Configuración Inicial del Servidor con Ubuntu 16.04
Introducción
Cuando creas por primera vez un nuevo servidor Ubuntu 16.04. Hay algunos pasos de configuración que debe tomar desde el principio como parte de la configuración básica. Así aumentará la seguridad y usabilidad de su servidor y le dará una base sólida para las acciones posteriores.
Paso 1. Inicio de Sesión Root
Para iniciar sesión en su servidor, necesitará conocer la dirección IP pública de su servidor. También necesitará la contraseña o, si instaló una clave SSH para la autenticación, la clave privada para la cuenta del usuario "root".
Si aún no está conectado a su servidor, inicie sesión e inicie sesión como usuario root con el siguiente comando (sustituya la palabra resaltada con la dirección IP pública de su servidor):
ssh root@your_server_ip
Complete el proceso de inicio de sesión aceptando la advertencia sobre la autenticidad del host, si aparece, proporcionando su autenticación root (contraseña o clave privada). Si es la primera vez que inicia sesión en el servidor con una contraseña, también se le pedirá que cambie la contraseña de root.
Acerca de Root
El usuario root es el usuario administrativo en un entorno Linux que tiene privilegios muy amplios. Debido a los privilegios elevados de la cuenta de root, la potencia inherente con la cuenta root es la capacidad de hacer cambios muy destructivos, incluso por accidente.
El siguiente paso es configurar una cuenta de usuario alternativa con un alcance reducido de influencia para el trabajo diario. Le enseñaremos cómo obtener mayores privilegios durante los momentos en que los necesite.
Paso 2. Crear un Nuevo Usuario
Una vez que haya iniciado sesión como root , estamos preparados para agregar la nueva cuenta de usuario que usaremos para iniciar sesión a partir de ahora.
Este ejemplo crea un nuevo usuario llamado "sammy", pero debes reemplazarlo por un nombre de usuario que te guste:
adduser sammy
Se le harán algunas preguntas, comenzando con la contraseña de la cuenta.
Ingrese una contraseña segura y, opcionalmente, complete cualquier información adicional si lo desea. Esto no es obligatorio y puede presionar ENTER en cualquier campo que desee omitir.
Paso 3. Privilegios de Root
Ahora, tenemos una nueva cuenta de usuario con privilegios de cuenta regulares. Sin embargo, a veces es posible que necesitemos hacer tareas administrativas.
Para evitar tener que desconectarse de nuestro usuario normal y volver a iniciar sesión como la cuenta root, podemos configurar lo que se conoce como "superusuario" o privilegios de administrador para nuestra cuenta normal. Esto permitirá que nuestro
usuario normal ejecute comandos con privilegios administrativos colocando la palabra sudo antes de cada comando.
Para agregar estos privilegios a nuestro nuevo usuario, debemos agregar el nuevo usuario al grupo "sudo". Por defecto, en Ubuntu 16.04, los usuarios que pertenecen al grupo "sudo" pueden usar el comando sudo .
Como root , ejecute este comando para agregar su nuevo usuario al grupo sudo (sustituya la palabra resaltada por su nuevo usuario):
usermod -aG sudo sammy
¡Ahora su usuario puede ejecutar comandos con super privilegios de usuario!
Paso 4. Agregar Autenticación de Clave Pública (Recomendado)
El siguiente paso para proteger su servidor es configurar la autenticación de clave pública para su nuevo usuario. Configurarlo aumentará la seguridad de su servidor requiriendo una clave SSH privada para iniciar sesión.
Generar un Par de Claves
Si aún no tiene un par de claves SSH, que consiste en una clave pública y privada, debe generar una. Si ya tiene una clave que desea usar, salte al paso Copiar la clave pública .
Para generar un nuevo par de claves, ingrese el siguiente comando en el terminal de su sistema local (es decir, su computadora):
ssh-keygen
Suponiendo que su usuario local se llama "localuser", verá un resultado similar al siguiente:
ssh-keygen output
Generating public/private rsa key pair.
Enter file in which to save the key (/Users/localuser/.ssh/id_rsa):
Presione regresar para aceptar este nombre de archivo y ruta (o ingrese un nuevo nombre).
A continuación, se le pedirá una frase de contraseña para asegurar la clave. Puede ingresar una frase de contraseña o dejar la frase de contraseña en blanco.
