Configuració inicial del servidor segur dUbuntu 18.04

Introducció

Al llarg d'aquest tutorial aprendràs a configurar un nivell bàsic de seguretat en una màquina virtual Vultr VC2 nova que executa Ubuntu 18.04.

Requisits previs

• Un compte Vultr, podeu crear-ne un aquí
• Un nou Ubuntu 18.04 Vultr VM

Crear i modificar un usuari

El primer que farem és crear el nostre nou usuari que farem servir per iniciar sessió a la VM:

adduser porthorian

Nota: es recomana utilitzar un nom d'usuari únic que serà difícil d'endevinar. La majoria dels robots provaran per defecte root, admin, moderator, i similars.

Aquí se us demanarà una contrasenya. És molt recomanable que utilitzeu una contrasenya alfanumèrica forta. Després d'això, seguiu les indicacions de la pantalla i quan us demani si la informació és correcta, només heu de prémer Y.

Un cop afegit aquest nou usuari, haurem de donar-li permisos sudo perquè puguem executar ordres de l'usuari en nom de l'usuari root:

usermod -aG sudo porthorian

Un cop hagis donat els permisos sudo al teu usuari, canvia al teu nou usuari:

su - porthorian

Generar i configurar una clau SSH

Per generar la clau SSH, seguiu aquest document .

Un cop hàgiu generat la vostra nova clau SSH, copieu la vostra clau pública. Hauria de semblar el següent:

ssh-rsa AAAAB3NzaC1yc2EAAAABJQAAAQEAmB3uRWxAAELNJ8oGBCBmZx7S11vnAp0RG8rdKf6CLdvT7NMbKF55F8Wf0hFPewEryplaH54ibdmaTuheJVKy1lUhHnVi0AcBpkhJiiOQdEtvbYKT/eIkQl/Qm92Gz6aL3lJ0UknO4gO0LzgqI2vYX0b9LHMF+ZvApEDahLCna6RKo3/lffnANUKfExE+dVwOcJwATL3Ld5IkSatm7zBqbJAim0wj/JQ5ejzkL+aYd3YawpW3qf+WsY3HGbK2TIJt3LsiZJ3M7giZo/fVIZCJqsIOyO9NUOEx5/+KE8IniGb7gdRYgquAEJr89poDCNz/8CBODi9z3ukiE1+UnVlhfQ== rsa-key-20190408

Configura el teu directori d'usuaris

Navegueu al directori d'inici dels vostres usuaris si encara no hi sou:

cd $HOME

$HOMEés la variable d'entorn per al directori inicial dels usuaris. S'estableix automàticament quan es crea l'usuari nou.

Mentre estem al nostre directori inicial, col·locarem un altre directori dins d'ell. Aquest directori s'ocultarà als altres usuaris de la màquina, excepte root i l'usuari propietari del directori. Creeu el directori nou i restringiu els seus permisos amb les ordres següents:

mkdir ~/.ssh
chmod 700 ~/.ssh

Ara obrirem un fitxer .sshanomenat authorized_keys. Aquest és el fitxer universal que cerca OpenSSH. Podeu canviar-ne el nom dins de la configuració d'OpenSSH, /etc/ssh/sshd_config, si és necessari.

Utilitzeu el vostre editor preferit per crear el fitxer. Aquest tutorial utilitzarà nano:

nano ~/.ssh/authorized_keys

Copieu i enganxeu la vostra clau ssh al authorized_keysfitxer que hem obert. Un cop la clau pública estigui dins, podeu desar el fitxer prement CTRL+ O.

Assegureu-vos que es mostri el camí del fitxer adequat:

/home/porthorian/.ssh/authorized_keys

Si és la ruta del fitxer correcta, només cal que premeu ENTER, en cas contrari, feu els canvis necessaris perquè coincideixi amb l'exemple anterior. A continuació, sortiu del fitxer amb CTRL+ X.

Ara restringirem l'accés al fitxer:

chmod 600 ~/.ssh/authorized_keys

Sortiu del nostre usuari creat i torneu a l'usuari root:

exit

S'està desactivant l'autenticació de contrasenya

Ara podem desactivar l'autenticació de contrasenya al servidor, d'aquesta manera l'inici de sessió requerirà una clau ssh. És important tenir en compte que si desactiveu l'autenticació de contrasenya i la clau pública no s'ha instal·lat correctament, us bloquejareu fora del vostre servidor. Es recomana que proveu la clau abans fins i tot de tancar la sessió de l'usuari root.

Actualment estem iniciat la sessió al nostre usuari root, així que editarem sshd_config:

nano /etc/ssh/sshd_config

Anem a cercar 3 valors per assegurar-nos que OpenSSH està configurat correctament.

• PasswordAuthentication
• PubkeyAuthentication
• ChallengeResponseAuthentication

Podem trobar aquests valors prement CTRL+ W.

Els valors s'han d'establir en el següent:

PasswordAuthentication  no
ChallengeResponseAuthentication  no
PubkeyAuthentication  yes

Si es comenten els valors, traieu #al principi de la línia i assegureu-vos que els valors d'aquestes variables siguin els que es mostren a dalt. Un cop hàgiu canviat aquestes variables, deseu i sortiu del vostre editor, amb CTRL+ O, ENTERi finalment CTRL+ X.

