هنگامي كه براي اولين بار سرور مجازي جديد اوبونتو 20.04 را ايجاد مي كنيد ، بايد برخي از مراحل مهم تنظيمات را به عنوان بخشي از ستاپ اصلي انجام دهيد. اين مراحل باعث افزايش امنيت و قابليت استفاده سرور مجازي شما مي شود و پايه و اساس محكمي را براي اقدامات بعدي به شما مي دهد.
مرحله 1 – ورود به سيستم به عنوان ريشه
براي ورود به سرور مجازي خود ، بايد آدرس IP عمومي سرور مجازي خود را بدانيد. شما همچنين به رمز عبور يا در صورت نصب كليد SSH براي تأييد اعتبار – به كليد خصوصي براي حساب كاربر root نياز داريد. اگر قبلاً به سرور مجازي خود وارد نشده ايد ، بهتر است راهنماي ما در مورد نحوه اتصال به دراپلت ها با SSH را دنبال كنيد ، كه اين روند را با جزئيات پوشش مي دهد.
اگر از قبل به سرور مجازي خود وصل نشده ايد ، اكنون به عنوان كاربر اصلي با استفاده از دستور زير وارد سيستم شويد (بخش هايلايت شده فرمان را با آدرس IP عمومي سرور مجازي خود جايگزين كنيد):
$ ssh root@your_server_ip

در صورت وجود هشدار درباره تاييد هويت هاست، آن را بپذيريد. اگر از تأييد اعتبار استفاده مي كنيد ، رمز ورود خود را وارد كنيد. اگر از يك كليد SSH استفاده مي كنيد كه عبارت عبور آن محافظت مي شود ، ممكن است از شما خواسته شود اولين بار كه از هر كليد استفاده مي كنيد ، كلمه عبور را وارد كنيد. اگر اولين بار است كه با گذرواژه وارد سرور مجازي مي شويد ، ممكن است از شما خواسته شود رمزعبور root را تغيير دهيد.
درباره ريشه
كاربر ريشه كاربر ادمين در محيط لينوكس است كه امتيازات بسيار گسترده اي دارد. به دليل افزايش امتيازات حساب ريشه ، استفاده از آن به صورت منظم اصلا پيشنهاد نميشود. اين امر به اين دليل است كه بخشي از قدرت ذاتي حساب ريشه ، توانايي ايجاد تغييرات بسيار مخرب ، حتي به طور تصادفي است.
مرحله بعدي تنظيم يك حساب كاربري جديد با امتيازات كمتر براي استفاده روزانه است. بعداً ، به شما ياد مي دهيم كه چگونه تنها در مواقعي كه به آنها احتياج داريد ، امتيازات بيشتر را كسب كنيد.
مرحله 2 – ايجاد يك كاربر جديد
پس از ورود به عنوان root ، آماده اضافه كردن حساب كاربري جديد هستيم. در آينده ، به جاي root وارد اين حساب جديد مي شويم.
اين مثال يك كاربر جديد به نام sammy ايجاد مي كند ، اما شما بايد آن را با نام كاربري كه دوست داريد جايگزين كنيد:
# adduser sammy

با وارد كردن رمز ورود به حساب ، چند سؤال از شما پرسيده خواهد شد.
يك رمزعبور قوي وارد كنيد و در صورت تمايل ، هر يك از اطلاعات اضافي را پر كنيد. اين كار ضروري نيست و در هر فيلدي كه مايل به عبور هستيد مي توانيد ENTER را بزنيد.
مرحله 3 – اعطاي امتيازات ادمين
اكنون ، يك حساب كاربري جديد با امتيازات معمول حساب داريم. با اين حال ، ممكن است گاهي اوقات به انجام كارهاي اجرايي نياز داشته باشيم.
براي جلوگيري از خارج شدن از حساب كاربري عادي و ورود به سيستم به عنوان حساب ريشه ، مي توانيم براي حساب عادي خود چيزي به اسم superuser يا امتيازات اصلي معرفي كنيم. اين امر به كاربر عادي ما امكان مي دهد با قرار دادن كلمه sudo قبل از هر دستور ، دستوراتي را با امتيازات ادمين اجرا كند.
براي افزودن اين امتيازات به كاربر جديد خود ، بايد كاربر را به گروه sudo اضافه كنيم. به طور پيش فرض ، در اوبونتو 20.04 ، كاربراني كه عضو گروه sudo هستند مجاز به استفاده از دستور sudo هستند.
به عنوان root ، اين دستور را اجرا كنيد تا كاربر جديد خود را به گروه sudo اضافه كنيد (نام كاربري هايلايت شده را با كاربر جديد خود جايگزين كنيد):
# usermod -aG sudo sammy

