ഉബുണ്ടു 20.04/18.04, 16.04 എന്നിവയുള്ള പ്രാരംഭ സെർവർ സജ്ജീകരണം

നിങ്ങളുടെ സെർവറിന്റെ സുരക്ഷയും വിശ്വാസ്യതയും വർദ്ധിപ്പിക്കുന്നതിനായി ഒരു പുതിയ ഇൻസ്റ്റാൾ ചെയ്ത ഉബുണ്ടു സെർവറിൽ കോൺഫിഗർ ചെയ്യേണ്ട ആദ്യ അടിസ്ഥാന ഘട്ടങ്ങളെക്കുറിച്ച് ഈ ട്യൂട്ടോറിയൽ നിങ്ങളെ നയിക്കും.

ഈ വിഷയത്തിൽ വിശദീകരിച്ചിരിക്കുന്ന കോൺഫിഗറേഷനുകൾ എല്ലാ ഉബുണ്ടു സെർവർ സിസ്റ്റങ്ങൾക്കും ഏതാണ്ട് സമാനമാണ്, അടിസ്ഥാന OS പ്ലാറ്റ്uഫോമുമായി ബന്ധപ്പെട്ട്, ഉബുണ്ടു ഇൻസ്റ്റാൾ ചെയ്തിരിക്കുന്നത് ഒരു ബെയർ-മെറ്റൽ സെർവറിലോ, ഒരു സ്വകാര്യ വെർച്വൽ മെഷീനിലോ അല്ലെങ്കിൽ VPS പബ്ലിക്കിൽ സ്പിന്നുചെയ്uത ഒരു വെർച്വൽ മെഷീനിലോ. മേഘം.

• ഉബുണ്ടു 20.04 സെർവർ ഇൻസ്റ്റലേഷൻ
• ഉബുണ്ടു 18.04 സെർവർ ഇൻസ്റ്റലേഷൻ
• ഉബുണ്ടു 16.04 സെർവർ ഇൻസ്റ്റലേഷൻ

ഉബുണ്ടു സിസ്റ്റം അപ്uഡേറ്റ് ചെയ്യുകയും നവീകരിക്കുകയും ചെയ്യുക

ഉബുണ്ടു സെർവറിന്റെ പുതിയ ഇൻസ്റ്റാളേഷൻ അല്ലെങ്കിൽ ഒരു പുതിയ വിന്യസിച്ച ഉബുണ്ടു വിപിഎസ് കാര്യത്തിൽ നിങ്ങൾ ശ്രദ്ധിക്കേണ്ട ആദ്യ പടി സിസ്റ്റവും കേർണൽ, സുരക്ഷാ പാച്ചുകൾ പോലുള്ള എല്ലാ സിസ്റ്റം ഘടകങ്ങളും ഉറപ്പാക്കുക എന്നതാണ്.

ഉബുണ്ടു സെർവർ അപ്uഡേറ്റ് ചെയ്യുന്നതിന്, റൂട്ട് പ്രത്യേകാവകാശങ്ങളുള്ള ഒരു അക്കൗണ്ട് ഉപയോഗിച്ച് സെർവറിന്റെ കൺസോളിലേക്ക് ലോഗിൻ ചെയ്യുക അല്ലെങ്കിൽ റൂട്ട് ആയി നേരിട്ട് അപ്uഡേറ്റ് ചെയ്യാനും അപ്uഗ്രേഡ് ചെയ്യാനും താഴെയുള്ള കമാൻഡുകൾ പ്രവർത്തിപ്പിക്കുക.

$ sudo apt update 

അപ്uഡേറ്റ് കമാൻഡ് പ്രവർത്തിപ്പിച്ചതിന് ശേഷം, അപ്uഗ്രേഡിംഗ് പ്രോസസ്സിനായി ലഭ്യമായ പാക്കേജുകളുടെ എണ്ണവും പാക്കേജുകളുടെ അപ്uഗ്രേഡുകൾ ലിസ്റ്റുചെയ്യുന്നതിന് ഉപയോഗിക്കുന്ന കമാൻഡും നിങ്ങൾ കാണും.

$ sudo apt list --upgradable

അപ്uഗ്രേഡുചെയ്യുന്നതിന് ലഭ്യമായ പാക്കേജുകളുടെ ലിസ്റ്റ് നിങ്ങൾ പരിശോധിച്ച ശേഷം, സിസ്റ്റം അപ്uഗ്രേഡ് പ്രക്രിയ ആരംഭിക്കുന്നതിന് ചുവടെയുള്ള കമാൻഡ് നൽകുക.

$ sudo apt upgrade

പ്രാദേശികമായി ഡൗൺലോഡ് ചെയ്ത എല്ലാ deb പാക്കേജുകളും മറ്റ് എല്ലാ apt-get കാഷുകളും നീക്കം ചെയ്യുന്നതിനായി, താഴെയുള്ള കമാൻഡ് എക്സിക്യൂട്ട് ചെയ്യുക.

