Upphafleg örugg netþjónsstilling Ubuntu 18.04

Kynning

Í gegnum þessa kennslu muntu læra hvernig á að stilla grunnöryggisstig á glænýrri Vultr VC2 sýndarvél sem keyrir Ubuntu 18.04.

Forkröfur

• Vultr reikning, þú getur búið til einn hér
• Nýr Ubuntu 18.04 Vultr VM

Búðu til og breyttu notanda

Það fyrsta sem við ætlum að gera er að búa til nýja notandann okkar sem við munum nota til að skrá þig inn á VM:

adduser porthorian

Athugið: Mælt er með því að nota einstakt notendanafn sem erfitt verður að giska á. Flestir vélmenni munu sjálfgefið reyna root, admin, moderator, og svipað.

Þú verður beðinn um lykilorð hér. Það er eindregið mælt með því að þú notir sterkt alfanumerískt lykilorð. Eftir það skaltu fylgja leiðbeiningunum á skjánum þínum og þegar hann spyr þig hvort upplýsingarnar séu réttar skaltu bara ýta á Y.

Þegar þessi nýi notandi hefur verið bætt við þurfum við að gefa þessum notanda sudo heimildir svo við getum framkvæmt skipanir frá notandanum fyrir hönd rótarnotandans:

usermod -aG sudo porthorian

Þegar þú hefur gefið notandanum sudo heimildir skaltu skipta yfir í nýja notandann þinn:

su - porthorian

Búðu til og stilltu SSH lykil

Til að búa til SSH lykilinn skaltu fylgja þessu skjali .

Þegar þú hefur búið til nýja SSH lykilinn þinn skaltu afrita opinbera lykilinn þinn. Það ætti að líta svona út:

ssh-rsa AAAAB3NzaC1yc2EAAAABJQAAAQEAmB3uRWxAAELNJ8oGBCBmZx7S11vnAp0RG8rdKf6CLdvT7NMbKF55F8Wf0hFPewEryplaH54ibdmaTuheJVKy1lUhHnVi0AcBpkhJiiOQdEtvbYKT/eIkQl/Qm92Gz6aL3lJ0UknO4gO0LzgqI2vYX0b9LHMF+ZvApEDahLCna6RKo3/lffnANUKfExE+dVwOcJwATL3Ld5IkSatm7zBqbJAim0wj/JQ5ejzkL+aYd3YawpW3qf+WsY3HGbK2TIJt3LsiZJ3M7giZo/fVIZCJqsIOyO9NUOEx5/+KE8IniGb7gdRYgquAEJr89poDCNz/8CBODi9z3ukiE1+UnVlhfQ== rsa-key-20190408

Stilltu notendaskrána þína

Farðu í heimaskrá notenda þinna ef þú ert ekki þegar í henni:

cd $HOME

$HOMEer umhverfisbreytan fyrir heimaskrá notenda þinna. Þetta er sjálfkrafa stillt þegar nýi notandinn er búinn til.

Á meðan við erum í heimaskránni okkar ætlum við að setja aðra möppu inni í henni. Þessi mappa verður falin fyrir öðrum notendum á vélinni, nema root og notandinn sem á skrána. Búðu til nýju möppuna og takmarkaðu heimildir hennar með eftirfarandi skipunum:

mkdir ~/.ssh
chmod 700 ~/.ssh

Nú ætlum við að opna skrá í sem .sshheitir authorized_keys. Þetta er alhliða skráin sem OpenSSH leitar að. Þú getur breytt nafninu á þessu inni í OpenSSH stillingunni, /etc/ssh/sshd_config, ef þörf krefur.

Notaðu uppáhalds ritilinn þinn til að búa til skrána. Þessi kennsla mun nota nanó:

nano ~/.ssh/authorized_keys

Afritaðu og límdu ssh lykilinn þinn inn í authorized_keysskrána sem við höfum opnað. Þegar almenni lykillinn er inni geturðu vistað skrána með því að ýta á CTRL+ O.

