Počáteční konfigurace zabezpečeného serveru Ubuntu 18.04

Úvod

V tomto tutoriálu se naučíte, jak nakonfigurovat základní úroveň zabezpečení na zcela novém virtuálním počítači Vultr VC2 se systémem Ubuntu 18.04.

Předpoklady

• Účet Vultr, můžete si jej vytvořit zde
• Nový Ubuntu 18.04 Vultr VM

Vytvořte a upravte uživatele

První věc, kterou uděláme, je vytvořit našeho nového uživatele, kterého budeme používat k přihlášení do VM:

adduser porthorian

Poznámka: Doporučuje se použít jedinečné uživatelské jméno, které bude obtížné uhodnout. Většina roboti budou výchozí vyzkoušet root, admin, moderatora podobné.

Zde budete vyzváni k zadání hesla. Je důrazně doporučeno použít silné alfa číselné heslo. Poté postupujte podle pokynů na obrazovce a když se vás zeptá, zda jsou informace správné, stiskněte Y.

Jakmile bude tento nový uživatel přidán, budeme muset tomuto uživateli udělit oprávnění sudo, abychom mohli spouštět příkazy od uživatele jménem uživatele root:

usermod -aG sudo porthorian

Jakmile svému uživateli udělíte oprávnění sudo, přepněte se na nového uživatele:

su - porthorian

Vygenerujte a nakonfigurujte klíč SSH

Chcete-li vygenerovat klíč SSH, postupujte podle tohoto dokumentu .

Jakmile vygenerujete svůj nový klíč SSH, zkopírujte svůj veřejný klíč. Mělo by to vypadat následovně:

ssh-rsa AAAAB3NzaC1yc2EAAAABJQAAAQEAmB3uRWxAAELNJ8oGBCBmZx7S11vnAp0RG8rdKf6CLdvT7NMbKF55F8Wf0hFPewEryplaH54ibdmaTuheJVKy1lUhHnVi0AcBpkhJiiOQdEtvbYKT/eIkQl/Qm92Gz6aL3lJ0UknO4gO0LzgqI2vYX0b9LHMF+ZvApEDahLCna6RKo3/lffnANUKfExE+dVwOcJwATL3Ld5IkSatm7zBqbJAim0wj/JQ5ejzkL+aYd3YawpW3qf+WsY3HGbK2TIJt3LsiZJ3M7giZo/fVIZCJqsIOyO9NUOEx5/+KE8IniGb7gdRYgquAEJr89poDCNz/8CBODi9z3ukiE1+UnVlhfQ== rsa-key-20190408

Nakonfigurujte svůj adresář uživatelů

Přejděte do domovského adresáře uživatelů, pokud v něm ještě nejste:

cd $HOME

$HOMEje proměnná prostředí pro domovský adresář vašich uživatelů. To se automaticky nastaví při vytvoření nového uživatele.

Zatímco jsme v našem domovském adresáři, vložíme do něj další adresář. Tento adresář bude skrytý před ostatními uživateli na počítači, kromě root a uživatele, který tento adresář vlastní. Vytvořte nový adresář a omezte jeho oprávnění pomocí následujících příkazů:

mkdir ~/.ssh
chmod 700 ~/.ssh

Nyní otevřeme soubor s .sshnázvem authorized_keys. Toto je univerzální soubor, který OpenSSH hledá. V případě potřeby můžete změnit název v konfiguraci OpenSSH, /etc/ssh/sshd_config.

K vytvoření souboru použijte svůj oblíbený editor. Tento tutoriál bude používat nano:

nano ~/.ssh/authorized_keys

Zkopírujte a vložte svůj ssh klíč do authorized_keyssouboru, který jsme otevřeli. Jakmile je veřejný klíč uvnitř, můžete soubor uložit stisknutím CTRL+ O.

Ujistěte se, že se zobrazuje příslušná cesta k souboru:

/home/porthorian/.ssh/authorized_keys

Pokud je to správná cesta k souboru, stačí stisknout ENTER, jinak proveďte nezbytné změny, aby odpovídaly výše uvedenému příkladu. Poté soubor ukončete pomocí CTRL+ X.

Nyní omezíme přístup k souboru:

chmod 600 ~/.ssh/authorized_keys

Ukončete našeho vytvořeného uživatele a přejděte zpět k uživateli root:

exit

Zakázání ověřování heslem

Nyní můžeme zakázat ověřování hesla na serveru, takže přihlášení bude vyžadovat ssh klíč. Je důležité si uvědomit, že pokud zakážete ověřování heslem a veřejný klíč nebyl správně nainstalován, uzamknete se ze svého serveru. Doporučuje se nejprve otestovat klíč ještě před odhlášením uživatele root.

Momentálně jsme přihlášeni jako uživatel root, takže upravíme sshd_config:

nano /etc/ssh/sshd_config

Budeme hledat 3 hodnoty, abychom se ujistili, že je OpenSSH správně nakonfigurováno.

• PasswordAuthentication
• PubkeyAuthentication
• ChallengeResponseAuthentication

Tyto hodnoty zjistíme stisknutím CTRL+ W.

Hodnoty by měly být nastaveny takto:

PasswordAuthentication  no
ChallengeResponseAuthentication  no
PubkeyAuthentication  yes

Pokud jsou hodnoty zakomentovány, odstraňte #na začátku řádku a ujistěte se, že hodnoty těchto proměnných odpovídají výše uvedenému. Po změně těchto proměnných, uložit a ukončit editor, pomocí CTRL+ O, ENTERa konečně CTRL+ X.

Nyní znovu načteme sshdpomocí následujícího příkazu:

systemctl reload sshd

Nyní můžeme otestovat přihlášení. Ujistěte se, že jste se ještě neodhlásili ze své root session, a otevřete nové okno ssh a připojte se pomocí klíče ssh propojeného s připojením.

V PuTTY je to pod Connection-> SSH-> Auth.

Procházením vyhledejte svůj soukromý klíč pro ověření, protože jste jej měli uložit při vytváření klíče ssh.

Připojte se k serveru pomocí soukromého klíče jako vašeho ověření. Nyní budete přihlášeni ke svému virtuálnímu počítači Vultr VC2.

Poznámka: Pokud jste při generování klíče ssh přidali přístupové heslo, budete vyzváni k jeho zadání. Toto je zcela odlišné od hesla vašeho skutečného uživatele na virtuálním počítači.

Nastavte základní firewall

Nakonfigurujte UFW

Nejprve začneme instalací UFW, pokud již není na virtuálním počítači. Dobrý způsob, jak zkontrolovat, je pomocí následujícího příkazu:

sudo ufw status

Pokud je nainstalován UFW, bude vystupovat Status:inactive. Pokud není nainstalován, budete k tomu vyzváni.

Můžeme jej nainstalovat pomocí tohoto příkazu:

sudo apt-get install ufw -y

Nyní povolíme port SSH 22v našem firewallu:

sudo ufw allow 22

Případně můžete povolit OpenSSH:

sudo ufw allow OpenSSH

Bude fungovat kterýkoli z výše uvedených příkazů.

Nyní, když jsme povolili port přes náš firewall, můžeme povolit UFW:

sudo ufw enable

Budete dotázáni, zda jste si jisti, že chcete provést tuto operaci. Zadáním a ynásledným zapnutím ENTERbrány firewall:

porthorian@MEANStack:~$ sudo ufw enable
Command may disrupt existing ssh connections. Proceed with operation? y

Poznámka: Pokud jste nepovolili OpenSSH nebo Port 22, uzamknete se ze svého virtuálního počítače. Před povolením UFW se ujistěte, že je jeden z těchto povolen.

Po povolení brány firewall budete stále připojeni ke své instanci. Nyní dvakrát zkontrolujeme náš firewall pomocí stejného příkazu jako dříve:

sudo ufw status

Uvidíte něco podobného následujícímu výstupu:

porthorian@MEANStack:~$ sudo ufw status
Status: active

To                         Action      From
--                         ------      ----
22                         ALLOW       Anywhere
22 (v6)                    ALLOW       Anywhere (v6)

Konfigurace brány firewall Vultr

K dalšímu zabezpečení našeho serveru budeme používat náš Vultr Firewall. Přihlaste se ke svému účtu . Po přihlášení přejdete na kartu brány firewall v horní části obrazovky:

Nyní přidáme novou skupinu firewallu. To nám umožní určit, které porty mohou dokonce dosáhnout našeho firewallu UFW, což nám poskytne dvojitou vrstvu zabezpečení:

Vultr se vás nyní zeptá, jak pojmenujete svůj firewall pomocí pole „Popis“. Ujistěte se, že jste popsali, co budou servery v této skupině firewallu dělat, pro snadnější budoucí správu. Pro účely tohoto tutoriálu to pojmenujeme test. Pokud budete chtít, popis můžete kdykoli později změnit.

Nejprve potřebujeme získat naši IP adresu. Důvod, proč to děláme přímo, je ten, že pokud vaše IP adresa není statická a neustále se mění, můžete se jednoduše přihlásit ke svému účtu Vultr a IP adresu změnit.

Také proto jsme nevyžadovali IP adresu na UFW firewallu. Navíc omezuje použití brány firewall vašeho virtuálního stroje od odfiltrování všech ostatních portů a umožňuje pouze firewallu Vultr, aby to zvládl. To omezuje zátěž celkového filtrování provozu na vaší instanci.

Pomocí zrcadla sítě Vultr najděte svou IP adresu.

Nyní, když máme svou IP adresu, přidáme do našeho nově vytvořeného firewallu pravidlo IPV4:

Jakmile zadáte IP adresu, klikněte na +symbol a přidejte svou IP adresu do brány firewall.

Vaše skupina firewallu bude vypadat takto:

Nyní, když máme naši IP správně svázanou ve skupině Firewall, musíme propojit naši instanci Vultr. Na levé straně uvidíte záložku s názvem „Propojené instance“:

Jakmile jste na stránce, uvidíte rozbalovací nabídku se seznamem instancí vašeho serveru:

Klikněte na rozbalovací nabídku a vyberte svou instanci. Poté, až budete připraveni přidat instanci do skupiny brány firewall, klikněte na +symbol.

Gratulujeme, úspěšně jste zabezpečili svůj virtuální počítač Vultr VC2. To vám dává dobrý základ pro velmi základní bezpečnostní vrstvu, aniž byste se museli bát, že se někdo pokusí vaši instanci vynutit hrubou silou.