$ sudo apt autoremove
$ sudo apt clean

ഉബുണ്ടുവിൽ പുതിയ അക്കൗണ്ട് സൃഷ്ടിക്കുക

സ്ഥിരസ്ഥിതിയായി, ഒരു സുരക്ഷാ നടപടിയെന്ന നിലയിൽ, ഉബുണ്ടുവിൽ റൂട്ട് അക്കൗണ്ട് പൂർണ്ണമായും പ്രവർത്തനരഹിതമാണ്. സിസ്റ്റത്തിൽ ഒരു പുതിയ അക്കൗണ്ട് സൃഷ്uടിക്കുന്നതിന്, റൂട്ട് പ്രത്യേകാവകാശങ്ങളുള്ള അക്കൗണ്ട് ഉപയോക്താവുമായി സിസ്റ്റത്തിലേക്ക് ലോഗിൻ ചെയ്uത് ചുവടെയുള്ള കമാൻഡ് ഉപയോഗിച്ച് ഒരു പുതിയ അക്കൗണ്ട് സൃഷ്uടിക്കുക.

ഈ പുതിയ അക്കൌണ്ടിന് sudo കമാൻഡ് വഴി റൂട്ട് പവർ പ്രത്യേകാവകാശങ്ങൾ നൽകുകയും സിസ്റ്റത്തിൽ അഡ്മിനിസ്ട്രേറ്റീവ് ജോലികൾ നിർവഹിക്കാൻ ഉപയോഗിക്കുകയും ചെയ്യും. ഈ അക്കൗണ്ട് പരിരക്ഷിക്കുന്നതിന് നിങ്ങൾ ശക്തമായ ഒരു പാസ്uവേഡ് സജ്ജീകരിച്ചിട്ടുണ്ടെന്ന് ഉറപ്പാക്കുക. ഉപയോക്തൃ വിശദാംശങ്ങളും പാസ്uവേഡും സജ്ജീകരിക്കാൻ adduser പ്രോംപ്റ്റ് പിന്തുടരുക.

$ sudo adduser ubuntu_user

ഈ അക്കൗണ്ട് മറ്റൊരു സിസ്റ്റം അഡ്uമിന് അസൈൻ ചെയ്യപ്പെടുകയാണെങ്കിൽ, ഇനിപ്പറയുന്ന കമാൻഡ് നൽകി ആദ്യ ലോഗിൻ ശ്രമത്തിൽ തന്നെ അതിന്റെ പാസ്uവേഡ് മാറ്റാൻ നിങ്ങൾക്ക് ഉപയോക്താവിനെ നിർബന്ധിക്കാവുന്നതാണ്.

$ sudo chage -d0 ubuntu_user

ഇപ്പോൾ, പുതിയ ചേർത്ത ഉപയോക്താവിന് സുഡോ യൂട്ടിലിറ്റി വഴി അഡ്മിനിസ്ട്രേറ്റീവ് ജോലികൾ ചെയ്യാൻ കഴിയില്ല. ഈ പുതിയ ഉപയോക്തൃ അക്കൗണ്ട് അഡ്uമിനിസ്uട്രേറ്റീവ് പ്രത്യേകാവകാശങ്ങളോടെ അനുവദിക്കുന്നതിന് താഴെ പറയുന്ന കമാൻഡ് നൽകി ഉപയോക്താവിനെ \sudo സിസ്റ്റം ഗ്രൂപ്പിലേക്ക് ചേർക്കണം.

$ sudo usermod -a -G sudo ubuntu_user

സ്ഥിരസ്ഥിതിയായി, sudo ഗ്രൂപ്പിൽ പെട്ട എല്ലാ ഉപയോക്താക്കൾക്കും sudo യൂട്ടിലിറ്റി വഴി റൂട്ട് പ്രത്യേകാവകാശങ്ങളുള്ള കമാൻഡുകൾ നടപ്പിലാക്കാൻ അനുവാദമുണ്ട്. താഴെയുള്ള ഉദാഹരണത്തിൽ കാണിച്ചിരിക്കുന്നതുപോലെ, എക്സിക്യൂഷന് ആവശ്യമായ കമാൻഡ് എഴുതുന്നതിന് മുമ്പ് Sudo കമാൻഡ് ഉപയോഗിക്കണം.

$ sudo apt install package_name

സിസ്റ്റത്തിൽ ലോഗിൻ ചെയ്ത് sudo പ്രിഫിക്uസ് ചെയ്uത apt അപ്uഡേറ്റ് കമാൻഡ് പ്രവർത്തിപ്പിച്ച് പുതിയ ഉപയോക്താവിന് റൂട്ട് പ്രത്യേകാവകാശങ്ങൾ അനുവദിച്ചിട്ടുണ്ടോയെന്ന് പരിശോധിക്കുക.

