Izveidojiet HTML 5 RDP/SSH priekšgalu, izmantojot Guacamole operētājsistēmā Ubuntu 16.04 LTS

Ievads

Šīs apmācības mērķis ir atbrīvoties no publiskajiem SSH un publiskajiem LAP savienojumiem. Novietojot to aiz ļoti ērta HTML5 klienta, mēs varam pievienot drošības līmeni, lai piekļūtu mūsu mākonim.

Guacamole arī reģistrē jebkuru attālo piekļuvi, tāpēc nesankcionēta piekļuve kļūst daudz izsekojamāka.

Piezīme. Lai šifrētu (opcija B), mums ir nepieciešams domēna nosaukums. Ja jums tādas nav, varat izlaist šo darbību un vienkārši izpildīt opciju A .

1. solis – sistēmas sagatavošana

Sāciet, izveidojot VPS vēlamajā Vultr zonā. 1024 MBVPS būs pietiekami, jo Guacamole nav tik stingras.

Privātā IP iespējošana

Sāciet, iespējojot privāto tīklu VPS. Tas ir labi dokumentēta šeit

Ugunsmūra sagatavošana

Vispirms nedaudz sacietēsim attēlu. Un pārbaudīsim, vai nodrošinātais attēls ir ufwiespējots.

root@vultr:~# ufw status
Status: inactive

Pēc noklusējuma tas ir atspējots, tāpēc mums būs jāpievieno daži noteikumi.

• 1. noteikums: ssh: TCP 22. ports
• 2. noteikums: http: TCP ports 8080 (pagaidu Gvakamoles testēšanas noteikums)

Sāksim ar šo portu konfigurēšanu.

ufw allow 22/tcp
ufw allow 8080/tcp

Pēc tam iespējojiet ugunsmūri.

ufw enable

Neuztraucieties, ja saņemat brīdinājumu. Ja pievienojāt portu 22, jums nebūs nekādu problēmu.

root@vultr:~# ufw enable
Command may disrupt existing ssh connections. Proceed with operation (y|n)? y
Firewall is active and enabled on system startup

Kad tas ir iespējots, pieprasiet ugunsmūra statusu, un mēs redzēsim mūsu porta konfigurāciju.

ufw status

Status: active

To                         Action      From
--                         ------      ----
22/tcp                     ALLOW       Anywhere
8080/tcp                   ALLOW       Anywhere
22/tcp (v6)                ALLOW       Anywhere (v6)
8080/tcp (v6)              ALLOW       Anywhere (v6)

2. darbība – Guacamole uzstādīšana

Visu atkarību instalēšana

Pirms sākam instalēšanu, mums ir jāatjaunina un jājaunina repo. Izmantojot tādas pakotnes kā Tomcat, kuras pamatā ir Java, pastāv pastāvīga atklāto kļūdu un ar tām saistīto kļūdu labojumu plūsma. Parasti ieteicams to izdarīt vispirms, nevis steigties tieši mūsu instalācijā.

apt-get update
apt-get -y upgrade 

Nākamais ir visas atkarības. Guacamole ir diezgan maz no tiem. (Pilnu atkarību sarakstu un to funkciju var atrast šeit ). Turpināsim, instalējot tos visus.

apt-get -y install build-essential tomcat8 freerdp libcairo2-dev libjpeg-turbo8-dev libpng12-dev libossp-uuid-dev libavcodec-dev libavutil-dev libfreerdp-dev libpango1.0-dev libssh2-1-dev libtelnet-dev libvorbis-dev libwebp-dev mysql-server mysql-client mysql-common mysql-utilities libswscale-dev libvncserver-dev libpulse-dev libssl-dev

Kad instalētājs pieprasa MySQL root paroli, norādiet to un noteikti ņemiet to vērā. Mēs izmantosim šo paroli vēlāk, lai izveidotu Guacamole datubāzi.

Notiek Guacamole lejupielāde

Tagad, kad mums ir visas mūsu atkarības, mēs varam turpināt Guacamole lejupielādi. Pati gvakamole galvenokārt nāk avota formā, nevis binārā formā. Vispirms mēs pāriesim uz /tmpmapi, lai nepārblīvētu citas diska daļas. Pēc tam lejupielādējiet visu avota kodu.

