Початкова конфігурація безпечного сервера Ubuntu 18.04

Вступ

У цьому посібнику ви дізнаєтеся, як налаштувати базовий рівень безпеки на новій віртуальній машині Vultr VC2 під керуванням Ubuntu 18.04.

Передумови

• Обліковий запис Vultr, ви можете створити його тут
• Нова віртуальна машина Ubuntu 18.04 Vultr

Створити та змінити користувача

Перше, що ми збираємося зробити, це створити нашого нового користувача, якого ми будемо використовувати для входу у віртуальну машину:

adduser porthorian

Примітка. Рекомендується використовувати унікальне ім’я користувача, яке буде важко вгадати. Більшість ботів за замовчуванням спробують root, admin, moderator, тощо.

Тут вам буде запропоновано ввести пароль. Він настійно рекомендується використовувати сильні буквено - цифровий пароль. Після цього дотримуйтесь підказок на екрані, а коли він запитає вас, чи правильна інформація, просто натисніть Y.

Після додавання нового користувача нам потрібно буде надати цьому користувачеві дозволи sudo, щоб ми могли виконувати команди від користувача від імені користувача root:

usermod -aG sudo porthorian

Після того, як ви надали своєму користувачеві дозволи sudo, перейдіть на нового користувача:

su - porthorian

Згенеруйте та налаштуйте ключ SSH

Щоб створити ключ SSH, дотримуйтесь цього документа .

Після створення нового ключа SSH скопіюйте відкритий ключ. Це має виглядати так:

ssh-rsa AAAAB3NzaC1yc2EAAAABJQAAAQEAmB3uRWxAAELNJ8oGBCBmZx7S11vnAp0RG8rdKf6CLdvT7NMbKF55F8Wf0hFPewEryplaH54ibdmaTuheJVKy1lUhHnVi0AcBpkhJiiOQdEtvbYKT/eIkQl/Qm92Gz6aL3lJ0UknO4gO0LzgqI2vYX0b9LHMF+ZvApEDahLCna6RKo3/lffnANUKfExE+dVwOcJwATL3Ld5IkSatm7zBqbJAim0wj/JQ5ejzkL+aYd3YawpW3qf+WsY3HGbK2TIJt3LsiZJ3M7giZo/fVIZCJqsIOyO9NUOEx5/+KE8IniGb7gdRYgquAEJr89poDCNz/8CBODi9z3ukiE1+UnVlhfQ== rsa-key-20190408

Налаштуйте свій каталог користувачів

Перейдіть до домашнього каталогу користувачів, якщо ви ще не в ньому:

cd $HOME

$HOMEє змінною середовища для домашнього каталогу ваших користувачів. Це автоматично встановлюється під час створення нового користувача.

Перебуваючи в нашому домашньому каталозі, ми збираємося розмістити в ньому інший каталог. Цей каталог буде приховано від інших користувачів на комп’ютері, за винятком root та користувача, якому належить цей каталог. Створіть новий каталог і обмежте його дозволи за допомогою таких команд:

mkdir ~/.ssh
chmod 700 ~/.ssh

Тепер ми збираємося відкрити файл .sshназивається authorized_keys. Це універсальний файл, який шукає OpenSSH. Ви можете змінити назву цього в конфігурації OpenSSH /etc/ssh/sshd_config, якщо виникне така потреба.

Використовуйте свій улюблений редактор для створення файлу. У цьому підручнику буде використовуватися nano:

nano ~/.ssh/authorized_keys

Скопіюйте та вставте ваш ключ ssh у authorized_keysфайл, який ми відкрили. Після того, як відкритий ключ знаходиться всередині, ви можете зберегти файл, натиснувши CTRL+ O.

Переконайтеся, що відображається відповідний шлях до файлу:

/home/porthorian/.ssh/authorized_keys

Якщо це правильний шлях до файлу, просто натисніть ENTER, інакше внесіть необхідні зміни, щоб відповідати прикладу вище. Потім закрийте файл, натиснувши CTRL+ X.

Тепер ми збираємося обмежити доступ до файлу:

chmod 600 ~/.ssh/authorized_keys

Вийдіть із створеного користувача та поверніться до користувача root:

exit

Вимкнення аутентифікації пароля

Тепер ми можемо вимкнути автентифікацію паролем на сервері, таким чином для входу буде потрібно ключ ssh. Важливо зазначити, що якщо ви вимкнули автентифікацію паролем і відкритий ключ був встановлений неправильно, ви заблокуєте свій сервер. Рекомендується спочатку перевірити ключ, перш ніж навіть вийти з системи root.

Наразі ми ввійшли в систему нашого root-користувача, тому ми збираємося відредагувати sshd_config:

nano /etc/ssh/sshd_config

Ми збираємося шукати 3 значення, щоб переконатися, що OpenSSH налаштовано належним чином.

• PasswordAuthentication
• PubkeyAuthentication
• ChallengeResponseAuthentication

Ми можемо знайти ці значення, натиснувши CTRL+ W.

Значення мають бути встановлені таким чином:

PasswordAuthentication  no
ChallengeResponseAuthentication  no
PubkeyAuthentication  yes

Якщо значення закоментовано, видаліть позначку #на початку рядка та переконайтеся, що значення цих змінних є такими, як показано вище. Після того, як ви змінили ці змінні, зберегти і вийти з редактора, з CTRL+ O, ENTERі , нарешті , CTRL+ X.

