Gjennom denne opplæringen vil du lære hvordan du konfigurerer et grunnleggende sikkerhetsnivå på en helt ny Vultr VC2 virtuell maskin som kjører Ubuntu 18.04.
Det første vi skal gjøre er å opprette vår nye bruker som vi skal bruke til å logge på VM:en:
adduser porthorian
Merk: Det anbefales å bruke et unikt brukernavn som vil være vanskelig å gjette. De fleste roboter vil som standard prøve root, admin, moderator, og lignende.
Du vil bli bedt om et passord her. Det anbefales på det sterkeste at du bruker et sterkt alfanumerisk passord. Deretter følger du instruksjonene på skjermen, og når den spør deg om informasjonen er riktig, trykker du bare på Y.
Når den nye brukeren er lagt til, må vi gi den brukeren sudo-tillatelser slik at vi kan utføre kommandoer fra brukeren på vegne av root-brukeren:
usermod -aG sudo porthorian
Når du har gitt brukeren sudo-tillatelser, bytt til den nye brukeren:
su - porthorian
For å generere SSH-nøkkelen, følg dette dokumentet .
Når du har generert den nye SSH-nøkkelen, kopierer du den offentlige nøkkelen. Det skal se slik ut:
ssh-rsa AAAAB3NzaC1yc2EAAAABJQAAAQEAmB3uRWxAAELNJ8oGBCBmZx7S11vnAp0RG8rdKf6CLdvT7NMbKF55F8Wf0hFPewEryplaH54ibdmaTuheJVKy1lUhHnVi0AcBpkhJiiOQdEtvbYKT/eIkQl/Qm92Gz6aL3lJ0UknO4gO0LzgqI2vYX0b9LHMF+ZvApEDahLCna6RKo3/lffnANUKfExE+dVwOcJwATL3Ld5IkSatm7zBqbJAim0wj/JQ5ejzkL+aYd3YawpW3qf+WsY3HGbK2TIJt3LsiZJ3M7giZo/fVIZCJqsIOyO9NUOEx5/+KE8IniGb7gdRYgquAEJr89poDCNz/8CBODi9z3ukiE1+UnVlhfQ== rsa-key-20190408
Naviger til brukerens hjemmekatalog hvis du ikke allerede er i den:
cd $HOME
$HOMEer miljøvariabelen for brukernes hjemmekatalog. Dette settes automatisk når den nye brukeren opprettes.
Mens vi er i hjemmekatalogen vår, skal vi plassere en annen katalog i den. Denne katalogen vil være skjult for andre brukere på maskinen, bortsett fra root og brukeren som eier katalogen. Opprett den nye katalogen og begrens dens tillatelser med følgende kommandoer:
mkdir ~/.ssh
chmod 700 ~/.ssh
Nå skal vi åpne en fil i .sshkalt authorized_keys. Dette er den universelle filen som OpenSSH ser etter. Du kan endre navnet på denne i OpenSSH-konfigurasjonen, /etc/ssh/sshd_config, hvis behovet oppstår.
Bruk favorittredigeringsprogrammet for å lage filen. Denne opplæringen vil bruke nano:
nano ~/.ssh/authorized_keys
Kopier og lim inn ssh-nøkkelen din i authorized_keysfilen vi har åpnet. Når den offentlige nøkkelen er inne, kan du lagre filen ved å trykke CTRL+ O.
Sørg for at den riktige filbanen vises:
/home/porthorian/.ssh/authorized_keys
Hvis det er riktig filbane, trykker du bare på ENTER, ellers gjør du nødvendige endringer for å matche eksemplet ovenfor. Avslutt deretter filen med CTRL+ X.
Nå skal vi begrense tilgangen til filen:
chmod 600 ~/.ssh/authorized_keys
Gå ut av den opprettede brukeren og gå tilbake til rotbrukeren:
exit
Vi kan nå deaktivere passordautentisering til serveren, på den måten vil innlogging kreve en ssh-nøkkel. Det er viktig å merke seg at hvis du deaktiverer passordautentisering og den offentlige nøkkelen ikke ble installert riktig, vil du låse deg ute fra serveren din. Det anbefales at du tester nøkkelen først før du logger ut av root-brukeren.
Vi er for øyeblikket logget på root-brukeren vår, så vi skal redigere sshd_config:
nano /etc/ssh/sshd_config
Vi skal søke etter 3 verdier for å sikre at OpenSSH er riktig konfigurert.
PasswordAuthenticationPubkeyAuthenticationChallengeResponseAuthenticationVi kan finne disse verdiene ved å trykke CTRL+ W.
Verdiene bør settes til følgende:
PasswordAuthentication no
ChallengeResponseAuthentication no
PubkeyAuthentication yes
Hvis verdiene er kommentert ut, fjerner du #på begynnelsen av linjen og kontrollerer at verdiene til disse variablene er som vist ovenfor. Når du har endret disse variablene, lagre og avslutte din editor, med CTRL+ O, ENTERog til slutt CTRL+ X.
Nå skal vi laste inn på nytt sshdmed følgende kommando:
systemctl reload sshd
Nå kan vi teste påloggingen. Pass på at du ikke har logget ut av rotøkten din ennå, og åpne et nytt ssh-vindu og koble til med ssh-nøkkelen din som er koblet til tilkoblingen.
I PuTTY er dette under Connection-> SSH-> Auth.
Bla gjennom for å finne din private nøkkel for autentisering, siden du burde ha lagret den når du opprettet ssh-nøkkelen.
Koble til serveren din med den private nøkkelen som autentisering. Du vil nå være logget på din Vultr VC2 virtuelle maskin.
Merk: Hvis du la til en passordfrase mens du genererte ssh-nøkkelen, blir du bedt om en. Dette er helt forskjellig fra ditt faktiske brukerpassord på den virtuelle maskinen.
Først skal vi starte med å installere UFW hvis det ikke allerede er på den virtuelle maskinen. En god måte å sjekke er med følgende kommando:
sudo ufw status
Hvis UFW er installert, vil den sende ut Status:inactive. Hvis den ikke er installert, vil du bli bedt om å gjøre det.
Vi kan installere det med denne kommandoen:
sudo apt-get install ufw -y
Nå skal vi tillate SSH-port 22i brannmuren vår:
sudo ufw allow 22
Alternativt kan du tillate OpenSSH:
sudo ufw allow OpenSSH
En av kommandoene ovenfor vil fungere.
Nå som vi har tillatt porten gjennom brannmuren vår, kan vi aktivere UFW:
sudo ufw enable
Du vil bli spurt om du er sikker på at du vil utføre denne operasjonen. Å skrive yetterfulgt av ENTERvil aktivere brannmuren:
porthorian@MEANStack:~$ sudo ufw enable
Command may disrupt existing ssh connections. Proceed with operation? y
Merk: Hvis du ikke tillot OpenSSH eller Port 22, vil du låse deg ute fra din virtuelle maskin. Sørg for at en av disse er tillatt før du aktiverer UFW.
Når brannmuren er aktivert, vil du fortsatt være koblet til instansen din. Vi skal dobbeltsjekke brannmuren vår nå med samme kommando som før:
sudo ufw status
Du vil se noe som ligner på følgende utgang:
porthorian@MEANStack:~$ sudo ufw status
Status: active
To Action From
-- ------ ----
22 ALLOW Anywhere
22 (v6) ALLOW Anywhere (v6)
For ytterligere å sikre serveren vår kommer vi til å bruke vår Vultr-brannmur. Logg inn på kontoen din . Når du er logget på vil du navigere til brannmurfanen øverst på skjermen:
Nå skal vi legge til en ny brannmurgruppe. Dette vil tillate oss å spesifisere hvilke porter som til og med kan nå UFW-brannmuren vår, og gir oss et dobbelt lag med sikkerhet:
Vultr vil nå spørre deg hva du skal kalle brannmuren din ved å bruke "Beskrivelse"-feltet. Sørg for at du beskriver hva serverne under denne brannmurgruppen skal gjøre, for enklere fremtidig administrasjon. For denne veiledningens skyld skal vi gi den et navn test. Du kan alltid endre beskrivelsen senere hvis du ønsker det.