Ara tornarem a carregar sshdamb la següent comanda:

systemctl reload sshd

Ara podem provar l'inici de sessió. Assegureu-vos que encara no heu tancat la sessió d'arrel i obriu una nova finestra ssh i connecteu-vos amb la vostra clau ssh enllaçada a la connexió.

A PuTTY això es troba a Connection-> SSH-> Auth.

Navega per trobar la teva clau privada per a l'autenticació, ja que l'hauries d'haver desat en crear la clau ssh.

Connecteu-vos al vostre servidor amb la clau privada com a autenticació. Ara iniciareu sessió a la vostra màquina virtual Vultr VC2.

Nota: si heu afegit una frase de contrasenya mentre genereu la clau ssh, se us demanarà una. Això és completament diferent de la contrasenya del vostre usuari real a la màquina virtual.

Configura un tallafoc bàsic

Configura UFW

Primer començarem instal·lant UFW si encara no està a la màquina virtual. Una bona manera de comprovar-ho és amb l'ordre següent:

sudo ufw status

Si UFW està instal·lat, sortirà Status:inactive. Si no està instal·lat, se us indicarà que ho feu.

El podem instal·lar amb aquesta comanda:

sudo apt-get install ufw -y

Ara permetrem el port SSH 22al nostre tallafoc:

sudo ufw allow 22

Alternativament, podeu permetre OpenSSH:

sudo ufw allow OpenSSH

Qualsevol de les ordres anteriors funcionarà.

Ara que hem permès el port a través del nostre tallafoc, podem habilitar UFW:

sudo ufw enable

Se us demanarà si esteu segur que voleu realitzar aquesta operació. Si escriviu yseguit de ENTER, s'habilitarà el tallafoc:

porthorian@MEANStack:~$ sudo ufw enable
Command may disrupt existing ssh connections. Proceed with operation? y

Nota: si no vau permetre l'OpenSSH o el port 22, us bloquejareu fora de la vostra màquina virtual. Assegureu-vos que un d'ells estigui permès abans d'activar UFW.

Un cop habilitat el tallafoc, encara estaràs connectat a la teva instància. Ara revisarem el nostre tallafoc amb la mateixa ordre que abans:

sudo ufw status

Veureu alguna cosa semblant a la sortida següent:

porthorian@MEANStack:~$ sudo ufw status
Status: active

To                         Action      From
--                         ------      ----
22                         ALLOW       Anywhere
22 (v6)                    ALLOW       Anywhere (v6)

Configuració del tallafoc Vultr

Per protegir encara més el nostre servidor farem servir el nostre tallafoc Vultr. Inicieu sessió al vostre compte . Un cop hàgiu iniciat la sessió, navegareu a la pestanya del tallafoc situada a la part superior de la pantalla:

Ara afegirem un nou grup de tallafocs. Això ens permetrà especificar quins ports poden arribar fins i tot al nostre tallafoc UFW, proporcionant-nos una doble capa de seguretat:

Vultr us demanarà ara quin nom posareu al vostre tallafoc mitjançant el camp "Descripció". Assegureu-vos de descriure què faran els servidors d'aquest grup de tallafocs, per facilitar l'administració futura. Pel bé d'aquest tutorial, li posarem un nom test. Sempre podeu canviar la descripció més endavant si ho voleu.

Primer haurem d'obtenir la nostra adreça IP. La raó per la qual ho fem directament és que si la vostra adreça IP no és estàtica i canvia constantment, simplement podeu iniciar sessió al vostre compte Vultr i canviar l'adreça IP.

També és per això que no vam requerir l'adreça IP al tallafoc UFW. A més, limita l'ús del tallafoc de la vostra màquina virtual per filtrar tots els altres ports i només permet que el tallafoc Vultr ho gestioni. Això limita la tensió del filtrat de trànsit general a la vostra instància.

Utilitzeu el mirall de la xarxa de Vultr per trobar la vostra adreça IP.

Així que ara que tenim la nostra adreça IP, afegirem una regla IPV4 al nostre tallafocs recentment creat:

Un cop hàgiu introduït l'adreça IP, feu clic al +símbol per afegir la vostra adreça IP al tallafoc.

El vostre grup de tallafocs tindrà l'aspecte següent:

Ara que tenim la nostra IP correctament vinculada al grup de tallafocs, hem d'enllaçar la nostra instància Vultr. A la part esquerra veureu una pestanya que diu "Instàncies enllaçades":

Un cop a la pàgina, veureu un desplegable amb una llista de les instàncies del vostre servidor:

Feu clic al menú desplegable i seleccioneu la vostra instància. Aleshores, quan estigueu preparat per afegir la instància al grup del tallafoc, feu clic al +símbol.

Enhorabona, heu assegurat correctament la vostra màquina virtual Vultr VC2. Això us proporciona una bona base per a una capa de seguretat molt bàsica sense la preocupació que algú intenti forçar la vostra instància.