Sukurkite HTML 5 RDP/SSH sąsają naudodami Guacamole Ubuntu 16.04 LTS

Įvadas

Šios pamokos tikslas – atsikratyti viešųjų SSH ir viešųjų KPP jungčių. Padėję visa tai už labai patogaus HTML5 kliento, galime pridėti apsaugos sluoksnį prieigai prie debesies.

Guacamole taip pat registruoja bet kokią nuotolinę prieigą, todėl neteisėta prieiga tampa daug lengviau atsekama.

Pastaba: Norint užšifruoti (parinktis B), mums reikia domeno pavadinimo. Jei jo neturite, galite praleisti šį veiksmą ir tiesiog vykdyti A parinktį .

1 žingsnis – sistemos paruošimas

Pradėkite nuo VPS sukūrimo norimoje Vultr zonoje. 1024 MBVPS bus pakankamai, nes guacamole yra ne tai, kad reikalauja.

Privataus IP įjungimas

Pradėkite įgalindami privatų tinklą VPS. Tai gerai dokumentuotas čia

Užkardos paruošimas

Pirmiausia šiek tiek sustiprinkime vaizdą. Ir patikrinkime, ar ufwįgalintas vaizdas, kuriam buvo suteikta galimybė.

root@vultr:~# ufw status
Status: inactive

Pagal numatytuosius nustatymus jis išjungtas, todėl turėsime pridėti keletą taisyklių.

• 1 taisyklė: ssh: 22 TCP prievadas
• 2 taisyklė: http: TCP prievadas 8080 (laikina Guacamole bandymo taisyklė)

Pradėkime nuo šių prievadų konfigūravimo.

ufw allow 22/tcp
ufw allow 8080/tcp

Tada įjunkite ugniasienę.

ufw enable

Nesijaudinkite, jei gausite įspėjimą. Jei pridėjote prievadą 22, neturėsite jokių problemų.

root@vultr:~# ufw enable
Command may disrupt existing ssh connections. Proceed with operation (y|n)? y
Firewall is active and enabled on system startup

Įjungę, paprašykite ugniasienės būsenos ir pamatysime savo prievado konfigūraciją.

ufw status

Status: active

To                         Action      From
--                         ------      ----
22/tcp                     ALLOW       Anywhere
8080/tcp                   ALLOW       Anywhere
22/tcp (v6)                ALLOW       Anywhere (v6)
8080/tcp (v6)              ALLOW       Anywhere (v6)

2 žingsnis – Guacamole montavimas

Visų priklausomybių įdiegimas

Prieš pradėdami diegti, turime atnaujinti ir atnaujinti atpirkimą. Naudojant tokius paketus kaip Tomcat, kuris yra pagrįstas „Java“, yra nuolatinis aptiktų klaidų ir su jomis susijusių klaidų taisymų srautas. Paprastai gera idėja tai padaryti pirmiausia, o ne skubėti tiesiai į mūsų įrenginį.

apt-get update
apt-get -y upgrade 

Toliau – visos priklausomybės. Gvakamolė jų turi nemažai. (Visą priklausomybių sąrašą ir jų funkciją rasite čia ). Tęskime įdiegdami juos visus.

apt-get -y install build-essential tomcat8 freerdp libcairo2-dev libjpeg-turbo8-dev libpng12-dev libossp-uuid-dev libavcodec-dev libavutil-dev libfreerdp-dev libpango1.0-dev libssh2-1-dev libtelnet-dev libvorbis-dev libwebp-dev mysql-server mysql-client mysql-common mysql-utilities libswscale-dev libvncserver-dev libpulse-dev libssl-dev

Kai diegimo programa paprašys MySQL root slaptažodžio, pateikite jį ir būtinai įsidėmėkite jį. Šį slaptažodį vėliau naudosime kurdami Guacamole duomenų bazę.

Atsisiunčiama Guacamole

Dabar, kai turime visas priklausomybes, galime tęsti „Guacamole“ atsisiuntimą. Pati gvakamolė dažniausiai būna šaltinio, o ne dvejetainio pavidalo. Pirmiausia pereisime prie /tmpaplanko, kad neužgriozdintume kitų disko dalių. Tada atsisiųskite visą šaltinio kodą.