Først må vi få IP-adressen vår. Grunnen til at vi gjør dette direkte er at hvis IP-adressen din ikke er statisk og stadig endres, kan du ganske enkelt logge inn på Vultr-kontoen din og endre IP-adressen.
Det er også derfor vi ikke krevde IP-adressen på UFW-brannmuren. I tillegg begrenser det bruken av den virtuelle maskinens brannmur fra å filtrere ut alle de andre portene og lar Vultr-brannmuren håndtere det. Dette begrenser belastningen av generell trafikkfiltrering på forekomsten din.
Bruk Vultrs nettverksglass for å finne IP-adressen din.
Så nå som vi har IP-adressen vår, skal vi legge til en IPV4-regel til vår nyopprettede brannmur:
Når du har skrevet inn IP-adressen, klikker du på +symbolet for å legge til IP-adressen din i brannmuren.
Brannmurgruppen din vil se slik ut:
Nå som vi har IP-adressen vår riktig bundet i brannmurgruppen, må vi koble til Vultr-instansen vår. På venstre side vil du se en fane som sier "Linked Instances":
En gang på siden vil du se en rullegardin med en liste over serverforekomstene dine:
Klikk på rullegardinmenyen og velg din forekomst. Deretter, når du er klar til å legge til forekomsten i brannmurgruppen, klikker du på +symbolet.
Gratulerer, du har sikret din Vultr VC2 Virtual Machine. Dette gir deg et godt grunnlag for et veldig grunnleggende sikkerhetslag uten å bekymre deg for at noen prøver å brute-force din instans.
Kunstig intelligens er ikke i fremtiden, det er her akkurat i nåtiden I denne bloggen Les hvordan kunstig intelligens-applikasjoner har påvirket ulike sektorer.
Er du også et offer for DDOS-angrep og forvirret over forebyggingsmetodene? Les denne artikkelen for å løse spørsmålene dine.
Du har kanskje hørt at hackere tjener mye penger, men har du noen gang lurt på hvordan tjener de den slags penger? la oss diskutere.
Vil du se revolusjonerende oppfinnelser fra Google og hvordan disse oppfinnelsene forandret livet til alle mennesker i dag? Les deretter til bloggen for å se oppfinnelser fra Google.
Konseptet med selvkjørende biler som skal ut på veiene ved hjelp av kunstig intelligens er en drøm vi har hatt en stund nå. Men til tross for flere løfter, er de ingen steder å se. Les denne bloggen for å lære mer...
Ettersom vitenskapen utvikler seg raskt og tar over mye av innsatsen vår, øker også risikoen for å utsette oss for en uforklarlig singularitet. Les hva singularitet kan bety for oss.
Les bloggen for å kjenne ulike lag i Big Data Architecture og deres funksjoner på den enkleste måten.
Lagringsmetodene for dataene har vært i utvikling kan være siden fødselen av dataene. Denne bloggen dekker utviklingen av datalagring på grunnlag av en infografikk.
I denne digitaldrevne verden har smarthusenheter blitt en avgjørende del av livet. Her er noen fantastiske fordeler med smarthusenheter om hvordan de gjør livet vårt verdt å leve og enklere.
Nylig lanserte Apple macOS Catalina 10.15.4 en tilleggsoppdatering for å fikse problemer, men det ser ut til at oppdateringen forårsaker flere problemer som fører til muring av mac-maskiner. Les denne artikkelen for å lære mer
