Configuração Inicial de servidor com Ubuntu 16.04

Quando você cria inicialmente um novo servidor Ubuntu 16.04, existem alguns passos de configuração que você deve tomar no início como parte da configuração básica. Isto aumentará a segurança e a usabilidade do seu servidor e dará uma sólida fundação para as ações subsequentes

Para entrar no seu servidor, você precisa saber o endereço IP público do mesmo. Você também vai precisar da senha ou, se você instalou uma chave SSH para autenticação, a chave privada para a conta do usuário “root”. Se você já não estiver logado no sistema, você pode querer seguir esse tutorial nessa série, How to Connect to Your Droplet with SSH, que cobre esse processo em detalhes.

Se você ainda não estiver conectado em seu servidor, vá em frente e acesse como usuário root utilizando o seguinte comando (substitua a palavra marcada com o endereço IP público do seu servidor).

ssh root@ip_do_seu_servidor

Complete o processo de login aceitando a mensagem de aviso de autenticidade do host, se ela aparecer, depois fornecendo sua senha de root (senha ou chave privada). Se é a primeira vez que faz logon em um servidor, com uma senha, você também será solicitado a alterar a senha de root.

Uma vez conectado como root, estamos preparados para adicionar uma nova conta de usuário que utilizaremos para efetuar logon de agora em diante.

Este exemplo cria um novo usuário chamado “sammy”, mas você deve substituí-lo por um nome de usuário de sua escolha:

adduser sammy

Você será solicitado a responder algumas perguntas, começando com a senha da conta.

Entre com uma senha forte e, opcionalmente, preencha quaisquer informações adicionais se desejar. Isto não é requerido e você pode apenas teclar ENTER em qualquer campo que você quiser pular.

Agora, temos uma nova conta de usuário com privilégios básicos de conta. Contudo, podemos às vezes precisar fazer tarefas administrativas.

Para evitar de ter que desconectar nosso usuário normal e efetuar login novamente com a conta de root, podemos configurar o que é conhecido como “super usuário” ou privilégios de root para nossa conta normal. Isto irá permitir nosso usuário normal executar comandos com privilégios administrativos colocando a palavra sudo antes de cada comando.

Para adicionar privilégios para nosso novo usuário, precisamos adicionar o novo usuário ao grupo “sudo”. Por padrão, no Ubuntu 16.04, os usuários que pertencem ao grupo “sudo” estão autorizados a utilizar o comando sudo.

Como root, execute este comando para adicionar seu novo usuário ao grupo sudo (substitua a palavra em destaque pelo seu novo usuário):

usermod -aG sudo sammy

Agora seu usuário pode executar comandos com privilégios de super usuário! Para mais informações sobre como isto funciona, verifique este tutorial de sudoers.

Se você quiser aumentar a segurança do seu servidor, siga o restante dos passos nesse tutorial.

O próximo passo para a proteção do seu servidor é configurar uma chave pública de autenticação para seu novo usuário. Configurando isto, você estará aumentando a segurança do seu servidor requisitando uma chave SSH privada para efetuar login.

ssh-keygen

Generating public/private rsa key pair.
Enter file in which to save the key (/Users/localuser/.ssh/id_rsa):

ssh-copy-id sammy@ip_do_seu_servidor

cat ~/.ssh/id_rsa.pub

ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQDBGTO0tsVejssuaYR5R3Y/i73SppJAhme1dH7W2c47d4gOqB4izP0+fRLfvbz/tnXFz4iOP/H6eCV05hqUhF+KYRxt9Y8tVMrpDZR2l75o6+xSbUOMu6xN+uVF0T9XzKcxmzTmnV7Na5up3QM3DoSRYX/EP3utr2+zAqpJIfKPLdA74w7g56oYWI9blpnpzxkEd3edVJOivUkpZ4JoenWManvIaSdMTJXMy3MtlQhva+j9CgguyVbUkdzK9KKEuah+pFZvaugtebsU+bllPTB0nlXGIJk98Ie9ZtxuY3nCKneB+KjKiXrAvXUPCI9mWkYS/1rggpFmu3HbXBnWSUdf localuser@machine.local

