Pradinė saugaus serverio konfigūracija Ubuntu 18.04

Įvadas

Per šią mokymo programą sužinosite, kaip sukonfigūruoti pagrindinį saugos lygį visiškai naujoje Vultr VC2 virtualioje mašinoje, kurioje veikia Ubuntu 18.04.

Būtinos sąlygos

• „Vultr“ paskyrą galite sukurti čia
• Naujas Ubuntu 18.04 Vultr VM

Sukurti ir modifikuoti vartotoją

Pirmas dalykas, kurį ketiname padaryti, yra sukurti savo naują vartotoją, kurį naudosime prisijungdami prie VM:

adduser porthorian

Pastaba: rekomenduojama naudoti unikalų vartotojo vardą, kurį bus sunku atspėti. Dauguma robotų pagal nutylėjimą bandys root, admin, moderator, ir panašius.

Čia būsite paraginti įvesti slaptažodį. Jis primygtinai rekomenduojama, kad jūs naudojate tvirtą raidinis slaptažodį. Po to vykdykite ekrane pateikiamus nurodymus ir, kai jis paklaus, ar informacija teisinga, tiesiog paspauskite Y.

Kai bus pridėtas naujas vartotojas, turėsime suteikti tam vartotojui sudo leidimus, kad galėtume vykdyti vartotojo komandas root vartotojo vardu:

usermod -aG sudo porthorian

Suteikę vartotojui sudo leidimus, pereikite prie naujojo vartotojo:

su - porthorian

Sukurkite ir sukonfigūruokite SSH raktą

Norėdami sugeneruoti SSH raktą, vadovaukitės šiuo dokumentu .

Sukūrę naują SSH raktą, nukopijuokite viešąjį raktą. Tai turėtų atrodyti taip:

ssh-rsa AAAAB3NzaC1yc2EAAAABJQAAAQEAmB3uRWxAAELNJ8oGBCBmZx7S11vnAp0RG8rdKf6CLdvT7NMbKF55F8Wf0hFPewEryplaH54ibdmaTuheJVKy1lUhHnVi0AcBpkhJiiOQdEtvbYKT/eIkQl/Qm92Gz6aL3lJ0UknO4gO0LzgqI2vYX0b9LHMF+ZvApEDahLCna6RKo3/lffnANUKfExE+dVwOcJwATL3Ld5IkSatm7zBqbJAim0wj/JQ5ejzkL+aYd3YawpW3qf+WsY3HGbK2TIJt3LsiZJ3M7giZo/fVIZCJqsIOyO9NUOEx5/+KE8IniGb7gdRYgquAEJr89poDCNz/8CBODi9z3ukiE1+UnVlhfQ== rsa-key-20190408

Sukonfigūruokite savo vartotojų katalogą

Eikite į savo vartotojų namų katalogą, jei dar nesate jame:

cd $HOME

$HOMEyra jūsų vartotojų namų katalogo aplinkos kintamasis. Tai automatiškai nustatoma, kai sukuriamas naujas vartotojas.

Būdami savo namų kataloge, į jį įdėsime kitą katalogą. Šis katalogas bus paslėptas nuo kitų įrenginio naudotojų, išskyrus root ir vartotoją, kuriam priklauso katalogas. Sukurkite naują katalogą ir apribokite jo teises naudodami šias komandas:

mkdir ~/.ssh
chmod 700 ~/.ssh

Dabar atidarysime failą .sshpavadinimu authorized_keys. Tai yra universalus failas, kurio ieško OpenSSH. Jei reikia, galite pakeisti pavadinimą OpenSSH konfigūracijos viduje /etc/ssh/sshd_config.

Norėdami sukurti failą, naudokite savo mėgstamą redaktorių. Šioje pamokoje bus naudojamas nano:

nano ~/.ssh/authorized_keys

Nukopijuokite ir įklijuokite ssh raktą į authorized_keysfailą, kurį atidarėme. Kai viešasis raktas yra viduje, galite išsaugoti failą paspausdami CTRL+ O.

Įsitikinkite, kad rodomas tinkamas failo kelias:

/home/porthorian/.ssh/authorized_keys

Jei tai tinkamas failo kelias, tiesiog paspauskite ENTER, kitu atveju atlikite reikiamus pakeitimus, kad atitiktų aukščiau pateiktą pavyzdį. Tada išeikite iš failo naudodami CTRL+ X.

Dabar apribosime prieigą prie failo:

chmod 600 ~/.ssh/authorized_keys

Išeikite iš mūsų sukurto vartotojo ir grįžkite į pagrindinį vartotoją:

exit

Slaptažodžio autentifikavimo išjungimas

Dabar galime išjungti slaptažodžio autentifikavimą serveryje, todėl norint prisijungti reikės ssh rakto. Svarbu atkreipti dėmesį, kad jei išjungsite slaptažodžio autentifikavimą ir viešasis raktas buvo įdiegtas netinkamai, užblokuosite savo serverį. Prieš atsijungiant nuo root vartotojo, rekomenduojama pirmiausia išbandyti raktą.

Šiuo metu esame prisijungę prie savo root vartotojo, todėl ketiname redaguoti sshd_config:

nano /etc/ssh/sshd_config

Ieškosime 3 reikšmių, kad įsitikintume, jog OpenSSH sukonfigūruotas tinkamai.

• PasswordAuthentication
• PubkeyAuthentication
• ChallengeResponseAuthentication

Šias reikšmes galime rasti paspausdami CTRL+ W.

Reikšmės turėtų būti nustatytos taip:

PasswordAuthentication  no
ChallengeResponseAuthentication  no
PubkeyAuthentication  yes

Jei reikšmės yra komentuojamos, pašalinkite #eilutės pradžioje ir įsitikinkite, kad tų kintamųjų reikšmės yra tokios, kaip parodyta aukščiau. Kai pasikeitė tuos kintamuosius, išsaugoti ir išeiti savo redaktorių, su CTRL+ O, ENTERir pagaliau CTRL+ X.

