Saltar al contenido

Cómo instalar Linux, Apache, MySQL, PHP (LAMP) en Arch Linux

marzo 4, 2020

 

Introducción

Cuando se crea un nuevo servidor de Ubuntu 16.04, hay algunos pasos de configuración que se debe tener desde el principio como parte de la configuración básica. Esto aumentará la seguridad y la facilidad de uso de su servidor y le dará una base sólida para las acciones posteriores.

Primer Paso – Root entrar

para iniciar sesión en el servidor, necesitará conocer la dirección IP pública del servidor. También necesitará la contraseña o, si ha instalado una clave SSH para la autentificación, la clave privada para la cuenta de la “raíz” del usuario. Si aún no lo ha iniciado sesión en el servidor, es posible que desee seguir el primer tutorial de esta serie, Cómo conectarse a su Droplet con SSH, que cubre este proceso en detalle.

Si no está conectado a su servidor, adelante e inicie sesión como usuario root con el siguiente comando (sustituya la palabra resaltada con la dirección IP pública del servidor):

ssh root@your_server_ip

  • ssh root @ your_server_ip

completa el proceso de inicio de sesión mediante la aceptación de la advertencia sobre la autenticidad de acogida, si aparece, a continuación, proporcionar su acceso como usuario root (contraseña o clave privada). Si es su primera vez en el registro del servidor con una contraseña, también se le pedirá que cambie la contraseña de root.

Sobre Raíz

El usuario root es el usuario administrativo en un entorno Linux que tiene muy amplios privilegios. Debido a los privilegios elevados de la cuenta root, esté desanimado de su uso sobre una base regular. Esto se debe a que parte de la potencia inherente a la cuenta de root es la capacidad de hacer cambios muy destructivos, incluso por accidente.

El siguiente paso es la creación de una cuenta de usuario alternativo con un alcance reducido de influencia para el trabajo del día a día. Le enseñaremos cómo obtener un aumento de privilegios durante los tiempos cuando los necesite.

Segundo paso – Crear un nuevo usuario

Una vez que se ha identificado como root, estamos preparados para agregar la nueva cuenta de usuario que vamos a utilizar para conectarse a partir de ahora.

este ejemplo se crea un nuevo usuario llamado “Sammy”, pero se debe sustituirlo por un nombre de usuario que te gusta:

adduser sammy

  • adduser Sammy

Se le pedirá una serie de preguntas, comenzando con la contraseña de la cuenta.

Introduzca una contraseña segura y, opcionalmente, siga los pasos de cualquiera de la información adicional si desea. Esto no es necesario y sólo puede golpear ENTER en cualquier campo que desea saltar.

Paso Tres – Los privilegios de raíz

Ahora, tenemos una nueva cuenta de usuario con privilegios de cuenta regulares. Sin embargo, es posible que a veces hay que hacer las tareas administrativas.

para evitar tener que cerrar la sesión de nuestro usuario normal y volver a iniciar sesión como la cuenta raíz, podemos establecer lo que se conoce como “superusuario” o privilegios de root para nuestra cuenta normal. Esto permitirá que nuestro usuario normal para ejecutar comandos con privilegios administrativos, poniendo la palabra sudo antes de cada comando.

Para añadir estos privilegios a nuestro nuevo usuario, tenemos que añadir el nuevo usuario al grupo “sudo”. Por defecto, en Ubuntu 16.04, los usuarios que pertenecen al grupo “sudo” se les permite usar el comando sudo.

Como root, ejecute este comando para agregar el nuevo usuario al grupo la sudo (sustituir la palabra resaltada con su nuevo usuario):

usermod -aG sudo sammy

  • usermod -ag sudo Sammy

Ahora su usuario puede ejecutar comandos con superusuario privilegios! Para obtener más información acerca de cómo funciona este, echa un vistazo a este tutorial sudoers.

Si se quiere aumentar la seguridad de su servidor, siga el resto de los pasos de este tutorial.

Paso cuatro – Añadir la autenticación de clave pública (recomendado)

El siguiente paso en la seguridad de su servidor es para configurar la autenticación de clave pública para el nuevo usuario. Configurar esto aumentará la seguridad de su servidor al requerir una clave SSH privada para iniciar sesión.

Generar un par de claves

Si aún no dispone de un par de claves SSH, que consiste en una pública y una clave privada, es necesario para generar una. Si ya tiene una clave que desea utilizar, vaya a la Copiar el paso de clave pública .

para generar un nuevo par de claves, introduzca el siguiente comando en el terminal de la máquina local (es decir, su computadora.):

ssh-keygen

  • ssh-keygen

Asumiendo que su usuario local se llama “localuser”, se verá una salida que se parece a lo siguiente: Presione return

ssh-keygen outputGenerating public/private rsa key pair.
Enter file in which to save the key (/Users/localuser/.ssh/id_rsa):

para aceptar el nombre de archivo y la ruta (o introduzca un nuevo nombre).

