如何将笔记本电脑变成无头 Ubuntu 服务器？

Question

这里提出了四个问题/要求，其中一些彼此不兼容。如果是具有公共访问权限的家庭服务器（听起来是这样），我只需安装 Ubuntu Server 并合上笔记本电脑的盖子即可使其无头。

设置 SSH

要在 Ubuntu 上安装 SSH 服务器，请执行以下命令（或在 Ubuntu Server 的安装过程中勾选打开 SSH 服务器；openssh-client默认情况下会安装）：

sudo apt update 
sudo apt install openssh-server openssh-sftp-server

现在您应该能够使用以下命令通过环回接口（从/到服务器本身）连接到 SSH 服务器：

ssh <user>@localhost

设置基于密钥的身份验证以增加安全性。.ssh首先在用户的主目录中创建目录：mkdir ~/.ssh

然后，从远程实例（从您的 LAN），假设它也是 Ubuntu，执行以下步骤（来源)：

生成 RSA 密钥（输入密码以提高安全性，以防有人窃取您的密钥，它应该与您的用户密码不同）：
```
mkdir ~/.ssh
chmod 700 ~/.ssh
ssh-keygen -t rsa -b 4096
chmod 600 ~/.ssh/id_rsa
```
将客户端密钥传输到服务器（笔记)：
```
ssh-copy-id <user>@<server-lan-ip>
```
现在您应该能够使用密钥验证连接到 SSH 服务器（如果已设置，则应该输入密码）：
```
ssh <user>@<server-lan-ip>
```

/etc/ssh/sshd_config一旦成功，您可以通过以下方式编辑文件来禁用服务器的密码验证：

#PasswordAuthentication yes
PasswordAuthentication no

不要忘记重新启动 SSH 服务器：sudo systemctl restart sshd.service

如果你打算使用加密主目录您应该调整您的 SSH 配置（在服务器端），如下所述：SSH 仅在本地登录服务器后才允许远程连接。

重启时没有登录提示或如何防止通过物理访问登录

我认为，这是没有必要的。在 Ubuntu 中，使用 root 登录默认情况下处于禁用状态。这意味着，作为本地服务器的管理员，您应该使用一个用户名难以猜测（奇怪、毫无意义）的用户登录，并且强密码。我认为，在这种情况下，这已经足够了，因为您应该通过手写来猜测密码。如果您想增加安全性，您可以设置双重认证。

事实上，首先你应该禁用恢复模式以防止以 root 身份使用物理访问权限登录。可在“高级选项”中访问GRUB的菜单，可以Shift在启动过程中通过长按键进入。

如果你真的想禁用语音电话为了防止使用物理访问登录，在目前的 Ubuntu 版本（15.04+）中，使用systemd，您可以按照以下方式编辑文件/etc/systemd/logind.conf，这将禁用从 2 到 6 的 TTY（来源)：

[Login]
NAutoVTs=0

TTY-1 是硬编码的，将保持活动状态。要禁用 TTY-1，请使用以下命令将其符号链接到/dev/null(来源)：

sudo systemctl mask [email protected]    # use `unmask` to remove the symlink

现在重新启动系统，TTY 应该不可用。

停用屏幕和键盘

这屏幕和键盘可以通过以下方式停用笔记本电脑GRUB为此，请编辑该文件/etc/default/grub并按照所示方式修改以下行（其中<default parameters>已经存在参数）：

GRUB_CMDLINE_LINUX_DEFAULT="<default parameters> i8042.nokbd video=LVDS-1:d"

然后执行sudo update-grub并重新启动系统。这些额外的内核参数将停用笔记本电脑的键盘和屏幕。我的研究表明，它们适用于几乎所有笔记本电脑品牌/型号。

你可以覆盖这些参数通过按下eGRUB 菜单中的键。使用这些设置，如果您插入外部键盘和显示器（为什么不和老鼠) 他们必须工作。

全盘加密

经过简短的互联网研究表明，有几种方法可以进行全盘加密，例如：

文章手动全系统加密在 Ubuntu 文档/社区 Wiki 上。
使用 Ubuntu 安装进行全盘加密（使用最小CD) YouTybe 上的视频手册。

请注意！“完整系统加密的后果是您每次打开计算机时都需要输入系统密码...”

所以，如果你设置了全盘加密并禁用键盘和显示器，这将导致系统在重启后无法运行。

以下是有关加密的一些附加说明：使用 VPS 服务，我可以阻止 VPS 主机访问我的数据吗？

设置全盘加密之前请三思！

这只会在您的设备被盗且其 HDD/SSD 连接到另一台主机的情况下增加安全性。在服务器工作过程中，磁盘将被解密，以便系统可以访问。所以这不会增加额外的网络安全性。

同样，你真的需要这么麻烦吗？我会花时间学习如何使用逻辑卷管理器。

也许你想使用加密主目录防止系统的其他用户访问您的个人文件。在这种情况下，除非您未登录，否则您的个人数据将被加密。

请注意，如果您打算成为此服务器的独立管理员，则无需这样做，因为您可以通过以下方式有效地限制对文件和文件夹的访问：权限。

当您登录时，您的主页将被解密，以便您的用户可以访问，如果有另一个管理员 - 可以使用该sudo命令的人 - 恶意调整（！？），他或她可以访问您的文件。

也许保护敏感数据安全的最有效方法是使用加密文件夹（或只是加密存档文件）。因此，在解密文件夹（文件）之前，您可以检查谁已登录（以 root 身份）。

Answer 1

这里提出了四个问题/要求，其中一些彼此不兼容。如果是具有公共访问权限的家庭服务器（听起来是这样），我只需安装 Ubuntu Server 并合上笔记本电脑的盖子即可使其无头。

