У овом водичу ћете научити како да конфигуришете основни ниво безбедности на потпуно новој Вултр ВЦ2 виртуелној машини која користи Убунту 18.04.
Прва ствар коју ћемо урадити је да креирамо нашег новог корисника којег ћемо користити за пријављивање на ВМ:
adduser porthorian
Напомена: Препоручује се коришћење јединственог корисничког имена које ће бити тешко погодити. Већина ботова ће подразумевано покушати root, admin, moderator, и слично.
Овде ће вам бити затражено да унесете лозинку. То је снажно препоручује да користите јаку алфа нумерички лозинку. Након тога, пратите упутства на екрану и када вас пита да ли су информације тачне само притисните Y.
Када се тај нови корисник дода, мораћемо том кориснику да дамо судо дозволе да бисмо могли да извршавамо команде од корисника у име роот корисника:
usermod -aG sudo porthorian
Када свом кориснику дате судо дозволе, пређите на новог корисника:
su - porthorian
Да бисте генерисали ССХ кључ, пратите овај документ .
Када генеришете свој нови ССХ кључ, копирајте свој јавни кључ. Требало би да изгледа овако:
ssh-rsa AAAAB3NzaC1yc2EAAAABJQAAAQEAmB3uRWxAAELNJ8oGBCBmZx7S11vnAp0RG8rdKf6CLdvT7NMbKF55F8Wf0hFPewEryplaH54ibdmaTuheJVKy1lUhHnVi0AcBpkhJiiOQdEtvbYKT/eIkQl/Qm92Gz6aL3lJ0UknO4gO0LzgqI2vYX0b9LHMF+ZvApEDahLCna6RKo3/lffnANUKfExE+dVwOcJwATL3Ld5IkSatm7zBqbJAim0wj/JQ5ejzkL+aYd3YawpW3qf+WsY3HGbK2TIJt3LsiZJ3M7giZo/fVIZCJqsIOyO9NUOEx5/+KE8IniGb7gdRYgquAEJr89poDCNz/8CBODi9z3ukiE1+UnVlhfQ== rsa-key-20190408
Идите до кућног директоријума корисника ако већ нисте у њему:
cd $HOME
$HOMEје променљива окружења за кућни директоријум ваших корисника. Ово се аутоматски поставља када се креира нови корисник.
Док смо у нашем матичном директоријуму, у њега ћемо поставити још један директоријум. Овај директоријум ће бити скривен од других корисника на машини, осим роот-а и корисника који поседује директоријум. Креирајте нови директоријум и ограничите његове дозволе следећим командама:
mkdir ~/.ssh
chmod 700 ~/.ssh
Сада ћемо отворити датотеку у .sshпод називом authorized_keys. Ово је универзална датотека коју ОпенССХ тражи. Можете променити име овога унутар ОпенССХ конфигурације /etc/ssh/sshd_config, ако се укаже потреба.
Користите свој омиљени уређивач да креирате датотеку. Овај водич ће користити нано:
nano ~/.ssh/authorized_keys
Копирајте и налепите свој ссх кључ у authorized_keysдатотеку коју смо отворили. Када је јавни кључ унутра, можете сачувати датотеку притиском на CTRL+ O.
Уверите се да се приказује одговарајућа путања датотеке:
/home/porthorian/.ssh/authorized_keys
Ако је то права путања датотеке, само притисните ENTER, у супротном извршите потребне измене да би одговарале примеру изнад. Затим изађите из датотеке са CTRL+ X.
Сада ћемо ограничити приступ датотеци:
chmod 600 ~/.ssh/authorized_keys
Изађите из нашег креираног корисника и вратите се на основног корисника:
exit
Сада можемо да онемогућимо аутентификацију лозинке на серверу, на тај начин ће за пријаву бити потребан ссх кључ. Важно је напоменути да ако онемогућите аутентификацију лозинком, а јавни кључ није исправно инсталиран, закључаћете свој сервер. Препоручује се да прво тестирате кључ пре него што се одјавите са свог роот корисника.
Тренутно смо пријављени на нашег роот корисника, тако да ћемо уредити sshd_config:
nano /etc/ssh/sshd_config
Потражићемо 3 вредности да бисмо били сигурни да је ОпенССХ исправно конфигурисан.
PasswordAuthenticationPubkeyAuthenticationChallengeResponseAuthenticationОве вредности можемо пронаћи притиском на CTRL+ W.
Вредности треба да буду подешене на следеће:
PasswordAuthentication no
ChallengeResponseAuthentication no
PubkeyAuthentication yes
Ако су вредности коментарисане, уклоните знак #на почетку реда и уверите се да су вредности тих променљивих као што је приказано изнад. Када сте променили ове варијабле, сачувајте и изађите свој едитор, са CTRL+ O, ENTERи коначно CTRL+ X.
Сада ћемо поново учитати sshdса следећом командом:
systemctl reload sshd
Сада можемо тестирати пријаву. Уверите се да се још нисте одјавили са своје роот сесије и отворите нови ссх прозор и повежите се са својим ссх кључем повезаним са везом.
У ПуТТИ ово је под Connection-> SSH-> Auth.
Претражите да бисте пронашли свој приватни кључ за аутентификацију, јер сте га требали сачувати приликом креирања ссх кључа.
Повежите се са својим сервером помоћу приватног кључа као аутентификације. Сада ћете бити пријављени на своју Вултр ВЦ2 виртуелну машину.
Напомена: Ако сте додали приступну фразу док сте генерисали ссх кључ, од вас ће бити затражено да је унесете. Ово је потпуно другачије од лозинке вашег стварног корисника на виртуелној машини.
