1.通过SSH访问服务器
ssh root@192.0.2.1
后输入密码。
2.执行系统更新
Ubuntu, Debian, and Kali Linux
apt update && apt upgrade
更新某些软件包时,系统可能会提示您使用更新的配置文件。如果出现提示,保留本地安装的版本通常会更安全”。
3.设置时区
默认情况下,所有新计算实例都设置为 UTC 时间。但是,您可能更喜欢使用您居住的时区,因此日志文件时间戳是相对于您的本地时间的。
a.使用 timedatectl
输出可用时区的列表。
timedatectl list-timezones
b.使用箭头键、Page Up
和 Page Down
浏览列表。复制或记下您所需的时区,然后按 q 退出列表。
c.使用以下命令设置时区,列如,将 America/Toronto
替换为您的首选时区。
timedatectl set-timezone 'America/Toronto'
d.使用 date
命令根据您的服务器查看当前日期和时间。
4.配置自定义主机名
将 example-hostname
替换为您选择的主机名之一。
hostnamectl set-hostname example-hostname
5.更新系统的主机文件
在文本编辑器(例如 Nano)中打开主机文件。
nano /etc/hosts
为您的计算实例的公共 IP 地址添加一行。您可以将此地址与实例的完全限定域名 (FQDN) 关联(如果有),并与您在上述步骤中设置的本地主机名关联。在下面的示例中,203.0.113.10 是公共 IP 地址,example-hostname 是本地主机名,example-hostname.example.com 是 FQDN。
127.0.0.1 localhost.localdomain localhost
203.0.113.10 example-hostname.example.com example-hostname
为您的计算实例的 IPv6 地址添加一行。如果没有此条目,需要 IPv6 的应用程序将无法运行:
127.0.0.1 localhost.localdomain localhost
203.0.113.10 example-hostname.example.com example-hostname
2600:3c01::a123:b456:c789:d012 example-hostname.example.com example-hostname
6.添加受限用户帐户
到目前为止,您已经以 root
用户身份访问了您的计算实例,该用户拥有无限的权限,可以执行任何命令,甚至可能会意外中断您的服务器。我们建议创建一个受限用户帐户并始终使用该帐户。管理任务将使用 sudo
来临时提升受限用户的权限来完成,以便您可以管理您的服务器。稍后,当您想要限制用户的 sudo
访问权限时,请参阅 Linux 用户和组。
并非所有 Linux 发行版都默认在系统上包含 sudo,但 Linode 提供的所有镜像在其软件包存储库中都包含 sudo。如果您得到输出 sudo: command not find
,请先安装 sudo,然后再继续。
Ubuntu and Debian
a.创建用户,将 example_user 替换为您所需的用户名。然后系统会要求您为用户分配一个密码:
adduser example_user
b.将用户添加到 sudo 组,以便您拥有管理权限:
adduser example_user sudo
7.以新用户身份登录
exit
ssh example_user@192.0.2.1
现在,您可以通过新用户帐户(而不是 root)管理您的计算实例。几乎所有超级用户命令都可以使用 sudo 执行(例如:sudo iptables -L -nv),这些命令将记录到 /var/log/auth.log 中。
8.强化 SSH 访问
创建身份验证密钥对
这是在您的本地计算机(而不是计算实例)上完成的,并将创建 4096 位 RSA 密钥对。在创建过程中,您将可以选择使用密码加密私钥。这意味着如果不输入密码就无法使用它,除非您将其保存到本地桌面的钥匙串管理器。我们建议您使用带有密码的密钥对,但如果您不想使用,可以将此字段留空。
ssh-keygen -b 4096
macOS
在您的计算实例上(以受限用户身份登录):
mkdir -p ~/.ssh && sudo chmod -R 700 ~/.ssh/
从您的本地计算机:
scp ~/.ssh/id_rsa.pub example_user@203.0.113.10:~/.ssh/authorized_keys
最后,您需要设置公钥目录和密钥文件本身的权限:
sudo chmod -R 700 ~/.ssh && chmod 600 ~/.ssh/authorized_keys
这些命令通过防止其他用户访问公钥目录以及文件本身来提供额外的安全层。有关其工作原理的更多信息,请参阅我们有关如何修改文件权限的指南。