هنگامي كه شما براي اولين بار يك سرور مجازي Debian 10 جديد ايجاد مي كنيد ، چند مرحله پيكربندي وجود دارد كه بايد آنها را به عنوان بخشي از ستاپ اوليه انجام دهيد. اين كار باعث افزايش امنيت و قابليت استفاده سرور مجازي شما مي شود و پايه و اساس محكمي را براي اقدامات بعدي به شما مي دهد.
در اين آموزش ياد خواهيم گرفت كه چگونه به عنوان كاربر اصلي وارد سرور مجازي خود شويم ، كاربر جديدي با امتيازات ادمين ايجاد كنيم و يك فايروال پايه تنظيم كنيم.
مرحله 1 – ورود به عنوان Root
براي ورود به سرور مجازي خود ، بايد آدرس IP عمومي سرور مجازي خود را بدانيد. در صورت نصب كليد SSH براي تأييد اعتبار ، يعني كليد خصوصي براي حساب كاربر root، به گذرواژه نيز احتياج داريد. اگر قبلاً به سرور مجازي خود وارد نشده ايد ، ممكن است بخواهيد راهنماي ما در مورد نحوه اتصال به دراپلت خود را با SSH دنبال كنيد ، كه اين لينك روند را با جزئيات پوشش مي دهد.
اگر قبلاً به سرور مجازي خود وصل نشده ايد ، پيش برويد و با استفاده از دستور زير به عنوان كاربر اصلي وارد سيستم شويد (بخش هايلايت شده فرمان را با آدرس IP عمومي سرور مجازي خود جايگزين كنيد):
$ ssh root@your_server_ip

در صورت وجود هشدار درباره تاييد صحت ميزبان آن را بپذيريد. اگر از تأييد اعتبار گذرواژه استفاده مي كنيد ، رمز ورود ريشه خود را وارد كنيد. اگر از يك كليد SSH استفاده مي كنيد كه عبارت عبور آن محافظت شده است ، ممكن است اولين باري كه از هر كليد استفاده مي كنيد از شما خواسته شود كلمه عبور را وارد كنيد. اگر اولين بار است كه با گذرواژه وارد سرور مجازي مي شويد ، ممكن است از شما خواسته شود رمزعبور root را تغيير دهيد.
درباره ريشه
كاربر ريشه كاربر ادمين در محيط لينوكس است كه امتيازات بسيار گسترده اي دارد. به دليل امتيازات زياد حساب ريشه ، استفاده منظم از آن توصيه نميشود. اين امر به اين دليل است كه بخشي از قدرت ذاتي حساب ريشه ، توانايي ايجاد تغييرات بسيار مخرب ، حتي به طور تصادفي است.
قدم بعدي راه اندازي يك حساب كاربري جايگزين با حوزه تاثيرات كمتر براي كارهاي روزانه است. بعداً ، توضيح خواهيم داد كه چگونه مي توانيد در مواقعي كه به آنها احتياج داريد ، امتيازات بيشتري را دريافت كنيد.
مرحله 2 – ايجاد يك كاربر جديد
پس از ورود به عنوان root ، آماده هستيم تا حساب كاربري جديدي را اضافه كنيم كه از اين پس براي ورود به سيستم استفاده خواهيم كرد .
اين مثال يك كاربر جديد به نام sammy ايجاد مي كند ، اما شما بايد آن را با نام كاربري كه دوست داريد جايگزين كنيد:
# adduser sammy

با شروع رمز ورود به حساب ، چند سؤال از شما پرسيده خواهد شد.
يك رمز عبور قوي وارد كنيد و به صورت اختياري ، هر يك از اطلاعات اضافي را كه مي خواهيد پر كنيد. اين مورد نياز نيست و مي توانيد ENTER را در هر زمينه اي كه مايل به عبور هستيد ، بزنيد.
در مرحله بعدي ، اين كاربر جديد را با امتيازات ادمين تنظيم خواهيم كرد.
مرحله 3 – اعطاي امتيازات ادمين
اكنون ، ما يك حساب كاربري جديد با امتيازات معمول حساب ايجاد كرده ايم. با اين حال ، ممكن است گاهي اوقات نياز به انجام كارهاي اجرايي با آن داشته باشيم.
براي جلوگيري از خروج از حساب كاربري عادي و ورود به سيستم به عنوان حساب اصلي ، مي توانيم براي حساب عادي خود چيزي به اسم superuser ايجاد كنيم يا امتيازات اصلي را به آن بدهيم. اين كار به كاربر عادي ما امكان مي دهد با قرار دادن كلمه sudo قبل از دستور ، دستوراتي را با امتيازات ادمين اجرا كند.
براي افزودن اين امتيازات به كاربر جديد خود ، بايد كاربر جديد را به گروه sudo اضافه كنيم. به طور پيش فرض ، در Debian 10 ، كاربراني كه به گروه sudo تعلق دارند مجاز به استفاده از دستور sudo هستند.
به عنوان root ، اين دستور را اجرا كنيد تا كاربر جديد خود را به گروه sudo اضافه كنيد (كلمه هايلايت شده را با كاربر جديد خود جايگزين كنيد):
# usermod -aG sudo sammy

