Настройка сервера Debian 12: основные шаги после установки

AndreyEx

3 месяца назад

Настройка сервера Debian 12: основные шаги после установки

Добро пожаловать в нашу подробную статью о том, что делать после установки сервера Debian 12. Если вы только что настроили новый сервер Debian, вам, вероятно, интересно, какие шаги предпринять дальше. В этом руководстве вы узнаете основные шаги после установки для минимальной установки сервера Debian 12, обеспечивающие безопасность, актуальность и готовность вашего сервера к использованию.

От настройки репозиториев программного обеспечения до повышения надежности SSH и настройки брандмауэров, мы расскажем обо всем, что вам нужно для бесперебойной работы вашего сервера Debian 12.

1. Настройте репозитории программного обеспечения

Если это новая минимальная установка Debian, вам следует настроить репозитории программного обеспечения.

Отредактируйте файл /etc/apt/sources.list:

nano /etc/apt/sources.list

Замените содержимое следующим образом (или убедитесь, что они присутствуют):

deb http://deb.debian.org/debian bookworm main contrib non-free non-free-firmware
deb-src http://deb.debian.org/debian bookworm main contrib non-free non-free-firmware

deb http://deb.debian.org/debian bookworm-updates main contrib non-free non-free-firmware
deb-src http://deb.debian.org/debian bookworm-updates main contrib non-free non-free-firmware

deb http://security.debian.org/debian-security bookworm-security main contrib non-free non-free-firmware
deb-src http://security.debian.org/debian-security bookworm-security main contrib non-free non-free-firmware

Сохраните и закройте файл.

Обновите список пакетов, чтобы убедиться, что у вас есть самая свежая информация о доступных пакетах.

apt update

2. Обновите существующие пакеты

Обновите существующие пакеты до их последних версий.

apt upgrade -y 
apt full-upgrade -y

3. Установить `sudo`

sudo не устанавливается при минимальной установке Debian. Поскольку у вас нет sudo доступа, вам необходимо установить его от имени пользователя root.

apt install sudo -y

Читать Установка минимальной серверной версии OpenSUSE 13.2. Часть 2.

4. Создайте нового пользователя и добавьте в группу `sudo`

Создайте нового пользователя и добавьте его в группу sudo.

adduser andreyex
usermod -aG sudo andreyex

Замените andreyex своим настоящим именем пользователя.

После создания нового пользователя перейдите к новой учетной записи пользователя.

su - andreyex

Опять же, замените имя пользователя на свое собственное.

Проверьте, есть ли у нового пользователя sudo доступ, выполнив команду с sudo.

sudo -v

5. Настройка SSH-ключей (необязательно)

Если вы хотите использовать SSH-ключи для аутентификации, выполните следующие действия.

На вашем локальном компьютере сгенерируйте пару ключей SSH:

ssh-keygen

Скопируйте открытый ключ на ваш сервер Debian:

ssh-copy-id newusername@server_ip

Замените имя пользователя и IP-адрес фактическими значениями в приведенной выше команде.

6. Безопасный SSH

Отредактируйте конфигурацию SSH для повышения безопасности.

sudo nano /etc/ssh/sshd_config

Внесите следующие изменения:

Установите PermitRootLogin на no
Установите PasswordAuthentication на no (если вы планируете использовать SSH-ключи)
Установите AllowUsers, чтобы указать разрешенных пользователей
Установите порт Port, отличный от порта по умолчанию (необязательно, но рекомендуется)

PermitRootLogin no
PasswordAuthentication no
AllowUsers newusername
Port 2222  # Пример порта, отличного от порта по умолчанию

Замените имя пользователя и номер порта на ваши собственные. Сохраните и закройте файл.

Перезапустите службу SSH:

sudo systemctl restart ssh

7. Установите необходимые пакеты

Установите некоторые необходимые пакеты для управления системой и мониторинга. Я намерен придерживаться минимальной настройки Debian для себя, поэтому я установил следующее:

sudo apt install -y vim htop net-tools curl wget git

Читать Что нового в Debian 12 под кодовым названием Bookworm?

8. Настройка синхронизации времени

Настройте синхронизацию времени с помощью systemd-timesyncd или ntp.

8.1. Использование `systemd-timesyncd`:

sudo apt install systemd-timesyncd
sudo timedatectl set-ntp true

Проверьте, правильно ли настроена синхронизация времени, выполнив команду timedatectl:

$ timedatectl 
               Local time: Tue 2024-08-27 18:54:21 IST
           Universal time: Tue 2024-08-27 13:24:21 UTC
                 RTC time: Tue 2024-08-27 13:24:21
                Time zone: Asia/Kolkata (IST, +0530)
System clock synchronized: yes
              NTP service: active
          RTC in local TZ: no

8.2. Использование `ntp`:

Вы также можете настроить синхронизацию времени с помощью ntp. Для этого выполните следующие команды:

sudo apt install ntp -y
sudo systemctl enable ntp
sudo systemctl start ntp

9. Настройка брандмауэра

Этот шаг настоятельно рекомендуется выполнять при подключении вашего сервера к Интернету. Вам следует настроить брандмауэр для ограничения входящего и исходящего трафика.

9.1. Использование `ufw` (простой брандмауэр):

UFW – это интерфейс командной строки для управления iptables. Он предоставляет платформу для управления брандмауэром netfilter и манипулирования им.

Выполните следующие команды одну за другой, чтобы быстро настроить брандмауэр ufw, запретить все входящие подключения и разрешить только ssh-соединение.

sudo apt install ufw -y
sudo ufw default deny incoming
sudo ufw default allow outgoing
sudo ufw allow ssh
sudo ufw enable

10. Включите автоматические обновления системы безопасности

Включите автоматические обновления системы безопасности для обеспечения безопасности вашей системы.

sudo apt install -y unattended-upgrades
sudo dpkg-reconfigure -plow unattended-upgrades

Читать Как исправить ошибку Unmet Dependencies (Невыполненные зависимости) при установке Curl в Debian 12

11. Настройте Fail2Ban (необязательно)

Установите и настройте мониторинг, такой как Fail2ban, чтобы предотвратить атаки методом перебора SSH на ваши серверы.

sudo apt install -y fail2ban
sudo systemctl enable fail2ban
sudo systemctl start fail2ban

Этого как раз достаточно для базового мониторинга. Для более подробной настройки ознакомьтесь с нашим руководством по Fail2ban:

Подробное руководство по установке и настройке Fail2ban в Linux для защиты от различных атак.

ПРИМЕЧАНИЕ:
Обычно нет необходимости использовать Fail2Ban с sshd, если включена только аутентификация по открытому ключу. Если вы уже настроили аутентификацию на основе SSH-ключа, fail2ban не требуется.

12. Дополнительная настройка

Конфигурация сети: При необходимости просмотрите и настройте сетевые параметры.
Задайте значимое имя хоста Hostname.
DNS: Настройте параметры DNS в /etc/resolv.conf.

13. Перезагрузите систему

Наконец, перезагрузите вашу систему, чтобы применить все изменения.

sudo reboot

Выполнив эти шаги, вы настроите свои репозитории программного обеспечения, установите sudo, создадите нового пользователя с sudo доступом и оснастите свою систему необходимыми инструментами безопасности и управления.

Мы пропустили какие-либо шаги в Debian 12 server после установки? Пожалуйста, поделитесь своими впечатлениями в разделе комментариев ниже. Мы протестируем их и соответствующим образом обновим статью.