اكنون ، هنگامي كه به عنوان كاربر معمولي خود وارد سيستم ميشويد ، مي توانيد قبل از دستورات sudo را تايپ كنيد تا اقدامات خود را با امتيازات فوق كاربري انجام دهيد.
مرحله 4 – تنظيم فايروال پايه
سرور مجازي هاي Ubuntu 20.04 مي توانند از فايروال UFW استفاده كنند تا اطمينان حاصل شود كه فقط اتصال به برخي سرويس ها مجاز است. ما مي توانيم با استفاده از اين برنامه يك فايروال پايه را به راحتي تنظيم كنيم.
توجه: اگر سرور مجازي هاي شما روي vpsgol در حال اجرا هستند ، مي توانيد به طور اختياري به جاي فايروال UFW از فايروال vpsgol Cloud

برنامه ها مي توانند پس از نصب نمايه هاي خود را در UFW ثبت كنند. اين پروفايل ها به UFW اجازه مي دهند تا اين برنامه ها را با نامشان مديريت كند. OpenSSH ، سرويسي كه به ما امكان اتصال كنوني به سرور مجازي خود را مي دهد ، داراي نمايه اي است كه در UFW ثبت شده است.
مي توانيد اين را با تايپ كردن دستور زير مشاهده كنيد:
# ufw app list

Output
Available applications:
OpenSSH

ما بايد اطمينان حاصل كنيم كه فايروال امكان اتصالات SSH را مي دهد تا بتوانيم دفعه ديگر وارد سيستم شويم. مي توانيم با تايپ كردن اين دستور اتصالات را برقرار كنيم:
# ufw allow OpenSSH

پس از آن ، مي توانيم با تايپ كردن دستور زير فايروال را فعال كنيم:
# ufw enable

y را تايپ كرده و ENTER را براي ادامه فشار دهيد. مي توانيد با تايپ دستور زير ببينيد كه اتصالات SSH هنوز مجاز هستند:
# ufw status

Output
Status: active

To Action From
— —— —-
OpenSSH ALLOW Anywhere
OpenSSH (v6) ALLOW Anywhere (v6)

از آنجا كه فايروال در حال حاضر همه اتصالات به جز SSH را مسدود مي كند ، اگر سرويس هاي اضافي را نصب و پيكربندي كنيد ، بايد تنظيمات فايروال را تنظيم كنيد تا ترافيك در آن وارد شود. شما مي توانيد برخي از عمليات معمول UFW را در راهنماي UFW Essentials ما بياموزيد.
مرحله 5 – فعال كردن دسترسي خارجي براي كاربر معمولي شما
اكنون كه ما يك كاربر معمولي براي استفاده روزانه داريم ، بايد اطمينان حاصل كنيم كه مي توانيم مستقيماً SSH را وارد حساب كاربري خود كنيم.
توجه: تا زماني كه تأييد نكنيد كه مي توانيد با كاربر جديد خود وارد سيستم شويد و از sudo استفاده كنيد ، توصيه مي كنيم به عنوان root وارد شويد. به اين ترتيب ، اگر مشكل داريد مي توانيد به عنوان ريشه عيب يابي كرده و هرگونه تغيير لازم را انجام دهيد. اگر از دراپلت vpsgol استفاده مي كنيد و با اتصال SSH ريشه خود مشكل داريد ، مي توانيد با استفاده از كنسول vpsgol وارد دراپلت شويد.
روند پيكربندي دسترسي SSH براي كاربر جديد شما به اين بستگي دارد كه آيا حساب ريشه سرور مجازي شما از رمز عبور يا كليدهاي SSH براي تأييد اعتبار استفاده مي كند.
اگر حساب root از احراز هويت رمز عبور استفاده مي كند
اگر با استفاده از گذرواژه وارد حساب ريشه خود شده ايد ، تأييد رمز عبور براي SSH فعال مي شود. با باز كردن بخش ترمينال جديد و استفاده از SSH با نام كاربري جديد خود مي توانيد به حساب كاربري جديد خود SSH كنيد:
$ssh sammy@your_server_ip

