Ubuntu 18.04:n suojatun palvelimen alustava määritys

Johdanto

Tämän opetusohjelman aikana opit määrittämään perusturvatason upouudessa Vultr VC2 -virtuaalikoneessa, jossa on Ubuntu 18.04.

Edellytykset

• Vultr-tili, voit luoda sellaisen täällä
• Uusi Ubuntu 18.04 Vultr VM

Luo ja muokkaa käyttäjä

Ensimmäinen asia, jonka aiomme tehdä, on luoda uusi käyttäjä, jota käytämme kirjautuessamme VM:ään:

adduser porthorian

Huomautus: On suositeltavaa käyttää yksilöllistä käyttäjätunnusta, jota on vaikea arvata. Useimmat robotit yrittävät oletuksena root, admin, moderator, ja vastaavia.

Sinua pyydetään antamaan salasana täällä. On erittäin suositeltavaa käyttää vahvaa alfanumeerista salasanaa. Seuraa sen jälkeen näytön ohjeita ja kun se kysyy, ovatko tiedot oikein, paina Y.

Kun uusi käyttäjä on lisätty, meidän on annettava tälle käyttäjälle sudo-oikeudet, jotta voimme suorittaa käyttäjän komentoja pääkäyttäjän puolesta:

usermod -aG sudo porthorian

Kun olet antanut käyttäjällesi sudo-oikeudet, vaihda uuteen käyttäjään:

su - porthorian

Luo ja määritä SSH-avain

Luo SSH-avain noudattamalla tätä dokumenttia .

Kun olet luonut uuden SSH-avaimesi, kopioi julkinen avain. Sen pitäisi näyttää seuraavalta:

ssh-rsa AAAAB3NzaC1yc2EAAAABJQAAAQEAmB3uRWxAAELNJ8oGBCBmZx7S11vnAp0RG8rdKf6CLdvT7NMbKF55F8Wf0hFPewEryplaH54ibdmaTuheJVKy1lUhHnVi0AcBpkhJiiOQdEtvbYKT/eIkQl/Qm92Gz6aL3lJ0UknO4gO0LzgqI2vYX0b9LHMF+ZvApEDahLCna6RKo3/lffnANUKfExE+dVwOcJwATL3Ld5IkSatm7zBqbJAim0wj/JQ5ejzkL+aYd3YawpW3qf+WsY3HGbK2TIJt3LsiZJ3M7giZo/fVIZCJqsIOyO9NUOEx5/+KE8IniGb7gdRYgquAEJr89poDCNz/8CBODi9z3ukiE1+UnVlhfQ== rsa-key-20190408

Määritä käyttäjähakemistosi

Siirry käyttäjien kotihakemistoon, jos et vielä ole siinä:

cd $HOME

$HOMEon käyttäjien kotihakemiston ympäristömuuttuja. Tämä asetetaan automaattisesti, kun uusi käyttäjä luodaan.

Kotihakemistossamme aiomme sijoittaa toisen hakemiston sen sisään. Tämä hakemisto piilotetaan muilta koneen käyttäjiltä paitsi pääkäyttäjältä ja käyttäjältä, joka omistaa hakemiston. Luo uusi hakemisto ja rajoita sen käyttöoikeuksia seuraavilla komennoilla:

mkdir ~/.ssh
chmod 700 ~/.ssh

Nyt aiomme avata tiedoston .sshnimeltä authorized_keys. Tämä on yleinen tiedosto, jota OpenSSH etsii. Voit muuttaa tämän nimen OpenSSH-konfiguraation sisällä /etc/ssh/sshd_config, jos tarvetta ilmenee.

Luo tiedosto suosikkieditorillasi. Tässä opetusohjelmassa käytetään nanoa:

nano ~/.ssh/authorized_keys

Kopioi ja liitä ssh-avain authorized_keysavaamme tiedostoon. Kun julkinen avain on sisällä, voit tallentaa tiedoston painamalla CTRL+ O.

Varmista, että oikea tiedostopolku tulee näkyviin:

/home/porthorian/.ssh/authorized_keys

Jos se on oikea tiedostopolku, paina ENTER, muussa tapauksessa tee tarvittavat muutokset vastaamaan yllä olevaa esimerkkiä. Poistu sitten tiedostosta CTRL+ X.

Nyt aiomme rajoittaa pääsyä tiedostoon:

chmod 600 ~/.ssh/authorized_keys

Poistu luomastamme käyttäjästä ja palaa pääkäyttäjään:

exit

Salasanatodennus poistetaan käytöstä

Voimme nyt poistaa salasanatodennuksen palvelimelta, jolloin sisäänkirjautuminen vaatii ssh-avaimen. On tärkeää huomata, että jos poistat salasanatodennuksen käytöstä ja julkista avainta ei ole asennettu oikein, lukitset itsesi pois palvelimeltasi. On suositeltavaa testata avainta ennen kuin kirjaudut ulos root-käyttäjästäsi.

Olemme tällä hetkellä kirjautuneena pääkäyttäjään, joten aiomme muokata sshd_config:

nano /etc/ssh/sshd_config

Aiomme etsiä kolmea arvoa varmistaaksemme, että OpenSSH on määritetty oikein.

• PasswordAuthentication
• PubkeyAuthentication
• ChallengeResponseAuthentication

Löydämme nämä arvot painamalla CTRL+ W.

Arvot tulee asettaa seuraaviin:

PasswordAuthentication  no
ChallengeResponseAuthentication  no
PubkeyAuthentication  yes

Jos arvot on kommentoitu, poista #rivin alusta ja varmista, että muuttujien arvot ovat yllä olevan kuvan mukaiset. Kun olet muuttanut niitä muuttujia, tallentaa ja poistua editori, jossa on CTRL+ O, ENTERja lopuksi CTRL+ X.

