Lag en HTML 5 RDP/SSH-grensesnitt ved å bruke Guacamole på Ubuntu 16.04 LTS

Introduksjon

Trinn 1 - Klargjøring av systemet

Trinn 2 - Installere Guacamole

Trinn 3 - Finjustering og opprydding

Trinn 4 (alternativ A) – Kjører kun på HTTP

Trinn 5 (alternativ B) - Sette opp Nginx

Trinn 6 - Tester det hele

Konklusjon

Introduksjon

Målet med denne opplæringen er å kvitte seg med de offentlige SSH- og offentlige RDP-forbindelsene. Ved å plassere alt bak en veldig praktisk HTML5-klient, kan vi legge til et lag med sikkerhet for tilgang til skyen vår.

Guacamole logger også all ekstern tilgang, slik at uautorisert tilgang blir mye mer sporbar.

Merk: For La oss kryptere (alternativ B) trenger vi et domenenavn. Hvis du ikke har en, kan du hoppe over dette trinnet og bare utføre alternativ A .

Trinn 1 - Klargjøring av systemet

Start med å spinne opp en VPS i ønsket Vultr-sone. En 1024 MBVPS vil være nok, da Guacamole ikke er så krevende.

Aktiverer den private IP-en

Start med å aktivere det private nettverket på VPS. Dette er godt dokumentert her

Forbereder brannmuren

La oss først herde bildet litt. Og la oss sjekke om bildet som er klargjort er ufwaktivert.

root@vultr:~# ufw status
Status: inactive

Som standard er den deaktivert, så vi må legge til noen få regler.

• Regel 1: ssh: TCP-port 22
• Regel 2: http: TCP-port 8080 (midlertidig testregel for Guacamole)

La oss begynne med å konfigurere disse portene.

ufw allow 22/tcp
ufw allow 8080/tcp

Aktiver deretter brannmuren.

ufw enable

Ikke bekymre deg hvis du mottar en advarsel. Hvis du la til port 22, vil du ikke møte noen problemer.

root@vultr:~# ufw enable
Command may disrupt existing ssh connections. Proceed with operation (y|n)? y
Firewall is active and enabled on system startup

Når den er aktivert, be om statusen til brannmuren, og vi vil se portkonfigurasjonen vår.

ufw status

---

Status: active

To                         Action      From
--                         ------      ----
22/tcp                     ALLOW       Anywhere
8080/tcp                   ALLOW       Anywhere
22/tcp (v6)                ALLOW       Anywhere (v6)
8080/tcp (v6)              ALLOW       Anywhere (v6)

Trinn 2 - Installere Guacamole

Installerer alle avhengigheter

Før vi begynner å installere må vi oppdatere og oppgradere repoen. Med pakker som Tomcat, som er Java-basert, er det en konstant strøm av oppdagede feil og tilhørende feilrettinger. Det er vanligvis en god idé å gjøre dette først i stedet for å skynde seg direkte inn i installasjonen vår.

apt-get update
apt-get -y upgrade 

Neste opp er alle avhengighetene. Guacamole har ganske mange av dem. (En fullstendig liste over avhengigheter og deres funksjon finner du her ). La oss fortsette med å installere dem alle.

apt-get -y install build-essential tomcat8 freerdp libcairo2-dev libjpeg-turbo8-dev libpng12-dev libossp-uuid-dev libavcodec-dev libavutil-dev libfreerdp-dev libpango1.0-dev libssh2-1-dev libtelnet-dev libvorbis-dev libwebp-dev mysql-server mysql-client mysql-common mysql-utilities libswscale-dev libvncserver-dev libpulse-dev libssl-dev

Når installasjonsprogrammet ber om et MySQL root-passord, oppgi et og sørg for å notere det. Vi vil bruke dette passordet senere for å opprette Guacamole-databasen.

Laster ned Guacamole

Nå som vi har alle våre avhengigheter, kan vi fortsette å laste ned Guacamole. Guacamole i seg selv kommer for det meste i en kildeform, og ikke en binær. Først vil vi flytte til /tmpmappen for å unngå rot i andre deler av disken. Last deretter ned all kildekoden.

Det er fire kilde/binære filer å laste ned:

• guacamole-0.9.13-incubating.war: Dette er nettapplikasjonen. En WARfil er en zippet nettpakke som gir et enkelt nettsted som er vert på et Tomcat-nettsted
• guacamole-server-0.9.13-incubating.tar.gz: Denne filen vil gi backend- guacdapplikasjonen. Dette skaper strømmene gjennom RDP og SSH.
• guacamole-auth-jdbc-0.9.13-incubating.tar.gz: Vi skal bruke en lokal MySQL-database, så vi trenger den tilknyttede JDBCkoblingen.
• mysql-connector-java-5.1.43.tar.gz: Uten en databasedriver gjør JDBC-koblingen ingenting. Denne filen er levert av MySQL-teamet selv.

Merk: nedlastinger løst til nærmeste server .

cd /tmp
wget http://apache.belnet.be/incubator/guacamole/0.9.13-incubating/binary/guacamole-0.9.13-incubating.war
wget http://apache.cu.be/incubator/guacamole/0.9.13-incubating/source/guacamole-server-0.9.13-incubating.tar.gz
wget http://apache.cu.be/incubator/guacamole/0.9.13-incubating/binary/guacamole-auth-jdbc-0.9.13-incubating.tar.gz
wget https://dev.mysql.com/get/Downloads/Connector-J/mysql-connector-java-5.1.43.tar.gz

Når vi har lastet ned alle disse filene, pakk ut filene tar.gz.

tar -xzvf guacamole-server-0.9.13-incubating.tar.gz
tar -xzvf guacamole-auth-jdbc-0.9.13-incubating.tar.gz
tar -xzvf mysql-connector-java-5.1.43.tar.gz

Kompilere Guacamole

Nå som vi har trukket ut all kildekoden, la oss lage noen få guacamolemapper, disse vil bli brukt av guacamole-applikasjonen og dens avhengigheter.

mkdir -p /etc/guacamole/lib
mkdir -p /etc/guacamole/extensions

Alt er klart for våre nye Guacamole-binærfiler. Vi kan nå starte kompilerings- og installasjonsprosessen. Gå over til den utpakkede Guacamole Server-mappen.

cd /tmp/guacamole-server-0.9.13-incubating

Konfigurer applikasjonen til også å opprette en init.dfil for å kjøre den som en tjeneste senere.

./configure --with-init-dir=/etc/init.d

Kommandoen skal avsluttes med et "ja" på alle biblioteker og protokoller. Hvis ikke, gå tilbake og sjekk apt-get-kommandoen for å sikre at du ikke gikk glipp av noen pakke.

------------------------------------------------
guacamole-server version 0.9.13-incubating
------------------------------------------------

   Library status:

     freerdp ............. yes
     pango ............... yes
     libavcodec .......... yes
     libavutil ........... yes
     libssh2 ............. yes
     libssl .............. yes
     libswscale .......... yes
     libtelnet ........... yes
     libVNCServer ........ yes
     libvorbis ........... yes
     libpulse ............ yes
     libwebp ............. yes

   Protocol support:

      RDP ....... yes
      SSH ....... yes
      Telnet .... yes
      VNC ....... yes

   Services / tools:

      guacd ...... yes
      guacenc .... yes

   Init scripts: /etc/init.d

Type "make" to compile guacamole-server.

Neste opp kompiler og installer Gucamole-serveren.

make && make install

Når alt dette er gjort, kjør for ldconfigå gjenoppbygge søkebanen for biblioteker som er lagt til.

ldconfig

Fortsett ved å bruke systemctltil oppsett guacd(Guacamole Daemon) for å starte ved oppstart.

systemctl enable guacd

Guacamole binære filer er nå installert. Nå skal vi gjøre webapplikasjonen klar for Tomcat.