Galima atsisiųsti keturis šaltinio / dvejetainius failus:

• guacamole-0.9.13-incubating.war: Tai žiniatinklio programa. WARFailas yra suarchyvuota interneto paketas teikia vieną interneto tinklalapyje apie Tomcat svetainėje
• guacamole-server-0.9.13-incubating.tar.gz: šis failas pateiks užpakalinę guacdprogramą. Tai sukuria srautus per RDP ir SSH.
• guacamole-auth-jdbc-0.9.13-incubating.tar.gz: Mes naudosime vietinę MySQL duomenų bazę, todėl mums reikia susijusios JDBCjungties.
• mysql-connector-java-5.1.43.tar.gz: Be duomenų bazės tvarkyklės JDBC jungtis nieko nedaro. Šį failą pateikia pati MySQL komanda.

Pastaba: atsisiuntimai buvo išspręsti į artimiausią serverį .

cd /tmp
wget http://apache.belnet.be/incubator/guacamole/0.9.13-incubating/binary/guacamole-0.9.13-incubating.war
wget http://apache.cu.be/incubator/guacamole/0.9.13-incubating/source/guacamole-server-0.9.13-incubating.tar.gz
wget http://apache.cu.be/incubator/guacamole/0.9.13-incubating/binary/guacamole-auth-jdbc-0.9.13-incubating.tar.gz
wget https://dev.mysql.com/get/Downloads/Connector-J/mysql-connector-java-5.1.43.tar.gz

Atsisiuntę visus šiuos failus, ištraukite tar.gz's.

tar -xzvf guacamole-server-0.9.13-incubating.tar.gz
tar -xzvf guacamole-auth-jdbc-0.9.13-incubating.tar.gz
tar -xzvf mysql-connector-java-5.1.43.tar.gz

Gvakamolės sudarymas

Dabar, kai ištraukėme visą šaltinio kodą, sukurkime kelis guacamoleaplankus, kuriuos naudos „guacamole“ programa ir jos priklausomybės.

mkdir -p /etc/guacamole/lib
mkdir -p /etc/guacamole/extensions

Viskas paruošta mūsų naujiems Guacamole dvejetainiams failams. Dabar galime pradėti kompiliavimo ir diegimo procesą. Perkelkite į ištrauktą Guacamole Server aplanką.

cd /tmp/guacamole-server-0.9.13-incubating

Sukonfigūruokite programą, kad taip pat būtų sukurtas init.dfailas, kad vėliau būtų paleista kaip paslauga.

./configure --with-init-dir=/etc/init.d

Visose bibliotekose ir protokoluose komanda turėtų baigtis „taip“. Jei ne, grįžkite ir patikrinkite komandą apt-get, kad įsitikintumėte, jog nepraleidote jokio paketo.

------------------------------------------------
guacamole-server version 0.9.13-incubating
------------------------------------------------

   Library status:

     freerdp ............. yes
     pango ............... yes
     libavcodec .......... yes
     libavutil ........... yes
     libssh2 ............. yes
     libssl .............. yes
     libswscale .......... yes
     libtelnet ........... yes
     libVNCServer ........ yes
     libvorbis ........... yes
     libpulse ............ yes
     libwebp ............. yes

   Protocol support:

      RDP ....... yes
      SSH ....... yes
      Telnet .... yes
      VNC ....... yes

   Services / tools:

      guacd ...... yes
      guacenc .... yes

   Init scripts: /etc/init.d

Type "make" to compile guacamole-server.

Tada sukompiliuokite ir įdiekite „Gucamole“ serverį.

make && make install

Kai visa tai bus padaryta, paleiskite, ldconfigkad iš naujo sukurtumėte pridėtų bibliotekų paieškos kelią.

ldconfig

Tęskite naudodami systemctlnustatymą guacd(Guacamole Daemon), kad paleistumėte.

systemctl enable guacd

Guacamole dvejetainiai failai dabar yra įdiegti. Dabar mes paruošime žiniatinklio programą Tomcat.