Lejupielādējami ir četri avota/binārie faili:

• guacamole-0.9.13-incubating.war: šī ir tīmekļa lietojumprogramma. WARFails ir saspiests web paketi, kas nodrošina vienotu mājas lapā izvietoti uz Tomcat mājas lapā
• guacamole-server-0.9.13-incubating.tar.gz: šis fails nodrošinās aizmugurprogrammu guacd. Tādējādi tiek izveidotas straumes, izmantojot RDP un SSH.
• guacamole-auth-jdbc-0.9.13-incubating.tar.gz: Mēs izmantosim vietējo MySQL datu bāzi, tāpēc mums ir nepieciešams saistītais JDBCsavienotājs.
• mysql-connector-java-5.1.43.tar.gz: bez datu bāzes draivera JDBC savienotājs neko nedara. Šo failu nodrošina pati MySQL komanda.

Piezīme: lejupielādes tika atrisinātas tuvākajā serverī .

cd /tmp
wget http://apache.belnet.be/incubator/guacamole/0.9.13-incubating/binary/guacamole-0.9.13-incubating.war
wget http://apache.cu.be/incubator/guacamole/0.9.13-incubating/source/guacamole-server-0.9.13-incubating.tar.gz
wget http://apache.cu.be/incubator/guacamole/0.9.13-incubating/binary/guacamole-auth-jdbc-0.9.13-incubating.tar.gz
wget https://dev.mysql.com/get/Downloads/Connector-J/mysql-connector-java-5.1.43.tar.gz

Kad visi šie faili ir lejupielādēti, izņemiet tar.gz's.

tar -xzvf guacamole-server-0.9.13-incubating.tar.gz
tar -xzvf guacamole-auth-jdbc-0.9.13-incubating.tar.gz
tar -xzvf mysql-connector-java-5.1.43.tar.gz

Guacamole apkopošana

Tagad, kad esam izvilkuši visu avota kodu, izveidosim dažas guacamolemapes, kuras izmantos lietojumprogramma guacamole un tās atkarības.

mkdir -p /etc/guacamole/lib
mkdir -p /etc/guacamole/extensions

Viss ir gatavs mūsu jaunajiem Guacamole binārajiem failiem. Tagad mēs varam sākt kompilācijas un instalēšanas procesu. Pārejiet uz izvilkto Guacamole Server mapi.

cd /tmp/guacamole-server-0.9.13-incubating

Konfigurējiet lietojumprogrammu, lai arī izveidotu init.dfailu, lai vēlāk to palaistu kā pakalpojumu.

./configure --with-init-dir=/etc/init.d

Komandai jābeidzas ar “jā” visās bibliotēkās un protokolos. Ja nē, atgriezieties un pārbaudiet komandu apt-get, lai pārliecinātos, ka neesat palaidis garām nevienu pakotni.

------------------------------------------------
guacamole-server version 0.9.13-incubating
------------------------------------------------

   Library status:

     freerdp ............. yes
     pango ............... yes
     libavcodec .......... yes
     libavutil ........... yes
     libssh2 ............. yes
     libssl .............. yes
     libswscale .......... yes
     libtelnet ........... yes
     libVNCServer ........ yes
     libvorbis ........... yes
     libpulse ............ yes
     libwebp ............. yes

   Protocol support:

      RDP ....... yes
      SSH ....... yes
      Telnet .... yes
      VNC ....... yes

   Services / tools:

      guacd ...... yes
      guacenc .... yes

   Init scripts: /etc/init.d

Type "make" to compile guacamole-server.

Tālāk kompilējiet un instalējiet Gucamole serveri.

make && make install

Kad tas viss ir izdarīts, palaidiet, ldconfiglai atjaunotu pievienoto bibliotēku meklēšanas ceļu.

ldconfig

Turpiniet, izmantojot, systemctllai iestatītu guacd(Guacamole Daemon), lai sāktu sāknēšanu.

systemctl enable guacd

Tagad ir instalēti Guacamole binārie faili. Tagad mēs sagatavosim tīmekļa lietojumprogrammu Tomcat.

Sāciet, pārvietojot warfailu uz guacamoletikko izveidoto mapi. Kad tas ir izdarīts, izveidojiet loģisku saiti runču direktorijā, lai norādītu uz mūsu warfailu.

cd /tmp
mv guacamole-0.9.13-incubating.war /etc/guacamole/guacamole.war
ln -s /etc/guacamole/guacamole.war /var/lib/tomcat8/webapps/

Tad mums ir nepieciešams mysql savienotājs un JDBC. extensionsMapē ir nepieciešams JDBC draiveris, mapē - savienotājs lib.

cp mysql-connector-java-5.1.43/mysql-connector-java-5.1.43-bin.jar /etc/guacamole/lib/
cp guacamole-auth-jdbc-0.9.13-incubating/mysql/guacamole-auth-jdbc-mysql-0.9.13-incubating.jar /etc/guacamole/extensions/

Guacamole un Tomcat konfigurēšana

Kad savienotājs un JDBC ir ievietoti, mums ir jārediģē tocamt8fails. Šajā failā ir daudz tomcat8iestatījumu, un mūsu gadījumā mums ir jāpievieno GUACAMOLE_HOMEmainīgais faila beigās.

nano /etc/default/tomcat8

Pievienojiet tālāk norādīto.

