Ubuntu 18.04 turvalise serveri esialgne konfiguratsioon

Sissejuhatus

Selle õpetuse käigus saate teada, kuidas konfigureerida uhiuue Vultr VC2 virtuaalmasina, milles töötab Ubuntu 18.04, põhiline turbetase.

Eeltingimused

• Vultri konto, saate selle luua siin
• Uus Ubuntu 18.04 Vultr VM

Kasutaja loomine ja muutmine

Esimese asjana loome oma uue kasutaja, mida kasutame VM-i sisselogimiseks:

adduser porthorian

Märkus. Soovitatav on kasutada ainulaadset kasutajanime, mida on raske ära arvata. Enamik eest vaikimisi proovida root, admin, moderator, jms.

Siin küsitakse teilt parooli. On tungivalt soovitatav kasutada tugevat tähtnumbrilist parooli. Pärast seda järgige ekraanil kuvatavaid juhiseid ja kui see küsib, kas teave on õige, vajutage lihtsalt Y.

Kui see uus kasutaja on lisatud, peame andma sellele kasutajale sudo õigused, et saaksime juurkasutaja nimel kasutaja käske täita:

usermod -aG sudo porthorian

Kui olete oma kasutajale sudo load andnud, lülituge uuele kasutajale:

su - porthorian

Looge ja konfigureerige SSH-võti

SSH-võtme loomiseks järgige seda dokumenti .

Kui olete uue SSH-võtme loonud, kopeerige oma avalik võti. See peaks välja nägema järgmine:

ssh-rsa AAAAB3NzaC1yc2EAAAABJQAAAQEAmB3uRWxAAELNJ8oGBCBmZx7S11vnAp0RG8rdKf6CLdvT7NMbKF55F8Wf0hFPewEryplaH54ibdmaTuheJVKy1lUhHnVi0AcBpkhJiiOQdEtvbYKT/eIkQl/Qm92Gz6aL3lJ0UknO4gO0LzgqI2vYX0b9LHMF+ZvApEDahLCna6RKo3/lffnANUKfExE+dVwOcJwATL3Ld5IkSatm7zBqbJAim0wj/JQ5ejzkL+aYd3YawpW3qf+WsY3HGbK2TIJt3LsiZJ3M7giZo/fVIZCJqsIOyO9NUOEx5/+KE8IniGb7gdRYgquAEJr89poDCNz/8CBODi9z3ukiE1+UnVlhfQ== rsa-key-20190408

Seadistage oma kasutajate kataloog

Liikuge oma kasutajate kodukataloogi, kui te selles veel pole:

cd $HOME

$HOMEon teie kasutajate kodukataloogi keskkonnamuutuja. See määratakse automaatselt uue kasutaja loomisel.

Oma kodukataloogis paigutame sellesse teise kataloogi. See kataloog on peidetud teiste masina kasutajate eest, välja arvatud root ja kasutaja, kellele see kataloog kuulub. Looge uus kataloog ja piirake selle õigusi järgmiste käskudega:

mkdir ~/.ssh
chmod 700 ~/.ssh

Nüüd avame faili .sshnimega authorized_keys. See on universaalne fail, mida OpenSSH otsib. /etc/ssh/sshd_configVajadusel saate selle nime muuta OpenSSH konfiguratsioonis, .

Kasutage faili loomiseks oma lemmikredaktorit. Selles õpetuses kasutatakse nano:

nano ~/.ssh/authorized_keys

Kopeerige ja kleepige oma ssh-võti authorized_keysfaili, mille oleme avanud. Kui avalik võti on sees, saate faili salvestada, vajutades CTRL+ O.

Veenduge, et kuvatakse sobiv failitee:

/home/porthorian/.ssh/authorized_keys

Kui see on õige failitee, vajutage lihtsalt klahvi ENTER, vastasel juhul tehke vajalikud muudatused, et need vastaksid ülaltoodud näitele. Seejärel väljuge failist klahviga CTRL+ X.

Nüüd piirame juurdepääsu failile:

chmod 600 ~/.ssh/authorized_keys

Väljuge meie loodud kasutajast ja minge tagasi juurkasutaja juurde:

exit

Parooliga autentimise keelamine

Nüüd saame serveris parooli autentimise keelata, nii on sisselogimiseks vaja ssh-võtit. Oluline on märkida, et kui keelate parooliga autentimise ja avalikku võtit ei installitud õigesti, lukustate end serverist välja. Enne juurkasutajast väljalogimist on soovitatav võtit esmalt testida.

Oleme praegu oma juurkasutajasse sisse logitud, seega hakkame redigeerima sshd_config:

nano /etc/ssh/sshd_config

Otsime 3 väärtust, et veenduda, kas OpenSSH on õigesti konfigureeritud.

• PasswordAuthentication
• PubkeyAuthentication
• ChallengeResponseAuthentication

Leiame need väärtused, vajutades CTRL+ W.

Väärtused tuleks määrata järgmisele:

PasswordAuthentication  no
ChallengeResponseAuthentication  no
PubkeyAuthentication  yes

Kui väärtused on kommenteeritud, eemaldage #rea algusest ja veenduge, et nende muutujate väärtused on ülaltoodud. Kui olete muutnud need muutujad, salvestamiseks ja väljumiseks oma toimetaja, koos CTRL+ O, ENTERja lõpuks CTRL+ X.