اكنون ، هنگامي كه به عنوان كاربر معمولي خود وارد سيستم شديد ، مي توانيد قبل از دستورات sudo را تايپ كنيد تا دستور را با امتيازات superuser اجرا كنيد.
مرحله 4 – تنظيم فايروال پايه
سرور مجازي هاي دبيان مي توانند از فايروال ها استفاده كنند تا اطمينان حاصل شود كه فقط اتصالات خاصي به سرويس هاي خاص مجاز هستند. در اين راهنما ، فايروال UFW را براي كمك به تنظيم رويكرد فايروال و مديريت استثناعات، نصب و استفاده خواهيم كرد.
مي توانيم از مدير بسته apt براي نصب UFW استفاده كنيم. فهرست محلي را به روز كنيد تا آخرين اطلاعات در مورد بسته هاي موجود را بازيابي كنيد و سپس با تايپ كردن دستور زير نرم افزار فايروال UFW را نصب كنيد:
# apt update

# apt install ufw

توجه: اگر سرور مجازي هاي شما روي vpsgol در حال اجرا هستند ، مي توانيد به طور اختياري به جاي فايروال UFW از فايروال هاي vpsgol Cloud استفاده كنيد. توصيه مي كنيم فقط از يك فايروال به طور هم زمان استفاده كنيد تا از قوانين متناقض براي اشكال زدايي جلوگيري شود.

پروفايل هاي فايروال به UFW اجازه مي دهد مجموعه اي از قوانين فايروال را براي برنامه هاي نصب شده مديريت كند. پروفايل برخي از نرم افزارهاي رايج بصورت پيش فرض با UFW همراه شده و بسته ها مي توانند پروفايل هاي اضافي را با UFW در طي مراحل نصب ثبت كنند. OpenSSH ، سرويسي كه به ما امكان اتصال كنوني به سرور مجازي خود را مي دهد ، داراي پروفايل فايروال است كه مي توانيم از آن استفاده كنيم.
با تايپ كردن دستور زير تمام پروفايل هاي موجود را ليست مي كنيد:
# ufw app list

Output
Available applications:
. . .
OpenSSH
. . .

بايد اطمينان حاصل كنيم كه فايروال امكان اتصالات SSH را مي دهد تا بتوانيم دفعه ديگر وارد سيستم شويم. مي توانيم با تايپ اين دستور اجازه اين اتصالات را فراهم كنيم:
# ufw allow OpenSSH

پس از آن ، مي توانيم با تايپ كردن دستور زير فايروال را فعال كنيم:
# ufw enable

y را تايپ كرده و ENTER را براي ادامه فشار دهيد. با تايپ كردن دستور زير مي توانيد ببينيد كه اتصالات SSH هنوز مجاز هستند:
# ufw status

Output
Status: active

To Action From
— —— —-
OpenSSH ALLOW Anywhere
OpenSSH (v6) ALLOW Anywhere (v6)

از آنجا كه فايروال در حال حاضر همه اتصالات به جز SSH را مسدود مي كند ، در صورت نصب و پيكربندي سرويس هاي اضافي ، بايد تنظيمات فايروال را براي ايجاد ترافيك قابل قبول را تنظيم كنيد. شما مي توانيد برخي از عمليات معمول UFW را در راهنماي ضروريات UFW بياموزيد.
مرحله 5 – فعال كردن دسترسي خارجي براي كاربر معمولي شما
اكنون كه ما يك كاربر معمولي براي استفاده روزانه داريم ، بايد اطمينان حاصل كنيم كه مي توانيم مستقيماً SSH را وارد حساب كاربري خود كنيم.
توجه: تا زماني كه تأييد نكنيد كه مي توانيد با كاربر جديد خود وارد سيستم شويد و از sudo استفاده كنيد ، توصيه مي كنيم به عنوان root وارد شويد. به اين ترتيب ، اگر مشكل داريد مي توانيد به عنوان ريشه عيب يابي كرده و هرگونه تغيير لازم را انجام دهيد. اگر از Droplet vpsgol استفاده مي كنيد و در ارتباط با اتصال SSH ريشه خود مشكل داريد ، مي توانيد با استفاده از كنسول vpsgol وارد Droplet شويد.

