Debian 8 настройка после установки: Настройка после установки Debian 8 «Jessie»
Содержание
Настройка после установки Debian 8 «Jessie»
Свежеустановленный Debian нуждается в небольшой доводке до ума. Здесь я опишу несколько типовых шагов, которые я рекомендую проделать после установки Debian. Начнём.
Для начала нужно установить sudo — утилиту, с помощью которой можно давать права администратора программам, при необходимости (обновление системы, установка/удаление программ, административная работа и т.д):
su
ваш пароль root
apt install sudo
adduser имя пользователя sudo
Подключим дополнительные репозитории программ:
sudo nano /etc/apt/sources.list
В каждой строчке, после слова main, пишем contrib non-free.
contrib — свободное ПО, которое имеет зависимость от несвободного.
non-free — несвободное ПО и ПО ограниченное патентами. Например проприетарные драйверы.
Подключим репозиторий Backports. В нём находятся свежие версии некоторого ПО (например ядер, драйверов и многого другого), которое достаточно стабильное для Debian Stable, но не успевшее попасть в финальный выпуск.
Пакеты в данном репозитории переносятся из тестовой ветки Debian и адаптируются для использования в стабильной, без нарушения нормальной работы системы.
deb http://mirror.yandex.ru/debian jessie-backports main contrib non-free
deb-src http://mirror.yandex.ru/debian jessie-backports main contrib non-free
Если вы хотите всегда иметь самую свежую версию браузера Iceweasel, подключите репозиторий:
deb http://mozilla.debian.net/ jessie-backports iceweasel-release
Пакеты из репозитория backports устанавливаются командой:
sudo apt install -t jessie-backports имя пакета
Когда все нужные репозитории прописаны, сохраняем (Ctrl+O, Enter) и выходим из редактора (Ctrl+X).
Теперь осталось обновить список пакетов. Если вы подключили репозиторий со свежим Iceweasel, то сначала установите ключ репозитория:
sudo apt install pkg-mozilla-archive-keyring
и уже теперь обновляем список пакетов:
sudo apt-get update
Теперь установим драйвера, а также различные мультимедиа пакеты, расширяющие функционал системы.
-]*-,,’) fglrx-driver
После установки, выполните sudo aticonfig —initial Эта команда создаст конфигурационный файл xorg.conf. Альтернативный, ручной вариант:
sudo mkdir /etc/X11/xorg.conf.d
sudo echo -e ‘Section «Device»\n\tIdentifier «My GPU»\n\tDriver «fglrx»\nEndSection’ > /etc/X11/xorg.conf.d/20-fglrx.conf
Для обладателей видеокарт Nvidia. Здесь ситуация обратная. Свободный драйвер сильно ограничен по функциональности и производительности (хотя в последних версиях он стал весьма неплох, и если вам не нужны игры и крутые графические эффекты — можете смело его использовать). Напротив, проприетарный драйвер обладает всеми достоинствами, поддержкой всех фирменных технологий Nvidia и замечательной производительностью в играх (которая сравнима с Windows, а порой и сильно превышает её). Устанавливаем:
sudo apt install nvidia-glx nvidia-kernel-`uname -r` nvidia-kernel-dkms nvidia-settings nvidia-xconfig
После установки выполните sudo nvidia-xconfig и перезагрузитесь.
Далее рекомендуется поставить драйверы на сетевую карту (особенно если это wi-fi). Для карт на чипах Realtek, это пакет firmware-realtek, для Ralink — firmware-ralink. Узнать модель вашей сетевой карты можно командой lspci (искать строки Ethernet и/или Network).
Теперь установим расширенную поддержку мультимедиа. Копируем следующую монструозную команду:
sudo apt install flashplugin-nonfree ttf-mscorefonts-installer freepats gstreamer0.10-plugins-base gstreamer0.10-plugins-good gstreamer1.0-fluendo-mp3 gstreamer0.10-fluendo-mp3 gstreamer0.10-plugins-ugly gstreamer0.10-pulseaudio gstreamer1.0-pulseaudio unrar gstreamer1.0-plugins-base gstreamer1.0-plugins-good gstreamer1.0-plugins-ugly cabextract gstreamer1.0-libav
Flash Player, шрифты Microsoft TTF (многие сайты без них выглядят вырвиглазно), плагины для GStreamer, улучшенная поддержка mp3, h.264 и распаковщик RAR-архивов. Всё это мы только что установили 🙂
Кстати о шрифтах.
Вы наверно заметили, что изкоробочные шрифты в Debian выглядят не очень (хотя конечно дело вкуса). Я использую шрифт Droid Sans, который довольно хорошо выглядит и не напрягает глаза. Вы же можете выбрать любой. Но хороший шрифт — половина дела. Нужно правильно настроить его сглаживание. Со шрифтами кроме Droid Sans, следующие настройки я не проверял, так что будьте внимательны (по умолчанию в Debian используется шрифт DejaVu Sans). Ну ладно, ближе к делу. В вашей домашней директории, включите показ скрытых файлов, и зайдите в директорию .config/fontconfig. В ней создайте файл fonts.conf со следующим содержимым:
<?xml version=»1.0″?>
<!DOCTYPE fontconfig SYSTEM «fonts.dtd»>
<fontconfig>
<match target=»font»>
<edit mode=»assign» name=»hinting»>
<bool>true</bool>
</edit>
</match>
<match target=»font»>
<edit mode=»assign» name=»hintstyle»>
<const>hintslight</const>
</edit>
</match>
<match target=»font»>
<edit mode=»assign» name=»rgba»>
<const>rgb</const>
</edit>
</match>
<match target=»font»>
<edit mode=»assign» name=»antialias»>
<bool>true</bool>
</edit>
</match>
<match target=»font»>
<edit mode=»assign» name=»lcdfilter»>
<const>lcddefault</const>
</edit>
</match>
</fontconfig>
Далее в самой домашней директории, создайте файл .
