Búðu til HTML 5 RDP/SSH framenda með Guacamole á Ubuntu 16.04 LTS

Kynning

Markmið þessarar kennslu er að losna við almennar SSH og opinberar RDP tengingar. Með því að setja þetta allt á bak við mjög þægilegan HTML5 viðskiptavin getum við bætt við öryggislagi til að fá aðgang að skýinu okkar.

Guacamole skráir einnig hvaða fjaraðgang sem er, þannig að óviðkomandi aðgangur verður mun rekjanlegri.

Athugið: Fyrir Let's dulkóða (valkostur B) þurfum við lén. Ef þú ert ekki með einn geturðu sleppt þessu skrefi og bara keyrt valmöguleika A .

Skref 1 - Undirbúningur kerfisins

Byrjaðu á því að snúa upp VPS á Vultr svæðinu sem þú vilt. A 1024 MBVPS mun vera nóg, eins og Guacamole er ekki það krefjandi.

Virkja einka IP

Byrjaðu á því að virkja einkanetið á VPS. Þetta er vel skjalfest hér

Undirbúningur eldveggsins

Fyrst skulum við herða myndina aðeins. Og við skulum athuga hvort myndin sem hefur verið útveguð hafi ufwvirkjað.

root@vultr:~# ufw status
Status: inactive

Sjálfgefið er það óvirkt, svo við þurfum að bæta við nokkrum reglum.

• Regla 1: ssh: TCP tengi 22
• Regla 2: http: TCP tengi 8080 (tímabundin prófunarregla fyrir Guacamole)

Við skulum byrja á því að stilla þessar höfn.

ufw allow 22/tcp
ufw allow 8080/tcp

Næst skaltu virkja eldvegginn.

ufw enable

Ekki hafa áhyggjur ef þú færð viðvörun. Ef þú bættir við höfn 22muntu ekki standa frammi fyrir neinum vandamálum.

root@vultr:~# ufw enable
Command may disrupt existing ssh connections. Proceed with operation (y|n)? y
Firewall is active and enabled on system startup

Þegar það hefur verið virkt skaltu biðja um stöðu eldveggsins og við munum sjá tengistillingu okkar.

ufw status

Status: active

To                         Action      From
--                         ------      ----
22/tcp                     ALLOW       Anywhere
8080/tcp                   ALLOW       Anywhere
22/tcp (v6)                ALLOW       Anywhere (v6)
8080/tcp (v6)              ALLOW       Anywhere (v6)

Skref 2 - Uppsetning Guacamole

Að setja upp öll ósjálfstæði

Áður en við byrjum að setja upp þurfum við að uppfæra og uppfæra geymsluna. Með pökkum eins og Tomcat, sem byggir á Java, er stöðugur straumur af uppgötvuðum villum og tilheyrandi villuleiðréttingum. Það er yfirleitt góð hugmynd að gera þetta fyrst í stað þess að flýta sér beint inn í uppsetninguna okkar.

apt-get update
apt-get -y upgrade 

Næst eru allar ósjálfstæðin. Guacamole er með töluvert af þeim. (Heill listi yfir ósjálfstæði og hlutverk þeirra má finna hér ). Við skulum halda áfram með því að setja þær allar upp.

apt-get -y install build-essential tomcat8 freerdp libcairo2-dev libjpeg-turbo8-dev libpng12-dev libossp-uuid-dev libavcodec-dev libavutil-dev libfreerdp-dev libpango1.0-dev libssh2-1-dev libtelnet-dev libvorbis-dev libwebp-dev mysql-server mysql-client mysql-common mysql-utilities libswscale-dev libvncserver-dev libpulse-dev libssl-dev

Þegar uppsetningarforritið biður um MySQL rót lykilorð, gefðu upp það og vertu viss um að taka eftir því. Við munum nota þetta lykilorð síðar til að búa til Guacamole gagnagrunninn.

Að sækja Guacamole

Nú þegar við höfum öll okkar ósjálfstæði getum við haldið áfram að hlaða niður Guacamole. Guacamole sjálft kemur að mestu leyti í upprunaformi, en ekki tvíundir. Fyrst munum við fara í /tmpmöppuna til að forðast ringulreið í öðrum hlutum disksins. Sæktu síðan allan frumkóðann.

