Установка и настройка Debian 10 на сервер

Введение 

Debian — один из самых стабильных, популярных и старейших дистрибутивов, чем заслужил доверие многих пользователей, нашел свое применение не только в серверном сегменте, но и на рабочих станциях. Релиз Debian 10 состоялся 6 июля 2019 года, основан на базе ядра Linux версии 4.19, получил кодовое имя Buster. В этой статье расскажем, как пошагово установить операционную систему Debian 10 на выделенный сервер компании Selectel вручную.

Системные требования

Большинство дистрибутивов на основе ядра Linux имеют скромные требования к ресурсам компьютера, Debian — не исключение.

Минимальные системные требования:

ОЗУ: 256 Мб

Жесткий диск: 2 Гб

Рекомендуемые системные требования:

ОЗУ: 512 Мб

Жесткий диск: 2 Гб

Выбор конфигурации обусловлен кругом выполняемых задач, каждый случай индивидуален. Стоит отметить, что выделенные серверы в Selectel с огромным запасом производительности перекрывают требования ОС.

Заказ сервера

Первое, что необходимо сделать, — зарегистрировать аккаунт для работы с информационными системами Selectel, затем войти в панель управления. Для заказа сервера перейти в меню Серверы и оборудование, далее нажать Заказать сервер как показано на рисунке ниже.

Теперь нужно выбрать подходящую под ваши задачи конфигурацию или заказать индивидуальную сборку сервера, если ни одна из предложенных конфигураций не подошла. Когда существует необходимость ручной установки ОС, следует обратить внимание на наличие KVM-доступа к серверу.

В качестве примера выбрана конфигурация DL-10, на следующем шаге требуется выбрать операционную систему, модель потребления трафика, тарифный план, количество серверов данной конфигурации и их локацию. Нет необходимости вручную устанавливать ОС, все автоматизировано, об этом подробнее рассказано ниже, но поскольку в статье рассматривается ручная установка ОС — выбираем No OS boot.

По окончании выбора настроек сервера — нажать Оплатить сейчас.

Сервер будет готов к работе после оплаты, его подготовка занимает около 15 минут.

Варианты установки

В Selectel сделали все, чтобы сделать работу с выделенными серверами максимально комфортной как для новичков, так и для опытных пользователей. Предусмотрено несколько вариантов установки операционной системы на сервер. Ниже рассмотрим каждый из них.

Автоматическая установка при заказе сервера

Есть возможность на этапе заказа сервера определиться с выбором операционной системы, это самый быстрый вариант, подходит большинству пользователей, экономит время. В примере выбран Debian 10.

Автоматическая установка после заказа сервера

Изменить или установить ОС можно в том числе после того, как сервер был заказан, в любое время. Для этого необходимо выбрать нужный сервер, перейти на вкладку Операционная система, нажать Изменить конфигурацию ОС.

Далее выбрать дистрибутив Debian, версия 10, остальные настройки по желанию можно изменить, затем нажать Установить.

На следующем шаге потребуется подтверждение установки операционной системы. В поле ввести название сервера и нажать Установить.

Во время установки ОС меню работы с сервером выглядит следующим образом:

Осталось дождаться окончания процесса установки, и сервер будет готов к работе.

Установка на собственный сервер

Рассматривая вариант установки на собственный сервер, необходимо для начала определить архитектуру процессора. Отталкиваясь от этой информации, скачать образ операционной системы, соответствующий установленному процессору. 

Например, для AMD64, netinstall-образ можно скачать отсюда. Теперь необходимо записать образ на флешку при помощи специализированного программного обеспечения, например, Rufus. Подключить флеш-накопитель к серверу, при загрузке вызвать загрузочное меню, либо в BIOS настроить приоритет загрузки устройств. 

Подробно описать данную процедуру в рамках статьи не представляется возможным, поскольку настройки могут отличаться в зависимости от производителя сервера. При правильной настройке установка операционной системы должна начаться.

Ручная установка через KVM-консоль

KVM-консоль — инструмент удаленного администрирования, предоставляющий полный доступ к серверу даже без установленной операционной системы. Для перехода в консоль нужно нажать на значок, показанный на картинке ниже.

Через этот инструмент есть возможность установки операционных систем из iso-образов. Установка будет произведена из netinstall-образа:

1. открыть Virtual media, выбрать Virtual storage;
2. в появившемся окне, поле Logical Drive Type, выбрать значение ISO File;
3. нажать Open Image, выбрать папку Debian, из предлагаемых нажать на debian-10.10.0-amd64-netinst.iso, нажать Open;
4. нажать Plug in, потом OK;
5. перезагрузить сервер.

После загрузки начнется установка из выбранного образа, если по каким-либо причинам процесс инсталляции не запустился, следует обратиться в службу технической поддержки. Описанию процесса установки посвящена следующая глава.

Установка Debian 10

В загрузочном меню необходимо выбрать пункт Install и нажать Enter, процесс установки начнется примерно через 30 секунд и будет происходить в псевдо графическом режиме.

Выбор языка

На этом этапе предлагается выбрать язык, который будет использован в процессе установки операционной системы, он же будет являться языком по умолчанию в установленной ОС. С точки зрения лучшей совместимости с разнообразным ПО, лучше выбрать English, затем нажать Enter.

Выбор страны

Из появившегося списка нужно выбрать страну расположения сервера, в данном случае выбираем other, в следующем меню Europe, затем Russian Federation.

Выбор локали

Локаль — файл с настройками отображения символов, используемых в региональных рамках. Поскольку рассматриваем установку ОС на сервер, рекомендуется выбрать United States en_US.UTF-8.

Выбор раскладки клавиатуры

С учетом выбранных ранее языковых настроек, указываем American English.

Установка сети

Во время установки ОС на удаленный сервер и при наличии нескольких сетевых адаптеров, не всегда однозначно можно определить интерфейс, подключенный к сети. В данном случае необходимо действовать методом перебора. 

Начать лучше с карты, подсвеченной установщиком в меню, нажать Enter. Будут происходить попытки получить настройки по протоколу DHCP от маршрутизатора в сети. При появлении сообщения Network autoconfiguration failed нужно нажать подсвеченную Continue. В следующем появившемся меню клавишей Tab перейти на кнопку Go back, нажать Enter и повторить процедуру с другим сетевым адаптером. Если установщик сообщил Network autoconfiguration has succeeded и перешел к следующему этапу — сетевой интерфейс выбран верно.

Имя сервера

Необходимо ввести имя узла для идентификации сервера, нажать Enter. Существует отличная статья о маркировке оборудования в блоге компании, пункт «Как правильно давать названия». На скриншоте указано spb-mail-01. Любой администратор поймет, что это первый почтовый сервер в Санкт-Петербурге. Имя будет храниться в конфигурационном файле /etc/hosts установленной операционной системы.

Имя домена

Если сервер будет работать в домене, нужно ввести его имя. Если домена нет — оставить поле пустым и нажать Enter.

Установка пароля пользователя root

Необходимо задать пароль администратора системы — пользователя root. Общие рекомендации по безопасности:

• пароль должен состоять из прописных и строчных букв, цифр и спецсимволов;
• пароль не может быть пустым;
• пароль не должен быть словарным;
• пароль не должен быть связан с вашей личностью, например, с датой рождения;
• пароль должен содержать не менее 8 символов, больше — лучше.

При вводе пароля вместо символов будут отображаться звездочки, это нормально. После ввода пароля надо нажать Enter. Далее установщик предложит ввести пароль заново, чтобы удостовериться, что введенные дважды пароли совпадают. Следует ввести пароль пользователя root и нажать Enter.

Создание пользователя

С точки зрения безопасности следует работать в системе под учетной записью пользователя, не имеющего привилегий администратора. Этот этап служит для создания профиля обычного пользователя. Если перевести дословно текст с экрана программы-установщика, требуется ввести имя и фамилию. Сюда можно написать что угодно, но важно понимать, что эти данные могут быть видны другим пользователям, например, при отправке электронных писем с этого аккаунта. После ввода данных подтвердить клавишей Enter.

