Configuración inicial de un servidor con Debian 8

Introducción

Cuando se crea un nuevo servidor Debian 8, hay algunos pasos de configuración que debe tomar desde el principio como parte de la configuración básica. Esto aumentará la seguridad y usabilidad de su servidor y le dará una base sólida para las acciones posteriores.

Paso uno – inicio de sesión root

Para iniciar sesión en su servidor, deberá conocer la dirección IP pública de su servidor y la contraseña de la cuenta del usuario “root”.

Si aún no está conectado a su servidor, siga adelante e inicie sesión como usuario root mediante el siguiente comando (sustituya la palabra resaltada por la dirección IP pública de su servidor):

Complete el proceso de inicio de sesión aceptando la advertencia sobre la autenticidad del host, si aparece, proporcionando su autenticación raíz (contraseña o clave privada). Si es la primera vez que inicia sesión en el servidor, con una contraseña, también se le pedirá que cambie la contraseña de root.

Acerca de Root

El usuario root es el usuario administrativo en un entorno Linux que tiene privilegios muy amplios. Debido a los privilegios elevados de la cuenta de la root, usted debería realmente no usarla sobre regulararmente para actividades de un usuario normal. Esto es porque parte de la potencia inherente con la cuenta root es la capacidad de hacer cambios muy destructivos, incluso por accidente.

El siguiente paso es crear una cuenta de usuario alternativa con un ámbito de influencia reducido para el trabajo cotidiano. Te enseñaré cómo obtener mayores privilegios durante los tiempos en que los necesites tener los previlegios de root.

Paso dos – Crear un nuevo usuario

Una vez que haya iniciado sesión como root, estamos preparados para agregar la nueva cuenta de usuario que usaremos para iniciar sesión de ahora en adelante.

Este ejemplo crea un nuevo usuario llamado “demo”, pero debe reemplazarlo por un nombre de usuario que le guste:

Se le harán algunas preguntas, comenzando con la contraseña de la cuenta.

Introduzca una contraseña segura y, opcionalmente, complete la información adicional si lo desea. Esto no es necesario y sólo puede pulsar “ENTER” en cualquier campo que desee omitir.

Paso Tres – Privilegios de root

Ahora, tenemos una nueva cuenta de usuario con privilegios de cuenta regulares. Sin embargo, a veces necesitamos realizar tareas administrativas.

Para evitar tener que cerrar sesión de nuestro usuario normal y volver a iniciar sesión como la cuenta de root, podemos configurar lo que se conoce como “superusuario” o privilegios de root para nuestra cuenta normal. Esto permitirá que nuestro usuario normal ejecute comandos con privilegios administrativos colocando la palabra sudo antes de cada comando.

Instalar Sudo

Debian 8 no viene con sudo instalado, así que vamos a instalarlo con apt-get.

Primero, actualice el índice del paquete apt:

A continuación, utilice este comando para instalar sudo:

Ahora puedes usar los comandos sudo y visudo.

Concedir previlegios para ejecutar sudo

Para agregar estos privilegios a nuestro nuevo usuario, necesitamos agregar el nuevo usuario al grupo “sudo”. De forma predeterminada, en Debian 8, los usuarios que pertenecen al grupo “sudo” pueden usar el comando sudo.

Como root, ejecute este comando para agregar su nuevo usuario al grupo sudo (sustituya la palabra resaltada por su nuevo usuario):

Ahora su usuario puede ejecutar comandos con super privilegios de usuario!

Actualización:

También es necesario modificar el archivo : /etc/sudoers

Incluir la siguiente línea:

usuario ALL=(ALL) ALL

Donde “usuario” cambieló por el nobmre de usuario perntinente.

Paso cuatro: agregar autenticación de clave pública (recomendado)

El siguiente paso en la seguridad de su servidor es configurar la autenticación de clave pública para su nuevo usuario. Configurar esto aumentará la seguridad de su servidor al requerir una clave SSH privada para iniciar sesión.

Generar un par de claves

Si aún no tiene un par de claves SSH, que consiste en una clave pública y privada, debe generar una. Si ya tiene una clave que desea utilizar, vaya al paso Copiar la clave pública.

Para generar un nuevo par de claves, ingrese el siguiente comando en el terminal de su máquina local (es decir, su computadora):

Suponiendo que su usuario local se denomina “localuser”, verá una salida similar a la siguiente:

Haga clic en Aceptar para aceptar este nombre de archivo y ruta de acceso (o escriba un nombre nuevo).

A continuación, se le solicitará una contraseña para asegurar la clave. Puede introducir una frase de contraseña o dejar la frase en blanco.

