Dein eingegebener Benutzername oder dein eingegebenes Kennwort ist falsch. Bitte überprüfe deine Eingaben.

Tutorial: Erste Schritte mit einem neuen CloudServer (Ubuntu/Debian)

Kategorien:
Grundlagen
Datum:
26.01.2017
Autor:
farnoX-Team

Einleitung

Nach der Erstellung eines CloudServers sollte man einige Schritte durchführen, um den CloudServer abzusichern.

Jeder CloudServer-Administrator sollte sich bewusst sein, dass ein farnoX-CloudServer ein vollständiger Linux-Server ist. Auch wenn wir es euch so einfach wie möglich machen wollen, erfordert die Administration solides Hintergrundwissen, damit der Server nicht von Angreifern übernommen werden kann.

1. Schritt: Root-Login

Als Erstes verbinden wir uns mit dem CloudServer per SSH.

Unter Mac OS X und Linux öffnen wir einfach ein Terminal und geben ein: ssh [email protected]_IP

Bei der ersten Verbindung müssen wir die Verbindung mit "yes" bestätigen.

The authenticity of host 'SERVER_IP (SERVER_IP)' can't be established. ECDSA key fingerprint is SHA256:U7l8jVx9Zgk+f5omDzFNj0Iqg8RykpdssktIj2N9Ujo. Are you sure you want to continue connecting (yes/no)? yes Warning: Permanently added 'SERVER_IP' (ECDSA) to the list of known hosts. [email protected]_IP's password: *** Welcome to Ubuntu 16.04 LTS (GNU/Linux 4.4.0-21-generic x86_64)

Jetzt sind wir auf unserem Server eingeloggt.

Da wir das Root-Passwort per E-Mail verschickt haben, ist es nicht mehr sicher und sollte geändert werden. Dazu geben wir passwd root ein und bestätigen unser neues Passwort.

[email protected]:~# passwd root Enter new UNIX password: ****** Retype new UNIX password: ****** passwd: password updated successfully [email protected]:~#

2. Schritt: Updates installieren

Wir installieren CloudServer aus vorgefertigten Images, daher sind die installierten Pakete unter Umständen veraltet und müssen erst aktualisiert werden.

apt-get update; apt-get upgrade

Eventuelle Rückfragen müssen mit "y" bestätigt werden.

3. Schritt: Public-Key-Authentifizierung (Optional)

Die Verwendung von Public-Key-Authentifizierung anstelle von Passwörtern wird dringend empfohlen.

Ein Schlüsselpaar besteht aus zwei Dateien: einem öffentlichen Schlüssel, der auf dem Server hinterlegt wird und einen privaten Schlüssel, mit dem man sich auf dem Server einloggen kann.

Dieses Verfahren ist deutlich sicherer als Passwörter.

Schlüsselpaar generieren

Unter macOS und Linux lässt sich das Schlüsselpaar mit einfachen Bordmitteln generieren. Einfach in einem Terminal (lokal, nicht auf dem CloudServer) ssh-keygen eingeben.

[email protected] ~> ssh-keygen Generating public/private rsa key pair. Enter file in which to save the key (/Users/username/.ssh/id_rsa):

Bestätigt den Pfad mit Enter und lasst die Passphrase leer.

Der öffentliche Schlüssel liegt nun in /Users/username/.ssh/id_rsa.pub (Unter Linux: /home/username/.ssh/id_rsa.pub) und der private Schlüssel in /Users/username/.ssh/id_rsa (Unter Linux: /home/username/.ssh/id_rsa).

Public-Key installieren

Damit wir uns mit dem Key einloggen können, müssen wir ihn zuerst auf den Server kopieren. Das ist mit einfachen Bordmitteln möglich: ssh-copy-id [email protected]_IP. ssh-copy-id [email protected]_IP /usr/bin/ssh-copy-id: INFO: Source of key(s) to be installed: "/Users/username/.ssh/id_rsa.pub" [email protected]_IP's password: ****** Number of key(s) added: 1 Now try logging into the machine, with: "ssh '[email protected]_IP'" and check to make sure that only the key(s) you wanted were added.

Der Public-Key wurde nun auf dem Server hinterlegt. Beim einloggen per SSH sollten wir nun nicht mehr nach einem Passwort gefragt werden.

Passwort-Authentifizierung deaktivieren

Nun sollten wir die Anmeldung per Passwort deaktivieren. Achtung: Ohne das Schlüsselpaar können wir uns dann nicht mehr einloggen.

Zuerst öffnen wir die SSH-Konfiguration in einem Text-Editor: nano /etc/ssh/sshd_config und suchen die Zeile #PasswordAuthentication yes und ersetzen sie durch PasswordAuthentication no.

Als letztes den SSH-Dienst neustarten: systemctl restart sshd.

Wie geht es weiter?

Es sollte unbedingt noch eine Firewall installiert werden. Der Server ist dann grundlegend abgesichert und kann benutzt werden. Sicherheitsupdates müssen regelmäßig installiert werden!

Wir haben noch viele weitere Tutorials für euch, mit denen Ihr das Beste aus eurem CloudServer heraus holen könnt.