Ubuntu 18.04ün İlk Güvenli Sunucu Yapılandırması

• Giriş
• Ön şartlar
• Bir kullanıcı oluşturma ve değiştirme
• Bir SSH anahtarı oluşturma ve yapılandırma
• Temel bir güvenlik duvarı kurun

Giriş

Bu eğitim boyunca, Ubuntu 18.04 çalıştıran yepyeni bir Vultr VC2 sanal makinede temel bir güvenlik düzeyini nasıl yapılandıracağınızı öğreneceksiniz.

Ön şartlar

• Bir Vultr hesabı, burada bir hesap oluşturabilirsiniz
• Yeni bir Ubuntu 18.04 Vultr VM

Bir kullanıcı oluşturma ve değiştirme

İlk yapacağımız şey VM'ye giriş yapmak için kullanacağımız yeni kullanıcımızı yaratmak:

adduser porthorian

Not: Tahmin edilmesi zor benzersiz bir kullanıcı adı kullanılması önerilir. Çoğu botlar denemek için varsayılan olarak root, admin, moderatorve benzeri.

Burada bir şifre girmeniz istenecektir. Edilir kuvvetle güçlü bir alfa sayısal şifre kullanmanız önerilir. Bundan sonra, ekranınızdaki istemleri izleyin ve bilgilerin doğru olup olmadığını sorduğunda düğmesine basın Y.

Bu yeni kullanıcı eklendikten sonra, kök kullanıcı adına kullanıcıdan komutlar yürütebilmemiz için bu kullanıcıya sudo izinleri vermemiz gerekir:

usermod -aG sudo porthorian

Kullanıcı sudo izinlerinizi verdikten sonra yeni kullanıcınıza geçin:

su - porthorian

Bir SSH anahtarı oluşturma ve yapılandırma

SSH anahtarını oluşturmak için lütfen bu dokümanı izleyin .

Yeni SSH anahtarınızı oluşturduktan sonra genel anahtarınızı kopyalayın. Aşağıdaki gibi görünmelidir:

ssh-rsa AAAAB3NzaC1yc2EAAAABJQAAAQEAmB3uRWxAAELNJ8oGBCBmZx7S11vnAp0RG8rdKf6CLdvT7NMbKF55F8Wf0hFPewEryplaH54ibdmaTuheJVKy1lUhHnVi0AcBpkhJiiOQdEtvbYKT/eIkQl/Qm92Gz6aL3lJ0UknO4gO0LzgqI2vYX0b9LHMF+ZvApEDahLCna6RKo3/lffnANUKfExE+dVwOcJwATL3Ld5IkSatm7zBqbJAim0wj/JQ5ejzkL+aYd3YawpW3qf+WsY3HGbK2TIJt3LsiZJ3M7giZo/fVIZCJqsIOyO9NUOEx5/+KE8IniGb7gdRYgquAEJr89poDCNz/8CBODi9z3ukiE1+UnVlhfQ== rsa-key-20190408

Kullanıcı dizininizi yapılandırın

Henüz girmediyseniz kullanıcı ana dizininize gidin:

cd $HOME

$HOMEkullanıcı giriş dizininiz için ortam değişkenidir. Bu, yeni kullanıcı oluşturulduğunda otomatik olarak ayarlanır.

Ana dizininizdeyken içine başka bir dizin yerleştireceğiz. Bu dizin, kök ve dizinin sahibi olan kullanıcı hariç, makinedeki diğer kullanıcılardan gizlenir. Yeni dizini oluşturun ve izinlerini aşağıdaki komutlarla kısıtlayın:

mkdir ~/.ssh
chmod 700 ~/.ssh

Şimdi .sshadlı bir dosyayı açacağız authorized_keys. Bu OpenSSH'nin aradığı evrensel dosyadır. /etc/ssh/sshd_configGerekirse, bunun adını OpenSSH yapılandırması içinde değiştirebilirsiniz .