Xresources со следующим содержимым:
Xft.autohint: 0
Xft.lcdfilter: lcddefault
Xft.hintstyle: hintslight
Xft.hinting: 1
Xft.antialias: 1
Xft.rgba: rgb
Xft.dpi: 84
Обратите внимание на строку Xft.dpi: 84. Здесь указан DPI (количество точек на дюйм) данного монитора. У меня это 84. Узнать ваше значение можно командой
xdpyinfo | grep resolution
Далее набираем sudo dpkg-reconfigure fontconfig-config На первой вкладке выбираем Autohinter, на второй «Всегда», на третьей «Нет» Применяем:
sudo dpkg-reconfigure fontconfig
Теперь выполните команду xrdb -merge ~/.Xresources и перезайдите в систему. Шрифт станет значительно приятнее.
Настроим использование раздела подкачки — параметр swappiness. Значение swappiness, варьирующееся от 0 до 100, является степенью, при которой система поддерживает анонимную память или кеш страниц.
Высокое значение повышает производительность файловой системы, при агрессивной подкачке наименее активных процессов. Низкое значение позволяет избежать подкачки процессов из памяти, что обычно снижает время ожидания за счет производительности ввода-вывода. Значение по умолчанию равно 60. Открываем файл:
sudo nano /etc/sysctl.conf
и в конец пишем vm.swappiness = 10
сохраняем и применяем: sudo sysctl -p
Это значение рекомендуется для повышения производительности, когда в системе достаточно оперативной памяти. Внимание: при значении vm.swappiness = 0 подкачка будет полностью отключена, что может привести к запуску OOM Killer при переполнении оперативной памяти.
Если вы используете графическую среду KDE, то столкнётесь с такой неприятностью, когда некоторые приложения будут выбиваться из системного оформления, и выглядеть как пришельцы из Windows 95.
Дело в том, что программы, написанные на GTK+ (а не на Qt, как KDE), не могут использовать системное оформление без соответствующего движка темы.
Поэтому эти движки нужно установить:
sudo apt install gtk2-engines-oxygen gtk3-engines-oxygen kde-config-gtk-style (если вы используете в качестве оформления движок QtCurve, вместо oxygen, то установите ещё gtk2-engines-qtcurve)
Теперь всё как надо.
Прочие полезные приложения:
GDebi (установщик deb-пакетов): sudo apt install gdebi (для KDE gdebi-kde)
Synaptic (менеджер пакетов): sudo apt install synaptic apt-xapian-index(в KDE по умолчанию есть Apper, установка Synaptic нежелательна).
p7zip (7z архиватор): sudo apt install p7zip
systemdadm (графический фронтенд для системного менеджера systemd): sudo apt install systemd-ui
Gparted (редактор дисковых разделов): sudo apt install gparted (для KDE рекомендуется partitionmanager): sudo apt install partitionmanager
NTFS-config (утилита для работы с дисками в файловой системе NTFS): sudo apt install ntfs-config
Примечание:
Файлы fonts.
conf и .Xresources из этой статьи.
Скрипт для установки мультимедия пакетов и автоматического включения contrib и non-free.
Неофициальный deb-пакет для установки всех мультимедиа пакетов. Только x86-64.
Debian настройка сервера | serveradmin.ru
После установки нового сервера приходится выполнять один и тот же набор стандартных настроек. Сегодня мы займемся базовой настройкой сервера под управлением операционной системы Debian. Я приведу практические советы по небольшому увеличению безопасности и удобству администрирования, основанные на моем личном опыте.
Если у вас есть желание научиться строить и поддерживать высокодоступные и надежные системы, рекомендую познакомиться с онлайн-курсом «Administrator Linux. Professional» в OTUS. Курс не для новичков, для поступления нужно пройти вступительный тест.
Данная статья является частью единого цикла статьей про сервер Debian.
Введение
Любая работа с сервером после установки чаще всего начинается со стандартных обязательных действий, без которых либо не получится продвинуться дальше, либо будет неудобно работать.
Например, вам в любом случае необходимо выполнить сетевые настройки, желательно обновить систему и установить часовой пояс. Рекомендуется сразу настроить автообновление времени, подрихтовать параметры sshd, установить midnight commander и выполнить другие настройки.
Об этом я хочу рассказать в статье. Я буду делиться своим реальным опытом работы. Это не значит, что нужно делать так, как я. Я могу в чем-то ошибаться, что-то делать не так удобно, как можно было бы сделать. Это просто советы, которые кому-то помогут узнать что-то новое, а кто-то возможно поделится со мной чем-то новым для меня, либо укажет на мои ошибки. Мне бы хотелось, чтобы это было так. Своими материалами я не только делюсь с вами знаниями, но и сам узнаю что-то новое в том числе и из комментариев и писем на почту.
Указываем сетевые параметры
Итак, у нас в наличии только что установленная система. Узнать или проверить ее версию можно командами:
# uname -a Linux debian10 4.19.0-5-amd64 #1 SMP Debian 4.19.37-5 (2019-06-19) x86_64 GNU/Linux # lsb_release -a No LSB modules are available. Distributor ID: Debian Description: Debian GNU/Linux 10 (buster) Release: 10 Codename: buster
19.37-5 (2019-06-19) x86_64 GNU/Linux
# lsb_release -a
No LSB modules are available.
Distributor ID: Debian
Description: Debian GNU/Linux 10 (buster)
Release: 10
Codename: busterОчень подробно про настройку сети в Debian я написал в отдельной статье. Рекомендую с ней ознакомиться. Здесь же кратко выполним основное. Для настройки сети, необходимо отредактировать файл /etc/network/interfaces. Сделаем это:
# nano /etc/network/interfaces
Для получения IP адреса по dhcp достаточно будет следующего содержания:
allow-hotplug eth0 iface eth0 inet dhcp
Если у вас статический адрес, то его настроить можно следующими параметрами в файле:
allow-hotplug eth0 iface eth0 inet static address 192.168.1.24 netmask 255.255.255.0 gateway 192.168.1.1 dns-nameservers 192.168.1.1
Сохраняем файл. Теперь нужно выполнить перезапуск сети. В Debian это делается командой:
# systemctl restart networking.
serviceВ системном логе /var/log/syslog при этом будут записи:
debian10 systemd[1]: Stopping Raise network interfaces... debian10 systemd[1]: networking.service: Succeeded. debian10 systemd[1]: Stopped Raise network interfaces. debian10 systemd[1]: Starting Raise network interfaces... debian10 systemd[1]: Started Raise network interfaces.
Будьте аккуратны при настройке и перезапуске сети, если подключаетесь к серверу удаленно. Обязательно должен быть доступ к консоли на случай, если где-то ошибетесь и потеряете доступ к серверу.
К сетевым настройкам я отношу установку пакета net-tools, в состав которого входят старые и привычные утилиты для работы с сетью — ifconfig, netstat, route и другие. В современных дистрибутивах их заменили одной командой ip, но лично мне вывод некоторых старых команд, конкретно, netstat, нравится больше, поэтому я иногда ими тоже пользуюсь.
# apt install net-tools
На этом настройка сети закончена.
Обновление системы, отличие apt upgrade от dist-upgrade и full-upgrade
Сеть настроили, теперь можно обновить систему и пакеты. В Debian это делается достаточно просто. Воспользуемся несколькими командами. Сначала обновим локальный индекс пакетов до последних изменений в репозиториях:
# apt update
Посмотреть список пакетов, готовых к обновлению, можно с помощью команды:
# apt list --upgradable
Теперь выполним простое обновление всех пакетов системы:
# apt upgrade
Ключ upgrade выполняет только обновление одной версии пакета на другую, более свежую. Он не будет устанавливать или удалять пакеты, даже если это необходимо для обновления других. Это наиболее безопасный и надежный вариант обновления, но он может обновить не все. Например, с ее помощью не обновить ядро до более свежей версии.
Ключ dist-upgrade или full-upgrade (это одно и то же) в дополнение к upgrade обрабатывает все изменения зависимостей для новых пакетов и во время работы может удалять ненужные и ставить необходимые пакеты для обновления.
Вот выдержка из документации по поводу этих двух ключей.
Так что после обычного обновления, делаем еще full-upgrade.
# apt full-upgrade Reading package lists... Done Building dependency tree Reading state information... Done Calculating upgrade... Done The following packages were automatically installed and are no longer required: dh-python guile-2.0-libs libbind9-140 libdns162 libicu57 libisc160 libisccc140 libisccfg140 liblvm2app2.2 liblvm2cmd2.02 liblwres141 libperl5.24 libpython3.5-minimal libpython3.5-stdlib linux-image-4.9.0-3-amd64 python3-distutils python3-lib2to3 python3.5 python3.5-minimal rename sgml-base tcpd xml-core Use 'apt autoremove' to remove them. 0 upgraded, 0 newly installed, 0 to remove and 0 not upgraded.
Мне предлагается удалить старые пакеты, которые больше уже не нужны. Это зависимости от старых версий софта, который уже обновился и получил новые пакеты из зависимостей, а эти ему больше не нужны.
Очистим их командой:
# apt autoremove
Рекомендую делать это регулярно после обновлений, чтобы старые пакеты не занимали лишнее место на диске.
На этом обновление системы закончено. Если вы хотите обновить версию релиза, например Debian 9 обновить до Debian 10 Buster, то читайте отдельный материал.
Настройка ssh
Теперь внесем некоторые изменения в настройки сервера ssh. Я рекомендую его запускать на нестандартном порту для исключения лишних общений с ботами, которые регулярно сканируют интернет и подбирают пароли пользователей по словарям.
Существует расхожее мнение, что менять порт ssh это наивность, а не защита. Надо просто настроить сертификаты, fail2ban или еще каким-то образом защитить ssh порт, к примеру, с помощью ограничений iptables, и т.д. Тем не менее, я все же рекомендую порт сменить на нестандартный. Даже если у вас все защищено от подбора паролей, так как вы используете сертификаты, лишние запросы к ssh порту тратят ресурсы сервера, хоть и не очень большие.
Идет установка соединения, обмен рукопожатиями и т.д. Зачем вам это нужно?
По-умолчанию в Debian, впрочем как и в любом другом дистрибутиве Linux, ssh сервер работает на 22 порту. Изменим этот порт, к примеру, на 23331. Так же я еще изменяю конфигурацию для разрешения подключения по ssh пользователя root с использованием пароля. В Debian из коробки пользователь root по ssh паролем авторизовываться не может. Изменим и это. Открываем файл настроек:
# nano /etc/ssh/sshd_config
И изменяем там следующие строки. Приводим их к виду:
Port 23331 PermitRootLogin yes
Сохраняем изменения и перезапускаем сервер ssh следующей командой:
# service sshd restart
Проверяем изменения:
# netstat -tulnp | grep ssh tcp 0 0 0.0.0.0:23331 0.0.0.0:* LISTEN 925/sshd tcp6 0 0 :::23331 :::* LISTEN 925/sshd
Все в порядке, сервер слушает 23331 порт. Теперь новое подключение будет осуществлено только по порту 23331. При этом, после перезапуска ssh, старое подключение не будет разорвано.
Я знаю, что многие возражают против подключения рутом к серверу. Якобы это небезопасно и т.д. и т.п. Мне эти доводы кажутся не убедительными. Не понимаю, в чем может быть проблема, если у меня нормальный сложный пароль на root, который не получится подобрать или сбрутить. Ни разу за всю мою работу системным администратором у меня не возникло проблем с этим моментом. А вот работать так значительно удобнее, особенно, когда необходимо оперативно куда-то подключиться по форс мажорным обстоятельствам.
Отдельно тему подключения к серверу под root я рассмотрел в статье про sudo. Кому интересно, переходите в нее и делитесь своим мнением на этот счет.
Установка утилит mc, htop, iftop
Следующим шагом я настраиваю некоторые полезные утилиты, которыми регулярно пользуюсь в повседневной работе. Первая из них это всем известный двухпанельный файловый менеджер Midnight Commander. Установим mc на наш сервер:
# apt install mc
И сразу же для него включаю подсветку синтаксиса всех файлов, которые не обозначены явно в файле /usr/share/mc/syntax/Syntax синтаксисом для sh и bash скриптов.
