Začetna konfiguracija varnega strežnika za Ubuntu 18.04

Uvod

V tej vadnici se boste naučili, kako konfigurirati osnovno raven varnosti na povsem novem virtualnem stroju Vultr VC2 z operacijskim sistemom Ubuntu 18.04.

Predpogoji

• Račun Vultr, ustvarite ga lahko tukaj
• Nov VM Ubuntu 18.04 Vultr

Ustvarite in spremenite uporabnika

Prva stvar, ki jo bomo naredili, je ustvariti našega novega uporabnika, ki ga bomo uporabljali za prijavo v VM:

adduser porthorian

Opomba: Priporočljivo je, da uporabite edinstveno uporabniško ime, ki ga bo težko uganiti. Večina botov bo privzeto poskusila root, admin, moderator, in podobno.

Tukaj boste pozvani k vnosu gesla. To je zelo priporočljivo, da uporabljate močna alfa numerično geslo. Po tem sledite navodilom na zaslonu in ko vas vpraša, ali so informacije pravilne, samo pritisnite Y.

Ko bo ta novi uporabnik dodan, bomo temu uporabniku morali dati dovoljenja sudo, da bomo lahko izvajali ukaze uporabnika v imenu korenskega uporabnika:

usermod -aG sudo porthorian

Ko svojemu uporabniku daste dovoljenja sudo, preklopite na novega uporabnika:

su - porthorian

Ustvarite in konfigurirajte ključ SSH

Če želite ustvariti ključ SSH, sledite tem dokumentu .

Ko ustvarite nov ključ SSH, kopirajte svoj javni ključ. Izgledalo bi takole:

ssh-rsa AAAAB3NzaC1yc2EAAAABJQAAAQEAmB3uRWxAAELNJ8oGBCBmZx7S11vnAp0RG8rdKf6CLdvT7NMbKF55F8Wf0hFPewEryplaH54ibdmaTuheJVKy1lUhHnVi0AcBpkhJiiOQdEtvbYKT/eIkQl/Qm92Gz6aL3lJ0UknO4gO0LzgqI2vYX0b9LHMF+ZvApEDahLCna6RKo3/lffnANUKfExE+dVwOcJwATL3Ld5IkSatm7zBqbJAim0wj/JQ5ejzkL+aYd3YawpW3qf+WsY3HGbK2TIJt3LsiZJ3M7giZo/fVIZCJqsIOyO9NUOEx5/+KE8IniGb7gdRYgquAEJr89poDCNz/8CBODi9z3ukiE1+UnVlhfQ== rsa-key-20190408

Konfigurirajte svoj uporabniški imenik

Pomaknite se do domačega imenika uporabnikov, če še niste v njem:

cd $HOME

$HOMEje spremenljivka okolja za domači imenik vaših uporabnikov. To se samodejno nastavi, ko je nov uporabnik ustvarjen.

Medtem ko je v našem domačem imeniku, bomo vanj postavili še en imenik. Ta imenik bo skrit pred drugimi uporabniki na napravi, razen root in uporabnikom, ki je lastnik imenika. Ustvarite nov imenik in omejite njegova dovoljenja z naslednjimi ukazi:

mkdir ~/.ssh
chmod 700 ~/.ssh

Zdaj se bomo, da odprete datoteko v .sshimenovano authorized_keys. To je univerzalna datoteka, ki jo išče OpenSSH. /etc/ssh/sshd_configČe je potrebno, lahko spremenite ime tega v konfiguraciji OpenSSH .

Za ustvarjanje datoteke uporabite svoj najljubši urejevalnik. Ta vadnica bo uporabljala nano:

nano ~/.ssh/authorized_keys

Kopirajte in prilepite svoj ključ ssh v authorized_keysdatoteko, ki smo jo odprli. Ko je javni ključ notri, lahko datoteko shranite s pritiskom na CTRL+ O.

Prepričajte se, da je prikazana ustrezna pot datoteke:

/home/porthorian/.ssh/authorized_keys

Če je prava pot do datoteke, samo pritisnite ENTER, v nasprotnem primeru naredite potrebne spremembe, da se ujemajo z zgornjim primerom. Nato zapustite datoteko s CTRL+ X.

Zdaj bomo omejili dostop do datoteke:

chmod 600 ~/.ssh/authorized_keys

Zapustite našega ustvarjenega uporabnika in se vrnite na korenskega uporabnika:

exit

Onemogočanje preverjanja pristnosti z geslom

Zdaj lahko onemogočimo preverjanje pristnosti gesla na strežniku, tako da bo za prijavo potreben ključ ssh. Pomembno je omeniti, da če onemogočite preverjanje pristnosti gesla in javni ključ ni bil pravilno nameščen, se boste zaklenili iz svojega strežnika. Priporočljivo je, da najprej preizkusite ključ, preden se sploh odjavite iz korenskega uporabnika.

Trenutno smo prijavljeni v našega root uporabnika, zato bomo uredili sshd_config:

nano /etc/ssh/sshd_config

Iskali bomo 3 vrednosti, da se prepričamo, ali je OpenSSH pravilno konfiguriran.

• PasswordAuthentication
• PubkeyAuthentication
• ChallengeResponseAuthentication

Te vrednosti lahko poiščemo s pritiskom na CTRL+ W.