Dabar mes ketiname įkelti iš naujo sshdnaudodami šią komandą:

systemctl reload sshd

Dabar galime išbandyti prisijungimą. Įsitikinkite, kad dar neatsijungėte nuo šakninės sesijos, atidarykite naują ssh langą ir prisijunkite naudodami ssh raktą, susietą su ryšiu.

PuTTY tai yra Connection-> SSH-> Auth.

Naršykite, kad surastumėte privatųjį autentifikavimo raktą, nes turėjote jį išsaugoti kurdami ssh raktą.

Prisijunkite prie serverio naudodami privatų raktą kaip autentifikavimą. Dabar būsite prisijungę prie virtualios mašinos „Vultr VC2“.

Pastaba: jei kurdami ssh raktą įtraukėte slaptafrazę, būsite paraginti ją įvesti. Tai visiškai skiriasi nuo tikrojo vartotojo slaptažodžio virtualioje mašinoje.

Nustatykite pagrindinę ugniasienę

Konfigūruoti UFW

Pirmiausia pradėsime diegdami UFW, jei jo dar nėra virtualioje mašinoje. Geras būdas patikrinti yra tokia komanda:

sudo ufw status

Jei įdiegtas UFW, jis išves Status:inactive. Jei jis neįdiegtas, jums bus nurodyta tai padaryti.

Galime įdiegti naudodami šią komandą:

sudo apt-get install ufw -y

Dabar 22savo užkardoje leisime SSH prievadą :

sudo ufw allow 22

Arba galite leisti OpenSSH:

sudo ufw allow OpenSSH

Veiks bet kuri iš aukščiau pateiktų komandų.

Dabar, kai leidžiame prievadą per savo užkardą, galime įjungti UFW:

sudo ufw enable

Jūsų paklaus, ar tikrai norite atlikti šią operaciją. Įvesdami ypo to, ENTERugniasienė įjungs:

porthorian@MEANStack:~$ sudo ufw enable
Command may disrupt existing ssh connections. Proceed with operation? y

Pastaba: jei neleidote OpenSSH arba 22 prievado, užblokuosite savo virtualią mašiną. Prieš įjungdami UFW įsitikinkite, kad vienas iš jų yra leidžiamas.

Kai ugniasienė bus įjungta, vis tiek būsite prisijungę prie savo egzemplioriaus. Dabar dar kartą patikrinsime užkardą ta pačia komanda kaip ir anksčiau:

sudo ufw status

Pamatysite kažką panašaus į šią išvestį:

porthorian@MEANStack:~$ sudo ufw status
Status: active

To                         Action      From
--                         ------      ----
22                         ALLOW       Anywhere
22 (v6)                    ALLOW       Anywhere (v6)

„Vultr“ ugniasienės konfigūravimas

Norėdami dar labiau apsaugoti savo serverį, naudosime Vultr ugniasienę. Prisijunkite prie savo paskyros . Prisijungę pateksite į ugniasienės skirtuką, esantį ekrano viršuje:

Dabar mes ketiname pridėti naują ugniasienės grupę. Tai leis mums nurodyti, kurie prievadai netgi gali pasiekti mūsų UFW užkardą, suteikdami mums dvigubą saugumo lygį:

„Vultr“ dabar paklaus jūsų, kaip pavadinti užkardą, naudodami lauką „Aprašymas“. Būtinai apibūdinkite, ką veiks šios ugniasienės grupės serveriai, kad ateityje būtų lengviau administruoti. Šios pamokos sumetimais mes jį pavadinsime test. Jei norite, vėliau visada galėsite pakeisti aprašymą.

Pirmiausia turėsime gauti savo IP adresą. Priežastis, kodėl tai darome tiesiogiai, yra ta, kad jei jūsų IP adresas nėra statinis ir nuolat kinta, galite tiesiog prisijungti prie savo Vultr paskyros ir pakeisti IP adresą.

Štai kodėl mes nereikalavome IP adreso UFW užkardoje. Be to, jis apriboja jūsų virtualios mašinos ugniasienės naudojimą ir nefiltruoja visų kitų prievadų, o „Vultr“ užkarda tiesiog leidžia tai tvarkyti. Tai apriboja bendro srauto filtravimo įtampą jūsų egzemplioriuje.

Norėdami rasti savo IP adresą, naudokite „ Vultr“ tinklo vaizdą .

Taigi dabar, kai turime savo IP adresą, prie naujai sukurtos ugniasienės pridėsime IPV4 taisyklę:

Įvedę IP adresą, spustelėkite +simbolį, kad pridėtumėte savo IP adresą prie ugniasienės.

Jūsų ugniasienės grupė atrodys taip:

Dabar, kai mūsų IP tinkamai susietas ugniasienės grupėje, turime susieti savo Vultr egzempliorių. Kairėje pusėje pamatysite skirtuką su užrašu „Susieti egzemplioriai“:

Atsidūrę puslapyje pamatysite išskleidžiamąjį meniu su serverio egzempliorių sąrašu:

Spustelėkite išskleidžiamąjį meniu ir pasirinkite savo egzempliorių. Tada, kai būsite pasiruošę pridėti egzempliorių prie ugniasienės grupės, spustelėkite +simbolį.

Sveikiname, sėkmingai apsaugote savo Vultr VC2 virtualią mašiną. Tai suteikia gerą pagrindą labai paprastam saugos sluoksniui, nesijaudinant, kad kas nors bandys žiauriai priverstinai priversti jūsų egzempliorių.