Этот универсальный синтаксис нормально подходит для конфигурационных файлов, с которыми чаще всего приходится работать на сервере. Перезаписываем файл unknown.syntax. Именно этот шаблон будет применяться к .conf и .cf файлам, так как к ним явно не привязано никакого синтаксиса.
# cp /usr/share/mc/syntax/sh.syntax /usr/share/mc/syntax/unknown.syntax
Я сразу же ставлю редактором по-умолчанию mcedit. Для этого просто выбираю его из меню при первом редактировании какого-нибудь файла. Если у вас такое меню не появляется, можете вызвать его сами и выбрать необходимый редактор по-умолчанию:
# select-editor Select an editor. To change later, run 'select-editor'. 1. /bin/nano <---- easiest 2. /usr/bin/mcedit 3. /usr/bin/vim.tiny Choose 1-3 [1]: 2
Так же я рекомендую очень удобный диспетчер задач — htop. Мне он помог, к примеру, решить проблему Взлома сервера CentOS. Ставим его на сервер:
# apt install htop
Полезной утилитой, позволяющей смотреть сетевую загрузку в режиме реального времени, является iftop.
Очень рекомендую. Более простого и удобного инструмента мне не попадалось, хотя я много перепробовал подобных вещей. Устанавливаем iftop на сервер:
# apt install iftop
Настройка и обновление времени в Debian
Теперь проверим установленный часовой пояс, время и включим автоматическую синхронизацию времени с удаленного сервера. Очень подробно этот вопрос я рассмотрел в отдельной статье — настройка времени в Debian.
Узнать дату, время, часовой пояс можно командой date:
# date Mon 12 Aug 2019 02:29:03 PM MSK
Если все указано верно, то менять ничего не нужно. Если же у вас неправильное время или указан часовой пояс не соответствующий вашему, то настроить это можно следующим образом. Сначала обновим часовые пояса:
# apt install tzdata
Теперь выберем правильный часовой пояс с помощью команды:
# dpkg-reconfigure tzdata
Выбирая соответствующие пункты визарда, указываете свой часовой пояс.
Дальше синхронизируем время с сервером времени в интернете. Для разовой или ручной синхронизации понадобится отдельная утилита. Установим ntpdate на сервер:
# apt install ntpdate
И синхронизируем время:
# ntpdate-debian 12 Aug 14:30:21 ntpdate[8688]: adjust time server 89.109.251.21 offset 0.004529 sec
Если получаете ошибку:
12 Aug 14:30:21 ntpdate[8688]: the NTP socket is in use, exiting
Значит у вас уже работает служба ntp. Ее нужно остановить и обновить время вручную. Хотя если она работает, то у вас и так должно быть все в порядке.
Для того, чтобы время автоматически синхронизировалось без вашего участия с определенной периодичностью, используется инструмент ntp. Установим его:
# apt install ntp
После установки он сам запустится и будет автоматически синхронизировать часы сервера. Проверим, запустился ли сервис ntpd:
# netstat -tulnp | grep ntp udp 0 0 10.
20.1.16:123 0.0.0.0:* 8855/ntpd
udp 0 0 127.0.0.1:123 0.0.0.0:* 8855/ntpd
udp 0 0 0.0.0.0:123 0.0.0.0:* 8855/ntpd
udp6 0 0 fe80::cce1:23ff:fe4:123 :::* 8855/ntpd
udp6 0 0 ::1:123 :::* 8855/ntpd
udp6 0 0 :::123 :::* 8855/ntpdНастройка firewall (iptables) в Debian
В качестве firewall в Debian по-умолчанию используется iptables, его и будем настраивать. Изначально фаервол полностью открыт и пропускает весь трафик. Проверить список правил iptables можно следующей командой:
# iptables -L -v -n Chain INPUT (policy ACCEPT 0 packets, 0 bytes) pkts bytes target prot opt in out source destination Chain FORWARD (policy ACCEPT 0 packets, 0 bytes) pkts bytes target prot opt in out source destination Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes) pkts bytes target prot opt in out source destination
Обращаю пристальное внимание на то, что настраивать firewall без прямого доступа к консоли сервера не следует.
Особенно, если вы не очень разбираетесь в этом и копируете команды с сайта. Шанс ошибиться очень высок. Вы просто потеряете удаленный доступ к серверу.
Создадим файл с правилами iptables:
# mcedit /etc/iptables.sh
Очень подробно вопрос настройки iptables я рассмотрел отдельно, рекомендую ознакомиться. Хотя в примере другая ОС linux, принципиальной разницы нет, настройки iptables абсолютно одинаковые, так как правила одни и те же.
Добавляем набор простых правил для базовой настройки. Все необходимое вы потом сможете сами открыть или закрыть по аналогии с существующими правилами:
#!/bin/bash # # Объявление переменных export IPT="iptables" # Активный сетевой интерфейс export WAN=ens18 export WAN_IP=10.20.1.16 # Очистка всех цепочек iptables $IPT -F $IPT -F -t nat $IPT -F -t mangle $IPT -X $IPT -t nat -X $IPT -t mangle -X # Установим политики по умолчанию для трафика, не соответствующего ни одному из правил $IPT -P INPUT DROP $IPT -P OUTPUT DROP $IPT -P FORWARD DROP # разрешаем локальный траффик для loopback $IPT -A INPUT -i lo -j ACCEPT $IPT -A OUTPUT -o lo -j ACCEPT # разрешаем пинги $IPT -A INPUT -p icmp --icmp-type echo-reply -j ACCEPT $IPT -A INPUT -p icmp --icmp-type destination-unreachable -j ACCEPT $IPT -A INPUT -p icmp --icmp-type time-exceeded -j ACCEPT $IPT -A INPUT -p icmp --icmp-type echo-request -j ACCEPT # Разрешаем исходящие соединения самого сервера $IPT -A OUTPUT -o $WAN -j ACCEPT # Состояние ESTABLISHED говорит о том, что это не первый пакет в соединении.
