Al llarg d'aquest tutorial aprendràs a configurar un nivell bàsic de seguretat en una màquina virtual Vultr VC2 nova que executa Ubuntu 18.04.
El primer que farem és crear el nostre nou usuari que farem servir per iniciar sessió a la VM:
adduser porthorian
Nota: es recomana utilitzar un nom d'usuari únic que serà difícil d'endevinar. La majoria dels robots provaran per defecte root, admin, moderator, i similars.
Aquí se us demanarà una contrasenya. És molt recomanable que utilitzeu una contrasenya alfanumèrica forta. Després d'això, seguiu les indicacions de la pantalla i quan us demani si la informació és correcta, només heu de prémer Y.
Un cop afegit aquest nou usuari, haurem de donar-li permisos sudo perquè puguem executar ordres de l'usuari en nom de l'usuari root:
usermod -aG sudo porthorian
Un cop hagis donat els permisos sudo al teu usuari, canvia al teu nou usuari:
su - porthorian
Per generar la clau SSH, seguiu aquest document .
Un cop hàgiu generat la vostra nova clau SSH, copieu la vostra clau pública. Hauria de semblar el següent:
ssh-rsa AAAAB3NzaC1yc2EAAAABJQAAAQEAmB3uRWxAAELNJ8oGBCBmZx7S11vnAp0RG8rdKf6CLdvT7NMbKF55F8Wf0hFPewEryplaH54ibdmaTuheJVKy1lUhHnVi0AcBpkhJiiOQdEtvbYKT/eIkQl/Qm92Gz6aL3lJ0UknO4gO0LzgqI2vYX0b9LHMF+ZvApEDahLCna6RKo3/lffnANUKfExE+dVwOcJwATL3Ld5IkSatm7zBqbJAim0wj/JQ5ejzkL+aYd3YawpW3qf+WsY3HGbK2TIJt3LsiZJ3M7giZo/fVIZCJqsIOyO9NUOEx5/+KE8IniGb7gdRYgquAEJr89poDCNz/8CBODi9z3ukiE1+UnVlhfQ== rsa-key-20190408
Navegueu al directori d'inici dels vostres usuaris si encara no hi sou:
cd $HOME
$HOMEés la variable d'entorn per al directori inicial dels usuaris. S'estableix automàticament quan es crea l'usuari nou.
Mentre estem al nostre directori inicial, col·locarem un altre directori dins d'ell. Aquest directori s'ocultarà als altres usuaris de la màquina, excepte root i l'usuari propietari del directori. Creeu el directori nou i restringiu els seus permisos amb les ordres següents:
mkdir ~/.ssh
chmod 700 ~/.ssh
Ara obrirem un fitxer .sshanomenat authorized_keys. Aquest és el fitxer universal que cerca OpenSSH. Podeu canviar-ne el nom dins de la configuració d'OpenSSH, /etc/ssh/sshd_config, si és necessari.
Utilitzeu el vostre editor preferit per crear el fitxer. Aquest tutorial utilitzarà nano:
nano ~/.ssh/authorized_keys
Copieu i enganxeu la vostra clau ssh al authorized_keysfitxer que hem obert. Un cop la clau pública estigui dins, podeu desar el fitxer prement CTRL+ O.
Assegureu-vos que es mostri el camí del fitxer adequat:
/home/porthorian/.ssh/authorized_keys
Si és la ruta del fitxer correcta, només cal que premeu ENTER, en cas contrari, feu els canvis necessaris perquè coincideixi amb l'exemple anterior. A continuació, sortiu del fitxer amb CTRL+ X.
Ara restringirem l'accés al fitxer:
chmod 600 ~/.ssh/authorized_keys
Sortiu del nostre usuari creat i torneu a l'usuari root:
exit
Ara podem desactivar l'autenticació de contrasenya al servidor, d'aquesta manera l'inici de sessió requerirà una clau ssh. És important tenir en compte que si desactiveu l'autenticació de contrasenya i la clau pública no s'ha instal·lat correctament, us bloquejareu fora del vostre servidor. Es recomana que proveu la clau abans fins i tot de tancar la sessió de l'usuari root.