Тепер ми збираємося перезавантажити за sshdдопомогою такої команди:

systemctl reload sshd

Тепер ми можемо перевірити логін. Переконайтеся, що ви ще не вийшли зі свого кореневого сеансу, і відкрийте нове вікно ssh і підключіться за допомогою вашого ключа ssh, пов’язаного із з’єднанням.

У PuTTY це знаходиться під Connection-> SSH-> Auth.

Перегляньте, щоб знайти свій закритий ключ для аутентифікації, оскільки ви повинні були зберегти його під час створення ключа ssh.

Підключіться до свого сервера за допомогою приватного ключа як аутентифікації. Тепер ви ввійдете у свою віртуальну машину Vultr VC2.

Примітка. Якщо ви додали парольну фразу під час створення ключа ssh, вам буде запропоновано її ввести. Це повністю відрізняється від пароля вашого фактичного користувача на віртуальній машині.

Налаштуйте базовий брандмауер

Налаштуйте UFW

Спочатку ми збираємося почати з встановлення UFW, якщо його ще немає на віртуальній машині. Хороший спосіб перевірити це за допомогою такої команди:

sudo ufw status

Якщо UFW встановлено, він виведе Status:inactive. Якщо він не встановлений, вам буде запропоновано це зробити.

Ми можемо встановити його за допомогою цієї команди:

sudo apt-get install ufw -y

Тепер ми дозволимо порт SSH 22у нашому брандмауері:

sudo ufw allow 22

Крім того, ви можете дозволити OpenSSH:

sudo ufw allow OpenSSH

Будь-яка з наведених вище команд буде працювати.

Тепер, коли ми дозволили порт через наш брандмауер, ми можемо ввімкнути UFW:

sudo ufw enable

Вас запитають, чи впевнені ви, що хочете виконати цю операцію. Typing yпотім ENTERбуде включити брандмауер:

porthorian@MEANStack:~$ sudo ufw enable
Command may disrupt existing ssh connections. Proceed with operation? y

Примітка: якщо ви не дозволили OpenSSH або порт 22, ви заблокуєте свою віртуальну машину. Перш ніж увімкнути UFW, переконайтеся, що одне з них дозволено.

Після ввімкнення брандмауера ви все одно будете підключені до свого екземпляра. Зараз ми перевіримо наш брандмауер за допомогою тієї ж команди, що й раніше:

sudo ufw status

Ви побачите щось подібне до наступного результату:

porthorian@MEANStack:~$ sudo ufw status
Status: active

To                         Action      From
--                         ------      ----
22                         ALLOW       Anywhere
22 (v6)                    ALLOW       Anywhere (v6)

Налаштування брандмауера Vultr

Для подальшого захисту нашого сервера ми будемо використовувати наш брандмауер Vultr. Увійдіть у свій обліковий запис . Після входу ви перейдете на вкладку брандмауера, розташовану у верхній частині екрана:

Тепер ми збираємося додати нову групу брандмауера. Це дозволить нам вказати, які порти можуть навіть досягати нашого брандмауера UFW, забезпечуючи нам подвійний рівень безпеки:

Тепер Vultr запитає вас, як ви збираєтеся назвати свій брандмауер, використовуючи поле «Опис». Переконайтеся, що ви описали, що будуть робити сервери в цій групі брандмауера, для полегшення адміністрування в майбутньому. Заради цього підручника ми назвемо його test. Ви завжди можете змінити опис пізніше, якщо хочете.

Спочатку нам потрібно отримати нашу IP-адресу. Причина, чому ми робимо це безпосередньо, полягає в тому, що якщо ваша IP-адреса не є статичною і постійно змінюється, ви можете просто увійти у свій обліковий запис Vultr і змінити IP-адресу.

Саме тому ми не вимагали IP-адресу на брандмауері UFW. Крім того, це обмежує використання брандмауера вашої віртуальної машини від фільтрації всіх інших портів і дозволяє брандмауеру Vultr обробляти це. Це обмежує навантаження на загальну фільтрацію трафіку на вашому екземплярі.

Використовуйте мережеве дзеркало Vultr, щоб знайти свою IP-адресу.

Отже, тепер, коли у нас є наша IP-адреса, ми збираємося додати правило IPV4 до нашого щойно створеного брандмауера:

Після того, як ви ввели IP-адресу, клацніть +символ, щоб додати свою IP-адресу до брандмауера.

Ваша група брандмауера матиме такий вигляд:

Тепер, коли наш IP-адрес належним чином прив’язано до групи брандмауера, нам потрібно зв’язати наш екземпляр Vultr. Зліва ви побачите вкладку «Пов’язані екземпляри»:

На сторінці ви побачите спадне меню зі списком екземплярів вашого сервера:

Натисніть спадне меню та виберіть свій екземпляр. Потім, коли ви будете готові додати екземпляр до групи брандмауера, клацніть +символ.

Вітаємо, ви успішно захистили свою віртуальну машину Vultr VC2. Це дає вам хорошу основу для дуже базового рівня безпеки, не турбуючись про те, що хтось спробує переборщити ваш екземпляр.