# Пропускать все уже инициированные соединения, а также дочерние от них
$IPT -A INPUT -p all -m state --state ESTABLISHED,RELATED -j ACCEPT
# Пропускать новые, а так же уже инициированные и их дочерние соединения
$IPT -A OUTPUT -p all -m state --state ESTABLISHED,RELATED -j ACCEPT
# Разрешить форвардинг для уже инициированных и их дочерних соединений
$IPT -A FORWARD -p all -m state --state ESTABLISHED,RELATED -j ACCEPT
# Включаем фрагментацию пакетов. Необходимо из-за разных значений MTU
$IPT -I FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
# Отбрасывать все пакеты, которые не могут быть идентифицированы
# и поэтому не могут иметь определенного статуса.
$IPT -A INPUT -m state --state INVALID -j DROP
$IPT -A FORWARD -m state --state INVALID -j DROP
# Приводит к связыванию системных ресурсов, так что реальный
# обмен данными становится не возможным, обрубаем
$IPT -A INPUT -p tcp ! --syn -m state --state NEW -j DROP
$IPT -A OUTPUT -p tcp ! --syn -m state --state NEW -j DROP
# Открываем порт для ssh (!!!не забудьте указать свой порт, который вы изменили ранее!!!)
$IPT -A INPUT -i $WAN -p tcp --dport 22 -j ACCEPT
# Открываем порт для web сервера
$IPT -A INPUT -i $WAN -p tcp --dport 80 -j ACCEPT
$IPT -A INPUT -i $WAN -p tcp --dport 443 -j ACCEPT
# Записываем правила в файл
/sbin/iptables-save > /etc/iptables_rulesДаем файлу права на запуск:
# chmod 0740 /etc/iptables.
shЗапускаем скрипт:
sh /etc/iptables.sh
Проверяем правила:
# iptables -L -v -n
Проверяем, что правила записались в файл /etc/iptables_rules. Если их там нет, то записываем их вручную.
# /sbin/iptables-save > /etc/iptables_rules
Правила применились и произошла их запись в файл /etc/iptables_rules. Теперь нужно сделать так, чтобы они применялись при загрузке сервера. Для этого делаем следующее. Открываем файл /etc/network/interfaces и добавляем в него строку pre-up iptables-restore < /etc/iptables_rules Должно получиться вот так:
# cat /etc/network/interfaces allow-hotplug eth0 iface eth0 inet dhcp pre-up iptables-restore < /etc/iptables_rules
Для проверки перезагрузите сервер и посмотрите правила iptables. Должен загрузиться настроенный набор правил из файла /etc/iptables_rules.
Настройка логов cron
По-умолчанию, в Debian нет отдельного лог файла для событий cron, они все сыпятся в общий лог /var/log/syslog.
Лично мне это не очень нравится, я предпочитаю выводить эти события в отдельный файл. Об этом я написал отдельно — вывести логи cron в отдельный файл. Рекомендую пройти по ссылке и настроить, если вам это необходимо. Там очень кратко и только по делу, не буду сюда копировать эту информацию.
Установка и настройка screen
Я привык в своей работе пользоваться консольной утилитой screen. Изначально она задумывалась как инструмент, который позволяет запустить что-то удаленно в консоли, отключиться от сервера и при этом все, что выполняется в консоли продолжит свою работу. Вы сможете спокойно вернуться в ту же сессию и продолжить работу.
Первое время я именно так и использовал эту утилиту. Редко ее запускал, если не забывал, когда выполнялся какой-то длительный процесс, который жалко было прервать из-за случайного обрыва связи или необходимости отключить ноутбук от сети и куда-то переместиться.
Позже я решил подробнее ознакомиться с этим инструментом и обнаружил, что там есть несколько удобных моментов, которые можно использовать в ежедневной работе.
Вот как использую утилиту screen я. При подключении к серверу у меня запускается screen с тремя окнами 1, 2, 3. Первое окно автоматически переходит в каталог /, второе в /etc, третье в /var/log. Я осмысленно назвал эти окна: Main, etc, logs соответственно. Внизу находится строка состояния, в которой отображен список всех открытых окон и подсвечено активное окно.
С помощью горячих клавиш я очень быстро переключаюсь между окнами в случае необходимости. Вот как выглядит мое рабочее окно ssh подключения:
Переключаюсь между окнами с помощью стандартных горячих клавиш screen: ctrl+a 1, ctrl+a 2, ctrl+a 3. Я специально изменил нумерацию, чтобы она начиналась не с 0 по-дефолту, а с 1. Так удобнее на клавиатуре переключать окна. Кнопка 0 находится слишком далеко от 1 и 2.
Чтобы настроить такую же работу screen, как у меня, достаточно выполнить несколько простых действий. Сначала устанавливаем screen:
# apt install screen
Создаем в каталоге /root конфигурационный файл .
screenrc следующего содержания:
# mcedit /root/.screenrc
#Выводим строку состояния
hardstatus alwayslastline "%-Lw%{= BW}%50>%n%f* %t%{-}%+Lw%<"
# Добавляем некоторые настройки
startup_message off
defscrollback 1000
defutf8 on
shell -$SHELL
# Создаем несколько окон
chdir
screen -t Main 1
chdir /etc
screen -t etc 2
chdir /var/log
screen -t logs 3
# Активное первое окно после запуска
select 1Для знакомства с настройками, горячими клавишами и вариантами применения утилиты screen можно по адресу http://itman.in/ssh-screen/ Мне помог этот материал. Написано кратко, по делу и доходчиво.
Заключение
Теперь можно перезагрузить сервер и проверить, все ли в порядке. У меня все в порядке, проверил 🙂 На этом базовая настройка сервера debian окончена. Можно приступать к конфигурации различных сервисов, под которые он настраивался. Об этом я рассказываю в отдельных статьях.
Напоминаю, что данная статья является частью единого цикла статьей про сервер Debian.
Если у вас есть желание научиться строить и поддерживать высокодоступные и надежные системы, рекомендую познакомиться с онлайн-курсом «Administrator Linux. Professional» в OTUS. Вы научитесь делать профессиональный подбор конфигурации, управлять процессами, обеспечивать безопасность, выполнять развертывание, настройку и обслуживание сетей.