$ su - ubuntu_user
$ sudo apt update

ഉബുണ്ടുവിൽ സിസ്റ്റം ഹോസ്റ്റ്നാമം കോൺഫിഗർ ചെയ്യുക

സാധാരണയായി, സിസ്റ്റം ഇൻസ്റ്റലേഷൻ പ്രക്രിയയിലോ ക്ലൗഡിൽ VPS സൃഷ്ടിക്കുമ്പോഴോ മെഷീൻ ഹോസ്റ്റ്നാമം സജ്ജീകരിക്കപ്പെടുന്നു. എന്നിരുന്നാലും, നിങ്ങളുടെ സെർവറിന്റെ ലക്ഷ്യസ്ഥാനം നന്നായി പ്രതിഫലിപ്പിക്കുന്നതിനോ അതിന്റെ അന്തിമ ഉദ്ദേശ്യം നന്നായി വിവരിക്കുന്നതിനോ വേണ്ടി നിങ്ങളുടെ മെഷീന്റെ പേര് മാറ്റണം.

ഒരു വലിയ കമ്പനിയിൽ, ഡാറ്റാസെന്ററിന്റെ റാക്കുകളിലെ യന്ത്രം എളുപ്പത്തിൽ തിരിച്ചറിയുന്നതിനായി സങ്കീർണ്ണമായ പേരിടൽ സ്കീമുകളുടെ പേരിലാണ് മെഷീനുകൾ അറിയപ്പെടുന്നത്. ഉദാഹരണത്തിന്, നിങ്ങളുടെ ഉബുണ്ടു മെഷീൻ ഒരു മെയിൽ സെർവർ പ്രവർത്തിപ്പിക്കുകയാണെങ്കിൽ, മെഷീന്റെ പേര് ഈ വസ്തുതയെ പ്രതിഫലിപ്പിക്കും കൂടാതെ നിങ്ങൾക്ക് mx01.mydomain.lan എന്ന് മെഷീൻ ഹോസ്റ്റ്നാമം സജ്ജീകരിക്കാം.

നിങ്ങളുടെ മെഷീൻ ഹോസ്റ്റ്നാമത്തെക്കുറിച്ചുള്ള വിശദാംശങ്ങൾ കാണിക്കുന്നതിന് ഇനിപ്പറയുന്ന കമാൻഡ് പ്രവർത്തിപ്പിക്കുക.

$ hostnamectl

നിങ്ങളുടെ മെഷീന്റെ പേര് മാറ്റുന്നതിന്, ചുവടെയുള്ള ഉദ്ധരണിയിൽ കാണിച്ചിരിക്കുന്നതുപോലെ, നിങ്ങളുടെ മെഷീനായി നിങ്ങൾ ക്രമീകരിക്കുന്ന പുതിയ പേര് ഉപയോഗിച്ച് hostnamectl കമാൻഡ് നൽകുക.

$ sudo hostnamectl set-hostname tecmint

ചുവടെയുള്ള കമാൻഡുകളിലൊന്ന് ഉപയോഗിച്ച് നിങ്ങളുടെ സിസ്റ്റത്തിന്റെ പുതിയ പേര് പരിശോധിക്കുക.

$ hostname
$ hostname -s
$ cat /etc/hostname 

ഉബുണ്ടുവിൽ പൊതു കീ പ്രാമാണീകരണത്തോടുകൂടിയ SSH സജ്ജീകരിക്കുക

ഒരു ഉബുണ്ടു സെർവറിന്റെ സിസ്റ്റം സെക്യൂരിറ്റി ഡിഗ്രി വർദ്ധിപ്പിക്കുന്നതിന്, നിങ്ങൾ ഒരു പ്രാദേശിക അക്കൗണ്ടിനായി SSH പബ്ലിക് കീ പ്രാമാണീകരണം സജ്ജീകരിക്കണം. SSH കീ പെയർ സൃഷ്ടിക്കുന്നതിന്, 2048 ബിറ്റുകൾ പോലെയുള്ള ഒരു കീ ദൈർഘ്യമുള്ള പൊതു, സ്വകാര്യ കീ, നിങ്ങളുടെ സെർവർ കൺസോളിൽ ഇനിപ്പറയുന്ന കമാൻഡ് എക്സിക്യൂട്ട് ചെയ്യുക.

നിങ്ങൾ SSH കീ സജ്ജീകരിക്കുന്ന ഉപയോക്താവുമായി സിസ്റ്റത്തിൽ ലോഗിൻ ചെയ്തിട്ടുണ്ടെന്ന് ഉറപ്പാക്കുക.

