Gjatë gjithë këtij tutoriali do të mësoni se si të konfiguroni një nivel bazë sigurie në një makinë virtuale krejt të re Vultr VC2 me Ubuntu 18.04.
Gjëja e parë që do të bëjmë është të krijojmë përdoruesin tonë të ri që do të përdorim për t'u kyçur në VM:
adduser porthorian
Shënim: Rekomandohet të përdorni një emër përdoruesi unik që do të jetë e vështirë të merret me mend. Shumica e robotëve do të provojnë si parazgjedhje root, admin, moderator, dhe të ngjashme.
Këtu do t'ju kërkohet një fjalëkalim. Ajo është fuqimisht e rekomanduar që ju përdorni një fjalëkalim të fortë numerike alfa. Pas kësaj, ndiqni udhëzimet në ekranin tuaj dhe kur ai ju pyet nëse informacioni është i saktë, thjesht shtypni Y.
Pasi të shtohet ai përdorues i ri, do të duhet t'i japim atij përdoruesi lejet sudo në mënyrë që të mund të ekzekutojmë komanda nga përdoruesi në emër të përdoruesit rrënjë:
usermod -aG sudo porthorian
Pasi t'i keni dhënë përdoruesit tuaj lejet sudo, kaloni te përdoruesi juaj i ri:
su - porthorian
Për të gjeneruar çelësin SSH, ju lutemi ndiqni këtë dokument .
Pasi të keni krijuar çelësin tuaj të ri SSH, kopjoni çelësin tuaj publik. Duhet të duket si më poshtë:
ssh-rsa AAAAB3NzaC1yc2EAAAABJQAAAQEAmB3uRWxAAELNJ8oGBCBmZx7S11vnAp0RG8rdKf6CLdvT7NMbKF55F8Wf0hFPewEryplaH54ibdmaTuheJVKy1lUhHnVi0AcBpkhJiiOQdEtvbYKT/eIkQl/Qm92Gz6aL3lJ0UknO4gO0LzgqI2vYX0b9LHMF+ZvApEDahLCna6RKo3/lffnANUKfExE+dVwOcJwATL3Ld5IkSatm7zBqbJAim0wj/JQ5ejzkL+aYd3YawpW3qf+WsY3HGbK2TIJt3LsiZJ3M7giZo/fVIZCJqsIOyO9NUOEx5/+KE8IniGb7gdRYgquAEJr89poDCNz/8CBODi9z3ukiE1+UnVlhfQ== rsa-key-20190408
Navigoni te direktoria kryesore e përdoruesve nëse nuk jeni tashmë në të:
cd $HOME
$HOMEështë variabli i mjedisit për direktorinë kryesore të përdoruesve tuaj. Kjo vendoset automatikisht kur krijohet përdoruesi i ri.
Ndërsa në direktorinë tonë kryesore, ne do të vendosim një drejtori tjetër brenda saj. Kjo direktori do të fshihet nga përdoruesit e tjerë në makinë, përveç rrënjës dhe përdoruesit që zotëron drejtorinë. Krijoni drejtorinë e re dhe kufizoni lejet e saj me komandat e mëposhtme:
mkdir ~/.ssh
chmod 700 ~/.ssh
Tani do të hapim një skedar të .sshquajtur authorized_keys. Ky është skedari universal që kërkon OpenSSH. Ju mund ta ndryshoni emrin e kësaj brenda konfigurimit OpenSSH, /etc/ssh/sshd_config, nëse lind nevoja.
Përdorni redaktorin tuaj të preferuar për të krijuar skedarin. Ky tutorial do të përdorë nano:
nano ~/.ssh/authorized_keys
Kopjoni dhe ngjisni çelësin tuaj ssh në authorized_keysskedarin që kemi hapur. Pasi çelësi publik të jetë brenda, mund ta ruani skedarin duke shtypur CTRL+ O.
Sigurohuni që të shfaqet shtegu i duhur i skedarit:
/home/porthorian/.ssh/authorized_keys
Nëse është shtegu i duhur i skedarit, thjesht shtypni ENTER, përndryshe, bëni ndryshimet e nevojshme që të përputhen me shembullin e mësipërm. Më pas dilni nga skedari me CTRL+ X.
Tani do të kufizojmë hyrjen në skedar:
chmod 600 ~/.ssh/authorized_keys
Dilni nga përdoruesi ynë i krijuar dhe kthehuni te përdoruesi rrënjë:
exit
Tani mund të çaktivizojmë vërtetimin e fjalëkalimit në server, në këtë mënyrë identifikimi do të kërkojë një çelës ssh. Është e rëndësishme të theksohet se nëse çaktivizon vërtetimin e fjalëkalimit dhe çelësi publik nuk është instaluar saktë, do të mbylleni veten jashtë serverit tuaj. Rekomandohet që së pari të provoni çelësin përpara se të dilni nga përdoruesi juaj rrënjë.