Далее мастер установки требует ввести желаемый логин, используемый при авторизации. Если на предыдущем шаге были введены имя и фамилия, то в качестве логина предлагается использовать имя, оно автоматически подставляется в поле ввода. Значение, предложенное инсталлятором, можно изменить. После нажатия Enter, программа установки переходит к назначению пароля.

Следует ввести пароль для создаваемого пользователя, закончить ввод нажатием клавиши Enter.

По аналогии с вводом пароля для пользователя root необходимо ввести его повторно и нажать Enter.

Настройка часов

На очереди этап настройки часового пояса, система предлагает выбрать из списка, созданного на основе выбора страны, сделанного на втором этапе. Нужно выбрать подходящий с помощью стрелок навигации вверх и вниз и подтвердить нажатием клавиши Enter.

Разметка жесткого диска

Выбрать разметить вручную — Manual и нажать Enter.

Появится список доступных дисков, в примере их два. В данный момент они не имеют каких-либо разделов. Диски абсолютно одинаковы. Рассмотрим создание зеркального массива RAID1. Это позволит увеличить степень надежности хранения данных. При выходе из строя одного из дисков система продолжит функционировать на оставшемся. Уделим внимание также размещению LVM поверх разделов RAID. LVM позволяет гибко работать с разделами жестких дисков, например, изменять размеры разделов, при этом, не останавливая сервер.

Выбрать первый диск из списка, нажать Enter.

Стрелками перейти на Yes, нажать Enter. Будет создана пустая таблица разделов.

Повторить процедуру создания таблицы разделов для второго диска, после чего картина в программе разметки должна быть следующая:

Выбрать строку, начинающуюся с pri/log для первого диска, нажать Enter. Далее Create a new partition.

Будем использовать его как загрузочный раздел /boot, размер вводится вручную, в примере это 1 GB. На нем хранятся настройки загрузчика, ядро операционной системы, системный файл для начальной загрузки initrd.

Следующий шаг — выбрать тип раздела Primary, подтвердить клавишей Enter.

Создается раздел в начале диска, выбрать Beginning.

Перемещение по меню осуществляется стрелками навигации вверх и вниз, нажимая Enter, можно менять значение опций и попадать в другие подменю. Выбрать Use As: physical volume for RAID, Bootable flag: on. По окончании настройки раздела выбрать пункт меню Done setting up partition.

Программа разметки диска вернется в свое основное меню. Для второго диска нужно создать аналогичный раздел.

Затем снова увидим главное меню программы разметки диска. Следующим шагом будет разметка оставшегося свободного пространства на первом носителе. Выбрать строку, начинающуюся с pri/log для первого диска, как показано на картинке ниже, нажать Enter.

Выбрать Create a new partition — создание нового раздела, нажать Enter.

По умолчанию предлагается использовать все оставшееся место — подтверждаем нажатием Enter.

Выбрать Primary и нажать Enter.

Выбрать Use as: physical volume for RAID из соответствующего меню, подтвердить, выбрав Done setting up the partition, затем нажать Enter.

После возвращения в главное меню программы разметки для второго диска создать аналогичный раздел. Затем перейти к настройке программного RAID массива — пункт Configure software RAID, нажать Enter.

Подтвердить запись изменений на диск, выбрать Yes и нажать Enter.

Выбрать Create MD device, нажать Enter.

Выбрать стрелками навигации тип RAID, в данном случае будет использоваться зеркало — RAID1, нажать Enter.

На этом шаге задается количество активных устройств массива, для RAID1 их нужно минимум два. Подтвердить нажатием Enter.

Далее указывается количество запасных устройств, которые при выходе из строя компонентов RAID-массива, встанут им на замену. В данном примере устройства замены не предусмотрены, в поле значение 0, подтвердить клавишей Enter.

Первое устройство RAID1 объединяет в себе два идентичных раздела на разных жестких дисках, это /dev/sda1 и /dev/sdb1. Необходимо выбрать их из меню клавишей Пробел(Space), перемещаясь стрелками навигации вверх и вниз. Пример выбора разделов показан на картинке ниже. Закончить создание первого MD-устройства нажатием Enter.

