Sākotnējā Ubuntu 18.04 drošā servera konfigurācija

Ievads

Šajā apmācībā jūs uzzināsit, kā konfigurēt pamata drošības līmeni pavisam jaunā Vultr VC2 virtuālajā mašīnā, kurā darbojas Ubuntu 18.04.

Priekšnoteikumi

• Vultr kontu varat izveidot šeit
• Jauns Ubuntu 18.04 Vultr VM

Izveidot un modificēt lietotāju

Pirmā lieta, ko mēs darīsim, ir izveidot jaunu lietotāju, ko izmantosim, lai pieteiktos virtuālajā mašīnā:

adduser porthorian

Piezīme. Ieteicams izmantot unikālu lietotājvārdu, kuru būs grūti uzminēt. Lielākā daļa robotu pēc noklusējuma mēģinās root, admin, moderator, un līdzīgus.

Šeit jums tiks prasīts ievadīt paroli. Ir ļoti ieteicams izmantot spēcīgu burtciparu paroli. Pēc tam izpildiet ekrānā redzamos norādījumus un, kad tas jautā, vai informācija ir pareiza, vienkārši nospiediet Y.

Kad šis jaunais lietotājs ir pievienots, mums būs jāpiešķir šim lietotājam sudo atļaujas, lai mēs varētu izpildīt komandas no lietotāja saknes lietotāja vārdā:

usermod -aG sudo porthorian

Kad esat piešķīris lietotājam sudo atļaujas, pārslēdzieties uz jauno lietotāju:

su - porthorian

Ģenerējiet un konfigurējiet SSH atslēgu

Lai ģenerētu SSH atslēgu, lūdzu, izpildiet šo dokumentu .

Kad esat ģenerējis jauno SSH atslēgu, kopējiet savu publisko atslēgu. Tam vajadzētu izskatīties šādi:

ssh-rsa AAAAB3NzaC1yc2EAAAABJQAAAQEAmB3uRWxAAELNJ8oGBCBmZx7S11vnAp0RG8rdKf6CLdvT7NMbKF55F8Wf0hFPewEryplaH54ibdmaTuheJVKy1lUhHnVi0AcBpkhJiiOQdEtvbYKT/eIkQl/Qm92Gz6aL3lJ0UknO4gO0LzgqI2vYX0b9LHMF+ZvApEDahLCna6RKo3/lffnANUKfExE+dVwOcJwATL3Ld5IkSatm7zBqbJAim0wj/JQ5ejzkL+aYd3YawpW3qf+WsY3HGbK2TIJt3LsiZJ3M7giZo/fVIZCJqsIOyO9NUOEx5/+KE8IniGb7gdRYgquAEJr89poDCNz/8CBODi9z3ukiE1+UnVlhfQ== rsa-key-20190408

Konfigurējiet savu lietotāju direktoriju

Pārejiet uz savu lietotāju mājas direktoriju, ja vēl neesat tajā:

cd $HOME

$HOMEir vides mainīgais jūsu lietotāju mājas direktorijam. Tas tiek automātiski iestatīts, kad tiek izveidots jauns lietotājs.

Atrodoties mūsu mājas direktorijā, mēs tajā ievietosim citu direktoriju. Šis direktorijs tiks paslēpts no citiem datora lietotājiem, izņemot root un lietotāju, kuram šis direktorijs pieder. Izveidojiet jauno direktoriju un ierobežojiet tā atļaujas, izmantojot šādas komandas:

mkdir ~/.ssh
chmod 700 ~/.ssh

Tagad mēs atvērsim failu ar .sshnosaukumu authorized_keys. Šis ir universālais fails, ko meklē OpenSSH. Ja nepieciešams, varat mainīt tā nosaukumu OpenSSH konfigurācijā /etc/ssh/sshd_config.

Izmantojiet savu iecienītāko redaktoru, lai izveidotu failu. Šajā apmācībā tiks izmantots nano:

nano ~/.ssh/authorized_keys

Kopējiet un ielīmējiet savu ssh atslēgu authorized_keysfailā, kuru esam atvēruši. Kad publiskā atslēga ir iekšā, varat saglabāt failu, nospiežot CTRL+ O.

