Indledende sikker serverkonfiguration af Ubuntu 18.04

Introduktion

Igennem denne vejledning lærer du, hvordan du konfigurerer et grundlæggende sikkerhedsniveau på en helt ny Vultr VC2 virtuel maskine, der kører Ubuntu 18.04.

Forudsætninger

• En Vultr-konto, du kan oprette en her
• En ny Ubuntu 18.04 Vultr VM

Opret og rediger en bruger

Den første ting, vi skal gøre, er at oprette vores nye bruger, som vi skal bruge til at logge ind på VM'en:

adduser porthorian

Bemærk: Det anbefales at bruge et unikt brugernavn, som vil være svært at gætte. De fleste bots vil som standard prøve root, admin, moderator, og lignende.

Du vil blive bedt om en adgangskode her. Det anbefales kraftigt , at du bruger en stærk alfanumerisk adgangskode. Derefter skal du følge vejledningen på din skærm, og når den spørger dig, om oplysningerne er korrekte, skal du bare trykke på Y.

Når den nye bruger er tilføjet, bliver vi nødt til at give den bruger sudo-tilladelser, så vi kan udføre kommandoer fra brugeren på vegne af root-brugeren:

usermod -aG sudo porthorian

Når du har givet din bruger sudo-tilladelser, skift til din nye bruger:

su - porthorian

Generer og konfigurer en SSH-nøgle

For at generere SSH-nøglen skal du følge dette dokument .

Når du har genereret din nye SSH-nøgle, skal du kopiere din offentlige nøgle. Det skal se ud som følgende:

ssh-rsa AAAAB3NzaC1yc2EAAAABJQAAAQEAmB3uRWxAAELNJ8oGBCBmZx7S11vnAp0RG8rdKf6CLdvT7NMbKF55F8Wf0hFPewEryplaH54ibdmaTuheJVKy1lUhHnVi0AcBpkhJiiOQdEtvbYKT/eIkQl/Qm92Gz6aL3lJ0UknO4gO0LzgqI2vYX0b9LHMF+ZvApEDahLCna6RKo3/lffnANUKfExE+dVwOcJwATL3Ld5IkSatm7zBqbJAim0wj/JQ5ejzkL+aYd3YawpW3qf+WsY3HGbK2TIJt3LsiZJ3M7giZo/fVIZCJqsIOyO9NUOEx5/+KE8IniGb7gdRYgquAEJr89poDCNz/8CBODi9z3ukiE1+UnVlhfQ== rsa-key-20190408

Konfigurer din brugermappe

Naviger til din brugers hjemmemappe, hvis du ikke allerede er i den:

cd $HOME

$HOMEer miljøvariablen for din brugers hjemmemappe. Dette indstilles automatisk, når den nye bruger oprettes.

Mens vi er i vores hjemmemappe, vil vi placere en anden mappe inde i den. Denne mappe vil blive skjult for andre brugere på maskinen, undtagen root og den bruger, der ejer mappen. Opret den nye mappe og begræns dens tilladelser med følgende kommandoer:

mkdir ~/.ssh
chmod 700 ~/.ssh

Nu skal vi åbne en fil i .sshkaldet authorized_keys. Dette er den universelle fil, som OpenSSH leder efter. Du kan ændre navnet på dette inde i OpenSSH-konfigurationen /etc/ssh/sshd_config, hvis behovet opstår.

Brug din yndlingseditor til at oprette filen. Denne tutorial vil bruge nano:

nano ~/.ssh/authorized_keys

Kopiér og indsæt din ssh-nøgle i den authorized_keysfil, vi har åbnet. Når den offentlige nøgle er inde, kan du gemme filen ved at trykke på CTRL+ O.

Sørg for, at den rigtige filsti vises:

/home/porthorian/.ssh/authorized_keys

Hvis det er den rigtige filsti, skal du blot trykke på ENTER, ellers skal du foretage de nødvendige ændringer for at matche eksemplet ovenfor. Afslut derefter filen med CTRL+ X.

Nu vil vi begrænse adgangen til filen:

chmod 600 ~/.ssh/authorized_keys

Afslut vores oprettede bruger og gå tilbage til root-brugeren:

exit

Deaktivering af adgangskodegodkendelse

Vi kan nu deaktivere adgangskodegodkendelse til serveren, på den måde vil login kræve en ssh-nøgle. Det er vigtigt at bemærke, at hvis du deaktiverer adgangskodegodkendelse, og den offentlige nøgle ikke blev installeret korrekt, vil du låse dig selv ude af din server. Det anbefales, at du tester nøglen først, før du overhovedet logger ud af din root-bruger.

Vi er i øjeblikket logget på vores root-bruger, så vi vil redigere sshd_config:

nano /etc/ssh/sshd_config

Vi skal søge efter 3 værdier for at sikre, at OpenSSH er konfigureret korrekt.

• PasswordAuthentication
• PubkeyAuthentication
• ChallengeResponseAuthentication

Vi kan finde disse værdier ved at trykke på CTRL+ W.