Nyt aiomme ladata uudelleen sshdseuraavalla komennolla:

systemctl reload sshd

Nyt voimme testata kirjautumista. Varmista, että et ole vielä kirjautunut ulos root-istunnostasi ja avaa uusi ssh-ikkuna ja muodosta yhteys yhteyteen linkitetyllä ssh-avaimella.

PuTTY:ssä tämä on alla Connection-> SSH-> Auth.

Selaa löytääksesi yksityisen avaimesi todennusta varten, koska sinun olisi pitänyt tallentaa se ssh-avainta luodessasi.

Yhdistä palvelimeesi käyttämällä yksityistä avainta todennukseksi. Olet nyt kirjautuneena Vultr VC2 -virtuaalikoneellesi.

Huomautus: Jos lisäsit tunnuslauseen luodessasi ssh-avainta, sinua pyydetään antamaan sellainen. Tämä on täysin erilainen kuin todellisen käyttäjän salasana virtuaalikoneen.

Asenna peruspalomuuri

Määritä UFW

Aluksi aiomme asentaa UFW:n, jos se ei ole jo virtuaalikoneessa. Hyvä tapa tarkistaa on seuraava komento:

sudo ufw status

Jos UFW on asennettu, se tulostaa Status:inactive. Jos sitä ei ole asennettu, sinua kehotetaan tekemään niin.

Voimme asentaa sen tällä komennolla:

sudo apt-get install ufw -y

Nyt aiomme sallia SSH-portin 22palomuurissamme:

sudo ufw allow 22

Vaihtoehtoisesti voit sallia OpenSSH:n:

sudo ufw allow OpenSSH

Jompikumpi yllä olevista komennoista toimii.

Nyt kun olemme sallineet portin palomuurimme läpi, voimme ottaa UFW:n käyttöön:

sudo ufw enable

Sinulta kysytään, haluatko varmasti suorittaa tämän toiminnon. Kun kirjoitat ysen jälkeen ENTER, palomuuri otetaan käyttöön:

porthorian@MEANStack:~$ sudo ufw enable
Command may disrupt existing ssh connections. Proceed with operation? y

Huomautus: Jos et salli OpenSSH:ta tai porttia 22, lukitset itsesi ulos virtuaalikoneestasi. Varmista, että jokin näistä on sallittu, ennen kuin otat UFW:n käyttöön.

Kun palomuuri on käytössä, olet edelleen yhteydessä ilmentymääsi. Aiomme nyt tarkistaa palomuurimme kahdesti samalla komennolla kuin ennenkin:

sudo ufw status

Näet jotain samanlaista kuin seuraava tulos:

porthorian@MEANStack:~$ sudo ufw status
Status: active

To                         Action      From
--                         ------      ----
22                         ALLOW       Anywhere
22 (v6)                    ALLOW       Anywhere (v6)

Vultr-palomuurin määrittäminen

Palvelimemme suojaamiseksi aiomme käyttää Vultr-palomuuriamme. Kirjaudu sisään tilillesi . Kun olet kirjautunut sisään, siirryt palomuurivälilehdelle, joka sijaitsee näytön yläosassa:

Nyt aiomme lisätä uuden palomuuriryhmän. Tämän avulla voimme määrittää, mitkä portit voivat jopa saavuttaa UFW-palomuurimme, mikä tarjoaa meille kaksinkertaisen suojauskerroksen:

Vultr kysyy nyt, minkä nimen aiot antaa palomuurillesi "Kuvaus"-kentän avulla. Varmista, että kuvailet, mitä tämän palomuuriryhmän palvelimet tekevät, jotta hallinta helpottuu tulevaisuudessa. Tämän opetusohjelman vuoksi annamme sille nimen test. Voit aina muuttaa kuvausta myöhemmin, jos haluat.

Ensin meidän on saatava IP-osoitteemme. Syy, miksi teemme tämän suoraan, on se, että jos IP-osoitteesi ei ole staattinen ja muuttuu jatkuvasti, voit kirjautua sisään Vultr-tilillesi ja muuttaa IP-osoitetta.

Tästä syystä emme vaatineet IP-osoitetta UFW-palomuurissa. Lisäksi se rajoittaa virtuaalikoneen palomuurin käyttöä suodattamasta pois kaikkia muita portteja ja antaa vain Vultr-palomuurin käsitellä sitä. Tämä rajoittaa esiintymän yleisen liikenteen suodatuksen rasitusta.

Käytä Vultrin verkon näkökulmaa IP-osoitteesi selvittämiseen.

Joten nyt, kun meillä on IP-osoitteemme, lisäämme IPV4-säännön äskettäin luotuun palomuuriimme:

Kun olet syöttänyt IP-osoitteen, napsauta +symbolia lisätäksesi IP-osoitteesi palomuuriin.

Palomuuriryhmäsi näyttää tältä:

Nyt kun IP-osoitteemme on sidottu kunnolla palomuuriryhmässä, meidän on linkitettävä Vultr-instanssimme. Vasemmalla puolella näet välilehden, jossa lukee "Linkitetyt esiintymät":

Kun olet sivulla, näet avattavan valikon, jossa on luettelo palvelinesiintymistäsi:

Napsauta avattavaa valikkoa ja valitse esiintymäsi. Napsauta sitten +symbolia , kun olet valmis lisäämään ilmentymän palomuuriryhmään .

Onnittelut, olet onnistuneesti turvannut Vultr VC2 -virtuaalikoneesi. Tämä antaa sinulle hyvän perustan erittäin perustavanlaatuiselle suojauskerrokselle ilman huolta siitä, että joku yrittää raa'alla pakottaa ilmentymääsi.