$ su - ubuntu_user
$ ssh-keygen -t RSA -b 2048

കീ ജനറേറ്റ് ചെയ്യുമ്പോൾ, കീ സുരക്ഷിതമാക്കാൻ പാസ്ഫ്രെയ്സ് ചേർക്കാൻ നിങ്ങളോട് ആവശ്യപ്പെടും. നിങ്ങൾക്ക് SSH സെർവർ വഴി ടാസ്uക്കുകൾ ഓട്ടോമേറ്റ് ചെയ്യണമെങ്കിൽ, നിങ്ങൾക്ക് ശക്തമായ ഒരു പാസ്uഫ്രെയ്uസ് നൽകാം അല്ലെങ്കിൽ പാസ്uഫ്രെയ്uസ് ശൂന്യമായി വിടാൻ തിരഞ്ഞെടുക്കാം.

SSH കീ ജനറേറ്റ് ചെയ്uത ശേഷം, ചുവടെയുള്ള കമാൻഡ് എക്uസിക്യൂട്ട് ചെയ്uത് നിങ്ങൾക്ക് പൊതു കീ ഒരു റിമോട്ട് സെർവറിലേക്ക് പകർത്താനാകും. റിമോട്ട് എസ്എസ്എച്ച് സെർവറിലേക്ക് പബ്ലിക് കീ ഇൻസ്uറ്റാൾ ചെയ്യുന്നതിന്, റിമോട്ട് സെർവറിലേക്ക് ലോഗിൻ ചെയ്യുന്നതിന് നിങ്ങൾക്ക് ശരിയായ അനുമതികളും ക്രെഡൻഷ്യലുകളുമുള്ള ഒരു വിദൂര ഉപയോക്തൃ അക്കൗണ്ട് ആവശ്യമാണ്.

$ ssh-copy-id [email _server

പൊതു കീ പ്രാമാണീകരണ രീതി ഉപയോഗിച്ച് നിങ്ങൾക്ക് SSH വഴി റിമോട്ട് സെർവറിലേക്ക് സ്വയമേവ ലോഗിൻ ചെയ്യാൻ കഴിയും. SSH പൊതു കീ പ്രാമാണീകരണം ഉപയോഗിക്കുമ്പോൾ നിങ്ങൾ വിദൂര ഉപയോക്തൃ പാസ്uവേഡ് ചേർക്കേണ്ടതില്ല.

നിങ്ങൾ റിമോട്ട് സെർവറിൽ ലോഗിൻ ചെയ്uത ശേഷം, താഴെയുള്ള സ്uക്രീൻഷോട്ടിൽ കാണിച്ചിരിക്കുന്നതുപോലെ, ലോഗിൻ ചെയ്uത ssh റിമോട്ട് ഉപയോക്താക്കളെ പട്ടികപ്പെടുത്തുന്നതിനുള്ള w കമാൻഡ് പോലുള്ള കമാൻഡുകൾ നിങ്ങൾക്ക് എക്uസിക്യൂട്ട് ചെയ്യാൻ തുടങ്ങാം.

റിമോട്ട് SSH സെഷൻ അടയ്ക്കാൻ കൺസോളിൽ എക്സിറ്റ് ടൈപ്പ് ചെയ്യുക.

$ ssh [email _server
$ w
$ exit

ഒരു റിമോട്ട് SSH സെർവറിലേക്ക് കീ സ്വമേധയാ ഇൻസ്റ്റാൾ ചെയ്യുന്നതിനായി നിങ്ങളുടെ പൊതു SSH കീയുടെ ഉള്ളടക്കം കാണുന്നതിന്, ഇനിപ്പറയുന്ന കമാൻഡ് നൽകുക.

$ cat ~/.ssh/id_rsa.pub

ഉബുണ്ടുവിൽ SSH സെർവർ സുരക്ഷിതമാക്കുക

SSH ഡെമൺ സുരക്ഷിതമാക്കുന്നതിന്, നിങ്ങൾ സ്ഥിരസ്ഥിതി SSH പോർട്ട് നമ്പർ 22-ൽ നിന്ന് 1024-നേക്കാൾ ഉയർന്ന ഒരു റാൻഡം പോർട്ടിലേക്ക് മാറ്റണം, കൂടാതെ SSH സെർവർ പ്രധാന കോൺഫിഗറേഷൻ ഫയൽ തുറന്ന് പാസ്uവേഡ് അല്ലെങ്കിൽ കീ വഴി റൂട്ട് അക്കൗണ്ടിലേക്കുള്ള റിമോട്ട് SSH ആക്uസസ് അനുവദിക്കരുത്. ഇനിപ്പറയുന്ന മാറ്റങ്ങൾ.