设置 SSH

要在 Ubuntu 上安装 SSH 服务器，请执行以下命令（或在 Ubuntu Server 的安装过程中勾选打开 SSH 服务器；openssh-client默认情况下会安装）：

sudo apt update 
sudo apt install openssh-server openssh-sftp-server

现在您应该能够使用以下命令通过环回接口（从/到服务器本身）连接到 SSH 服务器：

ssh <user>@localhost

设置基于密钥的身份验证以增加安全性。.ssh首先在用户的主目录中创建目录：mkdir ~/.ssh

然后，从远程实例（从您的 LAN），假设它也是 Ubuntu，执行以下步骤（来源)：

生成 RSA 密钥（输入密码以提高安全性，以防有人窃取您的密钥，它应该与您的用户密码不同）：
```
mkdir ~/.ssh
chmod 700 ~/.ssh
ssh-keygen -t rsa -b 4096
chmod 600 ~/.ssh/id_rsa
```
将客户端密钥传输到服务器（笔记)：
```
ssh-copy-id <user>@<server-lan-ip>
```
现在您应该能够使用密钥验证连接到 SSH 服务器（如果已设置，则应该输入密码）：
```
ssh <user>@<server-lan-ip>
```

/etc/ssh/sshd_config一旦成功，您可以通过以下方式编辑文件来禁用服务器的密码验证：

#PasswordAuthentication yes
PasswordAuthentication no

不要忘记重新启动 SSH 服务器：sudo systemctl restart sshd.service

如果你打算使用加密主目录您应该调整您的 SSH 配置（在服务器端），如下所述：SSH 仅在本地登录服务器后才允许远程连接。

重启时没有登录提示或如何防止通过物理访问登录

我认为，这是没有必要的。在 Ubuntu 中，使用 root 登录默认情况下处于禁用状态。这意味着，作为本地服务器的管理员，您应该使用一个用户名难以猜测（奇怪、毫无意义）的用户登录，并且强密码。我认为，在这种情况下，这已经足够了，因为您应该通过手写来猜测密码。如果您想增加安全性，您可以设置双重认证。

事实上，首先你应该禁用恢复模式以防止以 root 身份使用物理访问权限登录。可在“高级选项”中访问GRUB的菜单，可以Shift在启动过程中通过长按键进入。

如果你真的想禁用语音电话为了防止使用物理访问登录，在目前的 Ubuntu 版本（15.04+）中，使用systemd，您可以按照以下方式编辑文件/etc/systemd/logind.conf，这将禁用从 2 到 6 的 TTY（来源)：

[Login]
NAutoVTs=0

TTY-1 是硬编码的，将保持活动状态。要禁用 TTY-1，请使用以下命令将其符号链接到/dev/null(来源)：

sudo systemctl mask [email protected]    # use `unmask` to remove the symlink

现在重新启动系统，TTY 应该不可用。

停用屏幕和键盘

这屏幕和键盘可以通过以下方式停用笔记本电脑GRUB为此，请编辑该文件/etc/default/grub并按照所示方式修改以下行（其中<default parameters>已经存在参数）：

GRUB_CMDLINE_LINUX_DEFAULT="<default parameters> i8042.nokbd video=LVDS-1:d"

然后执行sudo update-grub并重新启动系统。这些额外的内核参数将停用笔记本电脑的键盘和屏幕。我的研究表明，它们适用于几乎所有笔记本电脑品牌/型号。

你可以覆盖这些参数通过按下eGRUB 菜单中的键。使用这些设置，如果您插入外部键盘和显示器（为什么不和老鼠) 他们必须工作。

全盘加密

经过简短的互联网研究表明，有几种方法可以进行全盘加密，例如：

文章手动全系统加密在 Ubuntu 文档/社区 Wiki 上。
使用 Ubuntu 安装进行全盘加密（使用最小CD) YouTybe 上的视频手册。

请注意！“完整系统加密的后果是您每次打开计算机时都需要输入系统密码...”

所以，如果你设置了全盘加密并禁用键盘和显示器，这将导致系统在重启后无法运行。

以下是有关加密的一些附加说明：使用 VPS 服务，我可以阻止 VPS 主机访问我的数据吗？

设置全盘加密之前请三思！

这只会在您的设备被盗且其 HDD/SSD 连接到另一台主机的情况下增加安全性。在服务器工作过程中，磁盘将被解密，以便系统可以访问。所以这不会增加额外的网络安全性。

同样，你真的需要这么麻烦吗？我会花时间学习如何使用逻辑卷管理器。

也许你想使用加密主目录防止系统的其他用户访问您的个人文件。在这种情况下，除非您未登录，否则您的个人数据将被加密。

请注意，如果您打算成为此服务器的独立管理员，则无需这样做，因为您可以通过以下方式有效地限制对文件和文件夹的访问：权限。

当您登录时，您的主页将被解密，以便您的用户可以访问，如果有另一个管理员 - 可以使用该sudo命令的人 - 恶意调整（！？），他或她可以访问您的文件。

也许保护敏感数据安全的最有效方法是使用加密文件夹（或只是加密存档文件）。因此，在解密文件夹（文件）之前，您可以检查谁已登录（以 root 身份）。

如何将笔记本电脑变成无头 Ubuntu 服务器？

答案1

设置 SSH

重启时没有登录提示或如何防止通过物理访问登录

停用屏幕和键盘

全盘加密

设置全盘加密之前请三思！

相关内容