Ubuntu 18.04의 초기 보안 서버 구성

• 소개
• 전제 조건
• 사용자 생성 및 수정
• SSH 키 생성 및 구성
• 기본 방화벽 설정

소개

이 튜토리얼을 통해 Ubuntu 18.04를 실행하는 새로운 Vultr VC2 가상 머신에서 기본 수준의 보안을 구성하는 방법을 배우게됩니다.

전제 조건

• Vultr 계정은 여기에서 만들 수 있습니다
• 새로운 우분투 18.04 Vultr VM

사용자 생성 및 수정

가장 먼저 할 일은 VM에 로그인하는 데 사용할 새 사용자를 만드는 것입니다.

adduser porthorian

참고 : 추측하기 어려운 고유 한 사용자 이름을 사용하는 것이 좋습니다. 대부분의 봇은 시도 기본값으로 root, admin, moderator, 및 이와 유사한.

여기에 비밀번호를 묻는 메시지가 나타납니다. 되어 강력하게 당신이 강한 알파 숫자 암호를 사용하는 것이 좋습니다. 그런 다음 화면의 지시를 따르고 정보가 올바른지 묻는 메시지가 나타나면를 누르십시오 Y.

새 사용자가 추가되면 해당 사용자에게 sudo 권한을 부여하여 루트 사용자 대신 사용자의 명령을 실행할 수 있습니다.

usermod -aG sudo porthorian

사용자에게 sudo 권한을 부여하면 새 사용자로 전환하십시오.

su - porthorian

SSH 키 생성 및 구성

SSH 키를 생성하려면 이 문서 를 따르십시오 .

새 SSH 키를 생성했으면 공개 키를 복사하십시오. 다음과 같아야합니다.

ssh-rsa AAAAB3NzaC1yc2EAAAABJQAAAQEAmB3uRWxAAELNJ8oGBCBmZx7S11vnAp0RG8rdKf6CLdvT7NMbKF55F8Wf0hFPewEryplaH54ibdmaTuheJVKy1lUhHnVi0AcBpkhJiiOQdEtvbYKT/eIkQl/Qm92Gz6aL3lJ0UknO4gO0LzgqI2vYX0b9LHMF+ZvApEDahLCna6RKo3/lffnANUKfExE+dVwOcJwATL3Ld5IkSatm7zBqbJAim0wj/JQ5ejzkL+aYd3YawpW3qf+WsY3HGbK2TIJt3LsiZJ3M7giZo/fVIZCJqsIOyO9NUOEx5/+KE8IniGb7gdRYgquAEJr89poDCNz/8CBODi9z3ukiE1+UnVlhfQ== rsa-key-20190408

사용자 디렉토리를 구성하십시오.

아직 사용자 홈 디렉토리로 이동하지 않은 경우 :

cd $HOME

$HOME사용자 홈 디렉토리의 환경 변수입니다. 새 사용자가 생성되면 자동으로 설정됩니다.

우리의 홈 디렉토리에있는 동안 우리는 그 안에 다른 디렉토리를 배치 할 것입니다. 이 디렉토리는 루트 및 디렉토리를 소유 한 사용자를 제외하고 머신의 다른 사용자로부터 숨겨집니다. 다음 명령으로 새 디렉토리를 작성하고 권한을 제한하십시오.

mkdir ~/.ssh
chmod 700 ~/.ssh

이제 .ssh라는 파일을 열 것 authorized_keys입니다. 이것은 OpenSSH가 찾는 범용 파일입니다. /etc/ssh/sshd_config필요한 경우 OpenSSH 구성 내에서이 이름을 변경할 수 있습니다 .

선호하는 편집기를 사용하여 파일을 작성하십시오. 이 튜토리얼은 nano를 사용합니다 :

nano ~/.ssh/authorized_keys

ssh 키를 복사 한 authorized_keys파일에 붙여 넣 습니다. 공개 키가 있으면 CTRL+ 를 눌러 파일을 저장할 수 있습니다 O.

적절한 파일 경로가 나타나는지 확인하십시오.

/home/porthorian/.ssh/authorized_keys

올바른 파일 경로이면을 누르십시오 ENTER. 그렇지 않으면 위의 예와 일치하도록 필요한 사항을 변경하십시오. 그런 다음 CTRL+로 파일을 종료하십시오 X.

이제 파일에 대한 액세스를 제한 할 것입니다.

chmod 600 ~/.ssh/authorized_keys

작성된 사용자를 종료하고 루트 사용자로 돌아가십시오.

exit

비밀번호 인증 비활성화

로그인시 ssh 키가 필요한 방식으로 서버에 대한 비밀번호 인증을 비활성화 할 수 있습니다. 비밀번호 인증을 사용하지 않고 공개 키가 올바르게 설치되지 않은 경우 서버에서 자신을 잠 그게됩니다. 루트 사용자를 로그 아웃하기 전에 키를 먼저 테스트하는 것이 좋습니다.

현재 루트 사용자로 로그인 했으므로 다음을 편집 할 것입니다 sshd_config.

nano /etc/ssh/sshd_config

OpenSSH가 올바르게 구성되었는지 확인하기 위해 3 개의 값을 검색 할 것입니다.

• PasswordAuthentication
• PubkeyAuthentication
• ChallengeResponseAuthentication

CTRL+ 를 누르면 이러한 값을 찾을 수 있습니다 W.

값은 다음과 같이 설정해야합니다.

