Debian & Ubuntu 服务器的初始化配置

Contents

本文最后更新于 2023 年 3 月 11 日

本文以 Ubuntu 22.04 为例，介绍如何对服务器进行初步配置，本文同样完全适用于 Debian 10 系统。

本例中，普通用户名采取 sammy 为例，服务器 ip 采取 xx.xxx.xx.xxx 为例，请根据自己的实际情况做相应修改。

创建新用户

登录服务器

本地执行：

1	ssh [email protected]

如产生问题，请先查看本文 Troubleshooting 一节。

更改密码

passwd

更新系统

1	apt update && apt full-upgrade -y && apt autoremove -y

安装必要软件

1	apt install sudo vim -y

创建用户

服务器上，以 root 用户执行：

1	adduser sammy

根据提示填写信息。

赋予 sudo 权限

服务器上，以 root 用户：

1	usermod -aG sudo sammy

登录此用户

在本地尝试登录此用户：

1	ssh [email protected]

设置 SSH 登录

在本地机器上执行：

1	ssh-keygen -a 1000 -t ed25519 -f ~/.ssh/sammy_server -C "sammy@sammy_host"

本地生成钥匙对后，将其中的公钥上传到服务器上：

1	ssh-copy-id -i ~/.ssh/sammy_server.pub [email protected]

按照提示输入密码。本地建立 config 文件：

1	vim ~/.ssh/config

添加如下内容：

~/.ssh/config

Host sammy_host    # 别名
    HostName xx.xxx.xx.xxx    # 替换 xx.xxx.xx.xxx 为服务器 ip 地址
    Port 22    # 端口，稍后会进行修改
    User sammy    # 用户名
    IdentityFile ~/.ssh/sammy_host    # 私钥文件

修改本地 config 文件权限：

1	chmod 600 ~/.ssh/config

利用私钥的登录方式，本地执行：

1	ssh sammy_host

接下来的所有配置，都请以 sammy 用户的身份进行。

自启用户的 systemd 服务

有时需要某些 sammy 用户的服务在开机启动，然而当 sammy 没有登录时，这些服务并不会随开机启动。但可以使用 loginctl 来进行设置。服务器上：

1	sudo loginctl enable-linger sammy

安全设置

强烈建议进行一些必要的安全设置。

禁止 root 登录

服务器编辑 /etc/ssh/sshd_config 文件：

1	sudo vim /etc/ssh/sshd_config

将 PermitRootLogin 改为 no ：

/etc/ssh/sshd_config

1	PermitRootLogin no

保存文件后重启服务：

1	sudo systemctl restart sshd

禁止密码登录

服务器编辑 /etc/ssh/sshd_config 文件：

1	sudo vim /etc/ssh/sshd_config

将 PasswordAuthentication 改为 no ：

/etc/ssh/sshd_config

1	PasswordAuthentication no

保存文件后重启服务：

1	sudo systemctl restart sshd

更改 SSH 端口

服务器编辑 /etc/ssh/sshd_config 文件：

1	sudo vim /etc/ssh/sshd_config

将 Port 改为自定义端口，本例为 12333：

/etc/ssh/sshd_config

1	Port 12333

保存文件后重启服务：

1	sudo systemctl restart sshd

本地编辑 ssh 的 config 文件，做相应修改：

~/.ssh/config

Host sammy_host
    HostName xx.xxx.xx.xxx
    Port 12333 # 修改了端口
    User sammy
    IdentityFile ~/.ssh/sammy_host

使用 ufw

安装 ufw ：

1	sudo apt update && sudo apt install ufw -y

允许 SSH 登录：

1	sudo ufw allow 12333

启用防火墙：

1	sudo ufw enable

查看状态：

1	sudo ufw status

启用二步验证

服务器安装 Google Authenticator

1	sudo apt update && sudo apt install libpam-google-authenticator -y

配置 Google Authenticator

1	google-authenticator

将出现一些问题：

1	Do you want authentication tokens to be time-based (y/n)

回答完此问题后，会出现二维码、Key，还有备用码，用手机的 Google Authenticator 扫描二维码或手动键入 Key，即可添加二步验证码，另外保存好备用码到一个安全的地方，以防手机丢失。

1	Do you want me to update your "~/.google_authenticator" file (y/n)

Do you want to disallow multiple uses of the same authentication token? This restricts you to one login about every 30s, but it increases your chances to notice or even prevent man-in-the-middle attacks (y/n)

By default, a new token is generated every 30 seconds by the mobile app.
In order to compensate for possible time-skew between the client and the server,
we allow an extra token before and after the current time. This allows for a
time skew of up to 30 seconds between authentication server and client. If you
experience problems with poor time synchronization, you can increase the window
from its default size of 3 permitted codes (one previous code, the current
code, the next code) to 17 permitted codes (the 8 previous codes, the current
code, and the 8 next codes). This will permit for a time skew of up to 4 minutes
between client and server.
Do you want to do so? (y/n)

If the computer that you are logging into isn't hardened against brute-force login attempts, you can enable rate-limiting for the authentication module. By default, this limits attackers to no more than 3 login attempts every 30s. Do you want to enable rate-limiting (y/n)

修改 sshd_config 文件

1	sudo vim /etc/ssh/sshd_config

找到 ChallengeResponseAuthentication 将其值改为 yes ，结果如下所示：

/etc/ssh/sshd_config

1
2
3

# Change to yes to enable challenge-response passwords (beware issues with
# some PAM modules and threads)
ChallengeResponseAuthentication yes

在此文件末尾添加一行：

/etc/ssh/sshd_config

1	AuthenticationMethods publickey,keyboard-interactive

接下来有两个不同的步骤

两个方案的优劣留待有大佬在评论区发表见解。

方案一

之后修改配置文件：

1	sudo vim /etc/pam.d/sshd

注释掉 @include common-auth 一行，结果如下所示：

/etc/pam.d/sshd

1 2	# Standard Un*x authentication. #@include common-auth

在此文件末尾添加一行：

/etc/pam.d/sshd

1	auth required pam_google_authenticator.so

方案二

之后修改配置文件：

1	sudo vim /etc/pam.d/sshd

在文件顶端添加一行：

/etc/pam.d/sshd

1	auth [success=done new_authtok_reqd=done default=die] pam_google_authenticator.so

重启 sshd 服务

1	sudo systemctl restart sshd

本地尝试登录

1	ssh user@serverip

显示：

1	Verification code:

输入二步验证码即可。

UFW 与 Docker

如果服务器计划部署 docker container，请注意其可能与 UFW 有冲突。此时，需要对 UFW 做一些调整，或采用服务商提供的防火墙。详情见：

优化设置

调整 swap 空间

创建交换文件：

1 2	sudo fallocate -l 1G /swapfile # 或者 sudo dd if=/dev/zero of=/swapfile bs=1024 count=1048576 sudo chmod 600 /swapfile

使用交换文件：

1 2	sudo mkswap /swapfile sudo swapon /swapfile

查看效果：

1 2	sudo swapon --show free -h

开机自动挂载：

1 2	sudo cp /etc/fstab /etc/fstab.bak echo '/swapfile none swap sw 0 0' \| sudo tee -a /etc/fstab

编辑 /etc/fstab 删掉之前的 swap 挂载行：

1	sudo vim /etc/fstab

安装 rsync

本地和服务器均安装 rsync ，方便日后文件传输：

1	sudo apt update && sudo apt install rsync -y

启用 BBR

启用之前，先检查是否已经启用了。

1	sudo sysctl net.ipv4.tcp_congestion_control

如果没有启用，则设置启用 BBR：

1
2
3

echo "net.core.default_qdisc = fq" | sudo tee -a /etc/sysctl.conf
echo "net.ipv4.tcp_congestion_control = bbr" | sudo tee -a /etc/sysctl.conf
sudo sysctl -p

检查是否已启用成功：