Nota:. Si deja la frase en blanco, podrá utilizar la clave privada para la autenticación sin introducir una frase de contraseña. Si ingresa una contraseña, necesitará tanto la clave privada como la contraseña para iniciar sesión. Asegurar las claves con frases de contraseña es más seguro, pero ambos métodos tienen sus usos y son más seguros que la autenticación de contraseña básica.
Esto genera una clave privada, id_rsa , y una clave pública, id_rsa.pub , en el directorio .ssh directorio de inicio del localizador . Recuerde que la clave privada no debe compartirse con ninguna
persona que no deba tener acceso a sus servidores.
Copiar la Clave Pública
Opción 1: usar ssh-copy-id
Si su sistema local tiene instalada la secuencia de comandos ssh-copy-id , puede utilizarla para instalar su clave pública en cualquier usuario para el que tenga credenciales de inicio de sesión.
Ejecute el script ssh-copy-id especificando el usuario y la dirección IP del servidor en el que desea instalar la clave, así:
ssh-copy-id sammy@your_server_ip
Después de proporcionar su contraseña en el aviso, su clave pública se agregará al archivo .ssh/authorized_keys del usuario remoto. La clave privada correspondiente ahora se puede usar para iniciar sesión en el servidor.
Opción 2: Instalar Manualmente "Key"
Suponiendo que generó un par de claves SSH utilizando el paso anterior, utilice el siguiente comando en el terminal de su sistema local para imprimir su clave pública ( id_rsa.pub ):
cat ~/.ssh/id_rsa.pub
Esto debería imprimir su clave pública SSH, que debería verse de la siguiente manera:
ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQDBGTO0tsVejssuaYR5R3Y/i73SppJAhme1dH7W2c47d4gOqB4izP0+fRLfvbz/tnXFz4iOP/H6eCV05hqUhF+KYRxt9Y8tVMrpDZR2l75o6+xSbUOMu6xN+uVF0T9XzKcxmzTmnV7Na5up3QM3DoSRYX/EP3utr2+zAqpJIfKPLdA74w7g56oYWI9blpnpzxkEd3edVJOivUkpZ4JoenWManvIaSdMTJXMy3MtlQhva+j9CgguyVbUkdzK9KKEuah+pFZvaugtebsU+bllPTB0nlXGIJk98Ie9ZtxuY3nCKneB+KjKiXrAvXUPCI9mWkYS/1rggpFmu3HbXBnWSUdf Esta dirección de correo electrónico está siendo protegida contra los robots de spam. Necesita tener JavaScript habilitado para poder verlo.
Seleccione la clave pública y cópiela en su portapapeles.
Para habilitar el uso de la clave SSH para autenticarse como el nuevo usuario remoto, debe agregar la clave pública a un archivo especial en el directorio de inicio del usuario.
En el servidor , como usuario root , ingrese el siguiente comando para cambiar temporalmente al nuevo usuario (sustituya su nombre de usuario):
su - sammy
Ahora estará en el directorio de inicio de su nuevo usuario.
Cree un nuevo directorio llamado .ssh y restrinja sus permisos con los siguientes comandos:
mkdir ~/.ss
chmod 700 ~/.sshAhora abra un archivo en .ssh llamado authorized_keys con un editor de texto. Podemos usar nano para editar el archivo:
nano ~/.ssh/authorized_keys
Ahora inserte su clave pública (que debe estar en su portapapeles) pegándola en el editor.
Presione CTRL-x para salir del archivo, luego y para guardar los cambios que realizó, luego ENTER para confirmar el nombre del archivo.
Ahora restringe los permisos del archivo authorized_keys con este comando:
chmod 600 ~/.ssh/authorized_keys
Escriba este comando una vez para regresar al usuario root :
exit
Ahora su clave pública está instalada y puede usar las claves SSH para iniciar sesión como su usuario.
A continuación, le mostraremos cómo aumentar la seguridad de su servidor al deshabilitar la autenticación de contraseña.
Paso 5. Deshabilitar la Autenticación de Contraseña (Recomendado)
Ahora que su nuevo usuario puede usar las claves SSH para iniciar sesión, puede aumentar la seguridad de su servidor al desactivar la autenticación con contraseña. Si lo hace, restringirá el acceso SSH a su servidor a la autenticación de clave pública solamente. Es decir, la única forma de iniciar sesión en su servidor (aparte de la consola) es poseer la clave privada que se empareja con la clave pública que se instaló.