su - sammy

mkdir ~/.ssh
chmod 700 ~/.ssh

nano ~/.ssh/authorized_keys

chmod 600 ~/.ssh/authorized_keys

exit

Agora que o seu novo usuário pode utilizar chaves SSH para fazer logon, você pode aumentar a segurança do seu servidor desabilitando a autenticação por senha somente. Fazendo isso você irá restringir o acesso SSH ao seu servidor para autenticação por chave pública exclusivamente. Isto é, a única maneira de fazer logon em seu servidor (além do console) é possuir a chave privada que faz par com a chave pública que foi instalada.

Para desabilitar a autenticação por senha no seu servidor, siga esses passos.

Como root ou seu novo usuário sudo, abra a configuração do daemon do SSH:

sudo nano /etc/ssh/sshd_config

Procure a linha que especifica PasswordAuthentication, descomente-a retirando o # que a precede, e depois altere seu valor para “no”. Deve se parecer com isto depois de você ter feito a alteração:

PasswordAuthentication no

Aqui estão duas outras configurações que são importantes para autenticação exclusiva por chaves e são definidas por padrão. Se você não tiver modificado esse arquivo anteriormente, você não precisa alterar essas configurações:

PubkeyAuthentication yes
ChallengeResponseAuthentication no

Quando tiver terminado de realizar suas alterações, salve e feche o arquivo utilizando o método que mostramos anteriormente (CTRL-X, depois Y, e depois ENTER).

Digite isto para recarregar o daemon SSH:

sudo systemctl reload sshd

A autenticação por senha está desativada agora. Seu servidor agora está acessível somente com autenticação de chave SSH.

Agora, antes de você fazer logoff do servidor, você deve testar a sua nova configuração. Não se desconecte até que você confirme que consegue fazer logon com sucesso via SSH.

Em um novo terminal em sua máquina local, faça login no seu servidor utilizando a nova conta que criamos. Para isso, utilize esse comando (substitua pelo seu nome de usuário e endereço IP de servidor):

ssh sammy@ip_do_seu_servidor

Se você adicionou a autenticação de chave pública para seu usuário, como descrito nos passos quatro e cinco, sua chave privada será utilizada como autenticação. Do contrário, você será solicitado a digitar a senha do seu usuário.

Uma vez que a autenticação é fornecida ao servidor, você estará conectado como seu novo usuário.

Lembre-se, se você precisar executar um comando com privilégios de root, digite “sudo” antes dele, como abaixo:

sudo comando_a_executar

Os servidores Ubuntu 16.04 podem utilizar o firewall UFW para garantir que somente as conexões para certos serviços sejam permitidas. Podemos configurar um firewall básico muito facilmente usando essa aplicação.

Diferentes aplicações podem registrar seus perfis com o UFW na instalação. Esses perfis permitem ao UFW gerenciar essas aplicações pelo nome. O OpenSSH, serviço que nos permite conectar ao nosso servidor agora, possui um perfil registrado com o UFW.

Você pode ver isso digitando:

sudo ufw app list

Output
Available applications:
  OpenSSH

Precisamos nos certificar de que o firewall permita conexões SSH de forma que possamos nos conectar da próxima vez. Podemos permitir essas conexões digitando:

sudo ufw allow OpenSSH

Posteriormente, podemos ativar o firewall digitando:

sudo ufw enable

Digite “y” e pressione ENTER para prosseguir. Você pode ver que as conexões SSH estão ainda permitidas digitando:

sudo ufw status

Output
Status: active

To                         Action      From
--                         ------      ----
OpenSSH                    ALLOW       Anywhere
OpenSSH (v6)               ALLOW       Anywhere (v6)

Se você instalar e configurar serviços adicionais, você precisará ajustar as configurações do firewall para permitir tráfego entrante. Você pode aprender algumas operações comuns do UFW nesse guia.

Neste ponto, você tem uma base sólida para seu servidor. Você pode instalar qualquer software que você precisar em seu servidor agora.