Aktualisht jemi të kyçur në përdoruesin tonë rrënjësor, kështu që do të modifikojmë sshd_config:
nano /etc/ssh/sshd_config
Ne do të kërkojmë për 3 vlera për t'u siguruar që OpenSSH është konfiguruar siç duhet.
PasswordAuthenticationPubkeyAuthenticationChallengeResponseAuthenticationNe mund t'i gjejmë këto vlera duke shtypur CTRL+ W.
Vlerat duhet të vendosen si më poshtë:
PasswordAuthentication no
ChallengeResponseAuthentication no
PubkeyAuthentication yes
Nëse vlerat komentohen, hiqni atë #në fillim të rreshtit dhe sigurohuni që vlerat e atyre variablave të jenë siç tregohet më sipër. Pasi të keni ndryshuar ato variabla, ruani dhe dilni nga redaktori juaj, me CTRL+ O, ENTERdhe në fund CTRL+ X.
Tani do të ringarkojmë sshdme komandën e mëposhtme:
systemctl reload sshd
Tani mund të testojmë hyrjen. Sigurohuni që nuk keni dalë ende nga sesioni juaj rrënjësor dhe hapni një dritare të re ssh dhe lidheni me çelësin tuaj ssh të lidhur me lidhjen.
Në PuTTY kjo është nën Connection-> SSH-> Auth.
Shfletoni për të gjetur çelësin tuaj privat për vërtetim, pasi duhet ta kishit ruajtur kur krijoni çelësin ssh.
Lidhuni me serverin tuaj me çelësin privat si vërtetimin tuaj. Tani do të identifikoheni në makinën tuaj virtuale Vultr VC2.
Shënim: Nëse keni shtuar një frazë kalimi gjatë gjenerimit të çelësit ssh, do t'ju kërkohet një. Ky është krejtësisht i ndryshëm nga fjalëkalimi aktual i përdoruesit tuaj në makinën virtuale.
Së pari do të fillojmë duke instaluar UFW nëse nuk është tashmë në makinën virtuale. Një mënyrë e mirë për të kontrolluar është me komandën e mëposhtme:
sudo ufw status
Nëse instalohet UFW, ai do të nxjerrë Status:inactive. Nëse nuk është i instaluar, do të udhëzoheni ta bëni këtë.
Mund ta instalojmë me këtë komandë:
sudo apt-get install ufw -y
Tani do të lejojmë portin SSH 22në murin tonë të zjarrit:
sudo ufw allow 22
Përndryshe, ju mund të lejoni OpenSSH:
sudo ufw allow OpenSSH
Secila nga komandat e mësipërme do të funksionojë.
Tani që e kemi lejuar portin përmes firewall-it tonë, mund të aktivizojmë UFW:
sudo ufw enable
Do të pyeteni nëse jeni të sigurt që dëshironi ta kryeni këtë operacion. Shtypja e yndjekur nga ENTERdo të aktivizojë murin e zjarrit:
porthorian@MEANStack:~$ sudo ufw enable
Command may disrupt existing ssh connections. Proceed with operation? y
Shënim: Nëse nuk keni lejuar OpenSSH ose Port 22, do të mbylleni veten jashtë makinës tuaj virtuale. Sigurohuni që një nga këto të lejohet përpara se të aktivizoni UFW.
Pasi të aktivizohet muri i zjarrit, do të jeni ende i lidhur me shembullin tuaj. Ne do të kontrollojmë dy herë murin tonë të zjarrit tani me të njëjtën komandë si më parë:
sudo ufw status
Do të shihni diçka të ngjashme me daljen e mëposhtme:
porthorian@MEANStack:~$ sudo ufw status
Status: active
To Action From
-- ------ ----
22 ALLOW Anywhere
22 (v6) ALLOW Anywhere (v6)
Për të siguruar më tej serverin tonë, ne do të përdorim Firewall-in tonë Vultr. Hyni në llogarinë tuaj . Pasi të regjistroheni, do të lundroni në skedën e murit të zjarrit që ndodhet në krye të ekranit tuaj:
Tani do të shtojmë një grup të ri firewall. Kjo do të na lejojë të specifikojmë se cilat porte mund të arrijnë edhe murin tonë të zjarrit UFW, duke na ofruar një shtresë të dyfishtë sigurie:
Vultr tani do t'ju pyesë se si do të emërtoni murin tuaj të zjarrit duke përdorur fushën "Përshkrimi". Sigurohuni që të përshkruani se çfarë do të bëjnë serverët nën këtë grup të murit të zjarrit, për administrim më të lehtë në të ardhmen. Për hir të këtij tutoriali ne do ta emërtojmë atë test. Ju gjithmonë mund ta ndryshoni përshkrimin më vonë nëse dëshironi.