A continuación, se le pedirá una frase de paso para asegurar la llave con. Puede ingresar una frase de contraseña o dejar en blanco la frase de contraseña.

Nota: Si deja en blanco la frase de contraseña, usted será capaz de utilizar la clave privada para la autenticación sin introducir una contraseña. Si introduce una contraseña, necesitará la clave privada y la frase de contraseña para iniciar sesión. Del acceso a sus llaves con frases de paso es más seguro, pero ambos métodos tienen sus usos y son más segura que la autenticación de contraseña básica.

Esto genera una clave privada, id_rsa, y una clave pública, id_rsa.pub, en el directorio .ssh del directorio principal del localuser ‘s. Recuerde que la clave privada no debe ser compartida con alguien que no debería tener acceso a sus servidores!

copiar la clave pública

Después de generar un par de claves SSH, tendrá que copiar la clave pública para su nuevo servidor. Vamos a cubrir dos formas fáciles de hacer esto.

Nota : no funcionará en digitalocean si se ha seleccionado el método de ssh-copy-id una clave SSH durante la creación de la gotita. Esto se debe a digitalocean deshabilita la autenticación de contraseña si una clave SSH está presente, y el ssh-copy-id se basa en la autenticación de contraseña para copiar la clave.

Si está utilizando digitalocean y selecciona una clave SSH durante la creación de la gotita, el uso de la opción 2 en su lugar.

Opción 1: Uso de ssh-copy-id

Si su máquina local tiene instalado el guión ssh-copy-id, se puede utilizar para instalar su clave pública a cualquier usuario que tiene credenciales de acceso para.

Ejecutar la secuencia de comandos ssh-copy-id especificando la dirección del usuario y el IP del servidor que desea instalar la llave de encendido, así:

ssh-copy-id sammy@your_server_ip

  • ssh-copy-id Sammy @ your_server_ip

Después de proporcionar su contraseña en el indicador, se añadirá su clave pública al archivo .ssh / authorized_keys del usuario remoto. La clave privada que corresponde ahora se puede utilizar para iniciar sesión en el servidor. Opción

2: Instalar manualmente la clave del

Suponiendo que haya generado un par de claves SSH utilizando el paso anterior, utilice el siguiente comando en el terminal de la máquina local para imprimir su clave pública (id_rsa.pub):

cat ~/.ssh/id_rsa.pub

  • cat ~ / .ssh / id_rsa.pub

Esto debería imprimir su clave pública SSH, que debe ser algo como lo siguiente:

id_rsa.pub contentsssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQDBGTO0tsVejssuaYR5R3Y/i73SppJAhme1dH7W2c47d4gOqB4izP0+fRLfvbznXFz4iOP/H6eCV05hqUhF+KYRxt9Y8tVMrpDZR2l75o6+xSbUOMu6xN+uVF0T9XzKcxmzTmnV7Na5up3QM3DoSRYX/EP3utr2+zAqpJIfKPLdA74w7g56oYWI9blpnpzxkEd3edVJOivUkpZ4JoenWManvIaSdMTJXMy3MtlQhva+j9CgguyVbUkdzK9KKEuah+pFZvaugtebsU+bllPTB0nlXGIJk98Ie9ZtxuY3nCKneB+KjKiXrAvXUPCI9mWkYS/1rggpFmu3HbXBnWSUdf localuser@machine.local

Seleccionar la clave pública, y copiarlo en el portapapeles.

Para habilitar el uso de la clave SSH para autenticar como el nuevo usuario remoto, debe agregar la clave pública en un archivo especial en el directorio personal del usuario.

En el servidor , como el usuario root , introduzca el siguiente comando para cambiar temporalmente al nuevo usuario (sustituir su propio nombre de usuario):

su - sammy

  • do – Sammy

Ahora usted estará en su nuevo directorio principal del usuario.

Crear un nuevo directorio llamado .ssh y restringir sus permisos con los siguientes comandos:

mkdir ~/.ssh
chmod 700 ~/.ssh

  • mkdir ~ / .ssh
  • chmod 700 ~ / .ssh

Ahora abrir un archivo en .ssh llamados authorized_keys con un texto editor. Vamos a utilizar nano para editar el archivo:

nano ~/.ssh/authorized_keys

  • nano ~ / .ssh / authorized_keys

Ahora inserte su clave pública (que debe estar en el portapapeles) pegándola en el editor.

pulse Ctrl-x para salir del archivo, entonces y para guardar los cambios realizados, a continuación, ENTER para confirmar el nombre del archivo.

Ahora restringir los permisos del archivo authorized_keys la con este comando:

chmod 600 ~/.ssh/authorized_keys

  • chmod 600 ~ / .ssh / authorized_keys

de escribir este comando vez para volver al usuario root:

exit

  • salida

Ahora su clave pública está instalado, y se puede utilizar claves SSH para iniciar la sesión como el usuario.

Para leer más acerca de cómo funciona la clave de autenticación, leer este tutorial: clave de autenticación basada en la forma de configurar SSH en un servidor Linux.

