如何将笔记本电脑变成无头 Ubuntu 服务器?

如何将笔记本电脑变成无头 Ubuntu 服务器?

正在寻找一种方法将笔记本电脑变成带有 ubuntu 服务器的无头盒服务器,仅使用 ssh 访问,激活磁盘加密,重新启动时无登录提示并停用屏幕和键盘。

答案1

这里提出了四个问题/要求,其中一些彼此不兼容。如果是具有公共访问权限的家庭服务器(听起来是这样),我只需安装 Ubuntu Server 并合上笔记本电脑的盖子即可使其无头。


设置 SSH

要在 Ubuntu 上安装 SSH 服务器,请执行以下命令(或在 Ubuntu Server 的安装过程中勾选打开 SSH 服务器;openssh-client默认情况下会安装):

sudo apt update 
sudo apt install openssh-server openssh-sftp-server

现在您应该能够使用以下命令通过环回接口(从/到服务器本身)连接到 SSH 服务器:

ssh <user>@localhost  

设置基于密钥的身份验证以增加安全性。.ssh首先在用户的主目录中创建目录:mkdir ~/.ssh

然后,从远程实例(从您的 LAN),假设它也是 Ubuntu,执行以下步骤(来源):

  • 生成 RSA 密钥(输入密码以提高安全性,以防有人窃取您的密钥,它应该与您的用户密码不同):

    mkdir ~/.ssh
    chmod 700 ~/.ssh
    ssh-keygen -t rsa -b 4096
    chmod 600 ~/.ssh/id_rsa
    
  • 将客户端密钥传输到服务器(笔记):

    ssh-copy-id <user>@<server-lan-ip>
    
  • 现在您应该能够使用密钥验证连接到 SSH 服务器(如果已设置,则应该输入密码):

    ssh <user>@<server-lan-ip>
    

/etc/ssh/sshd_config一旦成功,您可以通过以下方式编辑文件来禁用服务器的密码验证:

#PasswordAuthentication yes
PasswordAuthentication no

不要忘记重新启动 SSH 服务器:sudo systemctl restart sshd.service

如果你打算使用加密主目录您应该调整您的 SSH 配置(在服务器端),如下所述:SSH 仅在本地登录服务器后才允许远程连接


重启时没有登录提示或如何防止通过物理访问登录

我认为,这是没有必要的。在 Ubuntu 中,使用 root 登录默认情况下处于禁用状态。这意味着,作为本地服务器的管理员,您应该使用一个用户名难以猜测(奇怪、毫无意义)的用户登录,并且强密码。我认为,在这种情况下,这已经足够了,因为您应该通过手写来猜测密码。如果您想增加安全性,您可以设置双重认证

事实上,首先你应该禁用恢复模式以防止以 root 身份使用物理访问权限登录。可在“高级选项”中访问GRUB的菜单,可以Shift在启动过程中通过长按键进入。

如果你真的想禁用语音电话为了防止使用物理访问登录,在目前的 Ubuntu 版本(15.04+)中,使用systemd,您可以按照以下方式编辑文件/etc/systemd/logind.conf,这将禁用从 2 到 6 的 TTY(来源):

[Login]
NAutoVTs=0

TTY-1 是硬编码的,将保持活动状态。要禁用 TTY-1,请使用以下命令将其符号链接到/dev/null(来源):

sudo systemctl mask [email protected]    # use `unmask` to remove the symlink

现在重新启动系统,TTY 应该不可用。


停用屏幕和键盘

屏幕键盘可以通过以下方式停用笔记本电脑GRUB为此,请编辑该文件/etc/default/grub并按照所示方式修改以下行(其中<default parameters>已经存在参数):

GRUB_CMDLINE_LINUX_DEFAULT="<default parameters> i8042.nokbd video=LVDS-1:d"

然后执行sudo update-grub并重新启动系统。这些额外的内核参数将停用笔记本电脑的键盘和屏幕。我的研究表明,它们适用于几乎所有笔记本电脑品牌/型号。

你可以覆盖这些参数通过按下eGRUB 菜单中的键。使用这些设置,如果您插入外部键盘和显示器(为什么不和老鼠) 他们必须工作。


全盘加密

经过简短的互联网研究表明,有几种方法可以进行全盘加密,例如:

请注意!“完整系统加密的后果是您每次打开计算机时都需要输入系统密码...”

所以,如果你设置了全盘加密并禁用键盘和显示器,这将导致系统在重启后无法运行

以下是有关加密的一些附加说明:使用 VPS 服务,我可以阻止 VPS 主机访问我的数据吗?


设置全盘加密之前请三思!

这只会在您的设备被盗且其 HDD/SSD 连接到另一台主机的情况下增加安全性。在服务器工作过程中,磁盘将被解密,以便系统可以访问。所以这不会增加额外的网络安全性。

同样,你真的需要这么麻烦吗?我会花时间学习如何使用逻辑卷管理器

也许你想使用加密主目录防止系统的其他用户访问您的个人文件。在这种情况下,除非您未登录,否则您的个人数据将被加密。

请注意,如果您打算成为此服务器的独立管理员,则无需这样做,因为您可以通过以下方式有效地限制对文件和文件夹的访问:权限

当您登录时,您的主页将被解密,以便您的用户可以访问,如果有另一个管理员 - 可以使用该sudo命令的人 - 恶意调整(!?),他或她可以访问您的文件。

也许保护敏感数据安全的最有效方法是使用加密文件夹(或只是加密存档文件)。因此,在解密文件夹(文件)之前,您可以检查谁已登录以 root 身份)。

相关内容