Pradėkite perkeldami warfailą į guacamoleką tik sukurtą aplanką, kai tai padarysite, sukurkite loginę nuorodą tomcat kataloge, nukreipiančią į mūsų warfailą.

cd /tmp
mv guacamole-0.9.13-incubating.war /etc/guacamole/guacamole.war
ln -s /etc/guacamole/guacamole.war /var/lib/tomcat8/webapps/

Tada mums reikia mysql jungties ir JDBC. JDBC tvarkyklė reikalinga extensionsaplanke, jungtis – libaplanke.

cp mysql-connector-java-5.1.43/mysql-connector-java-5.1.43-bin.jar /etc/guacamole/lib/
cp guacamole-auth-jdbc-0.9.13-incubating/mysql/guacamole-auth-jdbc-mysql-0.9.13-incubating.jar /etc/guacamole/extensions/

„Guacamole“ ir „Tomcat“ konfigūravimas

Kai jungtis ir JDBC yra vietoje, turime redaguoti tocamt8failą. Šiame faile yra daug tomcat8nustatymų, o mūsų atveju turime pridėti GUACAMOLE_HOMEkintamąjį failo pabaigoje.

nano /etc/default/tomcat8

Pridėkite taip.

GUACAMOLE_HOME=/etc/guacamole

Duomenų bazės kūrimas

Toliau reikia sukurti duomenų bazę. „Guacamole“ savo ryšio konfigūraciją saugo duomenų bazėje, o ne faile.

Prisijunkite naudodami tą, root passwordkurį naudojote diegimo metu.

mysql -u root -p

Pirmas žingsnis yra sukurti duomenų bazę pavadinimu „guacamole_db“.

create database guacamole_db;

Tada paleiskite create userkomandą. Taip bus sukurtas vartotojas su slaptažodžiu mysupersecretpassword, šis vartotojas galės prisijungti tik iš localhost.

create user 'guacamole_user'@'localhost' identified by "mysupersecretpassword";

Suteikite CRUDšiam vartotojui duomenų bazės operacijas guacamole_db.

GRANT SELECT,INSERT,UPDATE,DELETE ON guacamole_db.* TO 'guacamole_user'@'localhost';

Nuplaukite teises ir išeikite iš apvalkalo.

flush privileges;
exit

Užbaikite įtraukdami Guacamole schemą į mūsų naujai sukurtą duomenų bazę.

cat /tmp/guacamole-auth-jdbc-0.9.13-incubating/mysql/schema/*.sql | mysql -u root -p guacamole_db

Kai tai bus padaryta, turime redaguoti guacamole.propertiesfailą. Šiame faile yra mūsų neseniai sukurta MySQL serverio konfigūracija.

nano /etc/guacamole/guacamole.properties

Pridėkite išsamią MySQL ryšio informaciją ir kredencialus.

mysql-hostname: localhost
mysql-port: 3306
mysql-database: guacamole_db
mysql-username: guacamole_user
mysql-password: mysupersecretpassword

Užbaikite sukurdami simbolinę nuorodą į tomcat bendrinimo aplanką, nes čia WARfailas ieškos šių savybių.

ln -s /etc/guacamole /usr/share/tomcat8/.guacamole

Sąrankos testavimas

Užbaikite iš naujo paleisdami tomcat8serverį ir paleiskite guacdserverio demoną.

service tomcat8 restart
service guacd start

Galite patikrinti naudodami būsenos komandą.

service tomcat8 status
service guacd status

Dabar galite naršyti prie savo VPS prievade 8080

http://<yourpublicip>:8080/guacamole/

Naudokite vartotojo vardą guacadminir tą patį slaptažodį guacadmin. Tai suteiks jums prieigą prie tuščio Guacamole serverio.

Click in the top right corner on your username guacadmin and select Settings. Once you are in the settings page go to the Users tab and select the user guacadmin.

Now change your password to something else or create a new admin user and delete the default guacadmin one.

Step 3 - Fine tuning and cleanup

These are the final steps: cleaning up after you are done.

Delete the downloaded source code and binaries from the /tmp folder.

rm -rf /tmp/guacamole-*
rm -rf /tmp/mysql-connector-java-*

Also, make the Guacamole web application the default one. In the tomcat ecosystem the application that gets the ROOT folder is the one that is started by default when you access the website.

Delete the old ROOT placeholder.

rm -rf /var/lib/tomcat8/webapps/ROOT

And make a symbolic link for the guacamole server to be the ROOT one.

ln -s /var/lib/tomcat8/webapps/guacamole /var/lib/tomcat8/webapps/ROOT

This requires a tomcat restart.

service tomcat8 restart

Step 4 (option A) - Running on HTTP only

• If you are not going to use Let's Encrypt certificates and not use a DNS, execute the actions in this step and afterwards go directly to Step 6. - Option A
• If you want to create a more secure site and you have a DNS ready, you can skip this and go straight to option B (Step 5).

Edit the tomcat8/server.xml file and change the connector port.

nano /etc/tomcat8/server.xml

Search for the Connector port.

<Connector port="8080" protocol="HTTP/1.1"
           connectionTimeout="20000"
           URIEncoding="UTF-8"
           redirectPort="8443" />

And replace 8080 with 80.

By default, tomcat doesn't allow the binding of ports below 1024. To enable this we need to tell tomcat8 to create authenticated binds.

Edit the default file of tomcat8 and uncomment the AUTHBIND line and use the option yes

nano /etc/default/tomcat8

AUTHBIND=yes

Once this is done, intall authbind.

apt-get install authbind

Configure it so that port 80 can be claimed by tomcat8.

touch /etc/authbind/byport/80
chmod 500 /etc/authbind/byport/80
chown tomcat8 /etc/authbind/byport/80

Allow port 80 through the firewall and delete the rule for 8080.

ufw allow 80/tcp
ufw delete allow 8080/tcp

Restart tomcat.

service tomcat8 restart

That's it, now Guacamole should be running on port 80.

Step 5 (option B) - Setting up Nginx

Installation and configuration of Nginx

Tomcat really isn't one of the best and most robust applications to use with certbot. Luckily Nginx is. We will just to proxy tomcat to Nginx. It uses the out-of-the-box functionality of certbot at the cost of sacrificing a little bit of RAM.

apt-get install nginx

Once installed, edit the default configuration.

nano /etc/nginx/sites-available/default

Delete all example configurations and add the following configuration.

server {      
  listen 0.0.0.0:80;

  proxy_request_buffering off;
  proxy_buffering off;

  location / {
     proxy_pass http://127.0.0.1:8080;
     proxy_redirect     off;
        proxy_set_header   Host $host;
        proxy_set_header   X-Real-IP $remote_addr;
        proxy_set_header   X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_set_header   X-Forwarded-Host $server_name;
  }
}

This will create a proxy for the website running at 8080. Restart Nginx, and enable it at boot.

systemctl restart nginx
systemctl enable nginx

Check if everything is working.

systemctl status nginx

Išjunkite testavimo prievadą 8080ir leiskite srautą prievade 80.

ufw allow 80/tcp
ufw delete allow 8080/tcp

„Let's Encrypt“ diegimas

Kad galėtume naudoti certbot, turime pridėti teisingą ppasistemą, kurioje yra mūsų certbot paketai.

add-apt-repository ppa:certbot/certbot

Paspauskite " ENTER", kad priimtumėte konfigūracijos pakeitimą.

Atnaujinkite, aptkad surinktumėte naujus paketus.

apt-get update

Galiausiai įdiekite Nginx modulį sertifikatams priskirti.

apt-get -y install python-certbot-nginx

Sukonfigūruokite Nginx naudoti sertifikatus

Sukonfigūruokite ugniasienę, kad leistų HTTPS.

ufw allow 443/tcp

Kad galėtume prašyti naujų sertifikatų, mums reikia DNS pavadinimo.

nano /etc/nginx/sites-available/default

Pridėkite šį server_namenustatymą.

server_name rdp.example.com;

Pakeiskite konfigūraciją, kad ji atspindėtų šį naują nustatymą.

server {
  server_name rdp.example.com;

  listen 0.0.0.0:80;

  proxy_request_buffering off;
  proxy_buffering off;

  location / {
     proxy_pass http://127.0.0.1:8080;
     proxy_redirect     off;
        proxy_set_header   Host $host;
        proxy_set_header   X-Real-IP $remote_addr;
        proxy_set_header   X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_set_header   X-Forwarded-Host $server_name;
  }
}

Patikrinkite, ar viskas veikia, ir iš naujo paleiskite „Nginx“.

nginx -t
service nginx restart

Dabar paprašykite sertifikato naudodami certbot.

certbot --nginx -d rdp.example.com

Pateikite savo el. pašto adresą ir sutikite su montuotojo užduodamais klausimais. (Jei Nonorite bendrinti el. paštą, galite saugiai pasirinkti " ".) Certbot automatiškai paklaus, ką jis turi daryti su HTTPS. Naudosime 2 variantą: redirect to HTTPS.