A continuación, le mostraremos cómo aumentar la seguridad de su servidor mediante la desactivación de la autenticación de contraseña.

Paso cinco – Desactivar contraseña de autenticación (recomendado)

Ahora que su nuevo usuario puede utilizar claves SSH para conectarse, se puede aumentar la seguridad del servidor mediante la desactivación de la autenticación por contraseña única. Si lo hace, restringir el acceso SSH a su servidor de autenticación de clave pública única. Es decir, la única manera de acceder a su servidor (aparte de la consola) es poseer la clave privada que se empareja con la clave pública que se instaló.

Nota: Sólo desactivar la autenticación de contraseña si ha instalado una clave pública a su usuario como se recomienda en la sección anterior, el paso cuatro. De lo contrario, se le encerrarse fuera de su servidor!

Para desactivar la autenticación por contraseña en el servidor, siga estos pasos.

Como raíz o su nuevo usuario sudo , abra la configuración demonio SSH:

sudo nano /etc/ssh/sshd_config

  • sudo nano / etc / ssh / sshd_config

Encuentre la línea que especifica PasswordAuthentication, descomentarla mediante la supresión de la anterior #, a continuación, cambiar su valor a “no”. Debe quedar como esto después de haber realizado el cambio:

PasswordAuthentication no

Aquí hay otros dos valores que son importantes para la autenticación de clave única y son fijados por defecto. Si no ha modificado este archivo antes, que no lo hace necesidad de cambiar estos ajustes:

PubkeyAuthentication yes
ChallengeResponseAuthentication no

Cuando haya terminado de realizar los cambios, guarde y cierre el archivo usando el método nos fuimos temprano (CTRL-X, a continuación, Y, a continuación, ENTER).

Tipo este para volver a cargar el demonio SSH:

sudo systemctl reload sshd

  • sudo sshd systemctl recarga de autenticación de contraseña

está desactivado. Su servidor es ahora sólo se puede acceder con la autenticación de clave SSH.

Sexto paso – Prueba Entrar

Ahora, antes de que finalice la sesión del servidor, se debe probar la nueva configuración. No desconecte hasta que se confirme que puede iniciar sesión con éxito a través de SSH.

En una nueva terminal en el equipo local , inicie sesión en el servidor con la nueva cuenta que hemos creado. Para ello, utilice este comando (sustituya su nombre de usuario y la dirección IP del servidor):

ssh sammy@your_server_ip

  • ssh Sammy @ your_server_ip

Si ha añadido la autenticación de clave pública a su usuario, tal como se describe en los pasos cuatro y cinco, su clave privada ser utilizado como autenticación. De lo contrario, se le pedirá la contraseña de su usuario.

Nota sobre la autenticación de clave: Si creó su par de claves con una frase de contraseña, se le pedirá que introduzca la frase para su clave. De lo contrario, si su par de claves es la frase de contraseña-menos, debe estar conectado a su servidor sin una contraseña.

Una vez que se proporciona la autenticación con el servidor, se le está conectado como el nuevo usuario.

Recuerde, si usted necesita para ejecutar un comando con privilegios de root, escriba “sudo” antes de que de esta manera:

sudo command_to_run

  • sudo command_to_run

Paso siete – la creación de un servidor de seguridad básico

Ubuntu 16.04 servidores pueden utilizar el UFW servidor de seguridad para asegurarse de que sólo se permiten conexiones a ciertos servicios. Podemos establecer un firewall básico muy fácilmente utilizando esta aplicación.

Diferentes aplicaciones pueden registrar sus perfiles con UFW momento de la instalación. Estos perfiles permiten UFW para gestionar estas aplicaciones por su nombre. OpenSSH, el servicio que nos permite conectar con nuestro servidor ahora, tiene un perfil registrado con UFW.

Esto se puede ver escribiendo:

sudo ufw app list

  • sudo UFW aplicación lista

OutputAvailable applications:
OpenSSH

Tenemos que asegurarnos de que el cortafuegos permite conexiones SSH para que puedan entrar de nuevo la próxima vez. Podemos permitir estas conexiones escribiendo:

sudo ufw allow OpenSSH

  • sudo UFW permiten OpenSSH

Posteriormente, se puede activar el cortafuegos escribiendo:

sudo ufw enable

  • sudo UFW permiten

Tipo “y” y pulse ENTER para continuar. Se puede ver que las conexiones SSH todavía se les escribiendo:

sudo ufw status

  • sudo UFW estado

OutputStatus: active

To Action From
-- ------ ----
OpenSSH ALLOW Anywhere
OpenSSH (v6) ALLOW Anywhere (v6)

Si de instalar y configurar servicios adicionales, tendrá que ajustar la configuración del firewall para permitir el tráfico aceptable en que puede aprender algo común. las operaciones de la UFW en esta guía.

dónde ir desde aquí?

En este punto, usted tiene una base sólida para su servidor. Puede instalar cualquier software que necesita en su servidor ahora.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *