Hozzon létre egy HTML 5 RDP/SSH előlapot a Guacamole használatával Ubuntu 16.04 LTS-en

Bevezetés

Ennek az oktatóanyagnak az a célja, hogy megszabaduljon a nyilvános SSH és nyilvános RDP kapcsolatoktól. Ha mindezt egy nagyon kényelmes HTML5-kliens mögé helyezzük, egy biztonsági réteget adhatunk a felhőnk eléréséhez.

A Guacamole minden távoli hozzáférést is naplóz, így az illetéktelen hozzáférés sokkal jobban nyomon követhető.

Megjegyzés: A Let's encrypt (B opció) esetén szükségünk van egy domain névre. Ha nem rendelkezik ilyennel, kihagyhatja ezt a lépést, és végrehajthatja az A lehetőséget .

1. lépés – A rendszer előkészítése

Kezdje azzal, hogy felpörget egy VPS-t a kívánt Vultr zónában. Egy 1024 MBVPS elég lesz, mivel a Guacamole nem olyan igényes.

A privát IP engedélyezése

Kezdje a magánhálózat engedélyezésével a VPS-en. Ez itt jól dokumentálva van

A tűzfal előkészítése

Először egy kicsit keményítsük a képet. És nézzük meg, hogy a kiépített kép ufwengedélyezve van-e.

root@vultr:~# ufw status
Status: inactive

Alapértelmezés szerint le van tiltva, ezért hozzá kell adnunk néhány szabályt.

• 1. szabály: ssh: 22-es TCP-port
• 2. szabály: http: 8080-as TCP-port (ideiglenes tesztelési szabály Guacamole számára)

Kezdjük ezeknek a portoknak a konfigurálásával.

ufw allow 22/tcp
ufw allow 8080/tcp

Ezután engedélyezze a tűzfalat.

ufw enable

Ne aggódjon, ha figyelmeztetést kap. Ha hozzáadta a portot 22, akkor nem lesz problémája.

root@vultr:~# ufw enable
Command may disrupt existing ssh connections. Proceed with operation (y|n)? y
Firewall is active and enabled on system startup

Ha engedélyezve van, kérje le a tűzfal állapotát, és látni fogjuk a portkonfigurációnkat.

ufw status

Status: active

To                         Action      From
--                         ------      ----
22/tcp                     ALLOW       Anywhere
8080/tcp                   ALLOW       Anywhere
22/tcp (v6)                ALLOW       Anywhere (v6)
8080/tcp (v6)              ALLOW       Anywhere (v6)

2. lépés – A Guacamole telepítése

Az összes függőség telepítése

A telepítés megkezdése előtt frissítenünk és frissítenünk kell a repót. Az olyan csomagokkal, mint például Tomcata Java alapú, folyamatos a felfedezett hibák és a hozzájuk kapcsolódó hibajavítások folyama. Általában jó ötlet ezt először megtenni, ahelyett, hogy közvetlenül a telepítésünkbe rohannánk.

apt-get update
apt-get -y upgrade 

Következő az összes függőség. A Guacamole-ban jónéhány van belőlük. (A függőségek teljes listája és funkciójuk itt található ). Folytassuk az összes telepítésével.

apt-get -y install build-essential tomcat8 freerdp libcairo2-dev libjpeg-turbo8-dev libpng12-dev libossp-uuid-dev libavcodec-dev libavutil-dev libfreerdp-dev libpango1.0-dev libssh2-1-dev libtelnet-dev libvorbis-dev libwebp-dev mysql-server mysql-client mysql-common mysql-utilities libswscale-dev libvncserver-dev libpulse-dev libssl-dev

Amikor a telepítő MySQL root jelszót kér, adjon meg egyet, és feltétlenül vegye figyelembe. Ezt a jelszót fogjuk használni a későbbiekben a Guacamole adatbázis létrehozásához.

Guacamole letöltése

Most, hogy minden függőségünk megvan, folytathatjuk a Guacamole letöltését. Maga a guacamole többnyire forrás formában jelenik meg, nem pedig bináris formában. Először a /tmpmappába lépünk, hogy elkerüljük a lemez más részeit. Ezután töltse le az összes forráskódot.

