延續在Linode上安裝Wordpress (一)的內容,現在我們有了一個遠端的伺服器,可以用ssh連接上去進行系統設定,我使用Putty作為終端機介面。在IP欄位打入Linode分配給你的IP位址然後點Open建立連線。

第一次連結會問你要不要儲存金鑰,如果你現在正在操作的電腦是常用電腦就選”Yes”,如果以後都不會從這裡login就選”No”。

接下來帳號的部分輸入root,密碼的部分是在系統Rebuild的時候輸入的密碼,如果一切正常會login進遠端系統

這個連結裡面有一個非常完整的安裝程序,雖然並沒有強調是在Linode上面安裝但基本上都通用,同時這個安裝程序強調網站安全性的設置,適合稍微進階一點的系統安裝者。這份安裝紀錄有大量的指令來自於此。

我會建議把接下來的操作命令寫成一個script,這樣日後需要重灌的時候只需要把這個script檔案找出來參考或是直接執行就好,就像下面這樣

上面的第12行是當你系統安裝完成以後,它不見得是更新到最新的狀態,所以手動的更新一下,所花的時間長短要看更新的內容多寡,在提示符號沒出現以前,耐心等待就好。

關於apt可以參考這裡,補充一點基礎知識。

14和15行安裝必要工具,在Linode的預設映像裡面已經包含了這兩個套件,所以就註解起來。接下來的操作如下:

設定主機名稱

把前面購買的網域名稱設定進入主機,沒有就不用寫

echo "yourdomain.com.tw" > /etc/hostname
hostname -F /etc/hostname
設定系統時區
dpkg-reconfigure tzdata

這個指令會帶出一個GUI畫面方便設定地區,先選Asia,再選Taipei即可

當設定完畢,會提示你目前的時區和時間

設定NPT網路校時
sudo apt-get install ntpdate
sudo ntpdate watch.stdtime.gov.tw
新增使用者
adduser hhliu

系統會要求你輸入密碼並且驗證密碼,然後會要求你輸入基本資料,要提醒的是密碼最好複雜些

然後我們將這個帳號加到sudo群組中

usermod -a -G sudo hhliu

我們可以用

id hhliu

來查看該用戶的UID和GID,可以確認這個新的帳號已經在sudo群組中

這個時候如果你是使用單步指令執行的話,你可以重新開一個Putty視窗,使用新的帳號登入來測試新帳號,同時接下來的設定使用新帳號來完成。原本使用root登入的視窗先不要關掉,作為一個如果不小心操作不當時的保險。

如果你是使用script批次執行,那就一路使用root執行到底。新帳號的login成功畫面:

 

SSH Configuration

因為安全性的考量,我們要禁止root由ssh登入,同時也將ssh的port number由22改到一個只有自己知道的位置,減少被入侵的機會。

使用nano編輯sshd_config檔案,將PermitRootLogin設定為no,將Port設定到一個自訂的位置,例如10123

sudo nano /etc/ssh/sshd_config

可以用ctrl+w來搜尋字串,Alt+w選擇下一個相符的字串,這樣可以很快地找到要修改的地方。

  1. 將Port 22前面的#拿掉,22改成10123
  2. PermitRootLogin yes改成PermitRootLogin no
  3. 按ctrl+o存檔,ctrl+x離開

然後重新啟動sshd服務

sudo systemctl restart sshd.service

這時候開始你就不能再使用root登入系統了,但是前面那個尚未關閉的視窗還是可以繼續使用。

設定防火牆

在CentOS7裡面習慣使用firewalld這個套件,在Ubuntu和Debian裡面使用ufw套件

安裝ufw,

sudo apt-get install ufw

設定防火牆,允許http(port 80),允許https(port 443),允許port 10123(剛才設定的ssh port)

sudo ufw default deny incoming && sudo ufw allow http && sudo ufw allow https && sudo ufw allow 10123

設定ftp需要使用的port,因為我們還沒架設ftp server,這些port先保留下來,如果在後面的ftp server安裝上產生問題,可以先將ufw關閉檢查,沒問題以後再打開

sudo ufw allow *****:xxxxx/tcp    #允許被動式ftp接口範圍從*****到xxxxx (自訂)
sudo ufw allow 21/tcp    #僅允許ftp port 21,禁止port 20,強制使用被動模

重新啟動ufw

sudo ufw disable && sudo ufw enable

檢查ufw設定

sudo ufw show added

如果要刪除剛剛設定的規則呢?或是要修改?

ufw 刪除規則的方法很簡單,就是在原本的規則前面加上 delete (刪除) 這個關鍵字,譬如刪除掉allow 10123這一項:

sudo ufw delete allow 10123
安裝fail2ban

fail2ban是一個預防暴力破解的套件,預設是當你嘗試登入6次失敗後就會ban掉登入的ip位址10分鐘

sudo apt-get install fail2ban
sudo service fail2ban start

到這邊,系統的基本環境算是設定好了,下一節我們將討論安裝Wordpress所需要的套件

在Linode上安裝Wordpress (一)

在Linode上安裝Wordpress (二)

發佈留言

Close Menu
error: