怎么初始化管理Ubuntu中的云服務(wù)器

如今，云服務(wù)器在網(wǎng)絡(luò)服務(wù)中已經(jīng)變得非常常見，與傳統(tǒng)的機房相比，云服務(wù)器具有快速升級、降級硬件配合的優(yōu)勢，可以根據(jù)業(yè)務(wù)開展情況隨時對服務(wù)器進行調(diào)整，既不會浪費性能，也不至于性能不足。對個人來說，擁有一臺自己的云服務(wù)器，只需要很簡單的操作，就可以搭建屬于自己的網(wǎng)絡(luò)服務(wù)平臺，這在很多方面都是很有益的。
在國內(nèi)來說，大型網(wǎng)絡(luò)企業(yè)在自己使用大量云服務(wù)器的同時，也都紛紛提供云服務(wù)器功能，比較著名的有阿里云，騰訊云，亞馬遜，微軟Azure，以及百度云，京東云，華為云等等。
云服務(wù)器的購買方式在上述各家網(wǎng)站上都有詳細的描述，而對于學生與創(chuàng)業(yè)企業(yè)來說，各家云服務(wù)器提供商也都有不同程度的優(yōu)惠。一般而言，最低的云服務(wù)器配置對于新手來說性能已經(jīng)足夠了。
云服務(wù)器系統(tǒng)配置一般為Windows Server或者Linux發(fā)行版，考慮到服務(wù)器系統(tǒng)的流行性，對新手最友好的Linux發(fā)行版Ubuntu是最佳選擇（當然喜歡CentOS的也大有人在）。
# SSH登陸
購買云服務(wù)器后，運營商都會提供登陸的公網(wǎng)IP地址以及登陸密碼。Linux云服務(wù)器默認都會打開22端口供SSH登陸。如果操作系統(tǒng)是Windows，需要下載XSHELL或者Putty這樣的SSH登陸工具，在Linux下則可以直接通過命令行進行SSH登陸。
當然，Windows系統(tǒng)也可以通過安裝Cygwin以運行Linux環(huán)境，這對熟悉Linux操作很有幫助，而在Windows10的情況下，也可以安裝Ubuntu或者SUSE這樣的Linux發(fā)行版。
```shell
ssh root@(ip地址）

# 創(chuàng)建用戶
通過以下命令創(chuàng)建用戶，比如要創(chuàng)建用戶名demo
```shell
add user demo
```
按系統(tǒng)提示輸入密碼即可，輸入強密碼會提高系統(tǒng)安全性，一般要求包含大小寫，數(shù)字以及特殊字符且長度不小于8位。
# 設(shè)置root權(quán)限
創(chuàng)建用戶之后需要給用戶設(shè)置su即superuser（超級用戶）權(quán)限，因為很多操作必須要通過su權(quán)限進行，而如果反復切換到root用戶下則違背了我們提高安全性的初衷。因此，在root角色下為新用戶設(shè)置sudo權(quán)限。
```shell
usermode -aG sudo demo
```
這個命令實際上是把demo用戶添加到sudo組中，也因此demo會擁有sudo權(quán)限。
# 添加公鑰登陸
在遠程服務(wù)器管理的時候，最好通過密鑰而非密碼的方式進行登陸，這樣可以最大程度上降低密碼被破解的風險。密鑰的方式涉及密碼學知識，一般來說采用密鑰對的時候，系統(tǒng)生成一對密鑰，一個為公鑰，一個為似鑰，公鑰可以放在任意地方，公開在網(wǎng)站上也可以，但是私鑰必須妥善保管，因為只要拿私鑰就可以與公鑰配對。我一個簡單的理解是，公鑰其實相當于鎖而私鑰相當于鑰匙。你可以把鎖掛在任何地方，但是鑰匙必須自己保管好才能拿來開鎖。
要添加密鑰登陸，首先要生成一對密鑰。（在本地電腦上，絕對不能在遠程計算機上生成)
```shell
ssh-keygen
```
這個命令可以生成一對密鑰，按照命令提示即可。在生成過程中也可以輸入密碼再保護密鑰，這樣更安全。
生成的密鑰對一般在/home/demo/.ssh/目錄下，如果生成的是rsa密鑰，則公鑰名稱為 id_rsa.pub,私鑰為id_rsa。在windows下目錄會不一樣（其實我也不知道放在哪有用，有一次放在/user/的個人目錄下面好像可以了。如果有多個云服務(wù)器，也沒有必要為每個服務(wù)器生成不同的密鑰對，有一對基本上就夠用了。
# 上傳公鑰
上傳公鑰有兩種辦法
## 使用專用命令
使用下面的命令可以一步到位完成上傳密鑰并添加到遠程計算機的.ssh/authorized_keys文件里。
```shell
ssh-copy-id demo@(ip地址）
```
**注意。.ssh是隱藏文件夾，在Linux下是通過給文件或者文件夾名前面加.來表示隱藏文件的，可以通過ls -a參數(shù)查看**
## 手動完成
手工完成上傳公鑰的命令可以弄明白ssh-copy-id都干了啥。
```shell
cat ~/.ssh/id_rsa.pub
```
這個命令把公鑰輸出在終端里，也可以通過編輯器打開文件。把內(nèi)容復制下來。然后通過終端ssh登陸到遠程服務(wù)器上（通過demo）
```shell
su -demo
mkdir ~/.ssh
chmod 700 ~/.ssh
nano(vim) ~/.ssh/authorized_keys
```
以上命令依次賦予demo sudo權(quán)限，建立.ssh目錄并修改權(quán)限，新建一個authorized_keys的文件（可以用熟悉的編輯器，nano，vim都可以）。
把之前復制的公鑰內(nèi)容粘貼到這個新文件里并保存。
```shell
chmod 600 ~/.ssh/authorized_keys
```
修改文件權(quán)限以提高安全性。
# 禁用密碼登陸
完成密鑰設(shè)置后，最好禁止通過密碼登陸以提高服務(wù)器安全性（當然，這要建立在確保密鑰能登陸上去的情況下，要不然就恐怕只能重置服務(wù)器了，因此自己再也登陸不上去了）
```shell
sudo nano /etc/ssh/sshd_config
```
打開ssh配置文件，找到下列內(nèi)容并修改為下列值
```shell
PasswordAuthentication no
PubkeyAuthentication yes
ChallengeResponseAuthentication no
```
退出或者重啟以下遠程服務(wù)器，再通過ssh測試一下登陸。
# 設(shè)置防火墻。
可以通過ufw設(shè)置系統(tǒng)防火墻。
```shell
sudo ufw app list
```
查看通過或者禁止的程序列表
```shell
sudo ufw allow OpenSSH
```
允許SSH登陸
```shell
sudo ufw enable
sudo ufw status
```
啟用防火墻并檢查狀態(tài)。
初步的服務(wù)器配置工作基本上到這里就完成了。