Négy forrás/bináris fájl tölthető le:

• guacamole-0.9.13-incubating.war: Ez a webalkalmazás. A WARfájl egy tömörített webcsomag, amely egyetlen webhelyet biztosít egy Tomcat webhelyen
• guacamole-server-0.9.13-incubating.tar.gz: Ez a fájl biztosítja a háttéralkalmazást guacd. Ez az adatfolyamokat RDP-n és SSH-n keresztül hozza létre.
• guacamole-auth-jdbc-0.9.13-incubating.tar.gz: Helyi MySQL adatbázist fogunk használni, ezért szükségünk van a kapcsolódó JDBCcsatlakozóra.
• mysql-connector-java-5.1.43.tar.gz: Adatbázis-illesztőprogram nélkül a JDBC-csatlakozó semmit sem csinál. Ezt a fájlt maga a MySQL csapat biztosítja.

Megjegyzés: a letöltések a legközelebbi szerverre vannak megoldva .

cd /tmp
wget http://apache.belnet.be/incubator/guacamole/0.9.13-incubating/binary/guacamole-0.9.13-incubating.war
wget http://apache.cu.be/incubator/guacamole/0.9.13-incubating/source/guacamole-server-0.9.13-incubating.tar.gz
wget http://apache.cu.be/incubator/guacamole/0.9.13-incubating/binary/guacamole-auth-jdbc-0.9.13-incubating.tar.gz
wget https://dev.mysql.com/get/Downloads/Connector-J/mysql-connector-java-5.1.43.tar.gz

Miután letöltöttük ezeket a fájlokat, bontsa ki a fájlokat tar.gz.

tar -xzvf guacamole-server-0.9.13-incubating.tar.gz
tar -xzvf guacamole-auth-jdbc-0.9.13-incubating.tar.gz
tar -xzvf mysql-connector-java-5.1.43.tar.gz

Guacamole összeállítása

Most, hogy az összes forráskódot kibontottuk, hozzunk létre néhány guacamolemappát, ezeket fogja használni a guacamole alkalmazás és annak függőségei.

mkdir -p /etc/guacamole/lib
mkdir -p /etc/guacamole/extensions

Minden készen áll az új Guacamole binárisainkhoz. Most már elkezdhetjük a fordítási és telepítési folyamatot. Lépjen át a kibontott Guacamole Server mappába.

cd /tmp/guacamole-server-0.9.13-incubating

Állítsa be az alkalmazást úgy, hogy egy init.dfájlt is hozzon létre a későbbi szolgáltatásként való futtatáshoz.

./configure --with-init-dir=/etc/init.d

A parancsnak „igen”-nel kell végződnie minden könyvtárban és protokollban. Ha nem, menjen vissza, és ellenőrizze az apt-get parancsot, hogy megbizonyosodjon arról, hogy nem hagyott ki egyetlen csomagot sem.

------------------------------------------------
guacamole-server version 0.9.13-incubating
------------------------------------------------

   Library status:

     freerdp ............. yes
     pango ............... yes
     libavcodec .......... yes
     libavutil ........... yes
     libssh2 ............. yes
     libssl .............. yes
     libswscale .......... yes
     libtelnet ........... yes
     libVNCServer ........ yes
     libvorbis ........... yes
     libpulse ............ yes
     libwebp ............. yes

   Protocol support:

      RDP ....... yes
      SSH ....... yes
      Telnet .... yes
      VNC ....... yes

   Services / tools:

      guacd ...... yes
      guacenc .... yes

   Init scripts: /etc/init.d

Type "make" to compile guacamole-server.

Ezután fordítsa le és telepítse a Gucamole szervert.

make && make install

Ha mindez megtörtént, futtassa ldconfiga hozzáadott könyvtárak keresési útvonalának újraépítéséhez.

ldconfig

Folytassa a systemctlgombbal a beállításhoz guacd(Guacamole Daemon) a rendszerindítás megkezdéséhez.

systemctl enable guacd

A Guacamole binárisok most telepítve vannak. Most elkészítjük a webalkalmazást a Tomcat számára.

Kezdje azzal, hogy áthelyezi a warfájlt az guacamoleimént létrehozott mappába, miután ez megtörtént, hozzon létre egy logikai hivatkozást a tomcat könyvtárban, amely a fájlunkra mutat war.

cd /tmp
mv guacamole-0.9.13-incubating.war /etc/guacamole/guacamole.war
ln -s /etc/guacamole/guacamole.war /var/lib/tomcat8/webapps/

Ezután szükségünk van a mysql csatlakozóra és a JDBC-re. A JDBC illesztőprogram a extensionsmappában, a csatlakozó a libmappában kell.

cp mysql-connector-java-5.1.43/mysql-connector-java-5.1.43-bin.jar /etc/guacamole/lib/
cp guacamole-auth-jdbc-0.9.13-incubating/mysql/guacamole-auth-jdbc-mysql-0.9.13-incubating.jar /etc/guacamole/extensions/

A Guacamole és a Tomcat konfigurálása

Once the connector and JDBC are in place, we need to edit the tocamt8 file. This file contains a lot of tomcat8 settings, and in our case we need to add the GUACAMOLE_HOME variable at the end of the file.

nano /etc/default/tomcat8

Append with the following.

GUACAMOLE_HOME=/etc/guacamole

Creating the database

Next up is creating the database. Guacamole stores its connection configuration in a database, not inside a file.

Login with the root password you used during the installation.

mysql -u root -p

The first step is to create a database called 'guacamole_db'.

create database guacamole_db;

Then run the create user command. This will create a user with a password mysupersecretpassword, this user will only be able to connect from localhost.

create user 'guacamole_user'@'localhost' identified by "mysupersecretpassword";

Grant CRUD operations to this user for the database guacamole_db.

GRANT SELECT,INSERT,UPDATE,DELETE ON guacamole_db.* TO 'guacamole_user'@'localhost';

Flush privileges and exit the shell.

flush privileges;
exit

Finish up by adding the Guacamole schema to our newly created database.

cat /tmp/guacamole-auth-jdbc-0.9.13-incubating/mysql/schema/*.sql | mysql -u root -p guacamole_db

Once this is done, we need to edit the guacamole.properties file. This file contains our recently created MySQL server configuration.

nano /etc/guacamole/guacamole.properties

Append the MySQL connection details and credentials.

mysql-hostname: localhost
mysql-port: 3306
mysql-database: guacamole_db
mysql-username: guacamole_user
mysql-password: mysupersecretpassword

Finish up by creating a symbolic link to the tomcat share folder, as this is where the WAR file will search these properties.

ln -s /etc/guacamole /usr/share/tomcat8/.guacamole

Testing the setup

End by restarting the tomcat8 server and start the guacd server daemon.

service tomcat8 restart
service guacd start

You can verify by using the status command.

service tomcat8 status
service guacd status

Now you can browse to your VPS on port 8080

http://<yourpublicip>:8080/guacamole/

Use the username guacadmin and the same password guacadmin. This will grant you access to an empty Guacamole server.

Click in the top right corner on your username guacadmin and select Settings. Once you are in the settings page go to the Users tab and select the user guacadmin.

Now change your password to something else or create a new admin user and delete the default guacadmin one.

Step 3 - Fine tuning and cleanup

These are the final steps: cleaning up after you are done.

Delete the downloaded source code and binaries from the /tmp folder.

rm -rf /tmp/guacamole-*
rm -rf /tmp/mysql-connector-java-*

Also, make the Guacamole web application the default one. In the tomcat ecosystem the application that gets the ROOT folder is the one that is started by default when you access the website.

Delete the old ROOT placeholder.

rm -rf /var/lib/tomcat8/webapps/ROOT

And make a symbolic link for the guacamole server to be the ROOT one.

ln -s /var/lib/tomcat8/webapps/guacamole /var/lib/tomcat8/webapps/ROOT

This requires a tomcat restart.

service tomcat8 restart

Step 4 (option A) - Running on HTTP only

• If you are not going to use Let's Encrypt certificates and not use a DNS, execute the actions in this step and afterwards go directly to Step 6. - Option A
• If you want to create a more secure site and you have a DNS ready, you can skip this and go straight to option B (Step 5).

Edit the tomcat8/server.xml file and change the connector port.

nano /etc/tomcat8/server.xml

Search for the Connector port.

<Connector port="8080" protocol="HTTP/1.1"
           connectionTimeout="20000"
           URIEncoding="UTF-8"
           redirectPort="8443" />

And replace 8080 with 80.

By default, tomcat doesn't allow the binding of ports below 1024. To enable this we need to tell tomcat8 to create authenticated binds.

Edit the default file of tomcat8 and uncomment the AUTHBIND line and use the option yes

nano /etc/default/tomcat8

AUTHBIND=yes

Once this is done, intall authbind.

apt-get install authbind

Configure it so that port 80 can be claimed by tomcat8.

touch /etc/authbind/byport/80
chmod 500 /etc/authbind/byport/80
chown tomcat8 /etc/authbind/byport/80

Allow port 80 through the firewall and delete the rule for 8080.

ufw allow 80/tcp
ufw delete allow 8080/tcp

Restart tomcat.

service tomcat8 restart

That's it, now Guacamole should be running on port 80.

Step 5 (option B) - Setting up Nginx

Installation and configuration of Nginx

Tomcat really isn't one of the best and most robust applications to use with certbot. Luckily Nginx is. We will just to proxy tomcat to Nginx. It uses the out-of-the-box functionality of certbot at the cost of sacrificing a little bit of RAM.

apt-get install nginx

Once installed, edit the default configuration.

nano /etc/nginx/sites-available/default

Delete all example configurations and add the following configuration.

server {      
  listen 0.0.0.0:80;

  proxy_request_buffering off;
  proxy_buffering off;

  location / {
     proxy_pass http://127.0.0.1:8080;
     proxy_redirect     off;
        proxy_set_header   Host $host;
        proxy_set_header   X-Real-IP $remote_addr;
        proxy_set_header   X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_set_header   X-Forwarded-Host $server_name;
  }
}

This will create a proxy for the website running at 8080. Restart Nginx, and enable it at boot.

systemctl restart nginx
systemctl enable nginx

Check if everything is working.

systemctl status nginx

Disable the testing port 8080 and allow traffic on port 80.

ufw allow 80/tcp
ufw delete allow 8080/tcp

Installing Let's Encrypt

Before we can use certbot, we need to add the correct ppa to the system containing our certbot packages.

add-apt-repository ppa:certbot/certbot

Press "ENTER" to accept the configuration change.

Update apt to gather the new packages.

apt-get update

Finally, install the Nginx module for assigning the certificates.

apt-get -y install python-certbot-nginx

Configure Nginx to use certificates

Configure the firewall to allow HTTPS.

ufw allow 443/tcp

Before we can request new certificates, we need a DNS name.

nano /etc/nginx/sites-available/default

Add the following server_name setting.

server_name rdp.example.com;

Change the configuration to reflect this new setting.

server {
  server_name rdp.example.com;

  listen 0.0.0.0:80;

  proxy_request_buffering off;
  proxy_buffering off;

  location / {
     proxy_pass http://127.0.0.1:8080;
     proxy_redirect     off;
        proxy_set_header   Host $host;
        proxy_set_header   X-Real-IP $remote_addr;
        proxy_set_header   X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_set_header   X-Forwarded-Host $server_name;
  }
}

Check if all is working and restart Nginx.

nginx -t
service nginx restart

Now request a certificate with certbot.

certbot --nginx -d rdp.example.com

Adja meg e-mail címét, és fogadja el a telepítő által feltett kérdéseket. (Az Noe-mailek megosztásához nyugodtan választhatja a " " lehetőséget.) A Certbot automatikusan megkérdezi, hogy mi köze a következőhöz: HTTPS. A 2. lehetőséget fogjuk használni: redirect to HTTPS.

Please choose whether or not to redirect HTTP traffic to HTTPS, removing HTTP access.
-------------------------------------------------------------------------------
1: No redirect - Make no further changes to the webserver configuration.
2: Redirect - Make all requests redirect to secure HTTPS access. Choose this for
new sites, or if you're confident your site works on HTTPS. You can undo this
change by editing your web server's configuration.
-------------------------------------------------------------------------------
Select the appropriate number [1-2] then [enter] (press 'c' to cancel): 2

Az utolsó dolog, amit tenni fogunk, a DHparaméterek frissítése . Ezek alapértelmezés szerint kissé gyengék a 2017-es szabványokhoz.