GUACAMOLE_HOME=/etc/guacamole

Datu bāzes izveide

Nākamais ir datu bāzes izveide. Guacamole savienojuma konfigurāciju saglabā datu bāzē, nevis failā.

Piesakieties ar to, root passwordko izmantojāt instalēšanas laikā.

mysql -u root -p

Pirmais solis ir izveidot datubāzi ar nosaukumu "guacamole_db".

create database guacamole_db;

Pēc tam palaidiet create userkomandu. Tādējādi tiks izveidots lietotājs ar paroli mysupersecretpassword, šis lietotājs varēs izveidot savienojumu tikai no localhost.

create user 'guacamole_user'@'localhost' identified by "mysupersecretpassword";

Piešķiriet CRUDšim lietotājam datubāzes darbības guacamole_db.

GRANT SELECT,INSERT,UPDATE,DELETE ON guacamole_db.* TO 'guacamole_user'@'localhost';

Izskalojiet privilēģijas un izejiet no čaulas.

flush privileges;
exit

Pabeidziet, pievienojot Guacamole shēmu mūsu jaunizveidotajai datubāzei.

cat /tmp/guacamole-auth-jdbc-0.9.13-incubating/mysql/schema/*.sql | mysql -u root -p guacamole_db

Kad tas ir izdarīts, mums ir jārediģē guacamole.propertiesfails. Šis fails satur mūsu nesen izveidoto MySQL servera konfigurāciju.

nano /etc/guacamole/guacamole.properties

Pievienojiet MySQL savienojuma informāciju un akreditācijas datus.

mysql-hostname: localhost
mysql-port: 3306
mysql-database: guacamole_db
mysql-username: guacamole_user
mysql-password: mysupersecretpassword

Pabeidziet, izveidojot simbolisku saiti uz runču koplietošanas mapi, jo šeit WARfails meklēs šos rekvizītus.

ln -s /etc/guacamole /usr/share/tomcat8/.guacamole

Iestatījuma pārbaude

Pabeidziet, restartējot tomcat8serveri un startējot guacdservera dēmonu.

service tomcat8 restart
service guacd start

To var pārbaudīt, izmantojot statusa komandu.

service tomcat8 status
service guacd status

Tagad varat pārlūkot savu VPS portā 8080

http://<yourpublicip>:8080/guacamole/

Izmantojiet lietotājvārdu guacadminun to pašu paroli guacadmin. Tas jums piešķirs piekļuvi tukšam Guacamole serverim.

Augšējā labajā stūrī noklikšķiniet uz sava lietotājvārda guacadminun atlasiet Settings. Kad esat iestatījumu lapā, dodieties uz Userscilni un atlasiet lietotāju guacadmin.

Tagad mainiet savu paroli uz kaut ko citu vai izveidojiet jaunu administratora lietotāju un izdzēsiet noklusējuma paroli guacadmin.

3. darbība. Precīza regulēšana un tīrīšana

Šīs ir pēdējās darbības: sakopšana pēc tam, kad esat pabeidzis.

Izdzēsiet no /tmpmapes lejupielādēto avota kodu un bināros failus .

rm -rf /tmp/guacamole-*
rm -rf /tmp/mysql-connector-java-*

Iestatiet arī Guacamole tīmekļa lietojumprogrammu par noklusējuma lietojumprogrammu. Runču ekosistēmā lietojumprogramma, kas iegūst ROOTmapi, ir tā, kas tiek palaista pēc noklusējuma, kad piekļūstat vietnei.

Dzēst veco ROOTvietturi.

rm -rf /var/lib/tomcat8/webapps/ROOT

Un izveidojiet simbolisku saiti, lai guacamole serveris būtu īstais ROOT.

ln -s /var/lib/tomcat8/webapps/guacamole /var/lib/tomcat8/webapps/ROOT

Tas prasa runču restartēšanu.

service tomcat8 restart

Step 4 (option A) - Running on HTTP only

• If you are not going to use Let's Encrypt certificates and not use a DNS, execute the actions in this step and afterwards go directly to Step 6. - Option A
• If you want to create a more secure site and you have a DNS ready, you can skip this and go straight to option B (Step 5).

Edit the tomcat8/server.xml file and change the connector port.

nano /etc/tomcat8/server.xml

Search for the Connector port.