Dosyayı oluşturmak için favori düzenleyicinizi kullanın. Bu öğreticide nano kullanılacaktır:

nano ~/.ssh/authorized_keys

Ssh anahtarınızı kopyalayıp authorized_keysaçtığımız dosyaya yapıştırın . Ortak anahtar içeri girdikten sonra CTRL+ tuşuna basarak dosyayı kaydedebilirsiniz O.

Uygun dosya yolunun göründüğünden emin olun:

/home/porthorian/.ssh/authorized_keys

Doğru dosya yolu ise, düğmesine basın ENTER, aksi takdirde yukarıdaki örnekle eşleşmesi için gerekli değişiklikleri yapın. Ardından CTRL+ ile dosyadan çıkın X.

Şimdi dosyaya erişimi kısıtlayacağız:

chmod 600 ~/.ssh/authorized_keys

Oluşturulan kullanıcıdan çıkın ve kök kullanıcıya geri dönün:

exit

Şifre kimlik doğrulamasını devre dışı bırakma

Artık sunucuya şifre kimlik doğrulamasını devre dışı bırakabiliriz, bu şekilde oturum açma işlemi bir ssh anahtarı gerektirir. Parola kimlik doğrulamasını devre dışı bırakırsanız ve ortak anahtar doğru yüklenmemişse, kendinizi sunucunuzdan kilitleyeceğinizi unutmayın. Kök kullanıcınızda oturumu kapatmadan önce anahtarı test etmeniz önerilir.

Şu anda kök kullanıcımıza giriş yaptık, bu yüzden aşağıdakileri düzenleyeceğiz sshd_config:

nano /etc/ssh/sshd_config

OpenSSH'nin doğru yapılandırıldığından emin olmak için 3 değer arayacağız.

• PasswordAuthentication
• PubkeyAuthentication
• ChallengeResponseAuthentication

Bu değerleri CTRL+ tuşuna basarak bulabiliriz W.

Değerler şu şekilde ayarlanmalıdır:

PasswordAuthentication  no
ChallengeResponseAuthentication  no
PubkeyAuthentication  yes

Değerler yorumlanırsa #, satırın başındaki işareti kaldırın ve bu değişkenlerin değerlerinin yukarıda gösterildiği gibi olduğundan emin olun. Eğer bu değişkenleri değiştirdikten sonra, kaydetmek ve birlikte sizin editörü çıkmak CTRL+ O, ENTERnihayet ve CTRL+ X.

Şimdi sshdaşağıdaki komutla yeniden yükleyeceğiz :

systemctl reload sshd

Şimdi girişi test edebiliriz. Kök oturumunuzdan henüz çıkış yapmadığınızdan emin olun ve yeni bir ssh penceresi açın ve bağlantıya bağlı ssh anahtarınızla bağlanın.

PuTTY'de bu Connection-> SSH-> altındadır Auth.

Ssh anahtarını oluştururken kaydetmiş olmanız gerektiği için, kimlik doğrulaması için özel anahtarınızı bulmak üzere göz atın.

Kimlik doğrulamanız olarak özel anahtarla sunucunuza bağlanın. Şimdi Vultr VC2 sanal makinenize giriş yapacaksınız.

Not: ssh anahtarını oluştururken bir parola eklediyseniz sizden bir parola istenir. Bu, sanal makinedeki gerçek kullanıcı şifrenizden tamamen farklıdır.

Temel bir güvenlik duvarı kurun

UFW'yi yapılandır

Öncelikle sanal makinede yoksa UFW'yi kurarak başlayacağız. Kontrol etmenin iyi bir yolu aşağıdaki komuttur:

sudo ufw status

UFW takılıysa, çıktı verir Status:inactive. Yüklü değilse, yapmanız istenir.

Bu komutla kurabiliriz:

sudo apt-get install ufw -y

Şimdi 22güvenlik duvarımızda SSH bağlantı noktasına izin vereceğiz :

sudo ufw allow 22

Alternatif olarak, OpenSSH'ye izin verebilirsiniz:

sudo ufw allow OpenSSH

Yukarıdaki komutlardan biri çalışır.

