راه اندازی اولیه سرور با CentOS 7

مقدمه

هنگام ایجاد سرور جدید ، چند مرحله پیکربندی وجود دارد که باید به عنوان بخشی از تنظیمات اولیه ، مراحل اولیه را انجام دهید. این امر باعث افزایش امنیت و قابلیت استفاده سرور شما می شود و پایه محکمی برای اقدامات بعدی به شما می دهد.

مرحله اول – ورود به سیستم با یوزر root

 برای ورود به سرور خود ، باید آدرس IP عمومی سرور خود و رمز ورود به حساب کاربری “root” را بدانید.
 اگر از قبل به سرور خود متصل نیستید ، با استفاده از دستور زیر به عنوان کاربر اصلی وارد سیستم شوید (کلمه برجسته شده را با آدرس IP عمومی سرور خود جایگزین کنید):

Local$ ssh root@SERVER_IP_ADDRESS

با ورود به اخطار در مورد اصالت میزبان ، در صورت ظاهر شدن ، با ورود به سیستم احراز هویت root (گذرواژه یا کلید خصوصی) ، فرایند ورود را کامل کنید. اگر اولین بار است که با گذرواژه وارد سرور می شوید ، همچنین از شما خواسته می شود گذرواژه اصلی را تغییر دهید.

درباره Root

کاربر root کاربری است که در یک محیط لینوکس است که از امتیازات و دسترسی بسیار گسترده ای برخوردار است. به دلیل افزایش دسترسی یوزر root.
شما واقعاً از استفاده منظم آن منصرف می شوید. این به این دلیل است که بخشی از قدرت ذاتی یوزر root توانایی ایجاد تغییرات بسیار مخرب ، حتی به طور تصادفی است.
گام بعدی راه اندازی یک حساب کاربری جایگزین یوزر root  است برای کارهای روزمره است. ما به شما یاد خواهیم داد که چگونه در زمانهایی که نیاز دارید به آنها دسترسی بیشتری بدهید.

مرحله دوم – ایجاد یک کاربر یا یوزر جدید

پس از ورود به عنوان یوزر root ، ما آماده هستیم تا حساب کاربری جدیدی را اضافه کنیم که از این پس برای ورود به سیستم از آن استفاده خواهیم کرد.
این مثال یک کاربر جدید به نام “demo” ایجاد می کند ، اما شما باید نام کاربری را که دوست دارید جایگزین کنید:

adduser demo

در مرحله بعد ، یک رمز عبور به کاربر جدید اختصاص دهید (دوباره “demo” را با کاربری که تازه ایجاد کرده اید جایگزین کنید):

passwd demo

یک رمز ورود قوی وارد کنید و برای تأیید آن دوباره آن را تکرار کنید.

مرحله سوم – دسترسی root برای یوزر ساخته شده

اکنون ، ما یک حساب کاربری جدید با سطح دسترسی معمولی داریم.
برای جلوگیری از خروج از کاربر عادی خود و ورود مجدد به عنوان حساب کاربری اصلی ، می توانیم مواردی را که به عنوان “Super User” شناخته می شوند یا سطح دسترسی Root برای حساب عادی خود تنظیم کنیم.
این به کاربر عادی ما اجازه می دهد تا با قرار دادن کلمه sudo قبل از هر دستور ، دستوراتی را با سطح دسترسی مدیریتی اجرا کند.

برای افزودن این امتیازات به کاربر جدید ، باید کاربر جدید را به گروه “while” اضافه کنیم. به طور پیش فرض ، در CentOS 7 ، کاربرانی که به گروه “wheel” تعلق دارند مجاز به استفاده از دستور sudo هستند.

به عنوان یوزر root ، این دستور را اجرا کنید تا کاربر جدید خود را به گروهwheel اضافه کنید (کلمه برجسته شده را با کاربر جدید جایگزین کنید):

gpasswd -a demo wheel

اکنون کاربر شما می تواند دستورات را با sudo اجرا کند! برای کسب اطلاعات بیشتر در مورد چگونگی عملکرد ، به آموزش sudoers ما مراجعه کنید.

مرحله چهارم – افزودن احراز هویت کلید عمومی (توصیه می شود)

گام بعدی در تأمین امنیت سرور خود ، تنظیم احراز هویت کلید عمومی برای کاربر جدید است. با راه اندازی این مورد ، با ورود به کلید خصوصی SSH ، امنیت سرور شما افزایش می یابد.