Það eru fjórar frum-/tvíundir skrár til að hlaða niður:

• guacamole-0.9.13-incubating.war: Þetta er vefforritið. A WARskrá er þjappað vefur pakki veita einum vefsvæði hýst á Tomcat vefsíðu
• guacamole-server-0.9.13-incubating.tar.gz: Þessi skrá mun veita bakendaforritið guacd. Þetta skapar straumana í gegnum RDP og SSH.
• guacamole-auth-jdbc-0.9.13-incubating.tar.gz: Við munum nota staðbundinn MySQL gagnagrunn, svo við þurfum tengdan JDBCtengil.
• mysql-connector-java-5.1.43.tar.gz: Án gagnagrunnsrekla gerir JDBC tengið ekkert. Þessi skrá er útveguð af MySQL teyminu sjálfu.

Athugið: Niðurhal leyst á næsta netþjón .

cd /tmp
wget http://apache.belnet.be/incubator/guacamole/0.9.13-incubating/binary/guacamole-0.9.13-incubating.war
wget http://apache.cu.be/incubator/guacamole/0.9.13-incubating/source/guacamole-server-0.9.13-incubating.tar.gz
wget http://apache.cu.be/incubator/guacamole/0.9.13-incubating/binary/guacamole-auth-jdbc-0.9.13-incubating.tar.gz
wget https://dev.mysql.com/get/Downloads/Connector-J/mysql-connector-java-5.1.43.tar.gz

Þegar við höfum hlaðið niður öllum þessum skrám skaltu draga tar.gz's.

tar -xzvf guacamole-server-0.9.13-incubating.tar.gz
tar -xzvf guacamole-auth-jdbc-0.9.13-incubating.tar.gz
tar -xzvf mysql-connector-java-5.1.43.tar.gz

Að setja saman Guacamole

Nú þegar við höfum dregið út allan frumkóðann skulum við búa til nokkrar guacamolemöppur, þær verða notaðar af guacamole forritinu og ósjálfstæði þess.

mkdir -p /etc/guacamole/lib
mkdir -p /etc/guacamole/extensions

Allt er tilbúið fyrir nýju Guacamole tvíþættina okkar. Við getum nú hafið söfnun og uppsetningarferlið. Farðu yfir í útdregna Guacamole Server möppuna.

cd /tmp/guacamole-server-0.9.13-incubating

Stilltu forritið til að búa til init.dskrá til að keyra það sem þjónustu síðar.

./configure --with-init-dir=/etc/init.d

Skipunin ætti að enda með „já“ á öllum bókasöfnum og samskiptareglum. Ef ekki, farðu til baka og athugaðu apt-get skipunina til að ganga úr skugga um að þú hafir ekki misst af neinum pakka.

------------------------------------------------
guacamole-server version 0.9.13-incubating
------------------------------------------------

   Library status:

     freerdp ............. yes
     pango ............... yes
     libavcodec .......... yes
     libavutil ........... yes
     libssh2 ............. yes
     libssl .............. yes
     libswscale .......... yes
     libtelnet ........... yes
     libVNCServer ........ yes
     libvorbis ........... yes
     libpulse ............ yes
     libwebp ............. yes

   Protocol support:

      RDP ....... yes
      SSH ....... yes
      Telnet .... yes
      VNC ....... yes

   Services / tools:

      guacd ...... yes
      guacenc .... yes

   Init scripts: /etc/init.d

Type "make" to compile guacamole-server.

Næst skaltu safna saman og setja upp Gucamole netþjóninn.

make && make install

Þegar þetta er allt búið skaltu keyra ldconfigtil að endurbyggja leitarslóðina fyrir bókasöfn sem hefur verið bætt við.

ldconfig

Haltu áfram með því systemctlað nota til að setja upp guacd(Guacamole Daemon) til að byrja á ræsingu.

systemctl enable guacd

Guacamole tvíþættir eru nú settir upp. Nú munum við gera vefforritið tilbúið fyrir Tomcat.