Artık güvenlik duvarımız üzerinden bağlantı noktasına izin verdiğimize göre, UFW'yi etkinleştirebiliriz:

sudo ufw enable

Bu işlemi gerçekleştirmek istediğinizden emin olup olmadığınız sorulacaktır. yArdından yazılması ENTERgüvenlik duvarını etkinleştirir:

porthorian@MEANStack:~$ sudo ufw enable
Command may disrupt existing ssh connections. Proceed with operation? y

Not: OpenSSH veya Port 22'ye izin vermediyseniz, kendinizi sanal makinenizden kilitleyeceksiniz. UFW'yi etkinleştirmeden önce bunlardan birine izin verildiğinden emin olun.

Güvenlik duvarı etkinleştirildikten sonra, örneğin örneğinize bağlı kalacaksınız. Güvenlik duvarımızı şimdi eskisi gibi aynı komutla tekrar kontrol edeceğiz:

sudo ufw status

Aşağıdaki çıktıya benzer bir şey göreceksiniz:

porthorian@MEANStack:~$ sudo ufw status
Status: active

To                         Action      From
--                         ------      ----
22                         ALLOW       Anywhere
22 (v6)                    ALLOW       Anywhere (v6)

Vultr güvenlik duvarını yapılandırma

Sunucumuzu daha da güvenli hale getirmek için Vultr Güvenlik Duvarımızı kullanacağız. Hesabınıza giriş yapın . Giriş yaptıktan sonra ekranınızın üst kısmında bulunan güvenlik duvarı sekmesine gideceksiniz:

Şimdi yeni bir güvenlik duvarı grubu ekleyeceğiz. Bu, bize hangi bağlantı noktalarının UFW güvenlik duvarımıza bile erişebileceğini belirlememize olanak tanıyarak bize iki kat güvenlik sağlar:

Vultr şimdi "Açıklama" alanını kullanarak güvenlik duvarınıza ne ad vereceğinizi soracaktır. İleride daha kolay yönetim için bu güvenlik duvarı grubu altındaki sunucuların ne yapacağını açıkladığınızdan emin olun. Bu öğretici adına adını vereceğiz test. İsterseniz açıklamayı daha sonra istediğiniz zaman değiştirebilirsiniz.

Öncelikle IP adresimizi almamız gerekecek. Bunu doğrudan yapmamızın nedeni, IP adresiniz statik değilse ve sürekli değişiyorsa, Vultr hesabınıza giriş yapıp IP adresini değiştirebilmenizdir.

Bu yüzden UFW güvenlik duvarında IP adresine ihtiyaç duymadık. Ayrıca, sanal makinenizin güvenlik duvarının diğer tüm bağlantı noktalarını filtrelemesini sınırlar ve Vultr güvenlik duvarının bunu ele almasına izin verir. Bu, örneğin genel trafik filtrelemesinin zorluğunu sınırlar.

Kullanım Vultr ağ görünümlü cam IP adresini bulmak için.

IP adresimize sahip olduğumuza göre, yeni oluşturulan güvenlik duvarımıza bir IPV4 Kuralı ekleyeceğiz:

IP adresini girdikten sonra, +IP adresinizi güvenlik duvarına eklemek için sembolü tıklayın .

Güvenlik duvarı grubunuz aşağıdaki gibi görünecektir:

Artık IP'mizi Güvenlik Duvarı grubuna doğru şekilde bağladığımıza göre, Vultr Örneğimizi bağlamamız gerekiyor. Sol tarafta "Bağlantılı Örnekler" yazan bir sekme göreceksiniz:

Sayfada bir kez sunucu örneklerinizin bir listesini içeren bir açılır menü göreceksiniz:

Açılır menüyü tıklayın ve örneğinizi seçin. Ardından, örneği güvenlik duvarı grubuna eklemeye hazır olduğunuzda, +sembolü tıklatın .

Tebrikler, Vultr VC2 Sanal Makinenizi başarıyla güvence altına aldınız. Bu, birisinin örneğinizi kaba zorlamaya çalışmasından endişe etmeden çok temel bir güvenlik katmanı için iyi bir temel sağlar.