PasswordAuthentication  no
ChallengeResponseAuthentication  no
PubkeyAuthentication  yes

값이 주석 처리 된 #경우 행의 시작 부분에서를 제거하고 해당 변수의 값이 위와 같은지 확인하십시오. 당신이 그 변수를 변경하면, 저장과, 편집기를 종료 CTRL+ O, ENTER마침내와 CTRL+ X.

이제 sshd다음 명령 으로 다시로드하겠습니다 .

systemctl reload sshd

이제 로그인을 테스트 할 수 있습니다. 아직 루트 세션에서 로그 아웃하지 않았는지 확인하고 새 ssh 창을 열고 연결에 연결된 ssh 키로 연결하십시오.

PuTTY에서 이것은 Connection-> SSH-> 아래에 Auth있습니다.

ssh 키를 작성할 때 저장 했으므로 인증을위한 개인 키를 찾아보십시오.

개인 키를 인증으로 사용하여 서버에 연결하십시오. 이제 Vultr VC2 가상 머신에 로그인됩니다.

참고 : ssh 키를 생성하는 동안 암호를 추가하면 암호를 입력하라는 메시지가 표시됩니다. 이것은 가상 머신의 실제 사용자 비밀번호와는 완전히 다릅니다.

기본 방화벽 설정

UFW 구성

먼저 가상 머신에 UFW가 설치되어 있지 않은 경우 UFW를 설치합니다. 확인하는 좋은 방법은 다음 명령을 사용하는 것입니다.

sudo ufw status

UFW가 설치되어 있으면을 출력 Status:inactive합니다. 설치되어 있지 않으면 설치하라는 메시지가 표시됩니다.

다음 명령으로 설치할 수 있습니다 :

sudo apt-get install ufw -y

이제 22방화벽에서 SSH 포트를 허용 할 것입니다 :

sudo ufw allow 22

또는 OpenSSH를 허용 할 수 있습니다.

sudo ufw allow OpenSSH

위의 명령 중 하나가 작동합니다.

방화벽을 통해 포트를 허용 했으므로 UFW를 활성화 할 수 있습니다.

sudo ufw enable

이 작업을 수행 할 것인지 묻는 메시지가 표시됩니다. 타이핑 한 y다음 ENTER방화벽을 활성화합니다 :

porthorian@MEANStack:~$ sudo ufw enable
Command may disrupt existing ssh connections. Proceed with operation? y

참고 : OpenSSH 또는 포트 22를 허용하지 않으면 가상 머신에서 자신을 잠 그게됩니다. UFW를 활성화하기 전에 이들 중 하나가 허용되는지 확인하십시오.

방화벽이 활성화되면 여전히 인스턴스에 연결됩니다. 이전과 동일한 명령으로 방화벽을 다시 확인하겠습니다.

sudo ufw status

다음과 유사한 결과가 나타납니다.

porthorian@MEANStack:~$ sudo ufw status
Status: active

To                         Action      From
--                         ------      ----
22                         ALLOW       Anywhere
22 (v6)                    ALLOW       Anywhere (v6)

Vultr 방화벽 구성

서버를 더욱 안전하게 보호하기 위해 Vultr Firewall을 사용합니다. 귀하의 계정에 로그인 하십시오 . 로그인하면 화면 상단에 위치한 방화벽 탭으로 이동합니다.

이제 새로운 방화벽 그룹을 추가하겠습니다. 이를 통해 UFW 방화벽에 도달 할 수있는 포트를 지정하여 이중 보안 계층을 제공 할 수 있습니다.

Vultr는 이제 "설명"필드를 사용하여 방화벽의 이름을 지정할 것입니다. 향후 관리를 쉽게하기 위해이 방화벽 그룹의 서버가 수행 할 작업을 설명해야합니다. 이 튜토리얼을 위해 이름을하겠습니다 test. 원하는 경우 언제든지 설명을 변경할 수 있습니다.

먼저 IP 주소를 얻어야합니다. 우리가 직접하는 이유는 IP 주소가 고정적이지 않고 지속적으로 변경되는 경우 Vultr 계정에 로그인하여 IP 주소를 변경하기 때문입니다.

UFW 방화벽에서 IP 주소가 필요하지 않은 이유이기도합니다. 또한 가상 머신의 방화벽 사용이 다른 모든 포트를 필터링하는 것을 제한하고 Vultr 방화벽이이를 처리하도록합니다. 이는 인스턴스에서 전체 트래픽 필터링의 부담을 제한합니다.

Vultr의 네트워크 유리 를 사용 하여 IP 주소를 찾으십시오.

이제 IP 주소를 얻었으므로 새로 만든 방화벽에 IPV4 규칙을 추가합니다.

IP 주소를 입력했으면 +기호를 클릭 하여 IP 주소를 방화벽에 추가하십시오.

방화벽 그룹은 다음과 같습니다.

방화벽 그룹에 IP가 올바르게 바인딩되었으므로 Vultr 인스턴스를 연결해야합니다. 왼쪽에는 "링크 된 인스턴스"라는 탭이 있습니다.

페이지에 들어가면 서버 인스턴스 목록이있는 드롭 다운이 표시됩니다.

드롭 다운을 클릭하고 인스턴스를 선택하십시오. 그런 다음 방화벽 그룹에 인스턴스를 추가 할 준비가되면 +기호를 클릭하십시오 .

축하합니다. Vultr VC2 가상 머신을 성공적으로 보호했습니다. 이를 통해 누군가가 인스턴스를 무차별 대입하려고 할 염려없이 매우 기본적인 보안 계층에 대한 좋은 기초를 제공합니다.