Byrjaðu á því að færa warskrána í guacamolemöppuna sem við bjuggum til, þegar þetta er búið skaltu búa til rökréttan hlekk í tomcat möppunni til að benda á warskrána okkar .

cd /tmp
mv guacamole-0.9.13-incubating.war /etc/guacamole/guacamole.war
ln -s /etc/guacamole/guacamole.war /var/lib/tomcat8/webapps/

Þá þurfum við mysql tengið og JDBC. JDBC bílstjórinn þarf í extensionsmöppunni, tengið í libmöppunni.

cp mysql-connector-java-5.1.43/mysql-connector-java-5.1.43-bin.jar /etc/guacamole/lib/
cp guacamole-auth-jdbc-0.9.13-incubating/mysql/guacamole-auth-jdbc-mysql-0.9.13-incubating.jar /etc/guacamole/extensions/

Stilla Guacamole og Tomcat

Once the connector and JDBC are in place, we need to edit the tocamt8 file. This file contains a lot of tomcat8 settings, and in our case we need to add the GUACAMOLE_HOME variable at the end of the file.

nano /etc/default/tomcat8

Append with the following.

GUACAMOLE_HOME=/etc/guacamole

Creating the database

Next up is creating the database. Guacamole stores its connection configuration in a database, not inside a file.

Login with the root password you used during the installation.

mysql -u root -p

The first step is to create a database called 'guacamole_db'.

create database guacamole_db;

Then run the create user command. This will create a user with a password mysupersecretpassword, this user will only be able to connect from localhost.

create user 'guacamole_user'@'localhost' identified by "mysupersecretpassword";

Grant CRUD operations to this user for the database guacamole_db.

GRANT SELECT,INSERT,UPDATE,DELETE ON guacamole_db.* TO 'guacamole_user'@'localhost';

Flush privileges and exit the shell.

flush privileges;
exit

Finish up by adding the Guacamole schema to our newly created database.

cat /tmp/guacamole-auth-jdbc-0.9.13-incubating/mysql/schema/*.sql | mysql -u root -p guacamole_db

Once this is done, we need to edit the guacamole.properties file. This file contains our recently created MySQL server configuration.

nano /etc/guacamole/guacamole.properties

Append the MySQL connection details and credentials.

mysql-hostname: localhost
mysql-port: 3306
mysql-database: guacamole_db
mysql-username: guacamole_user
mysql-password: mysupersecretpassword

Finish up by creating a symbolic link to the tomcat share folder, as this is where the WAR file will search these properties.

ln -s /etc/guacamole /usr/share/tomcat8/.guacamole

Testing the setup

End by restarting the tomcat8 server and start the guacd server daemon.

service tomcat8 restart
service guacd start

You can verify by using the status command.

service tomcat8 status
service guacd status

Now you can browse to your VPS on port 8080

http://<yourpublicip>:8080/guacamole/

Use the username guacadmin and the same password guacadmin. This will grant you access to an empty Guacamole server.

Click in the top right corner on your username guacadmin and select Settings. Once you are in the settings page go to the Users tab and select the user guacadmin.

Now change your password to something else or create a new admin user and delete the default guacadmin one.

Step 3 - Fine tuning and cleanup

These are the final steps: cleaning up after you are done.

Delete the downloaded source code and binaries from the /tmp folder.

rm -rf /tmp/guacamole-*
rm -rf /tmp/mysql-connector-java-*

Also, make the Guacamole web application the default one. In the tomcat ecosystem the application that gets the ROOT folder is the one that is started by default when you access the website.

Delete the old ROOT placeholder.

rm -rf /var/lib/tomcat8/webapps/ROOT

And make a symbolic link for the guacamole server to be the ROOT one.

ln -s /var/lib/tomcat8/webapps/guacamole /var/lib/tomcat8/webapps/ROOT

This requires a tomcat restart.

service tomcat8 restart

Step 4 (option A) - Running on HTTP only

• If you are not going to use Let's Encrypt certificates and not use a DNS, execute the actions in this step and afterwards go directly to Step 6. - Option A
• If you want to create a more secure site and you have a DNS ready, you can skip this and go straight to option B (Step 5).

Edit the tomcat8/server.xml file and change the connector port.

nano /etc/tomcat8/server.xml

Search for the Connector port.