Start med å flytte warfilen til guacamolemappen vi nettopp opprettet, når dette er gjort oppretter du en logisk lenke i tomcat-katalogen for å peke til warfilen vår .

cd /tmp
mv guacamole-0.9.13-incubating.war /etc/guacamole/guacamole.war
ln -s /etc/guacamole/guacamole.war /var/lib/tomcat8/webapps/

Da trenger vi mysql-kontakten og JDBC. JDBC-driveren er nødvendig i extensionsmappen, kontakten i libmappen.

cp mysql-connector-java-5.1.43/mysql-connector-java-5.1.43-bin.jar /etc/guacamole/lib/
cp guacamole-auth-jdbc-0.9.13-incubating/mysql/guacamole-auth-jdbc-mysql-0.9.13-incubating.jar /etc/guacamole/extensions/

Konfigurere Guacamole og Tomcat

Once the connector and JDBC are in place, we need to edit the tocamt8 file. This file contains a lot of tomcat8 settings, and in our case we need to add the GUACAMOLE_HOME variable at the end of the file.

nano /etc/default/tomcat8

Append with the following.

GUACAMOLE_HOME=/etc/guacamole

Creating the database

Next up is creating the database. Guacamole stores its connection configuration in a database, not inside a file.

Login with the root password you used during the installation.

mysql -u root -p

The first step is to create a database called 'guacamole_db'.

create database guacamole_db;

Then run the create user command. This will create a user with a password mysupersecretpassword, this user will only be able to connect from localhost.

create user 'guacamole_user'@'localhost' identified by "mysupersecretpassword";

Grant CRUD operations to this user for the database guacamole_db.

GRANT SELECT,INSERT,UPDATE,DELETE ON guacamole_db.* TO 'guacamole_user'@'localhost';

Flush privileges and exit the shell.

flush privileges;
exit

Finish up by adding the Guacamole schema to our newly created database.

cat /tmp/guacamole-auth-jdbc-0.9.13-incubating/mysql/schema/*.sql | mysql -u root -p guacamole_db

Once this is done, we need to edit the guacamole.properties file. This file contains our recently created MySQL server configuration.

nano /etc/guacamole/guacamole.properties

Append the MySQL connection details and credentials.

mysql-hostname: localhost
mysql-port: 3306
mysql-database: guacamole_db
mysql-username: guacamole_user
mysql-password: mysupersecretpassword

Finish up by creating a symbolic link to the tomcat share folder, as this is where the WAR file will search these properties.

ln -s /etc/guacamole /usr/share/tomcat8/.guacamole

Testing the setup

End by restarting the tomcat8 server and start the guacd server daemon.

service tomcat8 restart
service guacd start

You can verify by using the status command.

service tomcat8 status
service guacd status

Now you can browse to your VPS on port 8080

http://<yourpublicip>:8080/guacamole/

Use the username guacadmin and the same password guacadmin. This will grant you access to an empty Guacamole server.

Click in the top right corner on your username guacadmin and select Settings. Once you are in the settings page go to the Users tab and select the user guacadmin.

Now change your password to something else or create a new admin user and delete the default guacadmin one.

Step 3 - Fine tuning and cleanup

These are the final steps: cleaning up after you are done.

Delete the downloaded source code and binaries from the /tmp folder.

rm -rf /tmp/guacamole-*
rm -rf /tmp/mysql-connector-java-*

Also, make the Guacamole web application the default one. In the tomcat ecosystem the application that gets the ROOT folder is the one that is started by default when you access the website.

Delete the old ROOT placeholder.

rm -rf /var/lib/tomcat8/webapps/ROOT

And make a symbolic link for the guacamole server to be the ROOT one.

ln -s /var/lib/tomcat8/webapps/guacamole /var/lib/tomcat8/webapps/ROOT

This requires a tomcat restart.

service tomcat8 restart

Step 4 (option A) - Running on HTTP only

• If you are not going to use Let's Encrypt certificates and not use a DNS, execute the actions in this step and afterwards go directly to Step 6. - Option A
• If you want to create a more secure site and you have a DNS ready, you can skip this and go straight to option B (Step 5).

