Беру VPS на reg.ru и провожу с ним нижеописанные манипуляции. Так как сам не очень силён в этом всём, то насобирал всё необходимое из разных статей. На данный момент у меня всё работает, но интересует вопрос правильно или нет я всё делаю и что в итоге у меня с безопасностью, нет ли особых проблем.
вот мои действия:
1. Обновляемся:
apt update && apt upgrade -y
2. Меняем root пароль
passwd
3. Создаём нового пользователя и добавляем его в sudo
adduser NewUserName
usermod -aG sudo NewUserName
входим новым пользователем
5. Создаём SSH ключ и копируем его на сервер.
Создание ключа: ssh-keygen -t rsa -b 4096
Загрузка ключа на сервер: ssh-copy-id -i ~/.ssh/keyname.pub NewUserName@iphost
Port 59043
Protocol 2
PermitRootLogin no
PasswordAuthentication no
ChallengeResponseAuthentication no
PermitEmptyPasswords no
PubkeyAuthentication yes
UseDNS yes
MaxAuthTries 3
# Задание пользователей и групп, которым разрешен доступ по SSH
# AllowGroups Group1, Group2, Group3
#AllowUsers NewUserName, root
LoginGraceTime 30
ClientAliveInterval 200
ClientAliveCountMax 3
TCPKeepAlive no
AddressFamily inet
IgnoreRhosts yes
HostbasedAuthentication no
LogLevel INFO
StrictModes yes
UsePrivilegeSeparation yes
7. Защищаем shared-память
sudo nano /etc/fstab
В конец файла добавьте строку:
tmpfs /run/shm tmpfs defaults,noexec,nosuid 0 0
Вот с этим пунктом, только что выяснил совершенно случайно, что есть некая беда с правами, так как через некоторое время не могу зайти сам на свои сервера. Сижу разбираюсь и все сервера переустанавливаю.
После этого выкатываю проект на django.
Всё ли я делаю первоночально правильно, нет ли чего лишнего или глупого или может ещё что то надо добавить?
Не следует делать рекурсивный chown/chmod на домашний каталог, и вообще не надо делать ни на один каталог, не осознавая чётко, зачем это нужно. В зависимости от ситуации могут начаться самые невероятные спецэффекты: слетевшие права, acl, контексты selinux итд.
В нормальной ситуации home пользователя и так создаётся с нормальными правами, как и .ssh со всем содержимым (ssh вообще очень внимательно к ним относится и откажется работать в случае проблем).