Nüüd laadime uuesti sshdjärgmise käsuga:

systemctl reload sshd

Nüüd saame sisselogimist testida. Veenduge, et te pole veel juurseansist välja loginud, ja avage uus ssh-aken ja looge ühendus ühendusega lingitud ssh-võtmega.

PuTTY-s on see all Connection-> SSH-> Auth.

Sirvige oma privaatvõtme leidmiseks autentimiseks, kuna oleksite pidanud selle ssh-võtme loomisel salvestama.

Ühendage oma serveriga privaatvõtmega autentimiseks. Nüüd logitakse sisse oma Vultr VC2 virtuaalmasinasse.

Märkus. Kui lisasite ssh-võtme loomise ajal parooli, küsitakse teilt seda. See erineb täielikult teie tegelikust kasutaja paroolist virtuaalses masinas.

Seadistage tavaline tulemüür

UFW seadistamine

Kõigepealt alustame UFW installimisega, kui see pole veel virtuaalses masinas. Hea viis kontrollimiseks on kasutada järgmist käsku:

sudo ufw status

Kui UFW on installitud, väljastab see Status:inactive. Kui see pole installitud, antakse teile juhiseid seda teha.

Saame selle installida selle käsuga:

sudo apt-get install ufw -y

Nüüd lubame 22tulemüüris SSH-pordi :

sudo ufw allow 22

Teise võimalusena saate lubada OpenSSH-i:

sudo ufw allow OpenSSH

Üks ülaltoodud käskudest töötab.

Nüüd, kui oleme lubanud pordi läbi tulemüüri, saame lubada UFW:

sudo ufw enable

Teilt küsitakse, kas olete kindel, et soovite seda toimingut teha. Kui tippige ja ymillele järgneb, ENTERsiis lubab tulemüür:

porthorian@MEANStack:~$ sudo ufw enable
Command may disrupt existing ssh connections. Proceed with operation? y

Märkus. Kui te OpenSSH-d või porti 22 ei lubanud, lukustate end virtuaalmasinast välja. Enne UFW lubamist veenduge, et üks neist on lubatud.

Kui tulemüür on lubatud, olete endiselt oma eksemplariga ühendatud. Nüüd kontrollime oma tulemüüri uuesti sama käsuga nagu varem:

sudo ufw status

Näete midagi sarnast järgmise väljundiga:

porthorian@MEANStack:~$ sudo ufw status
Status: active

To                         Action      From
--                         ------      ----
22                         ALLOW       Anywhere
22 (v6)                    ALLOW       Anywhere (v6)

Vultri tulemüüri konfigureerimine

Oma serveri veelgi turvalisemaks muutmiseks kasutame oma Vultri tulemüüri. Logige oma kontole sisse . Pärast sisselogimist navigeerite tulemüüri vahekaardile, mis asub ekraani ülaosas:

Nüüd lisame uue tulemüürirühma. See võimaldab meil määrata, millised pordid võivad isegi meie UFW tulemüüri jõuda, pakkudes meile kahekordset turvalisust:

Vultr küsib nüüd väljal "Kirjeldus" kasutades, mis nime te tulemüürile panete. Edaspidise haldamise hõlbustamiseks kirjeldage kindlasti, mida selle tulemüürirühma kuuluvad serverid hakkavad tegema. Selle õpetuse huvides anname sellele nime test. Soovi korral saate kirjeldust hiljem alati muuta.

Kõigepealt peame saama oma IP-aadressi. Põhjus, miks me seda otseselt teeme, on see, et kui teie IP-aadress ei ole staatiline ja muutub pidevalt, saate lihtsalt oma Vultri kontole sisse logida ja IP-aadressi muuta.

See on ka põhjus, miks me ei nõudnud UFW tulemüüris IP-aadressi. Lisaks piirab see teie virtuaalmasina tulemüüri kasutamist kõigi teiste portide välja filtreerimisel ja laseb Vultri tulemüüril seda lihtsalt hallata. See piirab teie eksemplari üldise liikluse filtreerimise pinget.

Kasutage oma IP-aadressi leidmiseks Vultri võrguvaadet .

Nüüd, kui meil on oma IP-aadress, lisame oma vastloodud tulemüürile IPV4 reegli:

Kui olete IP-aadressi sisestanud, klõpsake +sümbolil, et lisada oma IP-aadress tulemüüri.

Teie tulemüürirühm näeb välja järgmine:

Nüüd, kui meie IP on tulemüüri rühmas korralikult seotud, peame linkima oma Vultri eksemplari. Vasakpoolses servas näete vahekaarti "Lingitud eksemplarid":

Kui olete lehel, näete rippmenüüd oma serveri eksemplaride loendiga:

Klõpsake rippmenüüd ja valige oma eksemplar. Seejärel, kui olete valmis eksemplari tulemüürirühma lisama, klõpsake +sümbolil.

Õnnitleme, olete oma Vultr VC2 virtuaalmasina edukalt turvanud. See annab teile hea aluse väga lihtsale turbekihile, ilma et peaksite kartma, et keegi üritab teie eksemplari julmalt sundida.