Проверьте себя на вступительном тесте и смотрите подробнее программи ссылке.
Помогла статья? Подписывайся на telegram канал автора
Анонсы всех статей, плюс много другой полезной и интересной информации, которая не попадает на сайт.
Скачать pdf
10 вещей, которые нужно сделать ПОСЛЕ установки DEBIAN
Вы ищете, чем заняться после установки Debian? Эти 10 вещей, которые нужно сделать после установки Debian 9, помогут вам улучшить работу с Debian на рабочем столе.
Эти 10 вещей, которые нужно сделать после установки Debian 9, продолжают тенденцию из моего руководства по установке и настройке Debian 9, а также правильного способа установки Debian для тестирования Xfce. Кроме того, хотя этот пост посвящен стабильной версии Debian 9 Xfce, многие из этих действий, которые нужно выполнить после установки, также работают с другими разновидностями Debian. Давайте сделаем необходимые вещи после установки Debian 9.
ПОДПИСАТЬСЯ на другие видео по Linux
1. Настройте SUDO и установите Synaptic
Эти две программы упростят процесс установки программ и выполнения административных задач.
Установить SUDO
Если вы установили учетную запись root во время установки Debian 9, вы также можете настроить sudo , чтобы иметь возможность выполнять административные задачи в качестве обычного пользователя.
Чтобы установить sudo , войдите в свою систему Debian как пользователь root и введите команду:
подходящая установка sudo
После установки Debian 9: установите sudo
Теперь в вашей системе установлено sudo .
Далее вам нужно настроить пользователя, чтобы ему было разрешено его использовать. Для этого добавьте своего пользователя в группу sudo.
adduser имя пользователя sudo
После установки Debian 9: добавьте пользователя
Установите Synaptic
Synaptic — это графическая программа управления пакетами для apt. Он предоставляет те же функции, что и утилита командной строки apt с графическим интерфейсом.
Чтобы установить Synaptic и некоторые сопутствующие программы, выполните следующую команду:
apt install gksu synaptic apt-xapian-index policykit-1-gnome
После установки Debian 9: установите synaptic
В приведенной выше команде gksu позволяет пользователям запускать графические команды с правами администратора.
Пакет apt-xapian-index индексирует все пакеты и позволяет выполнять быстрые запросы к базе данных доступных пакетов. Кроме того, PolicyKit представляет собой основу для определения политики для компонентов рабочего стола для ее настройки.
2. Установить меню Whisker
Меню Whisker — это плагин альтернативного меню для среды рабочего стола Xfce.
После установки Debian 9: меню Whisker
Вы можете установить подключаемый модуль Whisker из диспетчера пакетов Synaptic . Найдите xfce4-whiskermenu-plugin , щелкните его правой кнопкой мыши и выберите Отметить для установки. Затем нажмите кнопку Применить на панели инструментов. Synaptic автоматически загрузит и установит выбранный пакет.
После установки Debian 9: выберите меню «вискер»
Чтобы заменить ранее установленное меню приложения и кнопки действий меню «вискер», вам необходимо настроить панель. Откройте Panel Preferences , щелкнув правой кнопкой мыши в любом месте панели и перейдите к Panel , а затем Panel Preferences .
После установки Debian: настройка панели
Затем щелкните вкладку Элементы , и вы увидите текущую конфигурацию панели. Удалить меню приложения и Кнопки действий.
После установки Debian 9: удалите предыдущие приложения
Теперь добавьте плагин меню Whisker и переместите его в нужное место.
После установки Debian 9: добавить Whisker Menu
Теперь у вас есть меню Whisker, которое намного удобнее и красивее.
3. Настройка несвободных репозиториев
Это самое важное, что нужно сделать после установки Debian. Если вы хотите расширить список доступных программ в ваших репозиториях Debian, вам нужно включить contrib и несвободные репозитории .
Информация о репозитории пакетов хранится в файле /etc/apt/sources.list . Вам нужно добавить новые репозитории пакетов в этот файл.
Откройте /etc/apt/sources.list с помощью текстового редактора Nano:
sudo nano /etc/apt/sources.
list
Добавить contrib non-free после main , как показано ниже:
После установки Debian 9: добавление репозиториев
Примечание: Если вы запускаете стабильную версию Debian 9, у вас будет stretch вместо testing в именах репозиториев.
Чтобы сохранить изменения и закрыть текстовый редактор nano, нажмите комбинации клавиш Ctrl+O и Ctrl+X.
Теперь вы внесли изменения в файл sources.list . Для того, чтобы apt понял новые изменения, необходимо обновить его:
sudo apt update
После обновления списка лучше всего обновить недавно установленное программное обеспечение и перезагрузить систему.
судо подходящее обновление судо перезагрузка
4. Установка ключевых приложений и пакетов
Эти приложения включают программы, которые потребуются для компиляции пакетов в будущем, а также программы общего пользования, такие как средство просмотра изображений, сетевой менеджер, текстовый редактор, мультимедийный музыкальный проигрыватель и конечно офисный пакет .
Некоторые из этих программ специфичны для Xfce. Итак, просмотрите их, и если вы используете какой-либо другой рабочий стол, кроме Xfce, пропустите пакеты Xfce.
Чтобы установить все программы, выполните следующую команду:
sudo apt install xfce4-taskmanager rsync xfce4-power-manager xfce4-terminal fonts-noto-mono thunar-archive-plugin libreoffice-impress коврик для мыши policykit-1-gnome ristretto xserver -xorg-input-synaptics fonts-dejavu-extra network-manager-gnome мифы-en-us hunspell ttf-dejavu fonts-liberation hunspell-en-us aspell network-manager ttf-bitstream-vera fonts-dejavu p7zip-полный libreoffice- писатель xfce4-xkb-plugin xfce4-screenshooter xfce4-clipman fonts-droid-fallback xfce4-panel-dev debian-keyring ttf-liberation ttf-dejavu-extra libreoffice-calc aspell-en p7zip unzip xarchiver ttf-freefont fonts-freefont-ttf ttf-mscorefonts-installer ttf-dejavu-core fonts-opensymbol ufw build-essential vlc
Если вам интересно, ниже я кратко описываю функции некоторых из вышеперечисленных пакетов.