Edit the tomcat8/server.xml file and change the connector port.

nano /etc/tomcat8/server.xml

Search for the Connector port.

<Connector port="8080" protocol="HTTP/1.1"
           connectionTimeout="20000"
           URIEncoding="UTF-8"
           redirectPort="8443" />

And replace 8080 with 80.

By default, tomcat doesn't allow the binding of ports below 1024. To enable this we need to tell tomcat8 to create authenticated binds.

Edit the default file of tomcat8 and uncomment the AUTHBIND line and use the option yes

nano /etc/default/tomcat8

---

AUTHBIND=yes

Once this is done, intall authbind.

apt-get install authbind

Configure it so that port 80 can be claimed by tomcat8.

touch /etc/authbind/byport/80
chmod 500 /etc/authbind/byport/80
chown tomcat8 /etc/authbind/byport/80

Allow port 80 through the firewall and delete the rule for 8080.

ufw allow 80/tcp
ufw delete allow 8080/tcp

Restart tomcat.

service tomcat8 restart

That's it, now Guacamole should be running on port 80.

Step 5 (option B) - Setting up Nginx

Installation and configuration of Nginx

Tomcat really isn't one of the best and most robust applications to use with certbot. Luckily Nginx is. We will just to proxy tomcat to Nginx. It uses the out-of-the-box functionality of certbot at the cost of sacrificing a little bit of RAM.

apt-get install nginx

Once installed, edit the default configuration.

nano /etc/nginx/sites-available/default

Delete all example configurations and add the following configuration.

server {      
  listen 0.0.0.0:80;

  proxy_request_buffering off;
  proxy_buffering off;

  location / {
     proxy_pass http://127.0.0.1:8080;
     proxy_redirect     off;
        proxy_set_header   Host $host;
        proxy_set_header   X-Real-IP $remote_addr;
        proxy_set_header   X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_set_header   X-Forwarded-Host $server_name;
  }
}

This will create a proxy for the website running at 8080. Restart Nginx, and enable it at boot.

systemctl restart nginx
systemctl enable nginx

Check if everything is working.

systemctl status nginx

Disable the testing port 8080 and allow traffic on port 80.

ufw allow 80/tcp
ufw delete allow 8080/tcp

Installing Let's Encrypt

Before we can use certbot, we need to add the correct ppa to the system containing our certbot packages.

add-apt-repository ppa:certbot/certbot

Press "ENTER" to accept the configuration change.

Update apt to gather the new packages.

apt-get update

Finally, install the Nginx module for assigning the certificates.

apt-get -y install python-certbot-nginx

Configure Nginx to use certificates

Configure the firewall to allow HTTPS.

ufw allow 443/tcp

Before we can request new certificates, we need a DNS name.

nano /etc/nginx/sites-available/default

Add the following server_name setting.

server_name rdp.example.com;

Change the configuration to reflect this new setting.

server {
  server_name rdp.example.com;

  listen 0.0.0.0:80;

  proxy_request_buffering off;
  proxy_buffering off;

  location / {
     proxy_pass http://127.0.0.1:8080;
     proxy_redirect     off;
        proxy_set_header   Host $host;
        proxy_set_header   X-Real-IP $remote_addr;
        proxy_set_header   X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_set_header   X-Forwarded-Host $server_name;
  }
}

Check if all is working and restart Nginx.

nginx -t
service nginx restart

Now request a certificate with certbot.

certbot --nginx -d rdp.example.com

Oppgi e-posten din og godta spørsmålene som stilles av installatøren. (Du kan trygt velge " No" å dele e-posten din.) Certbot vil automatisk spørre hva den trenger å gjøre med HTTPS. Vi vil bruke alternativ 2: redirect to HTTPS.