Gakktu úr skugga um að viðeigandi skráarslóð birtist:

/home/porthorian/.ssh/authorized_keys

Ef það er rétt skráarslóð ýtirðu bara á ENTER, annars skaltu gera nauðsynlegar breytingar til að passa við dæmið hér að ofan. Lokaðu síðan skránni með CTRL+ X.

Nú ætlum við að takmarka aðgang að skránni:

chmod 600 ~/.ssh/authorized_keys

Lokaðu stofnuðum notanda okkar og farðu aftur í rótarnotandann:

exit

Að slökkva á auðkenningu lykilorðs

Við getum nú slökkt á auðkenningu lykilorðs fyrir netþjóninn, þannig að innskráning þarf ssh lykil. Það er mikilvægt að hafa í huga að ef þú slekkur á auðkenningu lykilorðs og opinberi lykillinn var ekki rétt uppsettur muntu læsa þig úti á netþjóninum þínum. Mælt er með því að þú prófir lykilinn fyrst áður en þú skráir þig út af rót notandanum þínum.

Við erum sem stendur skráðir inn á rótarnotandann okkar, svo við ætlum að breyta sshd_config:

nano /etc/ssh/sshd_config

Við ætlum að leita að 3 gildum til að ganga úr skugga um að OpenSSH sé rétt stillt.

• PasswordAuthentication
• PubkeyAuthentication
• ChallengeResponseAuthentication

Við getum fundið þessi gildi með því að ýta á CTRL+ W.

Gildin ættu að vera stillt á eftirfarandi:

PasswordAuthentication  no
ChallengeResponseAuthentication  no
PubkeyAuthentication  yes

Ef gildin eru útskrifuð skaltu fjarlægja #í upphafi línunnar og ganga úr skugga um að gildi þessara breyta séu eins og sýnt er hér að ofan. Þegar þú hefur breytt þessum breytum skaltu vista og hætta ritlinum með CTRL+ O, ENTERog að lokum CTRL+ X.

Nú ætlum við að endurhlaða sshdmeð eftirfarandi skipun:

systemctl reload sshd

Nú getum við prófað innskráninguna. Gakktu úr skugga um að þú hafir ekki skráð þig út af rótarlotunni þinni ennþá og opnaðu nýjan ssh glugga og tengdu við ssh lykilinn þinn sem er tengdur við tenginguna.

Í PuTTY er þetta undir Connection-> SSH-> Auth.

Skoðaðu til að finna einkalykilinn þinn til auðkenningar, þar sem þú hefðir átt að vista hann þegar þú bjóst til ssh lykilinn.

Tengstu við netþjóninn þinn með einkalyklinum sem auðkenningu. Þú verður nú skráður inn á Vultr VC2 sýndarvélina þína.

Athugið: Ef þú bættir við lykilorði meðan þú býrð til ssh lykilinn verðurðu beðinn um einn. Þetta er allt annað en raunverulegt lykilorð notanda þíns á sýndarvélinni.

Settu upp grunneldvegg

Stilla UFW

Fyrst ætlum við að byrja á því að setja upp UFW ef það er ekki þegar á sýndarvélinni. Góð leið til að athuga er með eftirfarandi skipun:

sudo ufw status

Ef UFW er sett upp mun það gefa út Status:inactive. Ef það er ekki sett upp verður þér bent á að gera það.

Við getum sett það upp með þessari skipun:

sudo apt-get install ufw -y

Nú ætlum við að leyfa SSH tengi 22í eldveggnum okkar:

sudo ufw allow 22

Að öðrum kosti geturðu leyft OpenSSH:

sudo ufw allow OpenSSH

Annaðhvort ein af skipunum hér að ofan mun virka.