$ sudo vi /etc/ssh/sshd_config

ആദ്യം, കമന്റ് ചെയ്ത ലൈൻ #Port22 തിരയുക, താഴെ ഒരു പുതിയ ലൈൻ ചേർക്കുക (അതനുസരിച്ച് ലിസണിംഗ് പോർട്ട് നമ്പർ മാറ്റിസ്ഥാപിക്കുക):

Port 2345

ഫയൽ അടയ്uക്കരുത്, താഴേക്ക് സ്uക്രോൾ ചെയ്uത് #PermitRootLogin എന്ന വരിക്കായി തിരയുക, വരിയുടെ തുടക്കത്തിൽ നിന്ന് # ചിഹ്നം (ഹാഷ്uടാഗ്) നീക്കം ചെയ്uത് വരി അൺകമന്റ് ചെയ്യുക, ചുവടെയുള്ള ഉദ്ധരണിയിൽ കാണിച്ചിരിക്കുന്നതുപോലെ ലൈൻ പരിഷ്uക്കരിക്കുക.

PermitRootLogin no

അതിനുശേഷം, പുതിയ ക്രമീകരണങ്ങൾ പ്രയോഗിക്കുന്നതിനായി SSH സെർവർ പുനരാരംഭിക്കുകയും പുതിയ പോർട്ട് നമ്പർ വഴി റൂട്ട് അക്കൗണ്ട് ഉപയോഗിച്ച് ഒരു റിമോട്ട് മെഷീനിൽ നിന്ന് ഈ സെർവറിലേക്ക് ലോഗിൻ ചെയ്യാൻ ശ്രമിച്ചുകൊണ്ട് കോൺഫിഗറേഷൻ പരിശോധിക്കുകയും ചെയ്യുക. SSH വഴിയുള്ള റൂട്ട് അക്കൗണ്ടിലേക്കുള്ള ആക്uസസ് നിയന്ത്രിച്ചിരിക്കണം.

$ sudo systemctl restart sshd

കൂടാതെ, SSH സെർവറിനായുള്ള പുതിയ ലിസണിംഗ് പോർട്ട് നമ്പർ കാണിക്കുന്നതിനായി grep കമാൻഡ് പ്രവർത്തിപ്പിക്കുക.

$ sudo ss -tlpn| grep ssh
$ sudo netstat -tlpn| grep ssh

നിങ്ങളുടെ സെർവറിലേക്ക് സ്ഥാപിതമായ എല്ലാ റിമോട്ട് എസ്എസ്എച്ച് കണക്ഷനുകളും പ്രവർത്തനരഹിതമായ ഒരു കാലയളവിനുശേഷം സ്വയമേവ വിച്ഛേദിക്കാൻ നിങ്ങൾ ആഗ്രഹിക്കുന്ന സാഹചര്യങ്ങളുണ്ട്.

ഈ ഫീച്ചർ പ്രവർത്തനക്ഷമമാക്കുന്നതിന്, താഴെയുള്ള കമാൻഡ് എക്സിക്യൂട്ട് ചെയ്യുക, അത് നിങ്ങളുടെ അക്കൗണ്ടിലേക്ക് TMOUT ബാഷ് വേരിയബിൾ .bashrc മറച്ച ഫയലിൽ ചേർക്കുന്നു, കൂടാതെ ഉപയോക്താവിന്റെ പേരിലുള്ള എല്ലാ SSH കണക്ഷനും 5 മിനിറ്റ് നിഷ്uക്രിയത്വത്തിന് ശേഷം വിച്ഛേദിക്കപ്പെടുകയോ ഉപേക്ഷിക്കുകയോ ചെയ്യുന്നു.

$ echo 'TMOUT=300' >> .bashrc

.bashrc ഫയലിന്റെ അവസാനം വേരിയബിൾ ശരിയായി ചേർത്തിട്ടുണ്ടോ എന്ന് പരിശോധിക്കാൻ tail കമാൻഡ് പ്രവർത്തിപ്പിക്കുക. ഇനി മുതൽ 5 മിനിറ്റ് നിഷ്uക്രിയത്വത്തിന് ശേഷം തുടർന്നുള്ള എല്ലാ SSH കണക്ഷനുകളും സ്വയമേവ അടയ്uക്കും.

$ tail .bashrc

താഴെയുള്ള സ്uക്രീൻഷോട്ടിൽ, ubuntu_user അക്കൗണ്ട് വഴി Drupal മെഷീനിൽ നിന്ന് ഉബുണ്ടു സെർവറിലേക്കുള്ള റിമോട്ട് SSH സെഷൻ കാലഹരണപ്പെട്ടു, 5 മിനിറ്റിനുശേഷം സ്വയമേവ ലോഗ്ഔട്ട് ചെയ്യുന്നു.

ഉബുണ്ടു ഫയർവാൾ UFW കോൺഫിഗർ ചെയ്യുക

നെറ്റ്uവർക്ക് തലത്തിൽ സിസ്റ്റം സുരക്ഷിതമാക്കാൻ എല്ലാ സെർവറിനും നന്നായി ക്രമീകരിച്ച ഫയർവാൾ ആവശ്യമാണ്. സെർവറിലെ iptables നിയമങ്ങൾ നിയന്ത്രിക്കുന്നതിന് ഉബുണ്ടു സെർവർ UFW ആപ്ലിക്കേഷൻ ഉപയോഗിക്കുന്നു.