Së pari do të na duhet të marrim adresën tonë IP. Arsyeja që po e bëjmë këtë drejtpërdrejt është se nëse adresa juaj IP nuk është statike dhe po ndryshon vazhdimisht, thjesht mund të hyni në llogarinë tuaj Vultr dhe të ndryshoni adresën IP.
Kjo është gjithashtu arsyeja pse ne nuk kërkuam adresën IP në murin e zjarrit UFW. Plus, kufizon përdorimin e murit të zjarrit të makinës tuaj virtuale nga filtrimi i të gjitha porteve të tjera dhe thjesht lejon që muri i zjarrit Vultr ta trajtojë atë. Kjo kufizon tendosjen e filtrimit të përgjithshëm të trafikut në shembullin tuaj.
Përdorni xhamin e kërkimit të rrjetit Vultr për të gjetur adresën tuaj IP.
Pra, tani që kemi adresën tonë IP, do të shtojmë një Rregull IPV4 në murin tonë të zjarrit të krijuar rishtazi:
Pasi të keni futur adresën IP, klikoni +simbolin për të shtuar adresën tuaj IP në murin e zjarrit.
Grupi juaj i murit të zjarrit do të duket si më poshtë:
Tani që ne e kemi IP-në tonë të lidhur siç duhet në grupin Firewall, duhet të lidhim shembullin tonë Vultr. Në anën e majtë do të shihni një skedë që thotë "Instancat e lidhura":
Pasi të jeni në faqe, do të shihni një listë me një listë të rasteve të serverit tuaj:
Klikoni në drop-down dhe zgjidhni shembullin tuaj. Pastaj, kur të jeni gati për të shtuar shembullin në grupin e murit të zjarrit, klikoni +simbolin.
Urime, ju keni siguruar me sukses makinën tuaj virtuale Vultr VC2. Kjo ju jep një bazë të mirë për një shtresë shumë bazë sigurie pa u shqetësuar se dikush përpiqet të detyrojë shembullin tuaj.
Përdorimi i një sistemi të ndryshëm? Plesk është një panel kontrolli i pronarit të hostit në internet që lejon përdoruesit të administrojnë faqet e tyre të internetit personale dhe/ose të klientëve, bazat e të dhënave
Hyrje Lets Encrypt është një shërbim i autoritetit certifikues që ofron certifikata falas TLS/SSL. Procesi i instalimit është thjeshtuar nga Certbot,
PHP dhe paketat e lidhura me to janë komponentët më të përdorur gjatë vendosjes së një serveri në internet. Në këtë artikull, ne do të mësojmë se si të konfigurojmë PHP 7.0 ose PHP 7.1 o
Hyrje Lighttpd është një fork i Apache që synon të jetë shumë më pak intensiv me burime. Është i lehtë, prandaj emri i tij, dhe është mjaft i thjeshtë për t'u përdorur. Instaloni
1. Virtualmin/Webmin Virtualmin është një panel kontrolli i fuqishëm dhe fleksibël i hostimit në internet për sistemet Linux dhe UNIX i bazuar në bazën e mirënjohur të internetit me burim të hapur.
