Hemos lanzado una nueva instancia de Debian Linux para ejecutarla como servidor de producción para nuestras nuevas aplicaciones. Esta es una buena práctica para realizar una configuración inicial del servidor con el sistema Debian Linux. Lo que mejorará la seguridad del servidor principal y la facilidad de uso para su nuevo servidor.
Esta guía incluye los siguientes pasos:
- Actualizar y actualizar un sistema Debian
- Cree un usuario de Sudo en Debian
- Configurar nombre de host en un sistema Debian
- Servidor SSH seguro
- Configuración del cortafuegosD
Comencemos con la configuración inicial del servidor en el sistema Debian Linux.
1. Actualizar Debian
Después de iniciar sesión en el servidor Debian, la primera tarea es actualizar los paquetes actuales del sistema Debian. Porque puede ser que el servidor esté construido con el archivo de imagen anterior. El equipo de Debian continúa trabajando para mejorar la seguridad del servidor y proporcionar paquetes actualizados periódicamente.
Primero, actualice el caché de Apt en su sistema.
sudo apt upgrade
Luego, ejecute el comando de actualización para actualizar los paquetes.
sudo apt upgrade
También es una buena opción ejecutar dist-upgrade para un sistema recién instalado.
sudo apt dist-upgrade
Presione 'Y' para cualquier confirmación solicitada para completar la instalación de paquetes.
Además, ejecute el siguiente comando para eliminar los paquetes que ya no son necesarios. Esto también es útil para eliminar archivos de versiones antiguas del kernel.
sudo apt autoremove
2. Crear un usuario de Sudo
Algunos de los proveedores de alojamiento como DigitalOcean lanzan instancias solo con cuenta raíz. Esta no es una buena práctica para seguir usando una instancia de producción usando la cuenta de superusuario. Recomendamos enfáticamente crear un nuevo usuario con privilegios de Sudo y usarlo para acceder a su instancia de Debian.
Suponiendo que ya haya iniciado sesión en una cuenta raíz. Ejecute el siguiente comando para crear un nuevo usuario en Debian:
sudo adduser tecadmin
La cuenta recién creada es un usuario regular. Necesitará los privilegios administrativos para realizar varias tareas. Otorgue los privilegios administrativos a este usuario agregándolos en sudo grupo. Para agregar un usuario al grupo sudo, escriba:
sudo usermod -a -G sudo tecadmin
Ahora, puede cambiar a una cuenta recién creada para obtener más instrucciones.
sudo su - tecadmin
3. Configurar el nombre de host del sistema
Un nombre de host de un sistema es el nombre de la instancia que se utiliza como identidad para las redes informáticas. Ayuda a los usuarios y a la máquina de la red a reconocer fácilmente una máquina dentro de una red en un formato legible por humanos.
Es una buena práctica establecer un nombre de host adecuado para su instancia. En la terminal del sistema, escriba hostnamectl y presione enter:
hostnamectl
Esto le dará detalles sobre los detalles del sistema, incluido el nombre de host. Incluso puede escribir el comando de nombre de host para ver el nombre de host del sistema.
A continuación, cambie el nombre de host del sistema a
sudo hostnamectl set-hostname debian10
Una vez que actualizó el nombre de host de los sistemas, debe cambiar a un nuevo shell para activar en la sesión actual. Después de cambiar el shell actual, el indicador del shell se cambiará a un nuevo nombre de host.
hostname
4. Protección de SSH
SSH (Secure Shell) es el protocolo utilizado para conectar servidores remotos. Recomendamos configurar el servidor OpenSSH para escuchar en un puerto no estándar. Lo que le brinda otra capa de seguridad contra los piratas informáticos.
Para cambiar el puerto predeterminado y deshabilitar el inicio de sesión raíz, edite el archivo de configuración de OpenSSH /etc/ssh/sshd_config y realice los siguientes cambios.
- Cambiar puerto predeterminado: Será bueno cambiar el puerto ssh predeterminado, ya que los puertos predeterminados siempre están en los atacantes.
Port 2232
- Deshabilitar inicio de sesión SSH raíz: También le gustaría deshabilitar el inicio de sesión raíz a través de ssh.
PermitRootLogin no
Guarde el archivo de configuración y reinicie el servicio OpenSSH para aplicar los cambios.
sudo systemctl restart ssh
5. Configuración del cortafuegos (FirewallD)
La edición del servidor Debian predeterminada no tiene un cortafuegos instalado. Simplemente puede ejecutar el siguiente comando para instalar los paquetes necesarios desde los repositorios predeterminados.
sudo apt install firewalld -y
En una instalación exitosa, el servicio de firewall se iniciará y habilitará automáticamente en su sistema.
El firewall predeterminado permite SSH a los usuarios remotos. Pero si se cambia el puerto SSH, puede agregar una regla para permitir el acceso SSH en otro puerto.
sudo firewall-cmd --permanent --add-port=2232/tcp
Puede proporcionar directamente un nombre de servicio como "http" o "https" para permitirlo. El cortafuegos lee el archivo /etc/services para determinar el puerto correspondiente del servicio.
sudo firewall-cmd --permanent --add-service=httpsudo firewall-cmd --permanent --add-service=https
Después de realizar cualquier cambio en su firewall, asegúrese de volver a cargar los cambios con el siguiente comando.
sudo firewall-cmd --reload
Para ver, todos los puertos y servicios permitidos use el siguiente comando.
sudo firewall-cmd --permanent --list-all
Salida:
public target: default icmp-block-inversion: no interfaces: sources: services: cockpit dhcpv6-client http https ssh ports: protocols: masquerade: no forward-ports: source-ports: icmp-blocks: rich rules:
Conclusión
En esta guía, hemos pasado por la configuración inicial del servidor de un sistema Debian Linux. Una vez que haya terminado con éxito todas las configuraciones iniciales de configuración del servidor, su sistema estará listo para usar.