Configurarea inițială a serverului securizat al Ubuntu 18.04

• Introducere
• Cerințe preliminare
• Creați și modificați un utilizator
• Generați și configurați o cheie SSH
• Configurarea unui firewall de bază

Introducere

Pe parcursul acestui tutorial, veți învăța cum să configurați un nivel de bază de securitate pe o mașină virtuală Vultr VC2 nouă, care rulează Ubuntu 18.04.

Cerințe preliminare

• Un cont Vultr, puteți crea unul aici
• O nouă Ubuntu 18.04 Vultr VM

Creați și modificați un utilizator

Primul lucru pe care îl vom face este să creăm noul nostru utilizator pe care îl vom folosi pentru a vă conecta la VM:

adduser porthorian

Notă: Se recomandă utilizarea unui nume de utilizator unic, care va fi dificil de ghicit. Cele mai multe roboții vor implicit pentru a încerca root, admin, moderator, și altele similare.

Vi se va solicita o parolă aici. Este puternic recomandat să utilizați o parolă puternică alfa numerică. După aceea, urmați instrucțiunile de pe ecran și atunci când vă întreabă dacă informațiile sunt corecte, apăsați Y.

Odată adăugat acel nou utilizator, va trebui să acordăm permisiunile sudo acelui utilizator, astfel încât să putem executa comenzi de la utilizator în numele utilizatorului rădăcină:

usermod -aG sudo porthorian

După ce ați dat permisiunile de sudo utilizator treceți la noul dvs. utilizator:

su - porthorian

Generați și configurați o cheie SSH

Pentru a genera cheia SSH, vă rugăm să urmați acest document .

După ce ați generat noua dvs. cheie SSH, copiați cheia publică. Ar trebui să arate astfel:

ssh-rsa AAAAB3NzaC1yc2EAAAABJQAAAQEAmB3uRWxAAELNJ8oGBCBmZx7S11vnAp0RG8rdKf6CLdvT7NMbKF55F8Wf0hFPewEryplaH54ibdmaTuheJVKy1lUhHnVi0AcBpkhJiiOQdEtvbYKT/eIkQl/Qm92Gz6aL3lJ0UknO4gO0LzgqI2vYX0b9LHMF+ZvApEDahLCna6RKo3/lffnANUKfExE+dVwOcJwATL3Ld5IkSatm7zBqbJAim0wj/JQ5ejzkL+aYd3YawpW3qf+WsY3HGbK2TIJt3LsiZJ3M7giZo/fVIZCJqsIOyO9NUOEx5/+KE8IniGb7gdRYgquAEJr89poDCNz/8CBODi9z3ukiE1+UnVlhfQ== rsa-key-20190408

Configurați directorul utilizatorilor

Navigați la directorul principal al utilizatorilor dvs. dacă nu sunteți deja în el:

cd $HOME

$HOMEeste variabila de mediu pentru directorul principal al utilizatorilor. Aceasta este setată automat la crearea noului utilizator.

În timp ce se află în directorul nostru de acasă, vom pune un alt director în interiorul său. Acest director va fi ascuns de alți utilizatori de pe mașină, cu excepția root și a utilizatorului care deține directorul. Creați noul director și restricționați-le permisiunile cu următoarele comenzi:

mkdir ~/.ssh
chmod 700 ~/.ssh

Acum vom deschide un fișier în .sshapel authorized_keys. Acesta este fișierul universal pe care îl caută OpenSSH. Puteți schimba numele acestui lucru în configurația OpenSSH /etc/ssh/sshd_config, dacă apare nevoia.

Utilizați editorul preferat pentru a crea fișierul. Acest tutorial va folosi nano:

nano ~/.ssh/authorized_keys

Copiați și lipiți cheia dvs. ssh în authorized_keysfișierul pe care l-am deschis. Odată ce tasta publică se află în interior, puteți salva fișierul apăsând CTRL+ O.

Asigurați-vă că apare calea de fișier corespunzătoare:

/home/porthorian/.ssh/authorized_keys

Dacă este calea corectă a fișierului ENTER, apăsați , altfel, faceți modificările necesare pentru a se potrivi cu exemplul de mai sus. Apoi ieșiți fișierul cu CTRL+ X.

Acum vom restricționa accesul la fișier:

chmod 600 ~/.ssh/authorized_keys

Ieșiți de utilizatorul nostru creat și reveniți la utilizatorul root:

exit

Dezactivare autentificare parolă

Acum putem dezactiva autentificarea cu parolă pe server, astfel încât conectarea va necesita o cheie ssh. Este important să rețineți că dacă dezactivați autentificarea cu parolă și cheia publică nu a fost instalată corect, vă veți bloca din server. Se recomandă să testați cheia mai întâi înainte de a vă deconecta chiar de la utilizatorul root.

În prezent suntem conectați la utilizatorul nostru root, deci vom modifica sshd_config:

nano /etc/ssh/sshd_config

Vom căuta 3 valori pentru a ne asigura că OpenSSH este configurat corect.

• PasswordAuthentication
• PubkeyAuthentication
• ChallengeResponseAuthentication

Putem găsi aceste valori apăsând CTRL+ W.

Valorile trebuie setate la următoarele:

PasswordAuthentication  no
ChallengeResponseAuthentication  no
PubkeyAuthentication  yes

Dacă valorile sunt comentate, îndepărtați tasta #la începutul liniei și asigurați-vă că valorile respectivelor variabile sunt așa cum se arată mai sus. După ce ați modificat acele variabile, salvați și ieșiți din editor, cu CTRL+ O, ENTERși în final CTRL+ X.

Acum vom reîncărca sshdcu următoarea comandă:

systemctl reload sshd

Acum putem testa autentificarea. Asigurați-vă că nu v-ați deconectat încă din sesiunea root și deschideți o nouă fereastră ssh și conectați-vă cu cheia dvs. ssh legată de conexiune.

În PuTTY aceasta este sub Connection-> SSH-> Auth.

Căutați pentru a găsi cheia privată pentru autentificare, așa cum ar fi trebuit să o fi salvat la crearea cheii ssh.

Conectați-vă la serverul dvs. cu cheia privată ca autentificare. Acum veți fi conectat la mașina dvs. virtuală Vultr VC2.

Notă: Dacă ați adăugat o parolă în timpul generării tastei ssh, vi se va solicita una. Acest lucru este complet diferit de parola utilizatorului dvs. real pe mașina virtuală.

Configurarea unui firewall de bază

Configurați UFW

În primul rând, vom începe prin instalarea UFW dacă nu se află deja pe mașina virtuală. O modalitate bună de a verifica este cu următoarea comandă:

sudo ufw status

Dacă UFW este instalat, va ieși Status:inactive. Dacă nu este instalat, vi se va solicita acest lucru.

Îl putem instala cu această comandă:

sudo apt-get install ufw -y

Acum vom permite portul SSH 22în firewall-ul nostru:

sudo ufw allow 22

Alternativ, puteți permite OpenSSH:

sudo ufw allow OpenSSH

Oricare dintre comenzile de mai sus va funcționa.

Acum că am permis portul prin firewall-ul nostru, putem activa UFW:

sudo ufw enable

Vi se va cere dacă sunteți sigur că doriți să efectuați această operațiune. Tastați yurmată de ENTERva activa firewallul:

porthorian@MEANStack:~$ sudo ufw enable
Command may disrupt existing ssh connections. Proceed with operation? y

Notă: Dacă nu ați permis OpenSSH sau Port 22, vă veți bloca în afara mașinii dvs. virtuale. Asigurați-vă că una dintre acestea este permisă înainte de a activa UFW.

După ce firewallul este activat, veți fi în continuare conectat la instanța dvs. Vom verifica acum firewall-ul nostru cu aceeași comandă ca înainte:

sudo ufw status

Veți vedea ceva similar cu următoarea ieșire:

porthorian@MEANStack:~$ sudo ufw status
Status: active

To                         Action      From
--                         ------      ----
22                         ALLOW       Anywhere
22 (v6)                    ALLOW       Anywhere (v6)

Configurarea firewallului Vultr

Pentru a ne asigura securitatea în continuare, vom folosi firewall-ul nostru Vultr. Conectați- vă la contul dumneavoastră . După ce v-ați autentificat, veți naviga la fila firewall localizată în partea de sus a ecranului:

Acum vom adăuga un nou grup de firewall. Acest lucru ne va permite să specificăm ce porturi pot ajunge chiar la firewall-ul UFW, oferindu-ne un dublu strat de securitate:

Vultr vă va întreba acum ce veți numi firewallul dvs. folosind câmpul „Descriere”. Asigurați-vă că descrieți ce vor face serverele din acest grup de firewall, pentru o administrare mai ușoară în viitor. De dragul acestui tutorial, îl vom numi test. Puteți modifica întotdeauna descrierea mai târziu dacă doriți.

Mai întâi va trebui să ne luăm adresa IP. Motivul pentru care facem acest lucru direct este că, dacă adresa dvs. IP nu este statică și se schimbă constant, puteți pur și simplu să vă autentificați în contul dvs. Vultr și să schimbați adresa IP.

Acesta este și motivul pentru care nu am solicitat adresa IP de pe firewall-ul UFW. În plus, limitează utilizarea firewall-ului mașinii tale virtuale de la filtrarea tuturor celorlalte porturi și lasă doar firewall-ul Vultr să o gestioneze. Aceasta limitează tensiunea filtrării generale a traficului pe instanța dvs.

Folosiți sticla cu rețeaua Vultr pentru a găsi adresa dvs. IP

Deci, acum când avem adresa noastră IP, vom adăuga o regulă IPV4 la firewall-ul nostru nou creat:

După ce ați introdus adresa IP, faceți clic pe +simbolul pentru a adăuga adresa dvs. IP la firewall.

Grupul dvs. de firewall va arăta astfel:

Acum că avem IP-ul nostru legat corespunzător în grupul Firewall, trebuie să conectăm instanța noastră Vultr. În partea stângă veți vedea o filă care scrie „Instanțe legate”:

Odată pe pagină, veți vedea un drop-down cu o listă a instanțelor serverului:

Faceți clic pe meniul derulant și selectați instanța dvs. Apoi, când sunteți gata să adăugați instanța în grupul de firewall faceți clic pe +simbol.

Felicitări, v-ați asigurat cu succes mașina virtuală Vultr VC2. Acest lucru vă oferă o bază bună pentru un strat de securitate foarte de bază, fără a vă face griji de cineva care încearcă să-și forțeze instanța.