог sshd_config.d

> Смена порта SSH
> Fail2Ban

У второго есть дефолтная настройка для отстрела брутфорсеров. Я только заменил бан IP-адреса на бан подсети /24.

> pre-hook = sudo systemctl stop nginx.service
> post-hook = sudo systemctl start nginx.service

Тушить сервер на время обновления сертификата? Смело.

> SystemMaxUse=50M

Там 20 гигов места. Зачем так жидиться?

@Clovius @radjah Верное замечание. В будущем учтём.

@radjah Не знал про каталог для дополнительных файлов конфигурации. Это хорошая практика. Исправлять статью не будем уже, но в будущем будем внимательнее смотреть, есть ли в ПО такая возможность.

@causa_arcana в дебианах и deb-подобных обычно дефолтный конфиг содержит инклуды для пользовательских правок, или само приложение смотрит несколько каталогов.

@radjah
>> SystemMaxUse=50M

> Там 20 гигов места.

У меня на ноуте баг в UEFI, журнал может легко скушать и 20 GB.
У меня встречный вопрос - зачем нужны системные логи годичной давности? Всё нужное легко поместится в 50 MB.

@radjah
> ssh-copy-id

Если в точности следовать инструкциям в статье, эта команда не сработает, т.к. вход по паролю будет запрещён по умолчанию.
Мы уже подключаемся с помощью ключа к пользователю root, а потом создаём нового пользователя и в его файл сохраняем ключ.

@causa_arcana

Sign in to participate in the conversation
CleverLibre Social

CleverLibre Social is an inclusive social instance for open discussion, learning, and community.
All cultures welcome.
Hate speech and harassment strictly forbidden.