Markdown-Fehler korrigiert
This commit is contained in:
parent
b4aa3f2322
commit
a31ad51b6f
43
README.md
43
README.md
@ -1,6 +1,7 @@
|
||||
# Root-Server einrichten
|
||||
|
||||
## Ausgangspunkt:
|
||||
## Ausgangspunkt
|
||||
|
||||
- Netcup Root-Server
|
||||
- Ubuntu 18.04 minimal Image
|
||||
- als IP Adresse des Servers wird in dieser Dokumentation beispielhaft `1.2.3.4` verwendet
|
||||
@ -12,27 +13,28 @@
|
||||
|
||||
Nach der Einrichtung des Servers bekommt man normalerweise das Passwort für den ssh-Zugang per Mail geschickt. Damit kann man sich z.B. von einem Linux-Computer mit dem Terminal-Programm am Server anmelden.
|
||||
|
||||
```
|
||||
```bash
|
||||
ssh -l root 1.2.3.4
|
||||
```
|
||||
|
||||
Wenn dieser Befehl für den Server das erste mal ausgeführt wird, muss man mit `yes` bestätigen, dass der "fingerprint" des Server-Schlüssels in die Liste der bekannten Server aufgenommen werden soll:
|
||||
|
||||
```
|
||||
```bash
|
||||
The authenticity of host '1.2.3.4 (1.2.3.4)' can't be established.
|
||||
ECDSA key fingerprint is SHA256:<hier steht dann eine lange Zahlen und Buchstabenreihe>.
|
||||
Are you sure you want to continue connecting (yes/no)? yes
|
||||
```
|
||||
|
||||
Dann kommt noch ein entsprechender Hinweis und die Aufforderung, das Passwort einzugeben:
|
||||
|
||||
```
|
||||
```bash
|
||||
Warning: Permanently added '1.2.3.4' (ECDSA) to the list of known hosts.
|
||||
root@1.2.3.4's password:
|
||||
```
|
||||
|
||||
Hat alles geklappt, wird man mit einer entsprechenden Meldung an der Server Konsole begrüßt
|
||||
|
||||
```
|
||||
```bash
|
||||
Welcome to Ubuntu 18.04.4 LTS (GNU/Linux 4.15.0-111-generic x86_64)
|
||||
|
||||
* Documentation: https://help.ubuntu.com
|
||||
@ -65,8 +67,7 @@ root@srv#
|
||||
|
||||
Zunächst sollte überprüft werden, ob alle Software-Pakete aktuell sind. Bei der Anmeldung bekommt man zwar schon einen entsprechenden Hinweis, der muss aber nicht aktuell sein, jenachdem, wann das letzte mal nach Updates gesucht wurde. Mit den folgenden Befehlen kann die Überprüfung durchgeführt und eventuelle Updates eingespielt werden.
|
||||
|
||||
|
||||
```
|
||||
```bash
|
||||
apt update
|
||||
apt upgrade
|
||||
```
|
||||
@ -75,7 +76,7 @@ apt upgrade
|
||||
|
||||
Viele Linux-Admins benötigen für die Verwaltung eines Servers kaum zusätzliche Programme und erledigen alles an der SSH-Konsole mit den standardmäßig installierten Tools (vi, nano,...). Wer nicht jeden Tag auf der Linux-Konsole unterwegs ist, kommt mit einem Datei-Explorer schneller zurecht. Dafür bietet sich das Programm "Midnight-Commander" an, welches sich folgendermaßen installieren lässt:
|
||||
|
||||
```
|
||||
```bash
|
||||
apt install mc
|
||||
```
|
||||
|
||||
@ -89,25 +90,25 @@ Es ist daher ratsam, das initiale root-Passwort durch ein eigenes, starkes Passw
|
||||
|
||||
Der folgende Befehl erzeugt ein zufälliges, 15-stelliges Passwort an der Linux-Konsole:
|
||||
|
||||
```
|
||||
```bash
|
||||
openssl rand -base64 15
|
||||
```
|
||||
|
||||
Für das zweite Beispiel muss zunächst das Programm "pwgen" installiert werden.
|
||||
|
||||
```
|
||||
```bash
|
||||
apt install pwgen
|
||||
```
|
||||
|
||||
Mit dem Befehl `pwgen --help` kann man sich die möglichen Parameter und deren Bedeutung anschauen. Ein besonders starkes, zufälliges Passwort mit Sonderzeichen erzeugt man mit dem Befehl:
|
||||
|
||||
```
|
||||
```bash
|
||||
pwgen -ys 15 1
|
||||
```
|
||||
|
||||
Jetzt kann das erzeugte Passwort für den Benutzer "root" geändert werden. Sofern man als "root" angemeldet ist, gelingt das mit dem Befehl:
|
||||
|
||||
```
|
||||
```bash
|
||||
passwd
|
||||
```
|
||||
|
||||
@ -119,13 +120,13 @@ Bei manchen Server-Images sind Sprache und Region bereits voreingestellt und es
|
||||
|
||||
Zunächst wird das deutsche Spachpaket installiert
|
||||
|
||||
```
|
||||
```bash
|
||||
apt install language-pack-de
|
||||
```
|
||||
|
||||
Die eigentliche Einstellung der Sprache erfolgt mit dem Befehl:
|
||||
|
||||
```
|
||||
```bash
|
||||
dpkg-reconfigure locales
|
||||
```
|
||||
|
||||
@ -137,14 +138,14 @@ Dabei erscheinen folgende Eingabefenster:
|
||||
|
||||
Mit dem Befehl `date` kann man überprüfen, ob die Zeitzone richtig eingestellt ist. Wenn ja, erscheint das aktuelle Datum mit der korrekten Zeit.
