Konfigurowanie kont użytkowników i dostępu root na serwerze

Wprowadzenie

Serwer dedykowany lub serwer VPS od OVHcloud zaprasza do korzystania z "dostęp root". Mówiąc najprościej, oznacza to, że jesteś administratorem systemu i masz najwyższy poziom uprawnień.

Nawet jeśli serwer nie jest używany do celów, które wymagają administrowania prawdziwymi użytkownikami, zarządzanie kontami użytkownicy jest tematem związanym z bezpieczeństwem, którego nie należy lekceważyć. Niniejszy przewodnik zawiera podstawowe wskazówki dotyczące następujących tematów:

• Jak skonfigurować konta użytkowników systemu z różnymi poziomami uprawnień
• Dobre praktyki zarządzania dostępem do serwera i wykonywania poleceń z podwyższonym uprawnieniem

Wymagania początkowe

• Serwer dedykowany lub VPS z systemem operacyjnym Linux na koncie OVHcloud
• Posiadanie danych do logowania otrzymanych w e-mailu po zakończonej instalacji.

W praktyce

Poniższe przykłady sugerują, że połączenie z serwerem nastąpiło przez SSH.
Szczegółowe instrukcje na ten temat można znaleźć w przewodniku "Pierwsze kroki z SSH".

Sprawdź również nasze przewodniki:

• Dla serwera dedykowanego
• Dla serwera dedykowanego z gamy Eco
• Dla serwera VPS

Podsumowanie

• Zarządzanie kontami użytkowników
  • Tworzenie nieuprzywilejowanego konta użytkownika
  • Tworzenie konta użytkownika z uprawnieniami root
  • Wykonywanie poleceń jako administrator ("sudo")
  • Wyłączenie konta użytkownika
  • Aktywacja konta użytkownika
  • Usuń konto użytkownika
  • Zmiana konta użytkownika
  • Przełącz na konto "root" ("root shell")
• Aktywacja logowania użytkownika "root"
  • Aktywuj konto "root"
  • Edytuj plik "sshd_config"
  • Restarting the SSH service

Zarządzanie kontami użytkowników

Należy pamiętać, że polityki bezpieczeństwa serwerów mogą być dostosowywane do różnych zastosowań i środowisk użytkowników. Opisane poniżej etapy oferują podstawowe wyjaśnienia dotyczące zarządzania kontami użytkowników z naciskiem na wygodę i bezpieczeństwo, nie są one uniwersalne.

Po ponownej instalacji serwera (z szablonem OVHcloud) rozpoczniesz instalację w następujących warunkach:

• Konto użytkownika z wysokimi uprawnieniami jest tworzone i nazwane według systemu operacyjnego, na przykład "ubuntu", "rocky", itp.
• Otrzymałeś hasło początkowe do tego konta e-mailem.
• Możesz użyć klienta SSH do zalogowania się na serwerze za pomocą tych danych.

Wiersz zamówienia po zalogowaniu różni się w zależności od typu usługi oraz zainstalowanej dystrybucji. Na przykład:

ubuntu@ns9356771:~$

Należy pamiętać, że poniższe przykłady wierszy poleceń będą nadal używać "ubuntu" w celu odniesienia się do wstępnie skonfigurowanego parametru user account.

Możesz sprawdzić, czy to konto zostało już dodane do sudo group w danych wyjściowych tego polecenia:

id

27(sudo)

Możesz również wpisać groups, aby zobaczyć tylko grupy, których członkiem jest bieżące konto użytkownika.

Oznacza to, że użytkownik, z którym jesteś aktualnie zalogowany, może wykonać wszystkie polecenia, poprzedzając je poleceniem sudo (root privileges). Więcej szczegółów znajdziesz w odpowiedniej podczęści przewodnika, poniżej.

Utworzenie nieuprzywilejowanego konta użytkownika

Nawet jeśli nie musisz dawać innym osobom dostępu do Twojego serwera, utworzenie konta użytkownika bez specjalnych uprawnień (nazywanego również normal user lub regular user) może być przydatne ze względów bezpieczeństwa. Na przykład, nie ma ryzyka przypadkowego uszkodzenia systemu przez usunięcie lub modyfikację plików konfiguracyjnych serwera podczas wykonywania poleceń lub procesów z konta użytkownika bez wysokich uprawnień.

Innym przykładem dobrej praktyki jest utworzenie konta użytkownika dedykowanego dla aplikacji hostowanej na Twoim serwerze. Nawet jeśli to konto użytkownika zostanie naruszone przez tę aplikację, brak wysokich uprawnień uniemożliwi wystąpienie większych szkód.

Utwórz nowe konto użytkownika (zastąp username rzeczywistą nazwą konta użytkownika, na przykład nazwą aplikacji):

sudo adduser username

Musisz podać hasło dla nowego konta. Następnie zostaniesz poproszony o wprowadzenie szczegółów nowego użytkownika, co jest opcjonalne.

New password: 
Retype new password:
passwd: password updated successfully

Uwaga: W dystrybucji GNU/Linux wiersz hasła nie wyświetla wpisów klawiaturowych.

• Odpowiednie strony man: adduser, useradd

Tworzenie konta użytkownika z uprawnieniami root

W tej sekcji zostaje utworzone nowe konto użytkownika dla administrator, a Serwer uzyskuje wysokie uprawnienia (root privileges).