<Connector port="8080" protocol="HTTP/1.1"
           connectionTimeout="20000"
           URIEncoding="UTF-8"
           redirectPort="8443" />

And replace 8080 with 80.

By default, tomcat doesn't allow the binding of ports below 1024. To enable this we need to tell tomcat8 to create authenticated binds.

Edit the default file of tomcat8 and uncomment the AUTHBIND line and use the option yes

nano /etc/default/tomcat8

AUTHBIND=yes

Once this is done, intall authbind.

apt-get install authbind

Konfigurējiet to tā, lai portu 80varētu pieprasīt tomcat8.

touch /etc/authbind/byport/80
chmod 500 /etc/authbind/byport/80
chown tomcat8 /etc/authbind/byport/80

Atļaujiet portu 80caur ugunsmūri un izdzēsiet kārtulu 8080.

ufw allow 80/tcp
ufw delete allow 8080/tcp

Restartējiet runci.

service tomcat8 restart

Tas arī viss, tagad Guacamole vajadzētu darboties portā 80.

5. darbība (opcija B) — Nginx iestatīšana

Nginx instalēšana un konfigurēšana

Tomcat patiešām nav viena no labākajām un stabilākajām lietojumprogrammām, ko izmantot kopā ar certbot. Par laimi Nginx ir. Mēs tikai nosūtīsim runci uz Nginx. Tas izmanto certbot gatavu funkcionalitāti, upurējot nedaudz RAM.

apt-get install nginx

Pēc instalēšanas rediģējiet noklusējuma konfigurāciju.

nano /etc/nginx/sites-available/default

Dzēsiet visas konfigurācijas piemērus un pievienojiet tālāk norādīto konfigurāciju.

server {      
  listen 0.0.0.0:80;

  proxy_request_buffering off;
  proxy_buffering off;

  location / {
     proxy_pass http://127.0.0.1:8080;
     proxy_redirect     off;
        proxy_set_header   Host $host;
        proxy_set_header   X-Real-IP $remote_addr;
        proxy_set_header   X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_set_header   X-Forwarded-Host $server_name;
  }
}

Tādējādi tiks izveidots starpniekserveris vietnei, kas darbojas 8080. Restartējiet Nginx un iespējojiet to sāknēšanas laikā.

systemctl restart nginx
systemctl enable nginx

Pārbaudiet, vai viss darbojas.

systemctl status nginx

Atspējojiet testēšanas portu 8080un atļaujiet trafiku portā 80.

ufw allow 80/tcp
ufw delete allow 8080/tcp

Let's Encrypt instalēšana

Lai varētu izmantot certbot, mums ir jāpievieno pareizais ppasistēmai, kurā ir mūsu certbot pakotnes.

add-apt-repository ppa:certbot/certbot

Nospiediet " ENTER", lai apstiprinātu konfigurācijas izmaiņas.

Atjauniniet, aptlai apkopotu jaunās pakotnes.

apt-get update

Visbeidzot, instalējiet Nginx moduli sertifikātu piešķiršanai.

apt-get -y install python-certbot-nginx

Konfigurējiet Nginx, lai izmantotu sertifikātus

Konfigurējiet ugunsmūri, lai atļautu HTTPS.

ufw allow 443/tcp

Lai mēs varētu pieprasīt jaunus sertifikātus, mums ir nepieciešams DNS nosaukums.

nano /etc/nginx/sites-available/default

Pievienojiet šādu server_nameiestatījumu.

server_name rdp.example.com;

Mainiet konfigurāciju, lai atspoguļotu šo jauno iestatījumu.

server {
  server_name rdp.example.com;

  listen 0.0.0.0:80;

  proxy_request_buffering off;
  proxy_buffering off;

  location / {
     proxy_pass http://127.0.0.1:8080;
     proxy_redirect     off;
        proxy_set_header   Host $host;
        proxy_set_header   X-Real-IP $remote_addr;
        proxy_set_header   X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_set_header   X-Forwarded-Host $server_name;
  }
}

Pārbaudiet, vai viss darbojas, un restartējiet Nginx.

nginx -t
service nginx restart

Tagad pieprasiet sertifikātu, izmantojot certbot.

certbot --nginx -d rdp.example.com

Norādiet savu e-pastu un piekrītiet uzstādītāja uzdotajiem jautājumiem. (Varat droši izvēlēties " No", lai kopīgotu savu e-pastu.) Certbot automātiski jautās, kas tam ir jādara ar HTTPS. Mēs izmantosim 2. iespēju: redirect to HTTPS.

