Почетна конфигурација безбедног сервера за Убунту 18.04

Увод

У овом водичу ћете научити како да конфигуришете основни ниво безбедности на потпуно новој Вултр ВЦ2 виртуелној машини која користи Убунту 18.04.

Предуслови

• Вултр налог, можете га креирати овде
• Нови Убунту 18.04 Вултр ВМ

Креирајте и измените корисника

Прва ствар коју ћемо урадити је да креирамо нашег новог корисника којег ћемо користити за пријављивање на ВМ:

adduser porthorian

Напомена: Препоручује се коришћење јединственог корисничког имена које ће бити тешко погодити. Већина ботова ће подразумевано покушати root, admin, moderator, и слично.

Овде ће вам бити затражено да унесете лозинку. То је снажно препоручује да користите јаку алфа нумерички лозинку. Након тога, пратите упутства на екрану и када вас пита да ли су информације тачне само притисните Y.

Када се тај нови корисник дода, мораћемо том кориснику да дамо судо дозволе да бисмо могли да извршавамо команде од корисника у име роот корисника:

usermod -aG sudo porthorian

Када свом кориснику дате судо дозволе, пређите на новог корисника:

su - porthorian

Генеришите и конфигуришите ССХ кључ

Да бисте генерисали ССХ кључ, пратите овај документ .

Када генеришете свој нови ССХ кључ, копирајте свој јавни кључ. Требало би да изгледа овако:

ssh-rsa AAAAB3NzaC1yc2EAAAABJQAAAQEAmB3uRWxAAELNJ8oGBCBmZx7S11vnAp0RG8rdKf6CLdvT7NMbKF55F8Wf0hFPewEryplaH54ibdmaTuheJVKy1lUhHnVi0AcBpkhJiiOQdEtvbYKT/eIkQl/Qm92Gz6aL3lJ0UknO4gO0LzgqI2vYX0b9LHMF+ZvApEDahLCna6RKo3/lffnANUKfExE+dVwOcJwATL3Ld5IkSatm7zBqbJAim0wj/JQ5ejzkL+aYd3YawpW3qf+WsY3HGbK2TIJt3LsiZJ3M7giZo/fVIZCJqsIOyO9NUOEx5/+KE8IniGb7gdRYgquAEJr89poDCNz/8CBODi9z3ukiE1+UnVlhfQ== rsa-key-20190408

Конфигуришите директоријум корисника

Идите до кућног директоријума корисника ако већ нисте у њему:

cd $HOME

$HOMEје променљива окружења за кућни директоријум ваших корисника. Ово се аутоматски поставља када се креира нови корисник.

Док смо у нашем матичном директоријуму, у њега ћемо поставити још један директоријум. Овај директоријум ће бити скривен од других корисника на машини, осим роот-а и корисника који поседује директоријум. Креирајте нови директоријум и ограничите његове дозволе следећим командама:

mkdir ~/.ssh
chmod 700 ~/.ssh

Сада ћемо отворити датотеку у .sshпод називом authorized_keys. Ово је универзална датотека коју ОпенССХ тражи. Можете променити име овога унутар ОпенССХ конфигурације /etc/ssh/sshd_config, ако се укаже потреба.

Користите свој омиљени уређивач да креирате датотеку. Овај водич ће користити нано:

nano ~/.ssh/authorized_keys

Копирајте и налепите свој ссх кључ у authorized_keysдатотеку коју смо отворили. Када је јавни кључ унутра, можете сачувати датотеку притиском на CTRL+ O.

Уверите се да се приказује одговарајућа путања датотеке:

/home/porthorian/.ssh/authorized_keys

Ако је то права путања датотеке, само притисните ENTER, у супротном извршите потребне измене да би одговарале примеру изнад. Затим изађите из датотеке са CTRL+ X.

Сада ћемо ограничити приступ датотеци:

chmod 600 ~/.ssh/authorized_keys

Изађите из нашег креираног корисника и вратите се на основног корисника:

exit

Онемогућавање аутентификације лозинке

Сада можемо да онемогућимо аутентификацију лозинке на серверу, на тај начин ће за пријаву бити потребан ссх кључ. Важно је напоменути да ако онемогућите аутентификацију лозинком, а јавни кључ није исправно инсталиран, закључаћете свој сервер. Препоручује се да прво тестирате кључ пре него што се одјавите са свог роот корисника.

Тренутно смо пријављени на нашег роот корисника, тако да ћемо уредити sshd_config:

nano /etc/ssh/sshd_config

Потражићемо 3 вредности да бисмо били сигурни да је ОпенССХ исправно конфигурисан.

• PasswordAuthentication
• PubkeyAuthentication
• ChallengeResponseAuthentication

Ове вредности можемо пронаћи притиском на CTRL+ W.

Вредности треба да буду подешене на следеће:

PasswordAuthentication  no
ChallengeResponseAuthentication  no
PubkeyAuthentication  yes

Ако су вредности коментарисане, уклоните знак #на почетку реда и уверите се да су вредности тих променљивих као што је приказано изнад. Када сте променили ове варијабле, сачувајте и изађите свој едитор, са CTRL+ O, ENTERи коначно CTRL+ X.