Nota: si deja la frase en blanco en blanco, podrá utilizar la clave privada para la autenticación sin introducir una frase de contraseña. Si ingresa una frase de contraseña, necesitará tanto la clave privada como la contraseña para iniciar sesión. Asegurar sus claves con frases de contraseña es más seguro, pero ambos métodos tienen sus usos y son más seguros que la autenticación de contraseña básica.

Esto genera una clave privada, id_rsa, y una clave pública, id_rsa.pub, en el directorio .ssh del directorio home del usuario local. Recuerde que la clave privada no debe ser compartida con nadie que no debería tener acceso a sus servidores.

Copiar la clave pública

Después de generar un par de claves SSH, deseará copiar su clave pública en su nuevo servidor. Cubriremos dos maneras fáciles de hacer esto.

Opción 1: Utilizar ssh-copy-id

Si su máquina local tiene instalada la secuencia de comandos ssh-copy-id, puede utilizarla para instalar su clave pública en cualquier usuario para el que tenga credenciales de inicio de sesión.

Ejecute el script ssh-copy-id especificando el usuario y la dirección IP del servidor en el que desea instalar la clave, como esto:

Después de proporcionar su contraseña en el indicador, su clave pública se agregará al archivo .ssh/authorized_keys del usuario remoto. La clave privada correspondiente ahora se puede utilizar para iniciar sesión en el servidor.

Opción 2: Instalar manualmente la llave

Suponiendo que generó un par de claves SSH utilizando el paso anterior, utilice el siguiente comando en el terminal de su máquina local para imprimir su clave pública (id_rsa.pub):

Esto debería imprimir su clave SSH pública, que debería ser similar a la siguiente:

Seleccione la clave pública y cópiela en el portapapeles.

Agregar clave pública al nuevo usuario remoto

Para habilitar el uso de la clave SSH para autenticarse como el nuevo usuario remoto, debe agregar la clave pública a un archivo especial en el directorio principal del usuario.

En el servidor, como usuario root, escriba el siguiente comando para cambiar al nuevo usuario (sustituya su propio nombre de usuario):

Ahora estarás en el directorio de inicio de tu nuevo usuario.

Cree un nuevo directorio denominado .ssh y restrinja sus permisos con los siguientes comandos:

Ahora abra un archivo en .ssh llamado authorized_keys con un editor de texto. Usaremos nano para editar el archivo:

Ahora inserte su clave pública (que debería estar en su portapapeles) pegándola en el editor.

Pulse CTRL-X para salir del archivo, luego Y para guardar los cambios realizados, luego ENTER para confirmar el nombre del archivo.

Ahora restringe los permisos del archivo authorized_keys con este comando:

Escriba este comando una vez para volver al usuario root:

Ahora puede acceder a SSH como su nuevo usuario, utilizando la clave privada como autenticación.

Paso Cinco – Configure SSH

Ahora que tenemos nuestra nueva cuenta, podemos proteger nuestro servidor modificando un poco laconfiguración de demonio SSH (el programa que nos permite iniciar sesión remotamente) para rechazar el acceso SSH remoto a la cuenta raíz.

Comience abriendo el archivo de configuración con su editor de texto como root:

Aquí tenemos la opción de deshabilitar el inicio de sesión root a través de SSH. Este es generalmente un ajuste más seguro ya que ahora podemos acceder a nuestro servidor a través de nuestra cuenta de usuario normal y escalar privilegios cuando sea necesario.

Para deshabilitar los inicios de sesión de root remoto, necesitamos encontrar la línea que se vea así:

Puede modificar esta línea con el argumento “no” si desea desactivar el inicio de sesión root:

Desactivar el inicio de sesión de root remoto es muy recomendable en todos los servidores.

Cuando hayas terminado de realizar tus cambios, guarda y cierra el archivo usando el método anterior (CTRL-X, luego Y, luego ENTER).

Reiniciar SSH

Ahora que hemos hecho nuestros cambios, necesitamos reiniciar el servicio SSH para que utilice nuestra nueva configuración.

Escriba esto para reiniciar SSH:

Ahora, antes de salir del servidor, deberíamos probar nuestra nueva configuración. No queremos desconectarnos hasta que podamos confirmar que se pueden establecer con éxito nuevas conexiones.

Abra una nueva ventana de terminal. En la nueva ventana, necesitamos comenzar una nueva conexión a nuestro servidor. Esta vez, en lugar de usar la cuenta root, queremos usar la nueva cuenta que creamos.

Se le pedirá la contraseña del nuevo usuario que haya configurado. Después de eso, usted se conectará como su nuevo usuario.

Recuerde, si necesita ejecutar un comando con privilegios de root, escriba “sudo” así:

Si todo está bien, puede salir de sus sesiones escribiendo:

Final

¿A dónde ir desde aquí?
En este punto, tiene una base sólida para su servidor Debian 8. Ahora puede instalar cualquier software que necesite en su servidor.

Deja un comentario

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.