Nú þegar við höfum hleypt höfninni í gegnum eldvegginn okkar getum við virkjað UFW:

sudo ufw enable

Þú verður spurður hvort þú sért viss um að þú viljir framkvæma þessa aðgerð. Að slá inn yfylgt eftir ENTERmun virkja eldvegginn:

porthorian@MEANStack:~$ sudo ufw enable
Command may disrupt existing ssh connections. Proceed with operation? y

Athugið: Ef þú leyfðir ekki OpenSSH eða Port 22 muntu læsa þig út af sýndarvélinni þinni. Gakktu úr skugga um að eitt af þessu sé leyft áður en þú virkjar UFW.

Þegar eldveggurinn hefur verið virkur verðurðu samt tengdur við tilvikið þitt. Við ætlum að tvítékka eldvegginn okkar núna með sömu skipun og áður:

sudo ufw status

Þú munt sjá eitthvað svipað og eftirfarandi framleiðsla:

porthorian@MEANStack:~$ sudo ufw status
Status: active

To                         Action      From
--                         ------      ----
22                         ALLOW       Anywhere
22 (v6)                    ALLOW       Anywhere (v6)

Stillir Vultr eldvegginn

Til að tryggja enn frekar netþjóninn okkar ætlum við að nota Vultr eldvegginn okkar. Skráðu þig inn á reikninginn þinn . Þegar þú hefur skráð þig inn muntu fara á eldveggsflipann sem staðsettur er efst á skjánum þínum:

Nú ætlum við að bæta við nýjum eldveggshópi. Þetta gerir okkur kleift að tilgreina hvaða höfn geta jafnvel náð UFW eldveggnum okkar, sem veitir okkur tvöfalt öryggislag:

Vultr mun nú spyrja þig hvað þú ætlar að nefna eldvegginn þinn með því að nota „Lýsing“ reitinn. Gakktu úr skugga um að þú lýsir því hvað netþjónarnir undir þessum eldveggshópi munu gera, til að auðvelda framtíðarstjórnun. Í þágu þessarar kennslu ætlum við að nefna það test. Þú getur alltaf breytt lýsingunni síðar ef þú vilt.

Fyrst þurfum við að fá IP tölu okkar. Ástæðan fyrir því að við gerum þetta beint er sú að ef IP-talan þín er ekki kyrrstæð og er stöðugt að breytast geturðu einfaldlega skráð þig inn á Vultr reikninginn þinn og breytt IP-tölu.

Það er líka ástæðan fyrir því að við þurftum ekki IP töluna á UFW eldveggnum. Auk þess takmarkar það notkun á eldvegg sýndarvélarinnar þinnar frá því að sía út allar aðrar hafnir og leyfir Vultr eldveggnum bara að sjá um það. Þetta takmarkar álagið á heildarumferðarsíun á þínu tilviki.

Notaðu netútlitsgler Vultr til að finna IP tölu þína.

Svo nú þegar við höfum IP tölu okkar ætlum við að bæta IPV4 reglu við nýstofnaðan eldvegginn okkar:

Þegar þú hefur slegið inn IP tölu skaltu smella á +táknið til að bæta IP tölu þinni við eldvegginn.

Eldveggshópurinn þinn mun líta svona út:

Nú þegar við erum með IP okkar rétt bundið í Firewall hópnum þurfum við að tengja Vultr tilvikið okkar. Vinstra megin muntu sjá flipa sem segir „Tengd tilvik“:

Einu sinni á síðunni muntu sjá fellilista með lista yfir tilvik netþjónsins:

Smelltu á fellivalmyndina og veldu tilvikið þitt. Síðan, þegar þú ert tilbúinn til að bæta tilvikinu við eldveggshópinn, smelltu á +táknið.

Til hamingju, þú hefur tryggt Vultr VC2 sýndarvélina þína. Þetta gefur þér góðan grunn fyrir mjög undirstöðu öryggislag án þess að hafa áhyggjur af því að einhver reyni að þvinga tilvik þitt.