Pārliecinieties, vai tiek parādīts atbilstošais faila ceļš:

/home/porthorian/.ssh/authorized_keys

Ja tas ir pareizais faila ceļš, vienkārši nospiediet ENTER, pretējā gadījumā veiciet nepieciešamās izmaiņas, lai tās atbilstu iepriekš minētajam piemēram. Pēc tam izejiet no faila ar CTRL+ X.

Tagad mēs ierobežosim piekļuvi failam:

chmod 600 ~/.ssh/authorized_keys

Izejiet no mūsu izveidotā lietotāja un atgriezieties pie root lietotāja:

exit

Paroles autentifikācijas atspējošana

Tagad mēs varam atspējot paroles autentifikāciju serverī, tādējādi, lai pieteiktos, būs nepieciešama ssh atslēga. Ir svarīgi ņemt vērā: ja atspējojat paroles autentifikāciju un publiskā atslēga nav instalēta pareizi, jūs izslēgsit sevi no sava servera. Ieteicams vispirms pārbaudīt atslēgu, pirms pat atsakāties no saknes lietotāja.

Pašlaik esam pieteikušies savā root lietotāja kontā, tāpēc mēs rediģēsim sshd_config:

nano /etc/ssh/sshd_config

Mēs meklēsim 3 vērtības, lai pārliecinātos, ka OpenSSH ir pareizi konfigurēts.

• PasswordAuthentication
• PubkeyAuthentication
• ChallengeResponseAuthentication

Šīs vērtības var atrast, nospiežot CTRL+ W.

Vērtībām jābūt iestatītām uz šādām vērtībām:

PasswordAuthentication  no
ChallengeResponseAuthentication  no
PubkeyAuthentication  yes

Ja vērtības ir komentētas, noņemiet #rindiņas sākumā un pārliecinieties, vai šo mainīgo vērtības ir tādas, kā parādīts iepriekš. Kad esat mainījis šos mainīgos, saglabājiet un izietu savu redaktoru, ar CTRL+ O, ENTERun, visbeidzot CTRL+ X.

Tagad mēs pārlādēsim sshdar šādu komandu:

systemctl reload sshd

Tagad mēs varam pārbaudīt pieteikšanos. Pārliecinieties, vai vēl neesat izgājis no savas saknes sesijas, un atveriet jaunu ssh logu un izveidojiet savienojumu ar ssh atslēgu, kas ir saistīta ar savienojumu.

PuTTY tas atrodas zem Connection-> SSH-> Auth.

Pārlūkojiet, lai atrastu savu privāto atslēgu autentifikācijai, jo jums to vajadzēja saglabāt, veidojot ssh atslēgu.

Izveidojiet savienojumu ar serveri, izmantojot privāto atslēgu kā autentifikāciju. Tagad jūs būsit pieteicies savā Vultr VC2 virtuālajā mašīnā.

Piezīme. Ja pievienojāt ieejas frāzi, ģenerējot ssh atslēgu, jums tiks prasīts to ievadīt. Tas pilnībā atšķiras no jūsu faktiskās lietotāja paroles virtuālajā mašīnā.

Iestatiet pamata ugunsmūri

Konfigurējiet UFW

Vispirms mēs instalēsim UFW, ja tas vēl nav virtuālajā mašīnā. Labs veids, kā pārbaudīt, ir ar šādu komandu:

sudo ufw status

Ja UFW ir instalēts, tas izvadīs Status:inactive. Ja tas nav instalēts, jums tiks uzdots to izdarīt.

Mēs to varam instalēt ar šo komandu:

sudo apt-get install ufw -y

Tagad mēs atļausim SSH portu 22mūsu ugunsmūrī:

sudo ufw allow 22

Varat arī atļaut OpenSSH:

sudo ufw allow OpenSSH

Darbosies viena no iepriekš minētajām komandām.