Actualment estem iniciat la sessió al nostre usuari root, així que editarem sshd_config:
nano /etc/ssh/sshd_config
Anem a cercar 3 valors per assegurar-nos que OpenSSH està configurat correctament.
PasswordAuthenticationPubkeyAuthenticationChallengeResponseAuthenticationPodem trobar aquests valors prement CTRL+ W.
Els valors s'han d'establir en el següent:
PasswordAuthentication no
ChallengeResponseAuthentication no
PubkeyAuthentication yes
Si es comenten els valors, traieu #al principi de la línia i assegureu-vos que els valors d'aquestes variables siguin els que es mostren a dalt. Un cop hàgiu canviat aquestes variables, deseu i sortiu del vostre editor, amb CTRL+ O, ENTERi finalment CTRL+ X.
Ara tornarem a carregar sshdamb la següent comanda:
systemctl reload sshd
Ara podem provar l'inici de sessió. Assegureu-vos que encara no heu tancat la sessió d'arrel i obriu una nova finestra ssh i connecteu-vos amb la vostra clau ssh enllaçada a la connexió.
A PuTTY això es troba a Connection-> SSH-> Auth.
Navega per trobar la teva clau privada per a l'autenticació, ja que l'hauries d'haver desat en crear la clau ssh.
Connecteu-vos al vostre servidor amb la clau privada com a autenticació. Ara iniciareu sessió a la vostra màquina virtual Vultr VC2.
Nota: si heu afegit una frase de contrasenya mentre genereu la clau ssh, se us demanarà una. Això és completament diferent de la contrasenya del vostre usuari real a la màquina virtual.
Primer començarem instal·lant UFW si encara no està a la màquina virtual. Una bona manera de comprovar-ho és amb l'ordre següent:
sudo ufw status
Si UFW està instal·lat, sortirà Status:inactive. Si no està instal·lat, se us indicarà que ho feu.
El podem instal·lar amb aquesta comanda:
sudo apt-get install ufw -y
Ara permetrem el port SSH 22al nostre tallafoc:
sudo ufw allow 22
Alternativament, podeu permetre OpenSSH:
sudo ufw allow OpenSSH
Qualsevol de les ordres anteriors funcionarà.
Ara que hem permès el port a través del nostre tallafoc, podem habilitar UFW:
sudo ufw enable
Se us demanarà si esteu segur que voleu realitzar aquesta operació. Si escriviu yseguit de ENTER, s'habilitarà el tallafoc:
porthorian@MEANStack:~$ sudo ufw enable
Command may disrupt existing ssh connections. Proceed with operation? y
Nota: si no vau permetre l'OpenSSH o el port 22, us bloquejareu fora de la vostra màquina virtual. Assegureu-vos que un d'ells estigui permès abans d'activar UFW.
Un cop habilitat el tallafoc, encara estaràs connectat a la teva instància. Ara revisarem el nostre tallafoc amb la mateixa ordre que abans:
sudo ufw status
Veureu alguna cosa semblant a la sortida següent:
porthorian@MEANStack:~$ sudo ufw status
Status: active
To Action From
-- ------ ----
22 ALLOW Anywhere
22 (v6) ALLOW Anywhere (v6)
Per protegir encara més el nostre servidor farem servir el nostre tallafoc Vultr. Inicieu sessió al vostre compte . Un cop hàgiu iniciat la sessió, navegareu a la pestanya del tallafoc situada a la part superior de la pantalla:
Ara afegirem un nou grup de tallafocs. Això ens permetrà especificar quins ports poden arribar fins i tot al nostre tallafoc UFW, proporcionant-nos una doble capa de seguretat:
Vultr us demanarà ara quin nom posareu al vostre tallafoc mitjançant el camp "Descripció". Assegureu-vos de descriure què faran els servidors d'aquest grup de tallafocs, per facilitar l'administració futura. Pel bé d'aquest tutorial, li posarem un nom test. Sempre podeu canviar la descripció més endavant si ho voleu.
Primer haurem d'obtenir la nostra adreça IP. La raó per la qual ho fem directament és que si la vostra adreça IP no és estàtica i canvia constantment, simplement podeu iniciar sessió al vostre compte Vultr i canviar l'adreça IP.
També és per això que no vam requerir l'adreça IP al tallafoc UFW. A més, limita l'ús del tallafoc de la vostra màquina virtual per filtrar tots els altres ports i només permet que el tallafoc Vultr ho gestioni. Això limita la tensió del filtrat de trànsit general a la vostra instància.
Utilitzeu el mirall de la xarxa de Vultr per trobar la vostra adreça IP.
Així que ara que tenim la nostra adreça IP, afegirem una regla IPV4 al nostre tallafocs recentment creat:
Un cop hàgiu introduït l'adreça IP, feu clic al +símbol per afegir la vostra adreça IP al tallafoc.
El vostre grup de tallafocs tindrà l'aspecte següent:
Ara que tenim la nostra IP correctament vinculada al grup de tallafocs, hem d'enllaçar la nostra instància Vultr. A la part esquerra veureu una pestanya que diu "Instàncies enllaçades":
Un cop a la pàgina, veureu un desplegable amb una llista de les instàncies del vostre servidor:
Feu clic al menú desplegable i seleccioneu la vostra instància. Aleshores, quan estigueu preparat per afegir la instància al grup del tallafoc, feu clic al +símbol.
Enhorabona, heu assegurat correctament la vostra màquina virtual Vultr VC2. Això us proporciona una bona base per a una capa de seguretat molt bàsica sense la preocupació que algú intenti forçar la vostra instància.
La Intel·ligència Artificial no està en el futur, és aquí mateix en el present. En aquest bloc Llegiu com les aplicacions d'Intel·ligència Artificial han afectat diversos sectors.
També ets víctima d'atacs DDOS i estàs confós sobre els mètodes de prevenció? Llegiu aquest article per resoldre les vostres consultes.
Potser haureu sentit que els pirates informàtics guanyen molts diners, però us heu preguntat mai com guanyen aquest tipus de diners? anem a discutir.
Vols veure els invents revolucionaris de Google i com aquests invents van canviar la vida de tots els éssers humans actuals? A continuació, llegiu al bloc per veure els invents de Google.
El concepte de cotxes autònoms per sortir a les carreteres amb l'ajuda de la intel·ligència artificial és un somni que tenim des de fa temps. Però malgrat les diverses promeses, no es veuen enlloc. Llegeix aquest blog per saber-ne més...
A mesura que la ciència evoluciona a un ritme ràpid, fent-se càrrec de molts dels nostres esforços, també augmenten els riscos de sotmetre'ns a una singularitat inexplicable. Llegeix, què pot significar per a nosaltres la singularitat.
Llegeix el blog per conèixer de la manera més senzilla les diferents capes de l'Arquitectura Big Data i les seves funcionalitats.
Els mètodes d'emmagatzematge de les dades que han anat evolucionant poden ser des del naixement de les dades. Aquest bloc tracta l'evolució de l'emmagatzematge de dades a partir d'una infografia.
En aquest món digital, els dispositius domèstics intel·ligents s'han convertit en una part crucial de les vides. A continuació, es mostren alguns avantatges sorprenents dels dispositius domèstics intel·ligents sobre com fan que la nostra vida valgui la pena i sigui més senzilla.
Recentment, Apple va llançar macOS Catalina 10.15.4, una actualització de suplements per solucionar problemes, però sembla que l'actualització està causant més problemes que provoquen el bloqueig de les màquines Mac. Llegiu aquest article per obtenir més informació