Please choose whether or not to redirect HTTP traffic to HTTPS, removing HTTP access.
-------------------------------------------------------------------------------
1: No redirect - Make no further changes to the webserver configuration.
2: Redirect - Make all requests redirect to secure HTTPS access. Choose this for
new sites, or if you're confident your site works on HTTPS. You can undo this
change by editing your web server's configuration.
-------------------------------------------------------------------------------
Select the appropriate number [1-2] then [enter] (press 'c' to cancel): 2

Det siste vi skal gjøre er å oppdatere DHparametrene. Disse er som standard litt svake for 2017-standarder.

Lag noen nye.

openssl dhparam -out /etc/ssl/certs/dhparam.pem 2048

Deretter legger du dem til standardnettstedet i Nginx.

nano /etc/nginx/sites-available/default

Legg dem til serverkonfigurasjonen.

server {
  server_name rdp.example.com;

  listen 0.0.0.0:80;
  ssl_dhparam /etc/ssl/certs/dhparam.pem;

  proxy_request_buffering off;
  proxy_buffering off;

  location / {
     proxy_pass http://127.0.0.1:8080;
     proxy_redirect     off;
        proxy_set_header   Host $host;
        proxy_set_header   X-Real-IP $remote_addr;
        proxy_set_header   X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_set_header   X-Forwarded-Host $server_name;
  }
}

Se etter feil.

nginx -t

Bruk endringene ved å starte serveren på nytt.

service nginx restart

Rydd opp i den gamle 8080regelen

ufw delete allow 8080/tcp

Merk: hvis du skulle motta en "502 Bad Gateway" må du starte tomcat8 på nytt .

service tomcat8 restart

Automatisk fornyelse av sertifikater

La oss kryptere sertifikater krever fornyelse. Vi kan skape en cron-jobb for dette. Start med å redigere crontab.

crontab -e

Legg til følgende linje.

00 2 * * * /usr/bin/certbot renew --quiet

Dette vil sjekke klokken 02:00 om noen sertifikater krever fornyelse, og fornye dem hvis de gjør det.

Trinn 6 - Tester det hele

Gå til Guacamole-serveren din (enten http://<ip>/eller https://rdp.example.com)).

For denne testen trenger du ytterligere to forekomster: en Linux VM og en annen Windows Server 2012 R2 med en privat IP aktivert på begge.

Legger til Windows RDP-tilkoblingen

Klikk på " username" øverst til høyre og gå til " Settings". Gå deretter til " Connections" og velg " New Connection".

Fyll inn følgende innstillinger (du kan la de andre stå som standard).

Name: Windows Server 2012 R2
Location: ROOT
Protocol: RDP
Maximum number of connections: 1
Maximum number of connections per user: 1
Parameters > Hostname: 10.99.0.12
Parameters > Port: 3389
Username: Administrator
Password: <password> (provided by Vultr)
Security mode: Any
Ignore server certificate: <checked>

Trykk på " save" og gå tilbake til startskjermen. Nå kan du klikke på " Windows Server 2012 R2"-tilkoblingen og den vil RDP til denne maskinen.

Legger til Linux SSH-tilkoblingen

Trykk på " Ctrl+Shift+Alt". Dette vil sprette ut menyen på siden. Her kan du koble fra eller utføre andre administrative oppgaver for Guacamole.

Klikk usernamepå øverst i menyen og gå til " Settings". Gå deretter til " Connections"-fanen og velg " New Connection".

Fyll inn følgende innstillinger (du kan la de andre stå som standard).

Name: Linux
Location: ROOT
Protocol: SSH
Maximum number of connections: 5
Maximum number of connections per user: 2
Parameters > Hostname: 10.99.0.11
Parameters > Port: 22
Username: root
Password: <password> (provided by Vultr)

Trykk på " save" og gå tilbake til startskjermen. Nå kan du klikke på denne nyopprettede tilkoblingen og kobles til Linux-serveren din via SSH.

Konklusjon

Du har nå en web RDP/SSH HTML5-gateway. Nå kan du brannmure den offentlige RDP- og SSH-tilgangen til plattformen din og få tilgang til miljøet ditt fra enhver moderne nettleser. For mer informasjon om hva Guacamole kan tilby, er det en flott video som viser alle mulighetene til plattformen her .