Метапакет build-essential требуется, если вы пытаетесь установить программу, которую необходимо скомпилировать.
Keyring — это база данных вашей регистрационной информации, хранящаяся на вашем локальном компьютере. Что еще более важно, пакет запрещает несанкционированный доступ к вашей информации.
Назначение сетевого менеджера — сделать настройку и настройку сети максимально безболезненной и автоматической.
Next, aspell и hunspell подходят в качестве интерактивной проверки орфографии для многих программ, включая LibreOffice, Mozilla Firefox, Thunderbird и т. д.
Ristretto — это быстрый и легкий просмотрщик изображений для рабочего стола Xfce.
Rsync необходим для удаленного и локального копирования файлов и каталогов в системах Linux. Я использую его для резервного копирования своих систем.
Плагин Thunar Archive позволяет создавать и извлекать архивные файлы с помощью контекстных меню файлов в файловом менеджере Thunar.
TrueType (TTF) Пакеты шрифтов включают некоторые часто используемые шрифты.
Безусловно, LibreOffice — отличная альтернатива Microsoft Office с открытым исходным кодом.
Диспетчер питания Xfce управляет питанием компьютера.
Xfce4 screenshooter позволяет захватывать экранную графику и сохранять ее в виде файлов изображений.
5. Настройка драйверов
Установка графического драйвера и микрокода процессора, скорее всего, улучшит производительность вашей системы.
Драйверы видеокарты
Если у вас есть выделенная видеокарта, вы можете повысить производительность с помощью проприетарных драйверов. Что еще более важно, драйверы поставщика часто работают лучше, чем драйверы с открытым исходным кодом.
Мое оборудование имеет встроенную графику Intel HD, поэтому я не могу показать вам, как установить драйверы видеокарты. Но вы можете найти все необходимые инструкции в Debian Wiki для Nvidia и AMD.
Микрокод ЦП
Микрокод можно рассматривать как прошивку ЦП, которая добавляет больше функциональности процессору и исправляет ошибки.
Для установки микрокода откройте Synaptic , введите микрокод в инструменте поиска. Вам нужно только установить пакет, относящийся к марке процессора в системе. Например, установка amd64-microcode на систему с процессором Intel не имеет смысла. Нажмите и выберите Отметить для установки , а затем нажмите кнопку Применить на панели инструментов. Synaptic автоматически загрузит и установит выбранный пакет. После установки необходимо перезагрузить систему.
После установки Debian 9: установите микрокод
6. Настройте брандмауэр
Одной из широко используемых стратегий повышения безопасности системы является использование брандмауэра. Брандмауэр состоит из программной и аппаратной установки между вашим компьютером и Интернетом.
UFW , или Несложный брандмауэр, предоставляет простой в использовании интерфейс для неопытных пользователей Linux для настройки брандмауэра Linux.
Помните, мы уже установили UFW на шаге выше. На этом этапе вы можете проверить статус UFW, набрав.
статус sudo ufw
При первой установке брандмауэр UFW по умолчанию отключен. Таким образом, результат приведенной выше команды должен быть inactive .
Чтобы включить UFW, вам нужно ввести следующую команду:
sudo ufw enable
После выполнения вышеуказанной команды вы можете снова проверить статус, запустив:
sudo ufw status verbose
Опция verbose предоставляет больше информации из команды на экране.
На этот раз результат вышеуказанной команды должен быть «активным». По умолчанию брандмауэр UFW запрещает все входящие подключения и разрешает только все исходящие. Это означает, что никто не может получить доступ к вашей системе, если вы специально не откроете порт, в то время как все запущенные службы или приложения в вашем Debian могут получить доступ к внешней сети.
После установки Debian 9: настройки UFW
7.
Ускорить время загрузки
Каждый раз, когда вы запускаете свою систему Debian, вы либо должны нажать Введите или подождите пять секунд.
Меню Debian GRUB. Обычно вам нужно подождать или нажать Enter здесь.
К счастью, GRUB может загружаться напрямую без запроса.
Настройки по умолчанию для выбора меню времени ожидания GRUB во время загрузки системы составляют 5 секунд. Чтобы изменить это значение, откройте файл конфигурации GRUB с помощью следующей команды:
sudo nano /etc/default/grub
Измените значение задержки на 0 секунд, установив GRUB_TIMEOUT=0 :
После установки Debian 9: отключите GRUB
Когда вы закончите, нажмите Ctrl+O и Ctrl+X, чтобы сохранить и выйти. Затем обновите настройки GRUB с помощью команды:
sudo update-grub
8. Настройте lightDM
Как вы, возможно, знаете, lightDM — это приветствие при входе в систему, которое запрашивает у пользователя учетные данные. По умолчанию вам нужно ввести имя пользователя и пароль.
Вам нужно ввести свое имя пользователя в диспетчере входа в систему
Здесь я собираюсь поделиться тем, как отобразить список пользователей на экране входа в систему, поэтому вам нужно только ввести пароль.
lightDM запоминает имя пользователя
Вам необходимо создать файл конфигурации /usr/share/lightdm/lightdm.conf.d/01_my.conf :
sudo nano /usr/share/lightdm/lightdm.conf.d/01_my .conf
Вставьте в этот файл следующий текст:
[SeatDefaults] приветствие-скрыть-пользователей = ложь
Чтобы закрыть nano, нажмите Ctrl+O для сохранения и Ctrl+X для выхода. Перезагрузите систему, и когда вы войдете в систему, вы увидите, что ваши имена пользователей сохранены.
9. Некоторые настройки твиков
Эти настройки помогут вам преобразить рабочий стол Debian. Например, вы можете не захотеть использовать кнопку сворачивания окна, потому что вам нравится дважды щелкать строку заголовка, чтобы развернуть окно. Между прочим, я думаю, что двойной щелчок на строке заголовка, чтобы развернуть, — это действительно умная функция.