یک کلید ایجاد کنید

اگر از قبل یک کلید SSH ندارید که از یک کلید عمومی و خصوصی تشکیل شده است ، باید یک کلید ایجاد کنید. اگر از قبل یک کلید دارید که می خواهید از آن استفاده کنید ، از مرحله کپی کلید عمومی عبور کنید.
برای تولید یک کلید جدید ، دستور زیر را در ترمینال دستگاه خود وارد کنید:

ssh-keygen

با فرض اینکه کاربر local شما “localuser” نامیده می شود ، خروجی مانند زیر را مشاهده خواهید کرد:

ssh-keygen output

Generating public/private rsa key pair.
Enter file in which to save the key (/Users/localuser/.ssh/id_rsa):

برای پذیرفتن این نام و مسیر پرونده ، برگشت را بزنید (یا نام جدیدی وارد کنید).
در مرحله بعد ، از شما یک عبارت عبور خواسته می شود تا کلید را با آن ایمن کنید. می توانید یک عبارت عبور وارد کنید یا عبارت عبور را خالی بگذارید.

توجه: اگر عبارت عبور را خالی بگذارید ، می توانید از کلید خصوصی برای تأیید اعتبار بدون وارد کردن عبارت عبور استفاده کنید. اگر یک عبارت عبور وارد کنید .
برای ورود به سیستم به کلید خصوصی و رمز عبور احتیاج دارید. ایمن سازی کلیدهای خود با عبارات عبور از امنیت بیشتری برخوردار است ، اما هر دو روش کاربرد بیشتری دارند و ایمن تر از احراز هویت رمز عبور اصلی هستند.

این یک کلید خصوصی ، id_rsa و یک کلید عمومی ، id_rsa.pub ، در پوشه .ssh در فهرست اصلی localuser ایجاد می کند. به یاد داشته باشید که کلید خصوصی نباید با کسی که نباید به سرورهای شما دسترسی داشته باشد به اشتراک گذاشته شود!

کلید عمومی را کپی کنید

پس از تولید یک کلید SSH ، می خواهید کلید عمومی خود را در سرور جدید خود کپی کنید. ما برای انجام این کار دو روش آسان را اموزش خواهیم داد.

گزینه ۱: از ssh-copy-id استفاده کنید

اگر اسکریپت ssh-copy-id نصب شده در دستگاه محلی شما است ، می توانید از آن برای نصب کلید عمومی خود برای هر کاربری که دارای اعتبار ورود به سیستم هستید استفاده کنید.

اسکریپت ssh-copy-id را با تعیین کاربر و آدرس IP سروری که می خواهید کلید را روی آن نصب کنید ، اجرا کنید ، مانند زیر :

ssh-copy-id demo@SERVER_IP_ADDRESS

پس از ارائه گذرواژه خود کامند لاین ، کلید عمومی شما به پرونده .ssh / مجاز_ کلیدهای کاربر های ریموت اضافه خواهد شد. از کلید خصوصی مربوطه هم اکنون می توان برای ورود به سرور استفاده کرد.

گزینه ۲: کلید را به صورت دستی نصب کنید

با فرض اینکه با استفاده از مرحله قبل یک کلید SSH ایجاد کرده اید ، از دستور زیر در ترمینال دستگاه خود برای چاپ کلید عمومی خود استفاده کنید (id_rsa.pub):

cat ~/.ssh/id_rsa.pub

این باید کلید عمومی SSH شما را چاپ کند ، که باید شبیه موارد زیر باشد:

id_rsa.pub contents
ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQDBGTO0tsVejssuaYR5R3Y/i73SppJAhme1dH7W2c47d4gOqB4izP0+fRLfvbz/tnXFz4iOP/H6eCV05hqUhF+KYRxt9Y8tVMrpDZR2l75o6+xSbUOMu6xN+uVF0T9XzKcxmzTmnV7Na5up3QM3DoSRYX/EP3utr2+zAqpJIfKPLdA74w7g56oYWI9blpnpzxkEd3edVJOivUkpZ4JoenWManvIaSdMTJXMy3MtlQhva+j9CgguyVbUkdzK9KKEuah+pFZvaugtebsU+bllPTB0nlXGIJk98Ie9ZtxuY3nCKneB+KjKiXrAvXUPCI9mWkYS/1rggpFmu3HbXBnWSUdf [email protected]

کلید عمومی را انتخاب کنید و آن را در کلیپ بورد خود کپی کنید.
کلید عمومی را به کاربر جدید ریموت اضافه کنید

برای فعال کردن استفاده از کلید SSH برای تأیید اعتبار به عنوان کاربر جدید از راه دور ، باید کلید عمومی را به یک فایل خاص در فهرست اصلی کاربر اضافه کنید.

در سرور ، به عنوان کاربر root ، دستور زیر را وارد کنید تا به یوزر جدید بروید (نام کاربر خود را جایگزین کنید):

su - demo

اکنون در فهرست اصلی کاربر جدید خود خواهید بود.