Please choose whether or not to redirect HTTP traffic to HTTPS, removing HTTP access.
-------------------------------------------------------------------------------
1: No redirect - Make no further changes to the webserver configuration.
2: Redirect - Make all requests redirect to secure HTTPS access. Choose this for
new sites, or if you're confident your site works on HTTPS. You can undo this
change by editing your web server's configuration.
-------------------------------------------------------------------------------
Select the appropriate number [1-2] then [enter] (press 'c' to cancel): 2

Paskutinis dalykas, kurį darysime, yra DHparametrų atnaujinimas . Pagal numatytuosius nustatymus jie yra šiek tiek silpni 2017 m. standartams.

Sukurkite keletą naujų.

openssl dhparam -out /etc/ssl/certs/dhparam.pem 2048

Tada pridėkite juos prie numatytosios „Nginx“ svetainės.

nano /etc/nginx/sites-available/default

Pridėkite juos prie serverio konfigūracijos.

server {
  server_name rdp.example.com;

  listen 0.0.0.0:80;
  ssl_dhparam /etc/ssl/certs/dhparam.pem;

  proxy_request_buffering off;
  proxy_buffering off;

  location / {
     proxy_pass http://127.0.0.1:8080;
     proxy_redirect     off;
        proxy_set_header   Host $host;
        proxy_set_header   X-Real-IP $remote_addr;
        proxy_set_header   X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_set_header   X-Forwarded-Host $server_name;
  }
}

Patikrinkite, ar nėra klaidų.

nginx -t

Taikykite pakeitimus iš naujo paleisdami serverį.

service nginx restart

Išvalykite seną 8080taisyklę

ufw delete allow 8080/tcp

Pastaba: jei turėtumėte gauti „502 Bad Gateway“, turėsite iš naujo paleisti „tomcat8“ .

service tomcat8 restart

Automatinis sertifikatų atnaujinimas

„Encrypt“ sertifikatus reikia atnaujinti. Tam galime sukurti cron darbą. Pradėkite redaguodami crontab.

crontab -e

Pridėkite šią eilutę.

00 2 * * * /usr/bin/certbot renew --quiet

2:00 val. bus patikrinta, ar sertifikatus reikia atnaujinti, ir atnaujins, jei reikės.

6 veiksmas – išbandykite viską

Eikite į savo Guacamole serverį ( http://<ip>/arba https://rdp.example.com)).

Šiam bandymui atlikti reikės dar dviejų egzempliorių: vienos Linux VM ir kitos Windows Server 2012 R2 su abiejuose įjungtu privačiu IP.

Pridedamas „Windows“ RDP ryšys

Spustelėkite „ username“ viršutiniame dešiniajame kampe ir eikite į „ Settings“. Tada eikite į „ Connections“ ir pasirinkite „ New Connection“.

Užpildykite šiuos nustatymus (kitus galite palikti numatytuosius).

Name: Windows Server 2012 R2
Location: ROOT
Protocol: RDP
Maximum number of connections: 1
Maximum number of connections per user: 1
Parameters > Hostname: 10.99.0.12
Parameters > Port: 3389
Username: Administrator
Password: <password> (provided by Vultr)
Security mode: Any
Ignore server certificate: <checked>

Paspauskite " save" ir grįžkite į pagrindinį ekraną. Dabar galite spustelėti „ Windows Server 2012 R2“ ryšį ir jis bus KPP prie šio įrenginio.

Pridedamas Linux SSH ryšys

Paspauskite " Ctrl+Shift+Alt". Tai iššoks meniu šone. Čia galite atsijungti arba atlikti kitas Guacamole administracines užduotis.

Spustelėkite usernamemeniu viršuje ir eikite į „ Settings“. Tada eikite į Connectionsskirtuką " " ir pasirinkite " New Connection".

Užpildykite šiuos nustatymus (kitus galite palikti numatytuosius).

Name: Linux
Location: ROOT
Protocol: SSH
Maximum number of connections: 5
Maximum number of connections per user: 2
Parameters > Hostname: 10.99.0.11
Parameters > Port: 22
Username: root
Password: <password> (provided by Vultr)

Paspauskite " save" ir grįžkite į pagrindinį ekraną. Dabar galite spustelėti šį naujai sukurtą ryšį ir prisijungti prie „Linux“ serverio per SSH.

Išvada

Dabar turite žiniatinklio RDP / SSH HTML5 šliuzą. Dabar galite užkardyti viešąją savo platformos KPP ir SSH prieigą ir pasiekti aplinką iš bet kurios modernios naršyklės. Daugiau informacijos apie tai, ką guacamole gali pasiūlyti, yra puikus video parodyta visa platformos possiblities čia .