Počiatočná konfigurácia zabezpečeného servera Ubuntu 18.04

Úvod

V tomto návode sa naučíte, ako nakonfigurovať základnú úroveň zabezpečenia na úplne novom virtuálnom stroji Vultr VC2 so systémom Ubuntu 18.04.

Predpoklady

• Účet Vultr, môžete si ho vytvoriť tu
• Nový Ubuntu 18.04 Vultr VM

Vytvorte a upravte používateľa

Prvá vec, ktorú urobíme, je vytvorenie nášho nového používateľa, ktorého budeme používať na prihlásenie do VM:

adduser porthorian

Poznámka: Odporúča sa použiť jedinečné používateľské meno, ktoré bude ťažké uhádnuť. Väčšina roboti budú predvolené vyskúšať root, admin, moderatora podobné.

Tu budete vyzvaní na zadanie hesla. Je dôrazne odporúčané použiť silné alfa číselné heslo. Potom postupujte podľa pokynov na obrazovke a keď sa vás spýta, či sú informácie správne, stlačte Y.

Po pridaní tohto nového používateľa budeme musieť tomuto používateľovi udeliť oprávnenia sudo, aby sme mohli vykonávať príkazy od používateľa v mene používateľa root:

usermod -aG sudo porthorian

Keď svojmu používateľovi udelíte povolenia sudo, prepnite sa na nového používateľa:

su - porthorian

Vygenerujte a nakonfigurujte kľúč SSH

Ak chcete vygenerovať kľúč SSH, postupujte podľa tohto dokumentu .

Po vygenerovaní nového kľúča SSH skopírujte svoj verejný kľúč. Malo by to vyzerať takto:

ssh-rsa AAAAB3NzaC1yc2EAAAABJQAAAQEAmB3uRWxAAELNJ8oGBCBmZx7S11vnAp0RG8rdKf6CLdvT7NMbKF55F8Wf0hFPewEryplaH54ibdmaTuheJVKy1lUhHnVi0AcBpkhJiiOQdEtvbYKT/eIkQl/Qm92Gz6aL3lJ0UknO4gO0LzgqI2vYX0b9LHMF+ZvApEDahLCna6RKo3/lffnANUKfExE+dVwOcJwATL3Ld5IkSatm7zBqbJAim0wj/JQ5ejzkL+aYd3YawpW3qf+WsY3HGbK2TIJt3LsiZJ3M7giZo/fVIZCJqsIOyO9NUOEx5/+KE8IniGb7gdRYgquAEJr89poDCNz/8CBODi9z3ukiE1+UnVlhfQ== rsa-key-20190408

Nakonfigurujte si adresár používateľov

Prejdite do domovského adresára používateľov, ak v ňom ešte nie ste:

cd $HOME

$HOMEje premenná prostredia pre domovský adresár vašich používateľov. Toto sa nastaví automaticky pri vytvorení nového používateľa.

Kým sme v našom domovskom adresári, umiestnime do neho ďalší adresár. Tento adresár bude skrytý pred ostatnými používateľmi na počítači, okrem root a používateľa, ktorý tento adresár vlastní. Vytvorte nový adresár a obmedzte jeho povolenia pomocou nasledujúcich príkazov:

mkdir ~/.ssh
chmod 700 ~/.ssh

Teraz otvoríme súbor s .sshnázvom authorized_keys. Toto je univerzálny súbor, ktorý OpenSSH hľadá. V prípade potreby môžete zmeniť názov v konfigurácii OpenSSH, /etc/ssh/sshd_config.

Na vytvorenie súboru použite svoj obľúbený editor. Tento tutoriál bude používať nano:

nano ~/.ssh/authorized_keys

Skopírujte a prilepte svoj kľúč ssh do authorized_keyssúboru, ktorý sme otvorili. Keď je verejný kľúč vo vnútri, môžete súbor uložiť stlačením CTRL+ O.

Uistite sa, že sa zobrazuje príslušná cesta k súboru:

/home/porthorian/.ssh/authorized_keys

Ak je to správna cesta k súboru, stlačte tlačidlo ENTER, inak vykonajte potrebné zmeny, aby zodpovedali vyššie uvedenému príkladu. Potom ukončite súbor pomocou CTRL+ X.

Teraz obmedzíme prístup k súboru:

chmod 600 ~/.ssh/authorized_keys

Ukončite nášho vytvoreného používateľa a prejdite späť na používateľa root:

exit

Zakázanie overenia hesla

Teraz môžeme zakázať autentifikáciu heslom na server, takže prihlásenie bude vyžadovať ssh kľúč. Je dôležité poznamenať, že ak zakážete autentifikáciu heslom a verejný kľúč nebol správne nainštalovaný, uzamknete sa zo svojho servera. Odporúča sa najskôr otestovať kľúč ešte pred odhlásením používateľa root.

Momentálne sme prihlásení do nášho užívateľa root, takže upravíme sshd_config:

nano /etc/ssh/sshd_config

Budeme hľadať 3 hodnoty, aby sme sa uistili, že OpenSSH je správne nakonfigurovaný.

• PasswordAuthentication
• PubkeyAuthentication
• ChallengeResponseAuthentication

Tieto hodnoty nájdeme stlačením CTRL+ W.

Hodnoty by mali byť nastavené nasledovne:

PasswordAuthentication  no
ChallengeResponseAuthentication  no
PubkeyAuthentication  yes

Ak sú hodnoty zakomentované, odstráňte #na začiatku riadku a uistite sa, že hodnoty týchto premenných sú také, ako je uvedené vyššie. Po zmene týchto premenných, uložiť a ukončiť editor, pomocou CTRL+ O, ENTERa konečne CTRL+ X.