താഴെ പറയുന്ന കമാൻഡുകൾ നൽകി ഉബുണ്ടുവിലെ UFW ഫയർവാൾ ആപ്ലിക്കേഷന്റെ നില പരിശോധിക്കുക.

$ sudo systemctl status ufw
$ sudo ufw status

സാധാരണയായി, UFW ഫയർവാൾ ഡെമൺ ഉബുണ്ടു സെർവറിൽ പ്രവർത്തിക്കുന്നു, എന്നാൽ നിയമങ്ങൾ സ്ഥിരസ്ഥിതിയായി ബാധകമല്ല. നിങ്ങളുടെ സിസ്റ്റത്തിൽ UFW ഫയർവാൾ നയം പ്രവർത്തനക്ഷമമാക്കുന്നതിന് മുമ്പ്, മാറിയ SSH പോർട്ട് വഴി SSH ട്രാഫിക്കിനെ ഫയർവാളിലൂടെ കടന്നുപോകാൻ അനുവദിക്കുന്നതിന് നിങ്ങൾ ആദ്യം ഒരു പുതിയ നിയമം ചേർക്കണം. താഴെ പറയുന്ന കമാൻഡ് എക്സിക്യൂട്ട് ചെയ്തുകൊണ്ട് റൂൾ ചേർക്കാവുന്നതാണ്.

$ sudo ufw allow 2345/tcp

നിങ്ങൾ SSH ട്രാഫിക് അനുവദിച്ചതിന് ശേഷം, ഇനിപ്പറയുന്ന കമാൻഡുകൾ ഉപയോഗിച്ച് നിങ്ങൾക്ക് UFW ഫയർവാൾ ആപ്ലിക്കേഷൻ പ്രവർത്തനക്ഷമമാക്കാനും പരിശോധിക്കാനും കഴിയും.

$ sudo ufw enable
$ sudo ufw status

HTTP സെർവർ, ഒരു മെയിൽ സെർവർ അല്ലെങ്കിൽ മറ്റ് നെറ്റ്uവർക്ക് സേവനങ്ങൾ പോലുള്ള നിങ്ങളുടെ സെർവറിൽ പിന്നീട് ഇൻസ്റ്റാൾ ചെയ്തിട്ടുള്ള മറ്റ് നെറ്റ്uവർക്ക് സേവനങ്ങൾക്കായി പുതിയ ഫയർവാൾ നിയമങ്ങൾ ചേർക്കുന്നതിന്, ഗൈഡായി താഴെയുള്ള ഫയർവാൾ കമാൻഡ് ഉദാഹരണങ്ങൾ ഉപയോഗിക്കുക.

$ sudo ufw allow http  #allow http traffic
$ sudo ufw allow proto tcp from any to any port 25,443  # allow https and smtp traffic

എല്ലാ ഫയർവാൾ നിയമങ്ങളും ലിസ്റ്റുചെയ്യുന്നതിന് താഴെയുള്ള കമാൻഡ് പ്രവർത്തിപ്പിക്കുക.

$ sudo ufw status verbose

ഉബുണ്ടു സെർവർ സമയം സജ്ജമാക്കുക

ഉബുണ്ടു സെർവർ ക്ലോക്കും മറ്റ് അനുബന്ധ സമയ ക്രമീകരണങ്ങളും നിയന്ത്രിക്കാനോ അന്വേഷിക്കാനോ, ഒരു ആർഗ്യുമെന്റും കൂടാതെ timedatectl കമാൻഡ് എക്സിക്യൂട്ട് ചെയ്യുക.

നിങ്ങളുടെ സെർവറിന്റെ സമയ മേഖല ക്രമീകരണങ്ങൾ മാറ്റുന്നതിനായി, ലഭ്യമായ എല്ലാ സമയ മേഖലകളും ലിസ്റ്റ് ചെയ്യുന്നതിനായി, ലിസ്റ്റ്-ടൈം സോൺ ആർഗ്യുമെന്റ് ഉപയോഗിച്ച് timedatectl കമാൻഡ് പ്രവർത്തിപ്പിക്കുക, തുടർന്ന്, ചുവടെയുള്ള ഉദ്ധരണിയിൽ കാണിച്ചിരിക്കുന്നതുപോലെ നിങ്ങളുടെ സിസ്റ്റത്തിന്റെ സമയ മേഖല സജ്ജമാക്കുക.

$ sudo timedatectl 
$ sudo timedatectl list-timezones 
$ sudo timedatectl set-timezone Europe/Vienna

നെറ്റ്uവർക്കിലുടനീളം നിങ്ങളുടെ സെർവറിന് കൃത്യമായ സമയം നൽകുന്നതിനും അപ്പർ ടൈം പിയർ സെർവറുമായി സമയം സമന്വയിപ്പിക്കുന്നതിനും ഉബുണ്ടുവിൽ പുതിയ systemd-timesyncd systemd ഡെമൺ ക്ലയന്റ് ഉപയോഗിക്കാനാകും.

