Πώς να σκληρύνετε τον διακομιστή Ubuntu 18.04 σε 5 εύκολα βήματα

December 02, 2021
ΣεLinux Λογισμικό και εφαρμογές

Linux είναι γνωστό ότι είναι ένα από τα πιο ασφαλή λειτουργικά συστήματα διαθέσιμος. Αλλά αυτό δεν σημαίνει ότι μπορείτε να βασίζεστε σε αυτό για να είναι όσο το δυνατόν ασφαλέστερο αμέσως. Υπάρχουν μερικά γρήγορα, εύκολα βήματα που μπορείτε να ακολουθήσετε για να διασφαλίσετε ότι η πλατφόρμα σας είναι ακόμα πιο ασφαλής.

Ακολουθούν πέντε εργασίες ενίσχυσης της ασφάλειας που πρέπει να εκτελεστούν σε μια πρόσφατα εγκατεστημένη πλατφόρμα Ubuntu Server 18.04.

Ασφαλής κοινόχρηστη μνήμη

Ένα από τα πρώτα πράγματα που πρέπει να κάνετε είναι να εξασφαλίσετε το κοινόχρηστο μνήμη χρησιμοποιείται στο σύστημα. Εάν δεν γνωρίζετε, η κοινόχρηστη μνήμη μπορεί να χρησιμοποιηθεί σε επίθεση κατά μιας υπηρεσίας που εκτελείται. Εξαιτίας αυτού, ασφαλίστε αυτό το τμήμα της μνήμης του συστήματος. Μπορείτε να το κάνετε αυτό τροποποιώντας το /etc/fstab αρχείο. Δείτε πώς:

Ανοίξτε το αρχείο για επεξεργασία εκδίδοντας την εντολή:
```
sudo nano /etc/fstab
```
Προσθέστε την ακόλουθη γραμμή στο κάτω μέρος αυτού του αρχείου:
```
tmpfs /run/shm tmpfs προεπιλογές, noexec, nosuid 0 0
```

Αποθηκεύστε και κλείστε το αρχείο.
Για να τεθούν σε ισχύ οι αλλαγές, επανεκκινήστε τον διακομιστή με αυτήν την εντολή:
```
επανεκκίνηση sudo
```

Ενεργοποιήστε τη σύνδεση SSH μόνο για συγκεκριμένους χρήστες

Χρησιμοποιήστε το εργαλείο Secure Shell (SSH) για να συνδεθείτε στους απομακρυσμένους διακομιστές σας Linux. Αν και το SSH είναι αρκετά ασφαλές από προεπιλογή, μπορείτε να το κάνετε πιο ασφαλές ενεργοποιώντας τη σύνδεση SSH μόνο για συγκεκριμένους χρήστες, για παράδειγμα, εάν θέλετε να επιτρέψετε μόνο την είσοδο SSH για τον χρήστη γρύλος, από τη διεύθυνση IP 192.168.1.162.

Δείτε πώς να το κάνετε αυτό:

Ανοίξτε ένα παράθυρο τερματικού.
Ανοίξτε το αρχείο διαμόρφωσης SSH για επεξεργασία με αυτήν την εντολή:
```
sudo nano /etc/ssh/sshd_config
```
Στο κάτω μέρος του αρχείου, προσθέστε τη γραμμή:
```
AllowUsers [email protected]
```
Αποθηκεύστε και κλείστε το αρχείο.
Κάντε επανεκκίνηση του sshd με αυτήν την εντολή:
```
sudo systemctl επανεκκίνηση sshd
```

Το Secure Shell θα επιτρέπει πλέον την είσοδο μόνο από τον χρήστη γρύλος από τη διεύθυνση IP 192.168.1.162. Εάν ένας χρήστης εκτός από γρύλος επιχειρούν να εισαγάγουν SSH στον διακομιστή, τους ζητείται κωδικός πρόσβασης, αλλά ο κωδικός πρόσβασης δεν θα γίνει αποδεκτός (ανεξάρτητα αν είναι σωστός) και η είσοδος θα απορριφθεί.