<Connector port="8080" protocol="HTTP/1.1"
           connectionTimeout="20000"
           URIEncoding="UTF-8"
           redirectPort="8443" />

And replace 8080 with 80.

By default, tomcat doesn't allow the binding of ports below 1024. To enable this we need to tell tomcat8 to create authenticated binds.

Edit the default file of tomcat8 and uncomment the AUTHBIND line and use the option yes

nano /etc/default/tomcat8

AUTHBIND=yes

Once this is done, intall authbind.

apt-get install authbind

Configure it so that port 80 can be claimed by tomcat8.

touch /etc/authbind/byport/80
chmod 500 /etc/authbind/byport/80
chown tomcat8 /etc/authbind/byport/80

Allow port 80 through the firewall and delete the rule for 8080.

ufw allow 80/tcp
ufw delete allow 8080/tcp

Restart tomcat.

service tomcat8 restart

That's it, now Guacamole should be running on port 80.

Step 5 (option B) - Setting up Nginx

Installation and configuration of Nginx

Tomcat really isn't one of the best and most robust applications to use with certbot. Luckily Nginx is. We will just to proxy tomcat to Nginx. It uses the out-of-the-box functionality of certbot at the cost of sacrificing a little bit of RAM.

apt-get install nginx

Once installed, edit the default configuration.

nano /etc/nginx/sites-available/default

Delete all example configurations and add the following configuration.

server {      
  listen 0.0.0.0:80;

  proxy_request_buffering off;
  proxy_buffering off;

  location / {
     proxy_pass http://127.0.0.1:8080;
     proxy_redirect     off;
        proxy_set_header   Host $host;
        proxy_set_header   X-Real-IP $remote_addr;
        proxy_set_header   X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_set_header   X-Forwarded-Host $server_name;
  }
}

This will create a proxy for the website running at 8080. Restart Nginx, and enable it at boot.

systemctl restart nginx
systemctl enable nginx

Check if everything is working.

systemctl status nginx

Disable the testing port 8080 and allow traffic on port 80.

ufw allow 80/tcp
ufw delete allow 8080/tcp

Installing Let's Encrypt

Before we can use certbot, we need to add the correct ppa to the system containing our certbot packages.

add-apt-repository ppa:certbot/certbot

Press "ENTER" to accept the configuration change.

Update apt to gather the new packages.

apt-get update

Finally, install the Nginx module for assigning the certificates.

apt-get -y install python-certbot-nginx

Configure Nginx to use certificates

Configure the firewall to allow HTTPS.

ufw allow 443/tcp

Before we can request new certificates, we need a DNS name.

nano /etc/nginx/sites-available/default

Add the following server_name setting.

server_name rdp.example.com;

Change the configuration to reflect this new setting.

server {
  server_name rdp.example.com;

  listen 0.0.0.0:80;

  proxy_request_buffering off;
  proxy_buffering off;

  location / {
     proxy_pass http://127.0.0.1:8080;
     proxy_redirect     off;
        proxy_set_header   Host $host;
        proxy_set_header   X-Real-IP $remote_addr;
        proxy_set_header   X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_set_header   X-Forwarded-Host $server_name;
  }
}

Check if all is working and restart Nginx.

nginx -t
service nginx restart

Now request a certificate with certbot.

certbot --nginx -d rdp.example.com

Gefðu upp tölvupóstinn þinn og samþykktu spurningarnar sem uppsetningarforritið spurði. (Þú getur örugglega valið " No" til að deila tölvupóstinum þínum.) Certbot mun sjálfkrafa spyrja hvað það þarf að gera við HTTPS. Við munum nota valmöguleika 2: redirect to HTTPS.

Please choose whether or not to redirect HTTP traffic to HTTPS, removing HTTP access.
-------------------------------------------------------------------------------
1: No redirect - Make no further changes to the webserver configuration.
2: Redirect - Make all requests redirect to secure HTTPS access. Choose this for
new sites, or if you're confident your site works on HTTPS. You can undo this
change by editing your web server's configuration.
-------------------------------------------------------------------------------
Select the appropriate number [1-2] then [enter] (press 'c' to cancel): 2

Það síðasta sem við munum gera er að uppfæra DHfæribreyturnar. Þetta eru sjálfgefið svolítið veik fyrir 2017 staðla.