Teraz znova načítame sshdnasledujúci príkaz:

systemctl reload sshd

Teraz môžeme otestovať prihlásenie. Uistite sa, že ste sa ešte neodhlásili zo svojej koreňovej relácie a otvorte nové okno ssh a pripojte sa pomocou kľúča ssh prepojeného s pripojením.

V PuTTY je to pod Connection-> SSH-> Auth.

Prejdite a nájdite svoj súkromný kľúč na overenie, pretože ste ho mali uložiť pri vytváraní kľúča ssh.

Pripojte sa k svojmu serveru pomocou súkromného kľúča ako vášho overenia. Teraz budete prihlásení do svojho virtuálneho počítača Vultr VC2.

Poznámka: Ak ste pri generovaní kľúča ssh pridali prístupovú frázu, zobrazí sa výzva na jej zadanie. Toto je úplne odlišné od hesla vášho skutočného používateľa na virtuálnom počítači.

Nastavte základný firewall

Nakonfigurujte UFW

Najprv začneme inštaláciou UFW, ak ešte nie je na virtuálnom počítači. Dobrý spôsob, ako to skontrolovať, je nasledujúci príkaz:

sudo ufw status

Ak je nainštalovaný UFW, bude mať výstup Status:inactive. Ak nie je nainštalovaný, dostanete pokyn, aby ste tak urobili.

Môžeme ho nainštalovať pomocou tohto príkazu:

sudo apt-get install ufw -y

Teraz povolíme port SSH 22v našom firewalle:

sudo ufw allow 22

Prípadne môžete povoliť OpenSSH:

sudo ufw allow OpenSSH

Bude fungovať ktorýkoľvek z vyššie uvedených príkazov.

Teraz, keď sme povolili port cez náš firewall, môžeme povoliť UFW:

sudo ufw enable

Zobrazí sa otázka, či ste si istí, že chcete vykonať túto operáciu. Zadaním a ynásledným spustením ENTERbrány firewall sa aktivuje:

porthorian@MEANStack:~$ sudo ufw enable
Command may disrupt existing ssh connections. Proceed with operation? y

Poznámka: Ak ste nepovolili OpenSSH alebo Port 22, uzamknete sa z vášho virtuálneho počítača. Pred povolením UFW sa uistite, že jeden z nich je povolený.

Po povolení brány firewall budete stále pripojení k svojej inštancii. Teraz dvakrát skontrolujeme náš firewall pomocou rovnakého príkazu ako predtým:

sudo ufw status

Uvidíte niečo podobné ako nasledujúci výstup:

porthorian@MEANStack:~$ sudo ufw status
Status: active

To                         Action      From
--                         ------      ----
22                         ALLOW       Anywhere
22 (v6)                    ALLOW       Anywhere (v6)

Konfigurácia brány firewall Vultr

Na ďalšie zabezpečenie nášho servera budeme používať náš Vultr Firewall. Prihláste sa do svojho účtu . Po prihlásení prejdete na kartu brány firewall umiestnenú v hornej časti obrazovky:

Teraz pridáme novú skupinu firewallu. To nám umožní určiť, ktoré porty môžu dokonca dosiahnuť náš firewall UFW, čo nám poskytne dvojitú vrstvu zabezpečenia:

Vultr sa vás teraz opýta, ako pomenujete svoj firewall pomocou poľa „Popis“. Uistite sa, že ste opísali, čo budú robiť servery v rámci tejto skupiny firewallu, aby sa uľahčila budúca správa. Pre potreby tohto tutoriálu to pomenujeme test. Ak chcete, popis môžete kedykoľvek neskôr zmeniť.

Najprv musíme získať našu IP adresu. Dôvod, prečo to robíme priamo, je ten, že ak vaša IP adresa nie je statická a neustále sa mení, môžete sa jednoducho prihlásiť do svojho účtu Vultr a zmeniť IP adresu.

Aj preto sme nevyžadovali IP adresu na UFW firewalle. Navyše to obmedzuje používanie brány firewall vášho virtuálneho stroja pred odfiltrovaním všetkých ostatných portov a umožňuje iba firewallu Vultr, aby to spracoval. To obmedzuje zaťaženie celkového filtrovania návštevnosti vo vašej inštancii.

Na nájdenie vašej IP adresy použite sieťové zrkadlo Vultr .

Takže teraz, keď máme svoju IP adresu, pridáme do nášho novovytvoreného firewallu pravidlo IPV4:

Po zadaní IP adresy kliknite na +symbol a pridajte svoju IP adresu do brány firewall.

Vaša skupina brány firewall bude vyzerať takto:

Teraz, keď máme našu IP správne zviazanú v skupine Firewall, musíme prepojiť našu inštanciu Vultr. Na ľavej strane uvidíte kartu s názvom „Prepojené inštancie“:

Keď ste na stránke, uvidíte rozbaľovaciu ponuku so zoznamom inštancií vášho servera:

Kliknite na rozbaľovaciu ponuku a vyberte svoju inštanciu. Potom, keď ste pripravení pridať inštanciu do skupiny brány firewall, kliknite na +symbol.

Gratulujeme, úspešne ste zabezpečili svoj virtuálny stroj Vultr VC2. To vám dáva dobrý základ pre veľmi základnú vrstvu zabezpečenia bez obáv, že by sa niekto pokúsil brutálne vynútiť vašu inštanciu.