Utwórz nowe konto użytkownika (zastąp username rzeczywistą nazwą konta użytkownika):

sudo adduser username

Dodaj nowe konto użytkownika do sudo group:

sudo usermod -aG sudo username

Możesz sprawdzić przynależność do group za pomocą następującego polecenia:

groups username

Przykład:

groups ubuntu

ubuntu sudo users

Nowe konto użytkownika jest teraz sudo user i może wykonywać wszystkie polecenia.

Jest on domyślnie skonfigurowany dla sudo group:

# Allow members of group sudo to execute any command
%sudo   ALL=(ALL:ALL) ALL

Konfiguracje te można znaleźć odpowiednio w /etc/sudoers i katalogu /etc/sudoers.d.

Wykonywanie poleceń jako administrator ("sudo")

Każda akcja wymagająca wysokich uprawnień zostanie odrzucona, chyba że zostanie użyte polecenie sudo.

Na przykład, aby zmienić hasło dla dowolnego konta użytkownika, wpisz sudo passwd, a następnie username:

sudo passwd ubuntu

New password: 
Retype new password:
passwd: password updated successfully

System często pyta Cię o hasło do sudo user, do którego jesteś zalogowany podczas wykonywania sudo.

• Odpowiednie strony man: sudo_root, sudo, sudoers

Wyłączenie konta użytkownika

Aby wyłączyć user account, wprowadź:

sudo passwd -dl username

Spowoduje to zablokowanie konta (uniemożliwiając zalogowanie się przy użyciu hasła) i ustawienie go jako "passwordless", co spowoduje dezaktywację konta.

Aktywacja konta użytkownika

Aby ponownie włączyć user account zablokowany bez hasła, użyj następujących poleceń (zastąp initialpassword hasłem tymczasowym):

sudo usermod username -p initialpassword

sudo passwd -u username

Ze względów bezpieczeństwa zmień ponownie hasło początkowe tego użytkownika:

sudo passwd username

• Odpowiednie strony man: passwd, usermod

Usunięcie konta użytkownika

Prosta metoda usunięcia konta i jego plików to komenda:

sudo userdel -r -f username

• Odpowiednie strony man: userdel, deluser

Zmiana konta użytkownika

Jako sudo user możesz przełączyć się na dowolne inne konto użytkownika (bez konieczności znania hasła):

sudo su username

W wierszu zamówienia pojawi się następująca zmiana:

ubuntu@ns9356771:~$ sudo su username
username@ns9356771:/home/ubuntu$

Aby powrócić do poprzedniego konta użytkownika, przełącz ponownie lub użyj exit.

Przełącz na konto "root" ("root shell")

Po ponownej instalacji Twojego serwera (z szablonem OVHcloud), możesz użyć root account (konto użytkownika o nazwie root), ale nie masz hasła.

Ze względów bezpieczeństwa root account należy używać tylko wtedy, gdy jest to konieczne, a jest dostępne tylko z poziomu samego systemu.

Możesz przejść do root account za pomocą polecenia:

sudo -s

W wierszu zamówienia pojawi się następująca zmiana:

ubuntu@ns9356771:~$ sudo -s
root@ns9356771:/home/ubuntu#

Znak # na końcu wiersza polecenia wskazuje root shell, w przeciwieństwie do wiersza kończącego się znakiem $.

Aby powrócić do poprzedniego konta użytkownika, użyj następującego polecenia:

exit

Wykonywanie poleceń jako root user nie jest zazwyczaj konieczne, a nawet może przynieść odwrotny skutek.

Fałszywie rozpowszechnionym przekonaniem jest założenie, że musisz użyć prawdziwego root account, aby wykonać polecenia wymagające wysokich uprawnień (root privileges) w systemie.

Jednak w konfiguracji domyślnej w polityce /etc/sudoers poziom uprawnień dla root jest taki sam, jak dla sudo group:

# Allow members of group sudo to execute any command
%sudo   ALL=(ALL:ALL) ALL

# User privilege specification
root    ALL=(ALL:ALL) ALL

Aktywacja logowania użytkownika "root"

Etap 1: aktywacja konta "root"

Wprowadź następujące polecenie, a następnie podaj hasło w wierszu poleceń:

sudo passwd root

Możesz anulować tę operację, wprowadzając:

sudo passwd -d root

Etap 2: edycja pliku "sshd_config"

Użyj edytora tekstu takiego jak vim lub nano, aby edytować ten plik konfiguracyjny:

sudo nano /etc/ssh/sshd_config

Możesz odnaleźć następujący wiersz:

#PermitRootLogin prohibit-password

Znak początkowy # przekształca cały wiersz w ciąg "komentarza", a zatem jest ignorowany przez dowolną aplikację odczytującą plik.

Oznacza to, że jeśli nie ma innej instrukcji, logowanie za pomocą konta użytkownika root jest aktywowane nieaktywne.

Dodaj następujący wiersz:

PermitRootLogin yes

Umożliwi to zalogowanie się do serwera za pomocą root i odpowiadającego mu hasła.

Zapisz plik i zamknij edytor. Aby odwołać ten typ dostępu, powtórz kroki i usuń wiersz.

Etap 3: uruchomienie usługi SSH

Uruchom ponownie usługę SSH za pomocą jednego z następujących poleceń:

sudo systemctl restart ssh

sudo systemctl restart sshd

Powinno to wystarczyć do zastosowania zmian. W przeciwnym razie uruchom ponownie serwer z wiersza poleceń (sudo reboot).

Sprawdź również

Zabezpieczanie serwera dedykowanego

Zabezpiecz serwer VPS

Przyłącz się do społeczności naszych użytkowników na stronie https://community.ovh.com/en/.