Værdierne skal indstilles til følgende:

PasswordAuthentication  no
ChallengeResponseAuthentication  no
PubkeyAuthentication  yes

Hvis værdierne er kommenteret ud, skal du fjerne #i begyndelsen af ​​linjen og sikre dig, at værdierne for disse variabler er som vist ovenfor. Når du har ændret disse variabler, gemme og afslutte din editor, med CTRL+ O, ENTERog til sidst CTRL+ X.

Nu skal vi genindlæse sshdmed følgende kommando:

systemctl reload sshd

Nu kan vi teste login. Sørg for, at du ikke har logget ud af din root-session endnu, og åbn et nyt ssh-vindue og forbind med din ssh-nøgle, der er knyttet til forbindelsen.

I PuTTY er dette under Connection-> SSH-> Auth.

Gennemse for at finde din private nøgle til godkendelse, da du skulle have gemt den, da du oprettede ssh-nøglen.

Opret forbindelse til din server med den private nøgle som din godkendelse. Du vil nu være logget ind på din Vultr VC2 virtuelle maskine.

Bemærk: Hvis du tilføjede en adgangssætning, mens du genererede ssh-nøglen, bliver du bedt om en. Dette er helt anderledes end din faktiske brugers adgangskode på den virtuelle maskine.

Opsæt en grundlæggende firewall

Konfigurer UFW

Først skal vi starte med at installere UFW, hvis det ikke allerede er på den virtuelle maskine. En god måde at kontrollere er med følgende kommando:

sudo ufw status

Hvis UFW er installeret, vil det udsende Status:inactive. Hvis det ikke er installeret, vil du blive bedt om at gøre det.

Vi kan installere det med denne kommando:

sudo apt-get install ufw -y

Nu vil vi tillade SSH-port 22i vores firewall:

sudo ufw allow 22

Alternativt kan du tillade OpenSSH:

sudo ufw allow OpenSSH

En af kommandoerne ovenfor vil fungere.

Nu hvor vi har tilladt porten gennem vores firewall, kan vi aktivere UFW:

sudo ufw enable

Du bliver spurgt, om du er sikker på, at du vil udføre denne operation. Indtastning yefterfulgt af ENTERvil aktivere firewallen:

porthorian@MEANStack:~$ sudo ufw enable
Command may disrupt existing ssh connections. Proceed with operation? y

Bemærk: Hvis du ikke tillod OpenSSH eller Port 22, vil du låse dig selv ude af din virtuelle maskine. Sørg for, at en af ​​disse er tilladt, før du aktiverer UFW.

Når firewallen er aktiveret, vil du stadig være forbundet til din instans. Vi skal dobbelttjekke vores firewall nu med den samme kommando som før:

sudo ufw status

Du vil se noget, der ligner følgende output:

porthorian@MEANStack:~$ sudo ufw status
Status: active

To                         Action      From
--                         ------      ----
22                         ALLOW       Anywhere
22 (v6)                    ALLOW       Anywhere (v6)

Konfiguration af Vultr firewall

For yderligere at sikre vores server vil vi bruge vores Vultr Firewall. Log ind på din konto . Når du er logget ind, vil du navigere til firewall-fanen placeret øverst på din skærm:

Nu skal vi tilføje en ny firewall-gruppe. Dette giver os mulighed for at specificere, hvilke porte der endda kan nå vores UFW-firewall, hvilket giver os et dobbelt lag af sikkerhed:

Vultr vil nu spørge dig, hvad du vil kalde din firewall ved at bruge feltet "Beskrivelse". Sørg for at beskrive, hvad serverne under denne firewall-gruppe vil gøre, for lettere fremtidig administration. Af hensyn til denne tutorial vil vi navngive den test. Du kan altid ændre beskrivelsen senere, hvis du ønsker det.

Først skal vi have vores IP-adresse. Grunden til at vi gør dette direkte er, at hvis din IP-adresse ikke er statisk og konstant ændrer sig, kan du blot logge ind på din Vultr-konto og ændre IP-adressen.

Det er også derfor, vi ikke krævede IP-adressen på UFW-firewallen. Plus det begrænser brugen af ​​din virtuelle maskine's firewall fra at bortfiltrere alle de andre porte og lader bare Vultr firewallen håndtere det. Dette begrænser belastningen af ​​den samlede trafikfiltrering på din instans.

Brug Vultrs netværksglas til at finde din IP-adresse.

Så nu, hvor vi har vores IP-adresse, vil vi tilføje en IPV4-regel til vores nyoprettede firewall:

Når du har indtastet IP-adressen, skal du klikke på +symbolet for at tilføje din IP-adresse til firewallen.

Din firewallgruppe vil se sådan ud:

Nu hvor vi har vores IP korrekt bundet i Firewall-gruppen, skal vi linke vores Vultr-instans. På venstre side vil du se en fane, der siger "Linkede forekomster":

Når du først er på siden, vil du se en rullemenu med en liste over dine serverforekomster:

Klik på rullemenuen, og vælg din instans. Klik derefter på +symbolet , når du er klar til at tilføje forekomsten til firewallgruppen .

Tillykke, du har med succes sikret din Vultr VC2 Virtual Machine. Dette giver dig et godt grundlag for et meget grundlæggende sikkerhedslag uden at bekymre dig om, at nogen forsøger at brute-force din instans.