После чего утилита конфигурации RAID-массива вернется в свое главное меню. Снова выбрать Create MD device и нажать Enter. Повторить аналогичные действия для второго RAID-массива, собрав его из оставшихся доступных разделов /dev/sda2 и /dev/sdb2, как показано на картинке ниже.

По окончанию настройки второго RAID-массива, будет отображено главное меню утилиты работы с RAID, выбрать Finish, нажать Enter.

Из основного меню программы разметки выбрать пункт Configure the Logical Volume Manager, нажать Enter.

Выбрать ответ Yes и подтвердить использование текущей схемы разделов нажатием клавиши Enter.

Выбрать пункт Create volume group для создания пространства, которое будет разбито на отдельные логические тома (Logical Volume), нажать Enter.

Задать имя для группы томов, в данном случае это system, нажать Enter.

Выбрать физические разделы, которые будут входить в группу томов, для данного случая отметить только /dev/md1 устройство клавишей Пробел (Space) и нажать Enter.

Выбрать Yes и подтвердить использование текущей схемы разделов нажатием клавиши Enter.

Выбрать пункт Create logical volume для создания логического тома, который в дальнейшем будет содержать определенную файловую систему, например ext4, т.е. аналог обычного раздела жесткого диска в не-LVM окружении. Нажать кнопку Enter.

Выбрать группу томов, поверх которой создается логический том. В данном случае она единственная, созданная ранее с названием system. Нажать Enter для подтверждения.

Ввести название для создаваемого тома, в примере это root, затем нажать Enter.

Задать размер создаваемого тома и нажать Enter. Поддерживаемые форматы ввода: 10K, 10M, 10G, 10T, где 10 — это размер тома, а следующая за ним буква определяет единицу измерения информации (К — килобайты, М — мегабайты, G — гигабайты, T — терабайты). На скриншоте ниже показано создание раздела размером 10 гигабайт.

Повторить процедуру создания логических томов с именами home, swap и var. Единственным отличием будет размер создаваемых томов, их стоит задавать исходя из выполняемых задач и потребностей. В представленном примере распределение объемов между LVM-томами выглядит следующим образом:

• root — 10 GB,
• swap — 3 GB,
• var — 10 GB,
• home — 215,9 GB (все оставшееся место на разделе).

По окончании создания томов из меню выбрать пункт Finish и нажать Enter.

Теперь необходимо перейти к настройке каждого раздела: указать тип файловой системы и задать точки монтирования. Выбрать первый раздел #1 логического тома home как показано на картинке ниже, нажать Enter.

В следующем меню стрелками навигации выбрать пункт Use as: и нажать Enter. Из предложенного списка выбрать Ext4 journaling file system, подтвердить клавишей Enter.

Перейти к пункту Mount point:, нажать Enter. Выбрать из списка /home — user home directories, нажать Enter.

После окончания настройки данного раздела выбрать пункт меню Done setting up the partition и нажать Enter.

Далее настраиваются по аналогии первые разделы #1 логических томов root и var. В качестве файловой системы для обоих разделов также указать Use as: Ext4 journaling file system, для root точку монтирования Mount point: /, в случае с var — Mount point: /var.

Отдельно рассмотрим настройку раздела подкачки. Для начала нужно выбрать соответствующий пункт в меню, как показано ниже, нажать Enter для перехода к настройке.

Стрелками навигации выбрать пункт Use as: и нажать Enter. Из предложенного списка выбрать swap area, затем нажать Enter.

Настройки раздела подкачки завершена. Выбрать пункт меню Done setting up the partition и нажать Enter.

Осталось настроить загрузочный раздел, его необходимо выбрать из меню, как показано ниже, далее нажать Enter.

В открывшемся меню стрелками навигации выбрать пункт Use as: и нажать Enter.  Из предложенного списка выбрать Ext4 journaling file system, затем нажать Enter. Перейти к пункту Mount point:, нажать Enter. Выбрать из списка /boot — static files of the boot loader, нажать Enter. Настройки загрузочного раздела завершена — выбрать пункт меню Done setting up the partition и нажать Enter.