یک فهرست جدید به نام .ssh ایجاد کنید و مجوزهای آن را با دستورات زیر محدود کنید:

mkdir .ssh

chmod 700 .ssh

اکنون یک پرونده در .ssh با نام مجاز_کلیدها با ویرایشگر متن باز کنید. برای ویرایش پرونده از vi استفاده خواهیم کرد:

vi .ssh/authorized_keys

با فشار دادن i وارد حالت insert شوید ، سپس کلید عمومی خود را (که باید در کلیپ بورد شما باشد) با چسباندن آن در ویرایشگر وارد کنید. اکنون ESC را بزنید تا حالت درج خارج شود.

برای ذخیره و خروج از پرونده ، وارد کنید: x سپس ENTER.

اکنون با استفاده از این دستور مجوزهای فایل مجاز_ کلیدها را محدود کنید:

chmod 600 .ssh/authorized_keys

دستور زیر را یک بار تایپ کنید تا به کاربر اصلی برگردید:

 اکنون می توانید با استفاده از کلید خصوصی به عنوان احراز هویت ، به عنوان کاربر جدید خود SSH وارد سیستم شوید.

مرحله پنجم – پیکربندی SSH Daemon

اکنون که حساب جدید خود را داریم ، می توانیم با تغییر در پیکربندی SSH daemon آن (برنامه ای که به ما امکان می دهد از راه دور وارد شویم) سرور خود را کمی ایمن کنیم تا دسترسی SSH از راه دور با یوزر root  را اجازه ندهد.

با باز کردن فایل کانفیگ با ویرایشگر متن خود به عنوان یوزر root شروع کنید:

vi /etc/ssh/sshd_config

در اینجا ، ما گزینه غیرفعال کردن ورود یوزر root از طریق SSH را داریم. این به طور کلی یک تنظیم امن تر است زیرا ما اکنون می توانیم از طریق حساب کاربری عادی خود به سرور خود دسترسی پیدا کنیم و در صورت لزوم دسترسی خود را افزایش دهیم.

برای غیرفعال کردن ورودهای یوزر root از راه دور ، باید خطی را پیدا کنیم که به شکل زیر باشد:

/etc/ssh/sshd_config (before)

#PermitRootLogin yes

نکته: برای جستجوی این خط ، / PermitRoot را تایپ کنید و سپس ENTER را بزنید. این باید مکان نما را به کاراکتر “P” در آن خط برساند.

با حذف علامت “#” خط را از حالت کامنت خارج کنید (Shift-x را فشار دهید).

اکنون با فشار دادن c ، مکان نما را به سمت “yes” حرکت دهید.

اکنون “بله” را با فشار دادن cw جایگزین کنید ، سپس “no” را تایپ کنید. وقتی ویرایش تمام شد ، Escape را بزنید. می بایست شبیه به این باشه:

/etc/ssh/sshd_config (after)

PermitRootLogin no

غیرفعال کردن ورود یوزر root از راه دور به شدت در هر سرور توصیه می شود!

برای ذخیره و خروج از پرونده ، وارد کنید: x سپس ENTER.

systemctl reload sshd

اکنون ، قبل از اینکه از سرور خارج شویم ، باید پیکربندی جدید خود را آزمایش کنیم. تا زمانی که تأیید نکنیم ارتباطات جدید با موفقیت برقرار شده است ، نمی خواهیم ارتباط خود را قطع کنیم.

یک پنجره ترمینال جدید باز کنید. در پنجره جدید ، باید اتصال جدیدی به سرور خود شروع کنیم. این بار به جای استفاده از یوزر root ، می خواهیم از حساب جدیدی که ایجاد کردیم استفاده کنیم.
برای سروری که در بالا پیکربندی کردیم ، با استفاده از این دستور متصل شوید. اطلاعات شخصی خود را جایگزین کنید:

ssh demo@SERVER_IP_ADDRESS

توجه: اگر از PuTTY برای اتصال به سرورهای خود استفاده می کنید ، حتماً شماره پورت session را به روز کنید تا با پیکربندی فعلی سرور شما مطابقت داشته باشد.

از شما رمز ورود کاربر جدیدی که پیکربندی کرده اید درخواست می شود. پس از آن ، به عنوان کاربر جدید خود وارد سیستم می شوید.

به یاد داشته باشید ، اگر شما نیاز به اجرای یک دستور با امتیازات root دارید ، قبل از آن “sudo” را تایپ کنید:

sudo command_to_run

اگر همه چیز خوب است ، می توانید با تایپ کردن از session خود خارج شوید:

exit

امیدواریم که این اموزش توانسته باشد به شما کمک کند.