Yii është një kornizë PHP që ju lejon të zhvilloni aplikacione më shpejt dhe më lehtë. Instalimi i Yii në Ubuntu është i thjeshtë, siç do të mësoni saktësisht
Screen është një aplikacion që lejon përdorimin e shumëfishtë të sesioneve të terminalit brenda një dritareje. Kjo ju lejon të simuloni dritare të shumta terminale ku është ma
Ky tutorial shpjegon se si të konfiguroni një server DNS duke përdorur Bind9 në Debian ose Ubuntu. Gjatë gjithë artikullit, zëvendësoni emrin e domain-it tuaj në përputhje me rrethanat. Në
Hyrje Logrotate është një mjet Linux që thjeshton administrimin e skedarëve të regjistrit. Zakonisht funksionon një herë në ditë përmes një pune cron dhe menaxhon bazën e regjistrave
VULTR kohët e fundit ka bërë ndryshime në fund të tyre dhe gjithçka duhet të funksionojë mirë tani me NetworkManager të aktivizuar. Nëse dëshironi të çaktivizoni
Icinga2 është një sistem i fuqishëm monitorimi dhe kur përdoret në një model master-klient, ai mund të zëvendësojë nevojën për kontrolle monitorimi të bazuara në NRPE. Master-klien
Në këtë artikull, ne do të shohim se si të përpiloni dhe instaloni Nginx mainline nga burimet zyrtare të Nginx me modulin PageSpeed, i cili ju lejon t
Përdorimi i një sistemi të ndryshëm? Gitea është një sistem alternativ i kontrollit të versionit me burim të hapur, i vetë-pritur, i mundësuar nga Git. Gitea është shkruar në Golang dhe është
Përdorimi i një sistemi të ndryshëm? Gitea është një sistem alternativ i kontrollit të versionit me burim të hapur, i vetë-pritur, i mundësuar nga git. Gitea është shkruar në Golang dhe është
Përdorimi i një sistemi të ndryshëm? MODX Revolution është një Sistem i Menaxhimit të Përmbajtjes (CMS) i shpejtë, fleksibël, i shkallëzuar, me burim të hapur, i shkallës së ndërmarrjes, i shkruar në PHP. Ajo i
Përdorimi i një sistemi të ndryshëm? Docker është një aplikacion që lejon vendosjen e programeve që ekzekutohen si kontejnerë. Ishte shkruar në programin popullor Go
Golang është një gjuhë programimi e zhvilluar nga Google. Falë shkathtësisë, thjeshtësisë dhe besueshmërisë së tij, Golang është bërë një nga më të populluarit
Çfarë është Lopa e Pistë (CVE-2016-5195)? Dobësia e Dirty Cow shfrytëzohet përmes mënyrës se si Linux përpunon kodin. Ai lejon që një përdorues i paprivilegjuar të gai
Të kesh vetëm një përdorues, i cili është root, mund të jetë i rrezikshëm. Pra, le ta rregullojmë atë. Vultr na ofron lirinë për të bërë si të duam me përdoruesit dhe serverët tanë
Nëse e keni harruar fjalëkalimin tuaj rrënjësor MySQL, mund ta rivendosni atë duke ndjekur hapat në këtë artikull. Procesi është mjaft i thjeshtë dhe funksionon në to
Inteligjenca Artificiale nuk është në të ardhmen, është këtu në të tashmen Në këtë blog Lexoni se si aplikacionet e inteligjencës artificiale kanë ndikuar në sektorë të ndryshëm.
A jeni edhe ju viktimë e Sulmeve DDOS dhe jeni konfuz në lidhje me metodat e parandalimit? Lexoni këtë artikull për të zgjidhur pyetjet tuaja.
Ju mund të keni dëgjuar se hakerët fitojnë shumë para, por a keni menduar ndonjëherë se si i fitojnë ato para? Le te diskutojme.
Dëshironi të shihni shpikjet revolucionare nga Google dhe se si këto shpikje ndryshuan jetën e çdo njeriu sot? Më pas lexoni në blog për të parë shpikjet nga Google.
Koncepti i makinave vetë-drejtuese për të dalë në rrugë me ndihmën e inteligjencës artificiale është një ëndërr që e kemi prej kohësh. Por, pavarësisht nga disa premtime, ato nuk shihen askund. Lexoni këtë blog për të mësuar më shumë…
Ndërsa Shkenca evoluon me një ritëm të shpejtë, duke marrë përsipër shumë nga përpjekjet tona, rriten edhe rreziqet për t'iu nënshtruar një Singulariteti të pashpjegueshëm. Lexoni, çfarë mund të thotë singulariteti për ne.
Metodat e ruajtjes së të dhënave kanë evoluar mund të jenë që nga lindja e të dhënave. Ky blog mbulon evolucionin e ruajtjes së të dhënave në bazë të një infografike.
Lexoni blogun për të njohur shtresat e ndryshme në arkitekturën e të dhënave të mëdha dhe funksionalitetet e tyre në mënyrën më të thjeshtë.
Në këtë botë të drejtuar nga dixhitali, pajisjet inteligjente të shtëpisë janë bërë një pjesë thelbësore e jetës. Këtu janë disa përfitime të mahnitshme të pajisjeve shtëpiake inteligjente se si ato e bëjnë jetën tonë të vlefshme dhe më të thjeshtë.
Së fundmi Apple lëshoi macOS Catalina 10.15.4 një përditësim shtesë për të rregulluar problemet, por duket se përditësimi po shkakton më shumë probleme që çojnë në bricking të makinerive mac. Lexoni këtë artikull për të mësuar më shumë