После всех выполненных действий, главное меню программы разметки должно иметь вид:

Нажать Finish partitioning and write changes to disk для внесения изменений в разметку диска.

Появится окно с подтверждением внесения изменений в разметку дисков. Стрелками перейти на Yes, нажать Enter.

Далее начнется инсталляция базовой системы, нужно немного подождать.

Настройка репозитория

Этот шаг предусматривает необходимость ответить на несколько вопросов установщика, связанные с выбором источников пакетов. Система уточняет, существуют ли еще диски для поиска на них программного обеспечения. В рамках установки этого дистрибутива на сервер дополнительных дисков не предусмотрено, нужно ответить No и нажать Enter.

На следующем экране предлагается выбрать страну, в которой находится сервер, по умолчанию выбрана Russian Federation. Поскольку сервер, на который выполняется установка ОС, находится в дата-центре Selectel, где имеется свой репозиторий, лучше всего будет воспользоваться этим зеркалом для максимально быстрой загрузки пакетов. Для этого нужно стрелкой вверх пролистать в самое начало списка и остановиться на пункте enter information manually, нажать Enter.

Ввести вручную адрес mirror.selectel.ru и подтвердить свой выбор клавишей Enter.

Путь до директории менять не нужно, подтвердить кнопкой Enter.

Так как прокси-сервер не используется — поле оставить пустым и нажать Enter.

Начнется процесс получения и установки программных пакетов, для этого требуется определенное время. Далее инсталлятор предлагает принять участие в сборе данных об используемых пакетах в системе. Сведения будут отправляться анонимно каждую неделю в автоматическом режиме. Это поможет разработчикам вести статистику популярных программ и в будущем размещать их на первых дисках дистрибутивов. Следует выбрать Yes для отправки данных, или No для отказа, подтвердить выбор нажатием Enter.

Выбор программного обеспечения

Базовая система установлена, теперь следует выбрать дополнительное программное обеспечения для установки. Для сервера рекомендуется отметить два пункта:  SSH server и standard system utilities. Снятие и установка пометок выполняется клавишей Пробел (Space). В завершении нажать Enter.

Получение и установка выбранного набора программ займет какое-то время, необходимо подождать.

Установка загрузчика

Поскольку установка выполняется на чистый сервер — отвечаем Yes на вопрос об установке загрузчика в MBR (Master Boot Record) и нажимаем Enter.

Из списка необходимо выбрать диск, на который будет записан загрузчик GRUB, обычно это первый из списка, выбрать /dev/sda и подтвердить нажатием Enter.

Завершение установки

Установка системы завершена, теперь необходимо извлечь образ установочного диска из виртуального привода. Из меню KVM-консоли выбрать пункт Virtual Media, затем Virtual Storage. В появившемся меню нажать кнопку Plug Out и OK.

Теперь в меню программы установки можно нажать Enter. 

Сервер будет перезапущен, после чего загружена установленная операционная система. Появление на экране приглашения авторизации означает, что ОС Debian загрузилась и готова к работе:

Debian GNU/Linux 10 spb-mail-01 tty1
spb-mail-01 login:

Теперь необходимо авторизоваться пользователем root для минимальной первоначальной настройки ОС. 

Настройка Debian 10 после установки

После установки операционной системы на сервер она уже готова к использованию, однако рекомендуется выполнить несколько простых шагов для повышения безопасности и удобства работы.

Настройка сети

Настройки сетевых адаптеров в Debian 10 Buster расположены в файле /etc/network/interfaces. В большинстве случаев в сетях работает DHCP-сервер и настройки на сетевой карте появляются автоматически при загрузке системы, тогда конфигурационный файл имеет вид:

auto enp1s0f0
iface enp1s0f0 inet dhcp

Здесь опция auto указывает на автоматический запуск указанного сетевого адаптера при загрузке системы, опция iface задает имя интерфейса, dhcp — получение настроек с DHCP-сервера.

Теперь необходимо задать настройки сети, такие как статический IP-адрес, маску подсети и шлюз, для того чтобы сервер имел доступ в интернет и одновременно был доступен снаружи. Настройки для доступа в глобальную сеть находятся в панели управления, в карточке сервера, на вкладке Сеть надо нажать на ссылку, указанную стрелкой на картинке, для получения подробных параметров.

Откроется окно, показанное ниже, стрелками показаны параметры, которые необходимо внести в конфигурационный файл.

Открыть файл конфигурации настроек сети:

nano /etc/network/interfaces

Добавить следующие строки в конец файла: 

auto enp1s0f0:0
iface enp1s0f0:0 inet static
address 94.26.227.135
netmask 255.255.255.0
gateway 94.26.227.1

Для сохранения изменений нажать Ctrl+O, после Enter для подтверждения, затем Ctrl+X для выхода из текстового редактора.

Внимание! Настройки взяты для примера, у каждого они свои.

Здесь static означает, что данный интерфейс имеет статичный адрес, опция address задает IP-адрес, netmask устанавливает маску для подсети, gateway — шлюз.

При необходимости можно отредактировать список используемых DNS-серверов, файл конфигурации находится по следующему пути: 

/etc/resolv.conf

Пример его содержимого:

nameserver 188.93.16.19
nameserver 188.93.17.19

Опция nameserver определяет использование указанного после нее DNS-сервера, таких строк может быть несколько. Для большинства задач редактировать этот файл не требуется.

После любых изменений необходимо выполнить перезапуск сетевой подсистемы:

service networking restart

Получить информацию о текущих настройках сетевых интерфейсов можно командой:

ip a

Как итог, на имеющийся интерфейс enp1s0f0, помимо приходящих автоматически настроек, был добавлен еще один IP-адрес для доступа в интернет. Сеть настроена.

Обновление системы

Из подключенных репозиториев необходимо обновить информацию о доступных пакетах:

apt-get update

Произвести обновление всех установленных пакетов и их зависимостей:

apt-get -y dist-upgrade

Установка sudo

Утилита sudo позволяет выполнять команды от имени другого пользователя, например, от root, с целью повышения привилегий в системе. Установка:

apt-get install sudo

Добавить пользователя в группу sudo:

usermod -aG sudo aleksandr

Вместо aleksandr нужно указать имя своего пользователя. Если пользователь, которого добавили в группу sudo, сейчас авторизирован в системе, необходимо выйти и снова войти в систему для вступления в силу изменений.

Настройка SSH сервера

SSH — безопасный сетевой протокол, широко применяемый для обеспечения удаленного доступа к различному оборудованию. Сервер SSH был установлен вместе с системой, поэтому его осталось только настроить. Открываем конфигурационный файл:

nano /etc/ssh/sshd_config

Первое, что рекомендуется сделать, это изменить порт, на котором работает сервер. В файле нужно найти строку #Port 22, привести ее к следующему виду:

Port 22200

Сервер будет работать на порту 22200. Номер порта можно выбрать другой, важно чтобы он не был занят какой-либо службой или приложением. Следует обратить внимание, что в начале строки обязательно нужно убрать символ комментария #, иначе параметр будет проигнорирован.

Теперь необходимо запретить вход пользователя root. Это повысит безопасность системы, поскольку это стандартная учетная запись суперпользователя. Если пароль станет известен злоумышленнику, войти не удастся. Ищем строку PermitRootLogin, если она имеет в начале символ комментария #, его следует удалить. Строка должна иметь следующий вид:

PermitRootLogin no

Работа над файлом конфигурации закончена, нажимаем сочетание клавиш Ctrl+O, внизу экрана появится сообщение File Name to Write: /etc/ssh/sshd_config, нажимаем Enter для сохранения изменений, потом Ctrl+X, чтобы выйти из редактора. Выполнить перезапуск SSH сервера для вступления в силу изменений:

service sshd restart

Установка FTP-сервера

FTP — протокол для передачи файлов по сети, имеет клиент-серверную архитектуру. На практике часто применяется для обеспечения доступа к домашним папкам пользователей, к директориям с сайтами на веб серверах, для обеспечения резервного копирования. Установка сервера:

apt-get -y install proftpd

Сразу после установки, служба proftpd запуститься, и будет добавлена в автозагрузку. По умолчанию при подключении к серверу требуется ввести свой логин и пароль, после чего будет отображено содержимое домашней директории. Данный сервер имеет множество различных настроек, которые задаются в главном конфигурационном файле /etc/proftpd/proftpd.conf, откроем его:

nano /etc/proftpd/proftpd.conf

Необходимо добавить поддержку пассивного режима работы FTP-сервера для корректной работы за брандмауэром. Нужно найти строку #PassivePorts и раскомментировать ее, убрав знак # в начале строки, в результате должно получиться:

PassivePorts                  49152 65534

Нажать сочетание клавиш Ctrl+O, внизу экрана появится сообщение File Name to Write: /etc/proftpd/proftpd.conf, нажатием Enter сохранить изменения, затем Ctrl+X, чтобы выйти из редактора. Выполнить перезапуск FTP-сервера:

service proftpd restart

На этом работа с FTP-сервером в рамках статьи закончена.

Настройка iptables

Обеспечим базовую безопасность сервера с помощью встроенного брандмауэра. Предположим, что на рассматриваемой в качестве примера машине, уже имеются веб-сервер, FTP-сервер, SSH-сервер на порту 22200. Описанные ниже действия, производятся под учетной записью суперпользователя root.

Создаем файл списка правил iptables и даем право на выполнение:

touch /etc/iptables.server
chmod +x /etc/iptables.server

Открываем текстовым редактором nano:

nano /etc/iptables.server

Скопировать любым удобным способом эти строки в открытый файл:

#!/bin/bash
# Объявление переменных
export IPT="iptables"

# Очистка всех цепочек и удаление правил
$IPT -F
$IPT -F -t nat
$IPT -F -t mangle
$IPT -X
$IPT -t nat -X
$IPT -t mangle -X

# Разрешить входящий трафик к интерфейсу локальной петли,
# это необходимо для корректной работы некоторых сервисов
$IPT -A INPUT -i lo -j ACCEPT

# Позволяем два, наиболее безопасных типа пинга
$IPT -A INPUT -p icmp --icmp-type 0 -j ACCEPT
$IPT -A INPUT -p icmp --icmp-type 8 -j ACCEPT

# Разрешить входящие соединения, которые были разрешены в рамках других соединений
$IPT -A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT

# Разрешить доступ к SSH-серверу
$IPT -A INPUT -p tcp --dport 22200 -j ACCEPT

# Разрешить доступ к FTP-серверу
$IPT -A INPUT -p tcp --dport 21 -j ACCEPT
$IPT -A INPUT -p tcp -m tcp --dport 49152:65534 -j ACCEPT

# Разрешить доступ к веб-серверу
$IPT -A INPUT -p tcp -m multiport --dports 80,443 -j ACCEPT

# Устанавливаем политики по умолчанию:
# Входящий трафик — сбрасывать; Проходящий трафик — сбрасывать; Исходящий — разрешать
$IPT -P INPUT DROP
$IPT -P FORWARD DROP
$IPT -P OUTPUT ACCEPT

Сохранить файл сочетанием нажатий клавиш Ctrl+O, нажать Enter для подтверждения, затем Ctrl+X для выхода.

Применить подготовленные правила:

/etc/iptables.server

Чтобы правила iptables не потерялись после перезагрузки, нужно воспользоваться специальным пакетом, для начала установив его:

apt-get install iptables-persistent

Во время установки на оба вопроса ответить Yes.

Сохранить действующие правила:

service netfilter-persistent save

Базовая настройка брандмауэра выполнена.

Последние штрихи

Поскольку в процессе инсталляции ОС, на этапе выбора диска, для установки загрузчика был выбран /dev/sda, загрузчик следует установить и на второй жесткий диск:

grub-install /dev/sdb

Когда первый диск выйдет из строя — система загрузится со второго.

Заключение

В рамках данной статьи описана установка базовой системы Debian 10 Buster на сервер, предоставляемый в аренду компанией Selectel, выполнена установка и настройка программного обеспечения, необходимого для взаимодействия с сервером на начальном этапе.