Tagad, kad esam atļāvuši portu caur mūsu ugunsmūri, mēs varam iespējot UFW:

sudo ufw enable

Jums tiks jautāts, vai esat pārliecināts, ka vēlaties veikt šo darbību. Ierakstot, ykam seko, ENTERtiks iespējots ugunsmūris:

porthorian@MEANStack:~$ sudo ufw enable
Command may disrupt existing ssh connections. Proceed with operation? y

Piezīme. Ja neatļāvāt OpenSSH vai Port 22, jūs bloķēsit sevi no savas virtuālās mašīnas. Pirms UFW iespējošanas pārliecinieties, vai kāds no tiem ir atļauts.

Kad ugunsmūris ir iespējots, jūs joprojām būsit savienots ar savu instanci. Tagad mēs vēlreiz pārbaudīsim savu ugunsmūri ar to pašu komandu kā iepriekš:

sudo ufw status

Jūs redzēsit kaut ko līdzīgu šādai izvadei:

porthorian@MEANStack:~$ sudo ufw status
Status: active

To                         Action      From
--                         ------      ----
22                         ALLOW       Anywhere
22 (v6)                    ALLOW       Anywhere (v6)

Vultr ugunsmūra konfigurēšana

Lai vēl vairāk aizsargātu mūsu serveri, mēs izmantosim mūsu Vultr ugunsmūri. Piesakieties savā kontā . Kad esat pieteicies, jūs pārejat uz ugunsmūra cilni, kas atrodas ekrāna augšdaļā:

Tagad mēs pievienosim jaunu ugunsmūra grupu. Tas ļaus mums norādīt, kuri porti pat var sasniegt mūsu UFW ugunsmūri, nodrošinot mums dubultu drošības līmeni:

Tagad Vultr jautās, kā nosaukt savu ugunsmūri, izmantojot lauku “Apraksts”. Noteikti aprakstiet, ko šīs ugunsmūru grupas serveri darīs, lai turpmāk būtu vieglāk administrēt. Šīs apmācības labad mēs to nosauksim test. Jūs vienmēr varat mainīt aprakstu vēlāk, ja vēlaties.

Vispirms mums būs jāiegūst sava IP adrese. Iemesls, kāpēc mēs to darām tieši, ir tāds, ka, ja jūsu IP adrese nav statiska un pastāvīgi mainās, varat vienkārši pieteikties savā Vultr kontā un mainīt IP adresi.

Arī tāpēc mēs nepieprasījām UFW ugunsmūra IP adresi. Turklāt tas ierobežo jūsu virtuālās mašīnas ugunsmūra izmantošanu no visu pārējo portu filtrēšanas un ļauj to apstrādāt Vultr ugunsmūrim. Tas ierobežo kopējās trafika filtrēšanas slodzi jūsu instancē.

Izmantojiet Vultr tīkla skatu, lai atrastu savu IP adresi.

Tagad, kad mums ir mūsu IP adrese, mēs pievienosim IPV4 noteikumu mūsu jaunizveidotajam ugunsmūrim:

Kad esat ievadījis IP adresi, noklikšķiniet uz +simbola, lai pievienotu savu IP adresi ugunsmūrim.

Jūsu ugunsmūra grupa izskatīsies šādi:

Tagad, kad mūsu IP ir pareizi piesaistīts ugunsmūra grupā, mums ir jāsaista mūsu Vultr instance. Kreisajā pusē redzēsit cilni ar uzrakstu "Saistītie gadījumi":

Atverot lapu, jūs redzēsit nolaižamo izvēlni ar jūsu servera gadījumu sarakstu:

Noklikšķiniet uz nolaižamās izvēlnes un atlasiet savu gadījumu. Pēc tam, kad esat gatavs pievienot instanci ugunsmūra grupai, noklikšķiniet uz +simbola.

Apsveicam! Jūs esat veiksmīgi nodrošinājis savu Vultr VC2 virtuālo mašīnu. Tas sniedz jums labu pamatu ļoti vienkāršam drošības slānim, neuztraucoties par to, ka kāds mēģina brutāli piespiest jūsu gadījumu.