Búðu til nokkrar nýjar.

openssl dhparam -out /etc/ssl/certs/dhparam.pem 2048

Næst skaltu bæta þeim við sjálfgefna síðuna í Nginx.

nano /etc/nginx/sites-available/default

Bættu þeim við stillingar netþjónsins.

server {
  server_name rdp.example.com;

  listen 0.0.0.0:80;
  ssl_dhparam /etc/ssl/certs/dhparam.pem;

  proxy_request_buffering off;
  proxy_buffering off;

  location / {
     proxy_pass http://127.0.0.1:8080;
     proxy_redirect     off;
        proxy_set_header   Host $host;
        proxy_set_header   X-Real-IP $remote_addr;
        proxy_set_header   X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_set_header   X-Forwarded-Host $server_name;
  }
}

Athugaðu fyrir villur.

nginx -t

Notaðu breytingarnar með því að endurræsa þjóninn.

service nginx restart

Hreinsaðu gömlu 8080regluna

ufw delete allow 8080/tcp

Athugið: ef þú ættir að fá „502 Bad Gateway“ þarftu að endurræsa tomcat8 .

service tomcat8 restart

Sjálfvirk endurnýjun vottorða

Við skulum dulkóða vottorð krefjast endurnýjunar. Við getum búið til cron starf fyrir þetta. Byrjaðu á því að breyta crontab.

crontab -e

Bættu við eftirfarandi línu.

00 2 * * * /usr/bin/certbot renew --quiet

Þetta mun athuga klukkan 02:00 ef einhver vottorð krefjast endurnýjunar og mun endurnýja þau ef svo er.

Skref 6 - Prófaðu allt

Farðu á Guacamole netþjóninn þinn (annaðhvort http://<ip>/eða https://rdp.example.com)).

Fyrir þetta próf þarftu tvö tilvik í viðbót: eitt Linux VM og annað Windows Server 2012 R2 með einka IP virkt á báðum.

Bætir við Windows RDP tengingunni

Smelltu á " username" efst í hægra horninu og farðu í " Settings". Farðu síðan í " Connections" og veldu " New Connection".

Fylltu út eftirfarandi stillingar (þú getur skilið hinar eftir sjálfgefnar).

Name: Windows Server 2012 R2
Location: ROOT
Protocol: RDP
Maximum number of connections: 1
Maximum number of connections per user: 1
Parameters > Hostname: 10.99.0.12
Parameters > Port: 3389
Username: Administrator
Password: <password> (provided by Vultr)
Security mode: Any
Ignore server certificate: <checked>

Ýttu á " save" og farðu aftur á heimaskjáinn. Nú geturðu smellt á " Windows Server 2012 R2" tenginguna og hún mun RDP við þessa vél.

Bætir við Linux SSH tengingunni

Ýttu á " Ctrl+Shift+Alt". Þetta mun skjóta út valmyndinni til hliðar. Hér geturðu aftengt eða framkvæmt önnur stjórnunarverkefni fyrir Guacamole.

Smelltu usernameá efst í valmyndinni og farðu í " Settings". Farðu síðan á " Connections" flipann og veldu " New Connection".

Fylltu út eftirfarandi stillingar (þú getur skilið hinar eftir sjálfgefnar).

Name: Linux
Location: ROOT
Protocol: SSH
Maximum number of connections: 5
Maximum number of connections per user: 2
Parameters > Hostname: 10.99.0.11
Parameters > Port: 22
Username: root
Password: <password> (provided by Vultr)

Ýttu á " save" og farðu aftur á heimaskjáinn. Nú geturðu smellt á þessa nýstofnuðu tengingu og verið tengdur við Linux netþjóninn þinn í gegnum SSH.

Niðurstaða

Þú ert nú með RDP/SSH HTML5 vefgátt. Nú geturðu eldveggað opinberan RDP og SSH aðgang að vettvangnum þínum og fengið aðgang að umhverfi þínu úr hvaða nútíma vafra sem er. Fyrir frekari upplýsingar um það sem Guacamole getur boðið er frábært myndband sem sýnir alla möguleika vettvangsins hér .