Ниже вы увидите, как включить эту функцию и настроить файловый менеджер Xfce.
Настроить внешний вид Windows
Чтобы настроить внешний вид Windows, перейдите к Настройка Xfce и нажмите кнопку Оконный менеджер .
После установки Debian 9: настройка Xfce
Имя первой вкладки — S tyle . Вы можете изменить шрифт заголовка , выравнивание заголовка и расположение кнопок , используя эту вкладку S tyle .
Я обычно убираю тень и разворачиваю кнопку. Просто перетащите кнопку оттенка и , чтобы увеличить , из активного блока в скрытый блок .
После установки Debian 9: удалить кнопки окна
Включить двойной щелчок на строке заголовка, чтобы развернуть
В том же окне настроек, что и выше, на вкладке «Дополнительно» , включите параметр двойной щелчок . Это позволяет вам максимизировать окно, когда вы дважды щелкаете по заголовку.
Кроме того, я также рекомендую включить функцию привязки окна к другим окнам здесь . Позволяет легко ставить окна рядом друг с другом.
После установки Debian 9: привязка окон
Настройка поведения Windows
По умолчанию открытые окна появляются где-то на рабочем столе. лично мне это не нравится. Мне нравится, когда новые окна открываются всегда по центру.
Вы можете настроить размещение новых открытых окон на рабочем столе в Window Manager Tweaks . Перейдите к Xfce Setting , а затем нажмите Window Manager Tweaks :
После установки Debian 9: настройки оконного менеджера
Найдите настройки для Placement и полосу прокрутки до максимума влево, чтобы установить его на Large, , чтобы окна всегда открывались в центре экрана.
После установки Debian 9: размещение
Когда вы закончите, вы увидите, что все окна открываются в центре.
Сочетания клавиш
Вы можете настроить сочетания клавиш для запуска необходимой команды.
Например, я обычно устанавливаю ярлык для команды xkill . xkill используется, когда вы хотите убить процесс. Я использую его для уничтожения зависших приложений.
Для этого перейдите в Настройка Xfce и нажмите на Клавиатура .
После установки Debian 9: Клавиатура
Затем выберите вкладку Ярлыки приложений , затем нажмите кнопку Добавить и выберите команду. Например, здесь я выбираю xkill . Затем нажмите ОК.
Затем приложение выводит окно с предложением нажать комбинацию клавиш. Нажмите ярлык, которому вы хотите назначить команду. Я нажимаю Ctrl+Alt+Esc.
После установки Debian 9: Добавление ярлыка
Чтобы проверить назначенный ярлык, нажмите его. Я снова нажимаю Ctrl+Alt+Esc , чтобы выполнить xkill .
xkill превратит ваш курсор мыши в изображение размером x или в череп (в зависимости от вашего набора значков).
Теперь вы можете просто щелкнуть левой кнопкой мыши по любому приложению, и оно будет уничтожено в одно мгновение.
После установки Debian 9: Уничтожить зависшее приложение
Сеанс и запуск
Автозапускаемые приложения, также известные как запускаемые приложения, включают программы, которые автоматически запускаются при включении компьютера. Вы можете отключить некоторые программы, которые вы не используете, чтобы сохранить ресурсы вашей системы Linux. Чтобы настроить ее, перейдите на Настройки -> Сеанс и запуск -> Автозапуск приложения вкладка.
Запуск приложений
Здесь вы можете отметить приложения, которые вы хотите запускать автоматически при включении системы Debian, и снять флажки с приложений, которые вы хотите отключить при запуске.
10.
Удалить ненужное приложение и очистить систему
В определенное время и в определенных ситуациях вам может потребоваться полностью удалить приложение, что означает, что вы должны удалить как двоичные файлы, так и настройки этого приложения.
В Synaptic найдите программу, которую хотите удалить. Вы можете сделать это, просматривая категории или просто набрав название программы в поле поиска. Например, я хочу полностью удалить mutt .
После установки Debian 9: полное удаление
Найдя программу, щелкните ее правой кнопкой мыши и выберите Отметка для полного удаления . Примените изменения.
Чтобы очистить систему от любых потерянных файлов, выполните следующие две команды:
sudo apt autoremove Судо метко чистый
И еще…
Это все из этой статьи, я надеюсь, что эти 10 вещей после установки Debian 9 помогут вам сделать ваш Debian 9 Xfce быстрее и эффективнее. Если вы хотите, чтобы ваш Debian 9 Xfce выглядел лучше, установите одну из лучших тем Xfce. Я также настоятельно рекомендую вам прочитать мой пост о том, как НЕ сломать Debian.
Дайте мне знать, что бы вы добавили в этот список.
шифрование — Как зашифровать Linux (Debian 8) после установки и каковы последствия?
Задавать вопрос
спросил
Изменено
7 лет, 3 месяца назад
Просмотрено
2к раз
У меня есть определенные папки в моем разделе Linux, к которым я должен убедиться, что никто не сможет получить к ним доступ, если не войдет в систему с моим паролем для входа (или корневым).
Я знаю, что во время установки я могу шифровать с помощью LUKS, и я могу шифровать определенные папки с помощью encfs/Truecrypt.
Однако пароль шифрования не зависит от текущего пользователя и пароля root, и если я не сохраню его (что, я думаю, сделает его бесполезным), мне придется каждый раз вводить пароль вручную.
Кроме того, если какая-либо программа при запуске обращается к определенным файлам (например, Timeshift для резервного копирования загрузки), произойдет сбой.
Поэтому я ищу решение, которое позволит мне зашифровать всю систему (или только определенные папки) после установки ОС , который зависит от пароля пользователя или root и который
- не влияет ни на одно приложение, имеющее разрешение на доступ к этим папкам (в любое время после входа в систему)
- не делает невозможным или почти невозможным восстановление системы в случае сбоя (я читал, что даже GRUB имеет проблемы, если раздел зашифрован)
- linux
- шифрование
- шифрование диска
2
Вам нужно будет использовать пользователя, отличного от учетной записи, для которой вы настраиваете шифрование (в основном это пользователь root, но может быть любой пользователь, имеющий доступ к sudo).