Konfigurasi Server Aman Awal dari Ubuntu 18.04

• pengantar
• Prasyarat
• Buat dan modifikasi pengguna
• Buat dan konfigurasikan kunci SSH
• Siapkan firewall dasar

pengantar

Sepanjang tutorial ini Anda akan belajar cara mengkonfigurasi tingkat keamanan dasar pada mesin virtual Vultr VC2 baru yang menjalankan Ubuntu 18.04.

Prasyarat

• Akun Vultr, Anda dapat membuatnya di sini
• Ubuntu 18,04 Vultr VM baru

Buat dan modifikasi pengguna

Hal pertama yang akan kita lakukan adalah membuat pengguna baru yang akan kita gunakan untuk masuk ke VM:

adduser porthorian

Catatan: Disarankan untuk menggunakan nama pengguna unik yang akan sulit ditebak. Kebanyakan bot akan default untuk mencoba root, admin, moderator, dan yang sejenis.

Anda akan dimintai kata sandi di sini. Hal ini sangat disarankan agar Anda menggunakan password alpha numerik yang kuat. Setelah itu, ikuti petunjuk di layar Anda dan ketika ditanya apakah informasi itu benar, cukup tekan Y.

Setelah pengguna baru ditambahkan, kami perlu memberikan izin sudo pengguna tersebut sehingga kami dapat menjalankan perintah dari pengguna atas nama pengguna root:

usermod -aG sudo porthorian

Setelah Anda memberikan izin sudo pengguna Anda beralih ke pengguna baru Anda:

su - porthorian

Buat dan konfigurasikan kunci SSH

Untuk menghasilkan kunci SSH, silakan ikuti dokumen ini .

Setelah Anda membuat kunci SSH baru Anda, salin kunci publik Anda. Seharusnya terlihat seperti berikut:

ssh-rsa AAAAB3NzaC1yc2EAAAABJQAAAQEAmB3uRWxAAELNJ8oGBCBmZx7S11vnAp0RG8rdKf6CLdvT7NMbKF55F8Wf0hFPewEryplaH54ibdmaTuheJVKy1lUhHnVi0AcBpkhJiiOQdEtvbYKT/eIkQl/Qm92Gz6aL3lJ0UknO4gO0LzgqI2vYX0b9LHMF+ZvApEDahLCna6RKo3/lffnANUKfExE+dVwOcJwATL3Ld5IkSatm7zBqbJAim0wj/JQ5ejzkL+aYd3YawpW3qf+WsY3HGbK2TIJt3LsiZJ3M7giZo/fVIZCJqsIOyO9NUOEx5/+KE8IniGb7gdRYgquAEJr89poDCNz/8CBODi9z3ukiE1+UnVlhfQ== rsa-key-20190408

Konfigurasikan direktori pengguna Anda

Arahkan ke direktori home pengguna Anda jika Anda belum memilikinya:

cd $HOME

$HOMEadalah variabel lingkungan untuk direktori home pengguna Anda. Ini secara otomatis diatur ketika pengguna baru dibuat.

Sementara di direktori home kami, kami akan menempatkan direktori lain di dalamnya. Direktori ini akan disembunyikan dari pengguna lain di mesin, kecuali root dan pengguna yang memiliki direktori. Buat direktori baru dan batasi izinnya dengan perintah berikut:

mkdir ~/.ssh
chmod 700 ~/.ssh

Sekarang kita akan membuka file .sshbernama authorized_keys. Ini adalah file universal yang dicari OpenSSH. Anda dapat mengubah nama ini di dalam konfigurasi OpenSSH /etc/ssh/sshd_config,, jika perlu.

Gunakan editor favorit Anda untuk membuat file. Tutorial ini akan menggunakan nano:

nano ~/.ssh/authorized_keys

Salin dan rekatkan kunci ssh Anda ke authorized_keysfile yang telah kami buka. Setelah kunci publik ada di dalam Anda dapat menyimpan file dengan menekan CTRL+ O.

Pastikan jalur file yang sesuai muncul:

/home/porthorian/.ssh/authorized_keys

Jika itu adalah jalur file yang benar, cukup tekan ENTER, jika tidak, buat perubahan yang diperlukan untuk mencocokkan contoh di atas. Kemudian keluar file dengan CTRL+ X.

Sekarang kita akan membatasi akses ke file:

chmod 600 ~/.ssh/authorized_keys

Keluar dari pengguna yang kami buat dan kembali ke pengguna root:

exit

Menonaktifkan otentikasi kata sandi

Kami sekarang dapat menonaktifkan otentikasi kata sandi ke server, dengan cara itu login akan memerlukan kunci ssh. Penting untuk dicatat bahwa jika Anda menonaktifkan otentikasi kata sandi dan kunci publik tidak diinstal dengan benar, Anda akan mengunci diri dari server Anda. Disarankan agar Anda menguji kunci terlebih dahulu sebelum bahkan keluar dari pengguna root Anda.

Kami saat ini masuk ke pengguna root kami, jadi kami akan mengedit sshd_config:

nano /etc/ssh/sshd_config

Kami akan mencari 3 nilai untuk memastikan bahwa OpenSSH dikonfigurasi dengan benar.

• PasswordAuthentication
• PubkeyAuthentication
• ChallengeResponseAuthentication

Kami dapat menemukan nilai-nilai ini dengan menekan CTRL+ W.

Nilai harus ditetapkan sebagai berikut:

PasswordAuthentication  no
ChallengeResponseAuthentication  no
PubkeyAuthentication  yes

Jika nilai-nilai dikomentari, hapus #di awal baris dan pastikan bahwa nilai-nilai variabel tersebut seperti yang ditunjukkan di atas. Setelah Anda mengubah variabel-variabel itu, simpan dan keluar dari editor Anda, dengan CTRL+ O, ENTERdan akhirnya CTRL+ X.