Прво ћемо почети тако што ћемо инсталирати УФВ ако већ није на виртуелној машини. Добар начин да проверите је следећом командом:
sudo ufw status
Ако је УФВ инсталиран, он ће исписати Status:inactive. Ако није инсталиран, добићете упутства да то урадите.
Можемо га инсталирати овом командом:
sudo apt-get install ufw -y
Сада ћемо дозволити ССХ порт 22у нашем заштитном зиду:
sudo ufw allow 22
Алтернативно, можете дозволити ОпенССХ:
sudo ufw allow OpenSSH
Било која од горњих команди ће радити.
Сада када смо дозволили порт кроз наш заштитни зид, можемо омогућити УФВ:
sudo ufw enable
Бићете упитани да ли сте сигурни да желите да извршите ову операцију. Уписивање yнакон чега следи ENTERомогућиће заштитни зид:
porthorian@MEANStack:~$ sudo ufw enable
Command may disrupt existing ssh connections. Proceed with operation? y
Напомена: Ако нисте дозволили ОпенССХ или Порт 22, закључаћете своју виртуелну машину. Уверите се да је једно од ових дозвољено пре него што омогућите УФВ.
Када је заштитни зид омогућен, и даље ћете бити повезани са својом инстанцом. Сада ћемо поново проверити наш заштитни зид истом командом као и раније:
sudo ufw status
Видећете нешто слично следећем излазу:
porthorian@MEANStack:~$ sudo ufw status
Status: active
To Action From
-- ------ ----
22 ALLOW Anywhere
22 (v6) ALLOW Anywhere (v6)
Да бисмо додатно обезбедили наш сервер, користићемо наш Вултр заштитни зид. Пријавите се на свој налог . Када се пријавите, ићи ћете на картицу заштитног зида која се налази на врху екрана:
Сада ћемо додати нову групу заштитног зида. Ово ће нам омогућити да наведемо који портови чак могу доћи до нашег УФВ заштитног зида, пружајући нам двоструки слој сигурности:
Вултр ће вас сада питати како ћете назвати свој заштитни зид користећи поље „Опис“. Обавезно опишите шта ће сервери под овом групом заштитног зида радити, ради лакше будуће администрације. Зарад овог упутства даћемо му име test. Увек можете касније променити опис ако желите.
Прво ћемо морати да добијемо нашу ИП адресу. Разлог зашто ово радимо директно је тај што ако ваша ИП адреса није статична и стално се мења, можете једноставно да се пријавите на свој Вултр налог и промените ИП адресу.
Због тога нам није била потребна ИП адреса на УФВ заштитном зиду. Осим тога, ограничава употребу заштитног зида ваше виртуелне машине од филтрирања свих осталих портова и само дозвољава Вултр заштитном зиду да то управља. Ово ограничава оптерећење укупног филтрирања саобраћаја на вашој инстанци.
Користите Вултрово мрежно огледало да пронађете своју ИП адресу.
Дакле, сада када имамо нашу ИП адресу, додаћемо ИПВ4 правило у наш новокреирани заштитни зид:
Када унесете ИП адресу, кликните на +симбол да бисте своју ИП адресу додали у заштитни зид.
Ваша група заштитног зида ће изгледати овако:
Сада када имамо нашу ИП адресу правилно везану у групи заштитног зида, морамо да повежемо нашу Вултр инстанцу. На левој страни видећете картицу која каже „Повезане инстанце“:
Једном на страници видећете падајући мени са листом инстанци вашег сервера:
Кликните на падајући мени и изаберите своју инстанцу. Затим, када сте спремни да додате инстанцу у групу заштитног зида, кликните на +симбол.
Честитамо, успешно сте обезбедили своју Вултр ВЦ2 виртуелну машину. Ово вам даје добру основу за веома основни безбедносни слој без бриге да ће неко покушати да грубо форсира вашу инстанцу.
Вештачка интелигенција није у будућности, она је овде управо у садашњости. У овом блогу Прочитајте како су апликације вештачке интелигенције утицале на различите секторе.
Да ли сте и ви жртва ДДОС напада и збуњени сте методама превенције? Прочитајте овај чланак да бисте решили своја питања.
Можда сте чули да хакери зарађују много новца, али да ли сте се икада запитали како зарађују толики новац? Хајде да причамо.
Да ли желите да видите револуционарне изуме Гугла и како су ти изуми променили живот сваког људског бића данас? Затим читајте на блогу да бисте видели Гооглеове изуме.
Концепт самовозећих аутомобила који путују на путеве уз помоћ вештачке интелигенције је сан који већ неко време имамо. Али упркос неколико обећања, њих нема нигде. Прочитајте овај блог да сазнате више…
Како се наука развија великом брзином, преузимајући многе наше напоре, расте и ризик да се подвргнемо необјашњивој сингуларности. Прочитајте шта би сингуларност могла да значи за нас.
Прочитајте блог да бисте на најједноставнији начин упознали различите слојеве у архитектури великих података и њихове функционалности.
Методе складиштења података су се развијале можда од рођења података. Овај блог покрива еволуцију складиштења података на основу инфографике.
У овом дигиталном свету, паметни кућни уређаји постали су кључни део живота. Ево неколико невероватних предности паметних кућних уређаја о томе како они чине наш живот вредним живљења и једноставнијим.
Недавно је Аппле издао мацОС Цаталина 10.15.4 додатак за исправку проблема, али изгледа да ажурирање изазива више проблема који доводе до квара Мац машина. Прочитајте овај чланак да бисте сазнали више