Systemd-ന്റെ ഈ പുതിയ സവിശേഷത പ്രയോഗിക്കുന്നതിന്, systemd-timesyncd ഡെമൺ കോൺഫിഗറേഷൻ ഫയൽ പരിഷ്uക്കരിക്കുകയും താഴെയുള്ള ഫയൽ ഉദ്ധരണിയിൽ കാണിച്ചിരിക്കുന്നതുപോലെ ഭൂമിശാസ്ത്രപരമായി ഏറ്റവും അടുത്തുള്ള NTP സെർവറുകൾ NTP സ്റ്റേറ്റ്uമെന്റ് ലൈനിലേക്ക് ചേർക്കുകയും ചെയ്യുക:

$ sudo nano /etc/systemd/timesyncd.conf

timesyncd.conf ഫയലിലേക്ക് ഇനിപ്പറയുന്ന കോൺഫിഗറേഷൻ ചേർക്കുക:

[Time]
NTP=0.pool.ntp.org 1.pool.ntp.org
FallbackNTP=ntp.ubuntu.com

നിങ്ങളുടെ ഏറ്റവും അടുത്തുള്ള ഭൂമിശാസ്ത്രപരമായ NTP സെർവറുകൾ ചേർക്കുന്നതിന്, ഇനിപ്പറയുന്ന വിലാസത്തിൽ NTP പൂൾ പ്രോജക്റ്റ് സെർവർ ലിസ്റ്റ് പരിശോധിക്കുക: http://www.pool.ntp.org/en/

അതിനുശേഷം, മാറ്റങ്ങൾ പ്രതിഫലിപ്പിക്കുന്നതിനായി Systemd timesync ഡെമൺ പുനരാരംഭിക്കുകയും താഴെ പറയുന്ന കമാൻഡുകൾ പ്രവർത്തിപ്പിച്ച് ഡെമൺ നില പരിശോധിക്കുക. പുനരാരംഭിച്ചതിന് ശേഷം, പുതിയ ntp സെർവർ പിയറുമായി ഡെമൺ സമയം സമന്വയിപ്പിക്കാൻ തുടങ്ങും.

$ sudo systemctl restart systemd-timesyncd.service 
$ sudo systemctl status systemd-timesyncd.service

ഉബുണ്ടുവിൽ ആവശ്യമില്ലാത്ത സേവനങ്ങൾ പ്രവർത്തനരഹിതമാക്കുകയും നീക്കം ചെയ്യുകയും ചെയ്യുക

നിങ്ങളുടെ ഉബുണ്ടു സെർവറിൽ സ്ഥിരസ്ഥിതിയായി പ്രവർത്തിക്കുന്ന എല്ലാ TCP, UDP നെറ്റ്uവർക്ക് സേവനങ്ങളുടെയും ഒരു ലിസ്റ്റ് ലഭിക്കുന്നതിന്, ss അല്ലെങ്കിൽ netstat കമാൻഡ് എക്സിക്യൂട്ട് ചെയ്യുക.

$ sudo netstat -tulpn
OR
$ sudo ss -tulpn

ഉബുണ്ടു 16.10 റിലീസ് ഉപയോഗിച്ച് നോക്കുമ്പോൾ, netstat അല്ലെങ്കിൽ ss കമാൻഡുകളുടെ ഔട്ട്uപുട്ട് വെളിപ്പെടുത്തിയതുപോലെ, സ്ഥിരസ്ഥിതി DNS റിസോൾവർ ഇപ്പോൾ systemd-പരിഹരിച്ച സേവനത്താൽ നിയന്ത്രിക്കപ്പെടുന്നു.

ഇനിപ്പറയുന്ന കമാൻഡ് പ്രവർത്തിപ്പിച്ച് നിങ്ങൾ systemd-പരിഹരിച്ച സേവന നിലയും പരിശോധിക്കണം.

$ sudo systemctl status systemd-resolved.service

systemd-പരിഹരിച്ച സേവനം എല്ലാ പ്രവർത്തനക്ഷമമാക്കിയ നെറ്റ്uവർക്ക് ഇന്റർഫേസുകളിലും ബൈൻഡ് ചെയ്യുകയും 53, 5355 TCP, UDP എന്നീ പോർട്ടുകളിൽ കേൾക്കുകയും ചെയ്യുന്നു.