Sekarang kita akan memuat ulang sshddengan perintah berikut:

systemctl reload sshd

Sekarang kita dapat menguji login. Pastikan Anda belum keluar dari sesi root, dan buka jendela ssh baru dan sambungkan dengan kunci ssh Anda yang terhubung ke koneksi.

Dalam Putty ini berada di bawah Connection-> SSH-> Auth.

Jelajahi untuk menemukan kunci pribadi Anda untuk otentikasi, karena Anda harus menyimpannya saat membuat kunci ssh.

Hubungkan ke server Anda dengan kunci pribadi sebagai otentikasi Anda. Anda sekarang akan masuk ke mesin virtual Vultr VC2 Anda.

Catatan: Jika Anda menambahkan kata sandi saat membuat kunci ssh Anda akan diminta untuk memasukkannya. Ini sama sekali berbeda dari kata sandi pengguna Anda yang sebenarnya di mesin virtual.

Siapkan firewall dasar

Konfigurasikan UFW

Pertama kita akan mulai dengan menginstal UFW jika belum ada di mesin virtual. Cara yang baik untuk memeriksa adalah dengan perintah berikut:

sudo ufw status

Jika UFW diinstal, itu akan ditampilkan Status:inactive. Jika tidak diinstal, Anda akan diperintahkan untuk melakukannya.

Kita dapat menginstalnya dengan perintah ini:

sudo apt-get install ufw -y

Sekarang kita akan mengizinkan port SSH 22di firewall kita:

sudo ufw allow 22

Sebagai alternatif, Anda dapat mengizinkan OpenSSH:

sudo ufw allow OpenSSH

Salah satu dari perintah di atas akan berfungsi.

Sekarang kami telah mengizinkan port melalui firewall kami, kami dapat mengaktifkan UFW:

sudo ufw enable

Anda akan ditanya apakah Anda yakin ingin melakukan operasi ini. Mengetik ydiikuti oleh ENTERakan mengaktifkan firewall:

porthorian@MEANStack:~$ sudo ufw enable
Command may disrupt existing ssh connections. Proceed with operation? y

Catatan: Jika Anda tidak mengizinkan OpenSSH atau Port 22, Anda akan mengunci diri dari mesin virtual Anda. Pastikan salah satu dari ini diperbolehkan sebelum mengaktifkan UFW.

Setelah firewall diaktifkan, Anda masih akan terhubung ke instance Anda. Kita akan mengecek firewall kita sekarang dengan perintah yang sama seperti sebelumnya:

sudo ufw status

Anda akan melihat sesuatu yang mirip dengan output berikut:

porthorian@MEANStack:~$ sudo ufw status
Status: active

To                         Action      From
--                         ------      ----
22                         ALLOW       Anywhere
22 (v6)                    ALLOW       Anywhere (v6)

Mengkonfigurasi Vultr firewall

Untuk lebih mengamankan server kami, kami akan menggunakan Firewall Vultr kami. Masuk ke akun Anda . Setelah masuk, Anda akan menavigasi ke tab firewall yang terletak di bagian atas layar Anda:

Sekarang kita akan menambahkan grup firewall baru. Ini akan memungkinkan kami untuk menentukan port mana yang bahkan dapat mencapai firewall UFW kami, memberi kami keamanan ganda:

Vultr sekarang akan bertanya kepada Anda apa yang akan Anda beri nama firewall Anda menggunakan bidang "Deskripsi". Pastikan Anda menjelaskan apa yang akan dilakukan oleh server di bawah grup firewall ini, untuk administrasi yang lebih mudah di masa mendatang. Demi tutorial ini kita akan menamainya test. Anda selalu dapat mengubah deskripsi nanti jika mau.

Pertama kita perlu mendapatkan alamat IP kita. Alasan kami melakukan ini secara langsung adalah bahwa jika alamat IP Anda tidak statis dan terus berubah, Anda cukup masuk ke akun Vultr Anda dan mengubah alamat IP.

Itu juga sebabnya kami tidak memerlukan alamat IP pada firewall UFW. Plus itu membatasi penggunaan firewall mesin virtual Anda dari menyaring semua port lain dan hanya membiarkan firewall Vultr menanganinya. Ini membatasi ketegangan keseluruhan penyaringan lalu lintas pada instance Anda.

Gunakan kaca yang mencari jaringan Vultr untuk menemukan alamat IP Anda.

Jadi sekarang kita memiliki alamat IP kita, kita akan menambahkan Aturan IPV4 ke firewall yang baru kita buat:

Setelah Anda memasukkan alamat IP, klik +simbol untuk menambahkan alamat IP Anda ke firewall.

Grup firewall Anda akan terlihat seperti berikut:

Sekarang setelah IP kami diikat dengan benar di grup Firewall, kami perlu menautkan Instance Vultr kami. Di sisi kiri Anda akan melihat tab yang bertuliskan "Instance Terkait":

Setelah di halaman Anda akan melihat drop down dengan daftar contoh server Anda:

Klik tarik turun dan pilih contoh Anda. Kemudian, ketika Anda siap untuk menambahkan instance ke grup firewall klik +simbol.

Selamat, Anda telah berhasil mengamankan Mesin Virtual Vultr VC2 Anda. Ini memberi Anda dasar yang bagus untuk lapisan keamanan yang sangat mendasar tanpa khawatir ada orang yang mencoba memaksa Anda.