بعد از وارد كردن رمزعبور كاربر معمولي ، وارد سيستم مي شويد. به ياد داشته باشيد اگر نياز به اجراي يك فرمان با امتيازات ادمين داريد ، قبل از اين كار sudo را تايپ كنيد:
$ sudo command_to_run

براي اولين بار در هر بخش (و به صورت دوره اي بعد از آن) رمزعبور كاربر معمولي از شما خواسته مي شود.
براي تقويت امنيت سرور مجازي خود ، ما به شدت توصيه مي كنيم به جاي استفاده از احراز هويت رمز عبور ، كليدهاي SSH را تنظيم كنيد. براي يادگيري نحوه پيكربندي احراز هويت مبتني بر كليد ، راهنماي ما را در مورد تنظيم كليدهاي SSH در اوبونتو 20.04 دنبال كنيد.
اگر حساب ريشه از احراز هويت كليد SSH استفاده مي كند
اگر با استفاده از كليدهاي SSH به حساب ريشه خود وارد شده ايد ، تأييد رمز عبور براي SSH غيرفعال است. براي ورود موفقيت آميز به سيستم ، بايد يك نسخه از كليد عمومي محلي خود را در فايل كاربر new / .ssh / autor_keys كاربر جديد اضافه كنيد.
از آنجا كه كليد عمومي شما قبلاً در فايل ~/.ssh/authorized_keys حساب اصلي ريشه در سرور مجازي است ، مي توانيم در بخش موجود ، آن فايل و ساختار ديركتوري را در حساب كاربري جديد خود كپي كنيم.
ساده ترين روش براي كپي كردن فايل ها با مالكيت صحيح و مجوزها ، با دستور rsync است. اين كار دايركتوري .ssh كاربر ريشه را كپي مي كند ، مجوزها را نگه مي دارد و صاحبان فايل را اصلاح مي كند كه همه در يك دستور واحد انجام ميشوند. اطمينان حاصل كنيد كه قسمت هايلايت شده فرمان زير را تغيير دهيد تا با نام كاربر معمولي شما مطابقت داشته باشد:
توجه: فرمان rsync با منابع و مقاصدي كه با يك اسلش جدا شده اند متفاوت از مواردي كه اسلش ندارند ، برخورد مي كند. هنگام استفاده از rsync در زير ، مطمئن شويد كه ديركتوري منبع (~ / .ssh) شامل اسلش نيست (بررسي كنيد تا مطمئن شويد كه از ~ / .ssh /) استفاده نمي كنيد.
اگر به طور اتفاقي يك اسلش را به اين فرمان اضافه كنيد ، rsync محتويات ديركتوري ~ / .ssh حساب اصلي را به جاي كپي كردن كل ساختار ديركتوري/ .ssh در فهرست خانه اصلي كاربر sudo كپي مي كند. فايل ها در مكان اشتباه قرار دارند و SSH قادر به يافتن و استفاده از آنها نخواهد بود.
# rsync –archive –chown=sammy:sammy ~/.ssh /home/sammy

اكنون يك بخش ترمينال جديد را روي دستگاه محلي خود باز كنيد و از SSH با نام كاربري جديد خود استفاده كنيد:
$ ssh sammy@your_server_ip

بدون استفاده از رمز ورود بايد به حساب كاربري جديد وارد شويد. به ياد داشته باشيد ، اگر نياز به اجراي يك فرمان با امتيازات ادمين داريد ، sudo را قبل از آن تايپ كنيد:
$ sudo command_to_run

براي اولين بار در هر بخش (و به صورت دوره اي بعد از آن) از شما رمزعبور كاربر معمولي خواسته مي شود.
از اينجا به كجا برويم؟
در اين مرحله ، شما يك پايه محكم براي سرور مجازي خود داريد. اكنون مي توانيد هركدام از نرم افزارهاي مورد نياز خود را بر روي سرور مجازي خود نصب كنيد.