സുരക്ഷിതമല്ലാത്ത DNS സെർവറുകൾക്കെതിരെ ക്ഷുദ്ര ഹാക്കർമാർ നടത്തുന്ന നിരവധി DDOS ആക്രമണങ്ങൾ കാരണം ഒരു പ്രൊഡക്ഷൻ സെർവറിൽ സിസ്റ്റം-പരിഹരിച്ച കാഷിംഗ് DNS ഡെമൺ പ്രവർത്തിപ്പിക്കുന്നത് അപകടകരമാണ്.

ഈ സേവനം നിർത്തുന്നതിനും പ്രവർത്തനരഹിതമാക്കുന്നതിനും, ഇനിപ്പറയുന്ന കമാൻഡുകൾ പ്രവർത്തിപ്പിക്കുക.

$ sudo systemctl stop systemd-resolved
$ sudo systemctl disable systemd-resolved

ss അല്ലെങ്കിൽ netstat കമാൻഡ് നൽകി സേവനം നിർത്തുകയും പ്രവർത്തനരഹിതമാക്കുകയും ചെയ്തിട്ടുണ്ടോയെന്ന് പരിശോധിക്കുക. systemd-പരിഹരിച്ച ലിസണിംഗ് പോർട്ടുകൾ, 53, 5355 TCP, UDP എന്നിവ, താഴെ ചിത്രീകരിച്ചിരിക്കുന്നതുപോലെ, netstat അല്ലെങ്കിൽ ss കമാൻഡ് ഔട്ട്uപുട്ടിൽ ലിസ്റ്റ് ചെയ്യാൻ പാടില്ല.

എല്ലാ systemd-പരിഹരിച്ച ഡെമൺ സേവനങ്ങളും പൂർണ്ണമായും പ്രവർത്തനരഹിതമാക്കുന്നതിനും സ്ഥിരസ്ഥിതി /etc/resolv.conf ഫയൽ പുനഃസ്ഥാപിക്കുന്നതിനും നിങ്ങൾ മെഷീൻ റീബൂട്ട് ചെയ്യണം.

$ sudo ss -tulpn
$ sudo netstat -tulpn
$ sudo systemctl reboot

നിങ്ങളുടെ സെർവറിൽ പ്രവർത്തിക്കാൻ ചില അനാവശ്യ നെറ്റ്uവർക്കിംഗ് സേവനങ്ങൾ നിങ്ങൾ പ്രവർത്തനരഹിതമാക്കിയിട്ടുണ്ടെങ്കിലും, നിങ്ങളുടെ സിസ്റ്റത്തിൽ എൽഎക്uസ്uസി പ്രോസസ്, സ്uനാപ്uഡ് സേവനം എന്നിവ പോലുള്ള മറ്റ് സേവനങ്ങളും ഇൻസ്റ്റാൾ ചെയ്യുകയും പ്രവർത്തിക്കുകയും ചെയ്യുന്നു. ഈ സേവനങ്ങൾ ടോപ്പ് അല്ലെങ്കിൽ pstree കമാൻഡുകൾ വഴി എളുപ്പത്തിൽ കണ്ടെത്താനാകും.

$ sudo ps aux
$ sudo top
$ sudo pstree

നിങ്ങളുടെ സെർവറിൽ നിങ്ങൾ LXC കണ്ടെയ്uനർ വിർച്ച്വലൈസേഷൻ ഉപയോഗിക്കാൻ പോകുന്നില്ലെങ്കിലോ Snap പാക്കേജ് മാനേജർ വഴി പാക്കേജുചെയ്uത സോഫ്uറ്റ്uവെയർ ഇൻസ്റ്റാൾ ചെയ്യാൻ തുടങ്ങുന്നില്ലെങ്കിൽ, ചുവടെയുള്ള കമാൻഡുകൾ നൽകി നിങ്ങൾ ഈ സേവനങ്ങൾ പൂർണ്ണമായും പ്രവർത്തനരഹിതമാക്കുകയും നീക്കം ചെയ്യുകയും വേണം.

$ sudo apt autoremove --purge lxc-common lxcfs
$ sudo apt autoremove --purge snapd

അത്രയേയുള്ളൂ! ഇപ്പോൾ, ഒരു വെബ് സെർവർ, ഒരു ഡാറ്റാബേസ് സെർവർ, ഒരു ഫയൽ ഷെയർ സേവനം അല്ലെങ്കിൽ മറ്റ് നിർദ്ദിഷ്ട ആപ്ലിക്കേഷനുകൾ ഇൻസ്റ്റാൾ ചെയ്യുകയും കോൺഫിഗർ ചെയ്യുകയും ചെയ്യുന്ന ഇഷ്uടാനുസൃത നെറ്റ്uവർക്ക് സേവനങ്ങൾക്കോ ആപ്ലിക്കേഷനുകൾക്കോ ആവശ്യമായ അധിക സോഫ്റ്റ്uവെയർ ഇൻസ്റ്റാൾ ചെയ്യുന്നതിനായി ഉബുണ്ടു സെർവർ ഇപ്പോൾ തയ്യാറാണ്.