Hozzon létre néhány újat.

openssl dhparam -out /etc/ssl/certs/dhparam.pem 2048

Ezután adja hozzá őket az Nginx alapértelmezett webhelyéhez.

nano /etc/nginx/sites-available/default

Adja hozzá őket a szerver konfigurációjához.

server {
  server_name rdp.example.com;

  listen 0.0.0.0:80;
  ssl_dhparam /etc/ssl/certs/dhparam.pem;

  proxy_request_buffering off;
  proxy_buffering off;

  location / {
     proxy_pass http://127.0.0.1:8080;
     proxy_redirect     off;
        proxy_set_header   Host $host;
        proxy_set_header   X-Real-IP $remote_addr;
        proxy_set_header   X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_set_header   X-Forwarded-Host $server_name;
  }
}

Ellenőrizze a hibákat.

nginx -t

Alkalmazza a változtatásokat a szerver újraindításával.

service nginx restart

Tisztítsa meg a régi 8080szabályt

ufw delete allow 8080/tcp

Megjegyzés: ha az "502 Bad Gateway" üzenetet kapja, újra kell indítania a tomcat8-at .

service tomcat8 restart

A tanúsítványok automatikus megújítása

A tanúsítványok titkosítása megújítást igényel. Ehhez létrehozhatunk egy cron munkát. Kezdje a szerkesztéssel crontab.

crontab -e

Adja hozzá a következő sort.

00 2 * * * /usr/bin/certbot renew --quiet

Ez hajnali 2:00-kor ellenőrzi, hogy valamelyik tanúsítványt meg kell-e újítani, és megújítja azokat, ha igen.

6. lépés – Mindennek tesztelése

Lépjen a Guacamole szerverére ( http://<ip>/vagy https://rdp.example.com)).

Ehhez a teszthez további két példányra lesz szüksége: egy Linux virtuális gépre és egy másik Windows Server 2012 R2-re, mindkettőn engedélyezett privát IP-címmel.

Windows RDP kapcsolat hozzáadása

Kattintson a " username" ikonra a jobb felső sarokban, és lépjen a " Settings" elemre . Ezután lépjen a " Connections" elemre, és válassza a " New Connection" lehetőséget.

Töltse ki a következő beállításokat (a többit alapértelmezettként hagyhatja).

Name: Windows Server 2012 R2
Location: ROOT
Protocol: RDP
Maximum number of connections: 1
Maximum number of connections per user: 1
Parameters > Hostname: 10.99.0.12
Parameters > Port: 3389
Username: Administrator
Password: <password> (provided by Vultr)
Security mode: Any
Ignore server certificate: <checked>

Nyomja meg a " save" gombot, és térjen vissza a kezdőképernyőre. Most kattintson a " Windows Server 2012 R2" kapcsolatra, és az RDP erre a gépre fog menni.

Linux SSH kapcsolat hozzáadása

Nyomja meg a " Ctrl+Shift+Alt" gombot . Ezzel megjelenik az oldalsó menü. Itt leválaszthatja a kapcsolatot, vagy más adminisztrációs feladatokat hajthat végre Guacamole számára.

Kattintson a usernamemenü tetején található ikonra, és lépjen a " Settings" elemre . Ezután lépjen a " Connections" fülre, és válassza a " New Connection" lehetőséget.

Töltse ki a következő beállításokat (a többit alapértelmezettként hagyhatja).

Name: Linux
Location: ROOT
Protocol: SSH
Maximum number of connections: 5
Maximum number of connections per user: 2
Parameters > Hostname: 10.99.0.11
Parameters > Port: 22
Username: root
Password: <password> (provided by Vultr)

Nyomja meg a " save" gombot, és térjen vissza a kezdőképernyőre. Most rákattinthat erre az újonnan létrehozott kapcsolatra, és SSH-n keresztül csatlakozhat a Linux-kiszolgálóhoz.

Következtetés

Mostantól van egy web RDP/SSH HTML5 átjárója. Mostantól tűzfallal védheti platformja nyilvános RDP- és SSH-hozzáférését, és bármely modern böngészőből elérheti környezetét. További információ, hogy mit tud nyújtani Guacamole, van egy nagy videó mutatja az összes lehetőségei a platform van .