Vrednosti je treba nastaviti na naslednje:

PasswordAuthentication  no
ChallengeResponseAuthentication  no
PubkeyAuthentication  yes

Če so vrednosti komentirane, odstranite #na začetku vrstice in se prepričajte, da so vrednosti teh spremenljivk, kot je prikazano zgoraj. Ko ste spremenili tiste spremenljivke, shranite in zaprite urejevalnik, s CTRL+ O, ENTERin na koncu CTRL+ X.

Zdaj bomo znova naložili sshdz naslednjim ukazom:

systemctl reload sshd

Zdaj lahko preizkusimo prijavo. Prepričajte se, da se še niste odjavili iz korenske seje, in odprite novo okno ssh ter se povežite s svojim ključem ssh, ki je povezan s povezavo.

V PuTTY je to pod Connection-> SSH-> Auth.

Prebrskajte in poiščite svoj zasebni ključ za preverjanje pristnosti, saj bi ga morali shraniti pri ustvarjanju ključa ssh.

Povežite se s strežnikom z zasebnim ključem kot avtentikacijo. Zdaj boste prijavljeni v svoj virtualni stroj Vultr VC2.

Opomba: Če ste med generiranjem ključa ssh dodali geslo, boste pozvani k njemu. To se popolnoma razlikuje od gesla vašega dejanskega uporabnika na virtualnem stroju.

Nastavite osnovni požarni zid

Konfigurirajte UFW

Najprej bomo začeli z namestitvijo UFW, če še ni na virtualnem stroju. Dober način za preverjanje je z naslednjim ukazom:

sudo ufw status

Če je nameščen UFW, bo izpisal Status:inactive. Če ni nameščen, boste dobili navodila, da to storite.

Namestimo ga lahko s tem ukazom:

sudo apt-get install ufw -y

Zdaj bomo dovolili vrata SSH 22v našem požarnem zidu:

sudo ufw allow 22

Druga možnost je, da dovolite OpenSSH:

sudo ufw allow OpenSSH

Vsak od zgornjih ukazov bo deloval.

Zdaj, ko smo dovolili vrata prek našega požarnega zidu, lahko omogočimo UFW:

sudo ufw enable

Vprašali vas bodo, ali ste prepričani, da želite izvesti to operacijo. Vnos, ki ymu sledi, ENTERbo omogočil požarni zid:

porthorian@MEANStack:~$ sudo ufw enable
Command may disrupt existing ssh connections. Proceed with operation? y

Opomba: Če niste dovolili OpenSSH ali vrat 22, se boste zaklenili iz svojega virtualnega stroja. Preden omogočite UFW, se prepričajte, da je eden od teh dovoljen.

Ko je požarni zid omogočen, boste še vedno povezani s svojim primerkom. Zdaj bomo dvakrat preverili naš požarni zid z istim ukazom kot prej:

sudo ufw status

Videli boste nekaj podobnega naslednjemu izhodu:

porthorian@MEANStack:~$ sudo ufw status
Status: active

To                         Action      From
--                         ------      ----
22                         ALLOW       Anywhere
22 (v6)                    ALLOW       Anywhere (v6)

Konfiguriranje požarnega zidu Vultr

Za dodatno zaščito našega strežnika bomo uporabili požarni zid Vultr. Prijavite se v svoj račun . Ko ste prijavljeni, se boste pomaknili na zavihek požarnega zidu, ki se nahaja na vrhu zaslona:

Zdaj bomo dodali novo skupino požarnih zidov. To nam bo omogočilo, da določimo, katera vrata lahko celo dosežejo naš požarni zid UFW, kar nam zagotavlja dvojno plast varnosti:

Vultr vas bo zdaj vprašal, kako boste poimenovali požarni zid z uporabo polja »Opis«. Prepričajte se, da ste opisali, kaj bodo počeli strežniki v tej skupini požarnih zidov, za lažje upravljanje v prihodnosti. Zaradi te vadnice ga bomo poimenovali test. Če želite, lahko opis vedno spremenite pozneje.

Najprej bomo morali pridobiti naš IP naslov. Razlog, zakaj to počnemo neposredno, je, da če vaš naslov IP ni statičen in se nenehno spreminja, se lahko preprosto prijavite v svoj račun Vultr in spremenite naslov IP.

Tudi zato nismo zahtevali naslova IP na požarnem zidu UFW. Poleg tega omejuje uporabo požarnega zidu vašega virtualnega stroja, da ne bi filtriral vseh drugih vrat, in dovoli požarnemu zidu Vultr, da to upravlja. To omejuje obremenitev celotnega filtriranja prometa na vašem primerku.

Uporabite Vultrovo omrežno ogledalo, da poiščete svoj IP naslov.

Zdaj, ko imamo svoj naslov IP, bomo našemu na novo ustvarjenemu požarnemu zidu dodali pravilo IPV4:

Ko vnesete naslov IP, kliknite +simbol, da dodate svoj IP naslov v požarni zid.

Vaša skupina požarnega zidu bo videti takole:

Zdaj, ko imamo naš IP pravilno vezan v skupini požarnega zidu, moramo povezati naš primerek Vultr. Na levi strani boste videli zavihek z napisom "Povezani primerki":

Ko ste na strani, boste videli spustni meni s seznamom primerov vašega strežnika:

Kliknite spustni meni in izberite svoj primer. Nato, ko ste pripravljeni dodati primerek v skupino požarnega zidu, kliknite +simbol.

Čestitamo, uspešno ste zavarovali svoj virtualni stroj Vultr VC2. To vam daje dobro osnovo za zelo osnovno varnostno plast, ne da bi vas skrbelo, da bi nekdo poskušal grobo vsiliti vaš primer.