Сада ћемо поново учитати sshdса следећом командом:

systemctl reload sshd

Сада можемо тестирати пријаву. Уверите се да се још нисте одјавили са своје роот сесије и отворите нови ссх прозор и повежите се са својим ссх кључем повезаним са везом.

У ПуТТИ ово је под Connection-> SSH-> Auth.

Претражите да бисте пронашли свој приватни кључ за аутентификацију, јер сте га требали сачувати приликом креирања ссх кључа.

Повежите се са својим сервером помоћу приватног кључа као аутентификације. Сада ћете бити пријављени на своју Вултр ВЦ2 виртуелну машину.

Напомена: Ако сте додали приступну фразу док сте генерисали ссх кључ, од вас ће бити затражено да је унесете. Ово је потпуно другачије од лозинке вашег стварног корисника на виртуелној машини.

Подесите основни заштитни зид

Конфигуришите УФВ

Прво ћемо почети тако што ћемо инсталирати УФВ ако већ није на виртуелној машини. Добар начин да проверите је следећом командом:

sudo ufw status

Ако је УФВ инсталиран, он ће исписати Status:inactive. Ако није инсталиран, добићете упутства да то урадите.

Можемо га инсталирати овом командом:

sudo apt-get install ufw -y

Сада ћемо дозволити ССХ порт 22у нашем заштитном зиду:

sudo ufw allow 22

Алтернативно, можете дозволити ОпенССХ:

sudo ufw allow OpenSSH

Било која од горњих команди ће радити.

Сада када смо дозволили порт кроз наш заштитни зид, можемо омогућити УФВ:

sudo ufw enable

Бићете упитани да ли сте сигурни да желите да извршите ову операцију. Уписивање yнакон чега следи ENTERомогућиће заштитни зид:

porthorian@MEANStack:~$ sudo ufw enable
Command may disrupt existing ssh connections. Proceed with operation? y

Напомена: Ако нисте дозволили ОпенССХ или Порт 22, закључаћете своју виртуелну машину. Уверите се да је једно од ових дозвољено пре него што омогућите УФВ.

Када је заштитни зид омогућен, и даље ћете бити повезани са својом инстанцом. Сада ћемо поново проверити наш заштитни зид истом командом као и раније:

sudo ufw status

Видећете нешто слично следећем излазу:

porthorian@MEANStack:~$ sudo ufw status
Status: active

To                         Action      From
--                         ------      ----
22                         ALLOW       Anywhere
22 (v6)                    ALLOW       Anywhere (v6)

Конфигурисање Вултр заштитног зида

Да бисмо додатно обезбедили наш сервер, користићемо наш Вултр заштитни зид. Пријавите се на свој налог . Када се пријавите, ићи ћете на картицу заштитног зида која се налази на врху екрана:

Сада ћемо додати нову групу заштитног зида. Ово ће нам омогућити да наведемо који портови чак могу доћи до нашег УФВ заштитног зида, пружајући нам двоструки слој сигурности:

Вултр ће вас сада питати како ћете назвати свој заштитни зид користећи поље „Опис“. Обавезно опишите шта ће сервери под овом групом заштитног зида радити, ради лакше будуће администрације. Зарад овог упутства даћемо му име test. Увек можете касније променити опис ако желите.

Прво ћемо морати да добијемо нашу ИП адресу. Разлог зашто ово радимо директно је тај што ако ваша ИП адреса није статична и стално се мења, можете једноставно да се пријавите на свој Вултр налог и промените ИП адресу.

Због тога нам није била потребна ИП адреса на УФВ заштитном зиду. Осим тога, ограничава употребу заштитног зида ваше виртуелне машине од филтрирања свих осталих портова и само дозвољава Вултр заштитном зиду да то управља. Ово ограничава оптерећење укупног филтрирања саобраћаја на вашој инстанци.

Користите Вултрово мрежно огледало да пронађете своју ИП адресу.

Дакле, сада када имамо нашу ИП адресу, додаћемо ИПВ4 правило у наш новокреирани заштитни зид:

Када унесете ИП адресу, кликните на +симбол да бисте своју ИП адресу додали у заштитни зид.

Ваша група заштитног зида ће изгледати овако:

Сада када имамо нашу ИП адресу правилно везану у групи заштитног зида, морамо да повежемо нашу Вултр инстанцу. На левој страни видећете картицу која каже „Повезане инстанце“:

Једном на страници видећете падајући мени са листом инстанци вашег сервера:

Кликните на падајући мени и изаберите своју инстанцу. Затим, када сте спремни да додате инстанцу у групу заштитног зида, кликните на +симбол.

Честитамо, успешно сте обезбедили своју Вултр ВЦ2 виртуелну машину. Ово вам даје добру основу за веома основни безбедносни слој без бриге да ће неко покушати да грубо форсира вашу инстанцу.