Konfigurimi fillestar i Serverit të Sigurt të Ubuntu 18.04

Prezantimi

Gjatë gjithë këtij tutoriali do të mësoni se si të konfiguroni një nivel bazë sigurie në një makinë virtuale krejt të re Vultr VC2 me Ubuntu 18.04.

Parakushtet

• Një llogari Vultr, mund ta krijoni këtu
• Një Ubuntu 18.04 Vultr VM i ri

Krijoni dhe modifikoni një përdorues

Gjëja e parë që do të bëjmë është të krijojmë përdoruesin tonë të ri që do të përdorim për t'u kyçur në VM:

adduser porthorian

Shënim: Rekomandohet të përdorni një emër përdoruesi unik që do të jetë e vështirë të merret me mend. Shumica e robotëve do të provojnë si parazgjedhje root, admin, moderator, dhe të ngjashme.

Këtu do t'ju kërkohet një fjalëkalim. Ajo është fuqimisht e rekomanduar që ju përdorni një fjalëkalim të fortë numerike alfa. Pas kësaj, ndiqni udhëzimet në ekranin tuaj dhe kur ai ju pyet nëse informacioni është i saktë, thjesht shtypni Y.

Pasi të shtohet ai përdorues i ri, do të duhet t'i japim atij përdoruesi lejet sudo në mënyrë që të mund të ekzekutojmë komanda nga përdoruesi në emër të përdoruesit rrënjë:

usermod -aG sudo porthorian

Pasi t'i keni dhënë përdoruesit tuaj lejet sudo, kaloni te përdoruesi juaj i ri:

su - porthorian

Gjeneroni dhe konfiguroni një çelës SSH

Për të gjeneruar çelësin SSH, ju lutemi ndiqni këtë dokument .

Pasi të keni krijuar çelësin tuaj të ri SSH, kopjoni çelësin tuaj publik. Duhet të duket si më poshtë:

ssh-rsa AAAAB3NzaC1yc2EAAAABJQAAAQEAmB3uRWxAAELNJ8oGBCBmZx7S11vnAp0RG8rdKf6CLdvT7NMbKF55F8Wf0hFPewEryplaH54ibdmaTuheJVKy1lUhHnVi0AcBpkhJiiOQdEtvbYKT/eIkQl/Qm92Gz6aL3lJ0UknO4gO0LzgqI2vYX0b9LHMF+ZvApEDahLCna6RKo3/lffnANUKfExE+dVwOcJwATL3Ld5IkSatm7zBqbJAim0wj/JQ5ejzkL+aYd3YawpW3qf+WsY3HGbK2TIJt3LsiZJ3M7giZo/fVIZCJqsIOyO9NUOEx5/+KE8IniGb7gdRYgquAEJr89poDCNz/8CBODi9z3ukiE1+UnVlhfQ== rsa-key-20190408

Konfiguro direktorinë e përdoruesve

Navigoni te direktoria kryesore e përdoruesve nëse nuk jeni tashmë në të:

cd $HOME

$HOMEështë variabli i mjedisit për direktorinë kryesore të përdoruesve tuaj. Kjo vendoset automatikisht kur krijohet përdoruesi i ri.

Ndërsa në direktorinë tonë kryesore, ne do të vendosim një drejtori tjetër brenda saj. Kjo direktori do të fshihet nga përdoruesit e tjerë në makinë, përveç rrënjës dhe përdoruesit që zotëron drejtorinë. Krijoni drejtorinë e re dhe kufizoni lejet e saj me komandat e mëposhtme:

mkdir ~/.ssh
chmod 700 ~/.ssh

Tani do të hapim një skedar të .sshquajtur authorized_keys. Ky është skedari universal që kërkon OpenSSH. Ju mund ta ndryshoni emrin e kësaj brenda konfigurimit OpenSSH, /etc/ssh/sshd_config, nëse lind nevoja.

Përdorni redaktorin tuaj të preferuar për të krijuar skedarin. Ky tutorial do të përdorë nano:

nano ~/.ssh/authorized_keys

Kopjoni dhe ngjisni çelësin tuaj ssh në authorized_keysskedarin që kemi hapur. Pasi çelësi publik të jetë brenda, mund ta ruani skedarin duke shtypur CTRL+ O.