روند پيكربندي دسترسي SSH براي كاربر جديد شما به اين بستگي دارد كه آيا حساب اصلي سرور مجازي شما از رمز عبور يا كليدهاي SSH براي تأييد اعتبار استفاده مي كند.
اگر حساب Root از احراز هويت رمز عبور استفاده مي كند
اگر با استفاده از گذرواژه وارد حساب اصلي خود شده ايد ، تأييد رمز عبور براي SSH فعال مي شود. با باز كردن بخش ترمينال جديد و استفاده از SSH با نام كاربري جديد خود مي توانيد به حساب كاربري جديد، SSH كنيد:
$ ssh sammy@your_server_ip

بعد از وارد كردن رمزعبور معمولي كاربر ، وارد سيستم مي شويد. به ياد داشته باشيد اگر نياز به اجراي يك فرمان با امتيازات اداري داريد ، قبل از اين كار sudo را تايپ كنيد:
$ sudo command_to_run

براي اولين بار در هر بخش (و به صورت دوره اي بعد از آن) رمزعبور كاربر معمولي از شما خواسته مي شود.
براي تقويت امنيت سرور مجازي خود ، به شدت توصيه مي كنيم به جاي استفاده از احراز هويت رمز عبور ، كليدهاي SSH را تنظيم كنيد. براي يادگيري نحوه پيكربندي احراز هويت مبتني بر كليد ، راهنماي ما در مورد تنظيم كليدهاي SSH در Debian 10 را دنبال كنيد.
اگر حساب Root از احراز هويت كليد SSH استفاده مي كند
اگر با استفاده از كليدهاي SSH به حساب اصلي خود وارد شده ايد ، تأييد رمز عبور براي SSH غيرفعال است. براي ورود موفقيت آميز به سيستم ، بايد يك نسخه از كليد عمومي محلي خود را در فايل ~/.ssh/authorized_keys كاربر جديد اضافه كنيد.
از آنجا كه كليد عمومي شما قبلاً در فايل ~/.ssh/authorized_keys حساب ريشه در سرور مجازي است ، مي توانيم در بخش موجود با دستور cp آن فايل و ساختار ديركتوري را در حساب كاربري جديد خود كپي كنيم. پس از آن ، مي توانيم مالكيت فايل ها را با استفاده از دستور chown تنظيم كنيم.
اطمينان حاصل كنيد كه قسمت هايلايت شده فرمان زير را تغيير دهيد تا با نام كاربر معمولي شما مطابقت داشته باشد:
# cp -r ~/.ssh /home/sammy

#
chown -R sammy:sammy /home/sammy/.ssh

دستور cp -r كل دايركتوري را در ديركتوري هوم كاربر جديد كپي مي كند ، و دستور chown -R صاحب آن ديركتوري (و هر چيزي را كه در داخل آن است) را به username:groupname مشخص شده تغيير مي دهد (دبيان به طور پيش فرض گروهي را با همين نام كاربري شما ايجاد مي كند).
اكنون ، يك بخش ترمينال جديد را باز كرده و از طريق SSH با نام كاربري جديد خود وارد شويد:
$ ssh sammy@your_server_ip

بدون استفاده از رمز ورود بايد به حساب كاربري جديد وارد شويد. به ياد داشته باشيد ، اگر نياز به اجراي يك فرمان با امتيازات ادمين داريد ، sudo را قبل از آن تايپ كنيد:
$ sudo command_to_run

براي اولين بار در هر بخش (و به صورت دوره اي بعد از آن) رمزعبور كاربر معمولي از شما خواسته مي شود.
از اينجا به كجا برويم؟
در اين مرحله ، شما يك پايه محكم براي سرور مجازي خود داريد. اكنون مي توانيد هركدام از نرم افزارهاي مورد نياز خود را بر روي سرور مجازي خود نصب كنيد.