Please choose whether or not to redirect HTTP traffic to HTTPS, removing HTTP access.
-------------------------------------------------------------------------------
1: No redirect - Make no further changes to the webserver configuration.
2: Redirect - Make all requests redirect to secure HTTPS access. Choose this for
new sites, or if you're confident your site works on HTTPS. You can undo this
change by editing your web server's configuration.
-------------------------------------------------------------------------------
Select the appropriate number [1-2] then [enter] (press 'c' to cancel): 2

Pēdējā lieta, ko mēs darīsim, ir DHparametru atjaunināšana . Tie pēc noklusējuma ir nedaudz vāji 2017. gada standartiem.

Izveidojiet dažus jaunus.

openssl dhparam -out /etc/ssl/certs/dhparam.pem 2048

Pēc tam pievienojiet tos noklusējuma vietnei Nginx.

nano /etc/nginx/sites-available/default

Pievienojiet tos servera konfigurācijai.

server {
  server_name rdp.example.com;

  listen 0.0.0.0:80;
  ssl_dhparam /etc/ssl/certs/dhparam.pem;

  proxy_request_buffering off;
  proxy_buffering off;

  location / {
     proxy_pass http://127.0.0.1:8080;
     proxy_redirect     off;
        proxy_set_header   Host $host;
        proxy_set_header   X-Real-IP $remote_addr;
        proxy_set_header   X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_set_header   X-Forwarded-Host $server_name;
  }
}

Pārbaudiet, vai nav kļūdu.

nginx -t

Lietojiet izmaiņas, restartējot serveri.

service nginx restart

Iztīriet veco 8080noteikumu

ufw delete allow 8080/tcp

Piezīme: ja jums vajadzētu saņemt "502 Bad Gateway", jums būs jārestartē tomcat8 .

service tomcat8 restart

Sertifikātu automātiska atjaunošana

Let's Encrypt sertifikāti ir jāatjauno. Šim nolūkam mēs varam izveidot cron darbu. Sāciet, rediģējot crontab.

crontab -e

Pievienojiet šādu rindu.

00 2 * * * /usr/bin/certbot renew --quiet

02:00 tiks pārbaudīts, vai kādi sertifikāti ir jāatjauno, un tie tiks atjaunoti, ja nepieciešams.

6. darbība. Visu pārbaudiet

Dodieties uz savu guacamole serveri (vai nu http://<ip>/, vai https://rdp.example.com)).

Šim testam jums būs nepieciešami vēl divi gadījumi: viena Linux virtuālā mašīna un cita Windows Server 2012 R2 ar iespējotu privāto IP abos.

Windows RDP savienojuma pievienošana

Noklikšķiniet uz " username" augšējā labajā stūrī un dodieties uz " Settings". Pēc tam dodieties uz " Connections" un atlasiet " New Connection".

Aizpildiet šādus iestatījumus (pārējos varat atstāt noklusētos).

Name: Windows Server 2012 R2
Location: ROOT
Protocol: RDP
Maximum number of connections: 1
Maximum number of connections per user: 1
Parameters > Hostname: 10.99.0.12
Parameters > Port: 3389
Username: Administrator
Password: <password> (provided by Vultr)
Security mode: Any
Ignore server certificate: <checked>

Nospiediet " save" un atgriezieties sākuma ekrānā. Tagad varat noklikšķināt uz " Windows Server 2012 R2" savienojuma, un tas tiks nosūtīts uz šo iekārtu.

Linux SSH savienojuma pievienošana

Nospiediet " Ctrl+Shift+Alt". Tas parādīs izvēlni sānos. Šeit varat atvienot vai veikt citus administratīvos uzdevumus Guacamole.

Noklikšķiniet usernameuz izvēlnes augšpusē un dodieties uz " Settings". Pēc tam dodieties uz Connectionscilni " " un atlasiet " New Connection".

Aizpildiet šādus iestatījumus (pārējos varat atstāt noklusētos).

Name: Linux
Location: ROOT
Protocol: SSH
Maximum number of connections: 5
Maximum number of connections per user: 2
Parameters > Hostname: 10.99.0.11
Parameters > Port: 22
Username: root
Password: <password> (provided by Vultr)

Nospiediet " save" un atgriezieties sākuma ekrānā. Tagad varat noklikšķināt uz šī jaunizveidotā savienojuma un izveidot savienojumu ar savu Linux serveri, izmantojot SSH.

Secinājums

Tagad jums ir tīmekļa RDP/SSH HTML5 vārteja. Tagad varat izmantot ugunsmūri savas platformas publiskajai RDP un SSH piekļuvei un piekļūt savai videi no jebkura moderna pārlūka. Lai iegūtu plašāku informāciju par to, Guacamole var piedāvāt, ir lielisks video parāda visu possiblities no platformas šeit .