Sigurohuni që të shfaqet shtegu i duhur i skedarit:

/home/porthorian/.ssh/authorized_keys

Nëse është shtegu i duhur i skedarit, thjesht shtypni ENTER, përndryshe, bëni ndryshimet e nevojshme që të përputhen me shembullin e mësipërm. Më pas dilni nga skedari me CTRL+ X.

Tani do të kufizojmë hyrjen në skedar:

chmod 600 ~/.ssh/authorized_keys

Dilni nga përdoruesi ynë i krijuar dhe kthehuni te përdoruesi rrënjë:

exit

Çaktivizimi i vërtetimit të fjalëkalimit

Tani mund të çaktivizojmë vërtetimin e fjalëkalimit në server, në këtë mënyrë identifikimi do të kërkojë një çelës ssh. Është e rëndësishme të theksohet se nëse çaktivizon vërtetimin e fjalëkalimit dhe çelësi publik nuk është instaluar saktë, do të mbylleni veten jashtë serverit tuaj. Rekomandohet që së pari të provoni çelësin përpara se të dilni nga përdoruesi juaj rrënjë.

Aktualisht jemi të kyçur në përdoruesin tonë rrënjësor, kështu që do të modifikojmë sshd_config:

nano /etc/ssh/sshd_config

Ne do të kërkojmë për 3 vlera për t'u siguruar që OpenSSH është konfiguruar siç duhet.

• PasswordAuthentication
• PubkeyAuthentication
• ChallengeResponseAuthentication

Ne mund t'i gjejmë këto vlera duke shtypur CTRL+ W.

Vlerat duhet të vendosen si më poshtë:

PasswordAuthentication  no
ChallengeResponseAuthentication  no
PubkeyAuthentication  yes

Nëse vlerat komentohen, hiqni atë #në fillim të rreshtit dhe sigurohuni që vlerat e atyre variablave të jenë siç tregohet më sipër. Pasi të keni ndryshuar ato variabla, ruani dhe dilni nga redaktori juaj, me CTRL+ O, ENTERdhe në fund CTRL+ X.

Tani do të ringarkojmë sshdme komandën e mëposhtme:

systemctl reload sshd

Tani mund të testojmë hyrjen. Sigurohuni që nuk keni dalë ende nga sesioni juaj rrënjësor dhe hapni një dritare të re ssh dhe lidheni me çelësin tuaj ssh të lidhur me lidhjen.

Në PuTTY kjo është nën Connection-> SSH-> Auth.

Shfletoni për të gjetur çelësin tuaj privat për vërtetim, pasi duhet ta kishit ruajtur kur krijoni çelësin ssh.

Lidhuni me serverin tuaj me çelësin privat si vërtetimin tuaj. Tani do të identifikoheni në makinën tuaj virtuale Vultr VC2.

Shënim: Nëse keni shtuar një frazë kalimi gjatë gjenerimit të çelësit ssh, do t'ju kërkohet një. Ky është krejtësisht i ndryshëm nga fjalëkalimi aktual i përdoruesit tuaj në makinën virtuale.

Vendosni një mur bazë zjarri

Konfiguro UFW

Së pari do të fillojmë duke instaluar UFW nëse nuk është tashmë në makinën virtuale. Një mënyrë e mirë për të kontrolluar është me komandën e mëposhtme:

sudo ufw status

Nëse instalohet UFW, ai do të nxjerrë Status:inactive. Nëse nuk është i instaluar, do të udhëzoheni ta bëni këtë.

Mund ta instalojmë me këtë komandë:

sudo apt-get install ufw -y

Tani do të lejojmë portin SSH 22në murin tonë të zjarrit:

sudo ufw allow 22

Përndryshe, ju mund të lejoni OpenSSH:

sudo ufw allow OpenSSH

Secila nga komandat e mësipërme do të funksionojë.