|
||||
|
||||
```
|
||||
```bash
|
||||
root@srv:~# date
|
||||
Fri Jul 17 20:59:31 CEST 2020
|
||||
```
|
||||
|
||||
Sollte die Zeit nicht stimmen (um exakt 1 oder mehrere Stunden abweichen), muss noch die Zeitzone eingestellt werden. Das erledigt man mit dem folgenden Befehl:
|
||||
|
||||
```
|
||||
```bash
|
||||
dpkg-reconfigure tzdata
|
||||
```
|
||||
|
||||
@ -163,13 +164,13 @@ Der SSH-Zugang ist das wichtigste Instrument, um den Server zu verwalten. Dement
|
||||
|
||||
### 1. Port-Nummer ändern
|
||||
|
||||
Normalerweise ist der SSH-Server so eingestellt, dass er an Port 22 auf eingehende Verbindungen wartet. Das wissen natürlich auch alle Hacker und Spammer. Wenn ein neuer Server mit einer öffentlichen IP-Adresse eingerichtet wird, dauert es meist nicht lange, bis man in den Log-Dateien erste gescheiterte Verbindungsversuche findet, weil irgendwer versucht, sich Zugang zu verschaffen. Mit einem starken Passwort sollte das eigentlich nicht gelingen, aber es erzeugt immerhin unnötigen Datenverkehr und Log-Einträge.
|
||||
Normalerweise ist der SSH-Server so eingestellt, dass er an Port 22 auf eingehende Verbindungen wartet. Das wissen natürlich auch alle Hacker und Spammer. Wenn ein neuer Server mit einer öffentlichen IP-Adresse eingerichtet wird, dauert es meist nicht lange, bis man in den Log-Dateien erste gescheiterte Verbindungsversuche findet, weil irgendwer versucht, sich Zugang zu verschaffen. Mit einem starken Passwort sollte das eigentlich nicht gelingen, aber es erzeugt immerhin unnötigen Datenverkehr und Log-Einträge.
|
||||
|
||||
Es ist daher empfehlenswert, den Port des SSH-Servers zu ändern, um damit einen großen Teil der Angriffsversuche auszuschließen. Auf Wikipedia findet man eine [Liste der standardisierten Ports](https://de.wikipedia.org/wiki/Liste_der_standardisierten_Ports), aus der man entnehmen kann, dass die Ports 49152-65535 für diesen Zweck genutz werden können.
|
||||
|
||||
Um den Port zu ändern, wird die Datei `/etc/ssh/sshd_config` bearbeitet. Im Ausgangszustand ist die entsprechende Zeile meistens auskommentiert, da Port 22 als Standard gesetzt ist. In dem Fall muss "#" am Anfang der Zeile entfernt, und der neue Port eingetragen werden (in diesem Beispiel 54683).
|
||||
|
||||
```
|
||||
```bash
|
||||
...
|
||||
# The strategy used for options in the default sshd_config shipped with
|
||||
# OpenSSH is to specify options with their default value where
|
||||
@ -185,13 +186,13 @@ Port 54683
|
||||
|
||||
Die Änderung wird mit dem Neustart des SSH-Dienstes übernommen.
|
||||
|
||||
```
|
||||
```bash
|
||||
service ssh restart
|
||||
```
|
||||
|
||||
Bei der Anmeldung per ssh muss jetzt der Port als Parameter mit angegeben werden.
|
||||
|
||||
```
|
||||
```bash
|
||||
ssh -l root 1.2.3.4 -p 54683
|
||||
```
|
||||
|
||||
@ -203,4 +204,4 @@ ssh -l root 1.2.3.4 -p 54683
|
||||
|
||||
- [https://vitux.com/7-methods-to-generate-a-strong-password-in-ubuntu/](https://vitux.com/7-methods-to-generate-a-strong-password-in-ubuntu/)
|
||||
- [https://developer-blog.net/ssh-port-aendern/](https://developer-blog.net/ssh-port-aendern/)
|
||||
- [https://de.wikipedia.org/wiki/Liste_der_standardisierten_Ports](https://de.wikipedia.org/wiki/Liste_der_standardisierten_Ports)
|
||||
- [https://de.wikipedia.org/wiki/Liste_der_standardisierten_Ports](https://de.wikipedia.org/wiki/Liste_der_standardisierten_Ports)
|
||||
|
||||
Loading…
x
Reference in New Issue
Block a user