Nota. Solo desactive la autenticación de contraseña si instaló una clave pública para su usuario como se recomendó en la sección anterior, paso cuatro. ¡De lo contrario, se cerrará la puerta de su servidor!
Para deshabilitar la autenticación de contraseña en su servidor, siga estos pasos.
Como root o su nuevo usuario sudo , abra la configuración del daemon SSH:
sudo nano /etc/ssh/sshd_config
Busque la línea que especifica PasswordAuthentication , descomentela eliminando el # anterior, luego cambie su valor a "no". Debería verse así después de haber realizado el cambio:
PasswordAuthentication no
Aquí hay otras dos configuraciones que son importantes para la autenticación de solo clave y están configuradas por defecto. Si no ha modificado este archivo antes, no necesita cambiar estas configuraciones:
PubkeyAuthentication yes
ChallengeResponseAuthentication no
Cuando haya terminado de hacer los cambios, guarde y cierre el archivo utilizando el método que revisamos anteriormente ( CTRL-X , luego Y , luego ENTER ).
Escriba esto para volver a cargar el daemon SSH:
sudo systemctl reload sshd
La autenticación de contraseña ahora está deshabilitada. Ahora solo se puede acceder a su servidor con la autenticación de clave SSH.
Paso 6. Iniciar Sesión de Prueba
Ahora, antes de cerrar la sesión del servidor, debe probar su nueva configuración. No desconectarse hasta que confirme que puede iniciar sesión exitosamente a través de SSH.
En una nueva terminal en su máquina local , inicie sesión en su servidor utilizando la nueva cuenta que creamos. Para hacerlo, use este comando (sustituya su nombre de usuario y dirección IP del servidor):
ssh sammy@your_server_ip
Si agregó autenticación de clave pública a su usuario, como se describe en los pasos cuatro y cinco, su clave privada se usará como autenticación. De lo contrario, se le pedirá la contraseña de su usuario.
Nota acerca de la autenticación de clave: si creó su par de claves con una frase de contraseña, se le pedirá que ingrese la contraseña de su clave. De lo contrario, si su par de claves está sin contraseña, debe iniciar sesión en su servidor sin una contraseña.
Una vez que se proporciona la autenticación al servidor, se iniciará la sesión como su nuevo usuario.
Recuerde, si necesita ejecutar un comando con privilegios de administrador, escriba "sudo" antes de este modo:
sudo command_to_run
Paso 7. Configure un Servidor de Seguridad Básico
Los servidores Ubuntu 16.04 pueden usar el firewall UFW para asegurarse de que solo se permiten conexiones a ciertos servicios. Podemos configurar un firewall básico muy fácilmente usando esta aplicación.
Las diferentes aplicaciones pueden registrar sus perfiles con UFW al momento de la instalación. Estos perfiles le permiten a UFW administrar estas aplicaciones por su nombre. OpenSSH, el servicio que nos permite conectarnos a nuestro servidor ahora, tiene un perfil registrado con UFW.
Puedes ver esto escribiendo:
sudo ufw app list
Output
Available applications:
OpenSSH
Necesitamos asegurarnos de que el firewall permita las conexiones SSH para que podamos volver a iniciar sesión la próxima vez. Podemos permitir estas conexiones escribiendo:
sudo ufw allow OpenSSH
Luego, podemos habilitar el firewall escribiendo:
sudo ufw enable
Escriba "y" y presione ENTER para continuar. Puede ver que las conexiones SSH todavía están permitidas escribiendo:
sudo ufw status
Output
Status: active
To Action From
-- ------ ----
OpenSSH ALLOW Anywhere
OpenSSH (v6) ALLOW Anywhere (v6)
Si instala y configura servicios adicionales, deberá ajustar la configuración del firewall para permitir el tráfico aceptable en. Puede aprender algunas operaciones comunes de UFW en este tutorial.
SIGUIENTES PASOS
En este punto ya sabrás instalar cualquier tipo de software que requieras en tu servidor.
Fuente. Artículo traducido y con muy ligeras modificaciones de: https://www.digitalocean.com/community/tutorials/how-to-install-linux-apache-mysql-php-lamp-stack-on-debian