Tani që e kemi lejuar portin përmes firewall-it tonë, mund të aktivizojmë UFW:

sudo ufw enable

Do të pyeteni nëse jeni të sigurt që dëshironi ta kryeni këtë operacion. Shtypja e yndjekur nga ENTERdo të aktivizojë murin e zjarrit:

porthorian@MEANStack:~$ sudo ufw enable
Command may disrupt existing ssh connections. Proceed with operation? y

Shënim: Nëse nuk keni lejuar OpenSSH ose Port 22, do të mbylleni veten jashtë makinës tuaj virtuale. Sigurohuni që një nga këto të lejohet përpara se të aktivizoni UFW.

Pasi të aktivizohet muri i zjarrit, do të jeni ende i lidhur me shembullin tuaj. Ne do të kontrollojmë dy herë murin tonë të zjarrit tani me të njëjtën komandë si më parë:

sudo ufw status

Do të shihni diçka të ngjashme me daljen e mëposhtme:

porthorian@MEANStack:~$ sudo ufw status
Status: active

To                         Action      From
--                         ------      ----
22                         ALLOW       Anywhere
22 (v6)                    ALLOW       Anywhere (v6)

Konfigurimi i murit të zjarrit Vultr

Për të siguruar më tej serverin tonë, ne do të përdorim Firewall-in tonë Vultr. Hyni në llogarinë tuaj . Pasi të regjistroheni, do të lundroni në skedën e murit të zjarrit që ndodhet në krye të ekranit tuaj:

Tani do të shtojmë një grup të ri firewall. Kjo do të na lejojë të specifikojmë se cilat porte mund të arrijnë edhe murin tonë të zjarrit UFW, duke na ofruar një shtresë të dyfishtë sigurie:

Vultr tani do t'ju pyesë se si do të emërtoni murin tuaj të zjarrit duke përdorur fushën "Përshkrimi". Sigurohuni që të përshkruani se çfarë do të bëjnë serverët nën këtë grup të murit të zjarrit, për administrim më të lehtë në të ardhmen. Për hir të këtij tutoriali ne do ta emërtojmë atë test. Ju gjithmonë mund ta ndryshoni përshkrimin më vonë nëse dëshironi.

Së pari do të na duhet të marrim adresën tonë IP. Arsyeja që po e bëjmë këtë drejtpërdrejt është se nëse adresa juaj IP nuk është statike dhe po ndryshon vazhdimisht, thjesht mund të hyni në llogarinë tuaj Vultr dhe të ndryshoni adresën IP.

Kjo është gjithashtu arsyeja pse ne nuk kërkuam adresën IP në murin e zjarrit UFW. Plus, kufizon përdorimin e murit të zjarrit të makinës tuaj virtuale nga filtrimi i të gjitha porteve të tjera dhe thjesht lejon që muri i zjarrit Vultr ta trajtojë atë. Kjo kufizon tendosjen e filtrimit të përgjithshëm të trafikut në shembullin tuaj.

Përdorni xhamin e kërkimit të rrjetit Vultr për të gjetur adresën tuaj IP.

Pra, tani që kemi adresën tonë IP, do të shtojmë një Rregull IPV4 në murin tonë të zjarrit të krijuar rishtazi:

Pasi të keni futur adresën IP, klikoni +simbolin për të shtuar adresën tuaj IP në murin e zjarrit.

Grupi juaj i murit të zjarrit do të duket si më poshtë:

Tani që ne e kemi IP-në tonë të lidhur siç duhet në grupin Firewall, duhet të lidhim shembullin tonë Vultr. Në anën e majtë do të shihni një skedë që thotë "Instancat e lidhura":

Pasi të jeni në faqe, do të shihni një listë me një listë të rasteve të serverit tuaj:

Klikoni në drop-down dhe zgjidhni shembullin tuaj. Pastaj, kur të jeni gati për të shtuar shembullin në grupin e murit të zjarrit, klikoni +simbolin.

Urime, ju keni siguruar me sukses makinën tuaj virtuale Vultr VC2. Kjo ju jep një bazë të mirë për një shtresë shumë bazë sigurie pa u shqetësuar se dikush përpiqet të detyrojë shembullin tuaj.