Μπορείτε να χρησιμοποιήσετε χαρακτήρες μπαλαντέρ, για παράδειγμα, για να παραχωρήσετε πρόσβαση σε όλους τους χρήστες από μια συγκεκριμένη διεύθυνση IP. Εάν θέλετε να επιτρέψετε σε όλους τους χρήστες του τοπικού σας δικτύου πρόσβαση στον διακομιστή μέσω SSH, προσθέστε την ακόλουθη γραμμή:

AllowUsers *@192.168.1.*

Κάντε επανεκκίνηση του διακομιστή SSH και είστε έτοιμοι.

Συμπεριλάβετε ένα banner σύνδεσης ασφαλείας

Αν και η προσθήκη ενός banner σύνδεσης ασφαλείας μπορεί να μην φαίνεται ως το πιο αποτελεσματικό μέτρο ασφαλείας, έχει πλεονεκτήματα. Για παράδειγμα, εάν ένας ανεπιθύμητος χρήστης αποκτήσει πρόσβαση στον διακομιστή σας και αν δει ότι συμπεριλάβατε συγκεκριμένα πληροφορίες σε ένα banner σύνδεσης (προειδοποιώντας τους για τις συνέπειες των πράξεών τους), μπορεί να το σκεφτούν δύο φορές συνεχίζοντας. Δείτε πώς μπορείτε να το ρυθμίσετε:

Ανοίξτε α παράθυρο τερματικού.
Δώστε την εντολή:
```
sudo nano /etc/issue.net
```
Επεξεργαστείτε το αρχείο για να προσθέσετε μια κατάλληλη προειδοποίηση.
Αποθηκεύστε και κλείστε το αρχείο.
Απενεργοποιήστε το μήνυμα banner από το Message Of The Day (motd). Ανοίξτε ένα τερματικό και εκδώστε την εντολή:
```
sudo nano /etc/pam.d/sshd
```
Με αυτό το αρχείο ανοιχτό για επεξεργασία, σχολιάστε τις ακόλουθες δύο γραμμές (προσθέτοντας α # στην αρχή κάθε γραμμής):
```
προαιρετική συνεδρία pam_motd.so motd=/run/motd.dynamic
προαιρετική συνεδρία pam_motd.so noupdate
```
Στη συνέχεια, ανοίξτε /etc/ssh/sshd_config με την εντολή:
```
sudo nano /etc/ssh/sshd_config
```
Καταργήστε το σχόλιο της γραμμής (αφαιρέστε το # σύμβολο):
```
Banner /etc/issue.net
```
Αποθηκεύστε και κλείστε αυτό το αρχείο.
Κάντε επανεκκίνηση του διακομιστή SSH με την εντολή:
```
sudo systemctl επανεκκίνηση sshd
```
Όταν κάποιος συνδέεται στον διακομιστή σας χρησιμοποιώντας SSH, βλέπει το banner που προστέθηκε πρόσφατα να τον προειδοποιεί για τυχόν συνέπειες περαιτέρω ενεργειών.

Περιορίστε την πρόσβαση SU

Εκτός εάν έχει ρυθμιστεί διαφορετικά, οι χρήστες Linux μπορούν να χρησιμοποιήσουν το εντολή su για αλλαγή σε διαφορετικό χρήστη. Όταν το κάνουν αυτό, κερδίζουν τα προνόμια που παρέχονται σε αυτόν τον άλλο χρήστη. Εάν λοιπόν ο χρήστης ΕΝΑ (που έχει περιορισμένη πρόσβαση στον διακομιστή) χρησιμοποιεί su για αλλαγή σε χρήστη σι (που έχει λιγότερο περιορισμένη πρόσβαση στον διακομιστή), χρήστης ΕΝΑ είναι πλέον χρήστης σι και μπορεί να κάνει περισσότερα στον διακομιστή. Εξαιτίας αυτού, απενεργοποιήστε την πρόσβαση στην εντολή su. Δείτε πώς:

Δημιουργήστε μια νέα ομάδα διαχειριστή στον διακομιστή με αυτήν την εντολή:
```
sudo groupadd admin
```
Προσθέστε χρήστες σε αυτήν την ομάδα, για παράδειγμα, για να προσθέσετε χρήστη γρύλος στην ομάδα. Η εντολή για αυτό είναι:
```
sudo usermod -a -G admin jack
```
Εάν έχετε συνδεθεί ως χρήστης γρύλος, αποσυνδεθείτε και συνδεθείτε ξανά για να τεθούν σε ισχύ οι αλλαγές.
Εκχωρήστε πρόσβαση στην εντολή su στην ομάδα διαχειριστή με την εντολή:
```
sudo dpkg-statoverride --update --add root admin 4750 /bin/su
```
Εάν συνδεθείτε στον διακομιστή Ubuntu ως χρήστης γρύλος και προσπαθήστε να χρησιμοποιήσετε την εντολή su για μετάβαση σε άλλο χρήστη, επιτρέπεται γιατί γρύλος είναι μέλος του admin. Άλλοι χρήστες δεν έχουν πρόσβαση στην εντολή su.

Εγκαταστήστε το fail2ban

Το Fail2ban είναι ένα σύστημα αποτροπής εισβολών που παρακολουθεί τα αρχεία καταγραφής και αναζητά συγκεκριμένα μοτίβα που αντιστοιχούν σε μια αποτυχημένη προσπάθεια σύνδεσης. Εάν εντοπιστεί ένας συγκεκριμένος αριθμός αποτυχημένων συνδέσεων από μια συγκεκριμένη διεύθυνση IP (μέσα σε καθορισμένο χρονικό διάστημα), το fail2ban αποκλείει την πρόσβαση από αυτήν τη διεύθυνση IP.

Δείτε πώς να εγκαταστήσετε το fail2ban:

Ανοίξτε ένα παράθυρο τερματικού και δώστε αυτήν την εντολή:
```
sudo apt-get install fail2ban
```
Ο κατάλογος /etc/fail2ban περιέχει το κύριο αρχείο ρυθμίσεων, φυλακή.conf. Επίσης σε αυτόν τον κατάλογο βρίσκεται ο υποκατάλογος, φυλακή.δ. ο φυλακή.conf αρχείο είναι το κύριο αρχείο ρυθμίσεων και φυλακή.δ περιέχει τα δευτερεύοντα αρχεία ρυθμίσεων. Μην επεξεργαστείτε το φυλακή.conf αρχείο. Αντίθετα, δημιουργήστε μια νέα διαμόρφωση που παρακολουθεί τις συνδέσεις SSH. Πληκτρολογήστε την ακόλουθη εντολή:
```
sudo nano /etc/fail2ban/jail.local
```
Σε αυτό το νέο αρχείο, προσθέστε τα ακόλουθα περιεχόμενα:
```
[sshd]
ενεργοποιημένο = αληθές
θύρα = 22
φίλτρο = sshd
logpath = /var/log/auth.log
maxretry = 3
```
Αυτή η ρύθμιση παραμέτρων επιτρέπει στο jail, ορίζει τη θύρα SSH για παρακολούθηση σε 22, χρησιμοποιεί το φίλτρο sshd και ορίζει το αρχείο καταγραφής που θα παρακολουθείται.
Αποθηκεύστε και κλείστε αυτό το αρχείο.
Κάντε επανεκκίνηση του fail2ban με την εντολή:
```
sudo systemctl επανεκκίνηση fail2ban
```
Εάν επιχειρήσετε να κάνετε Secure Shell σε αυτόν τον διακομιστή και αποτύχετε τη σύνδεση τρεις φορές (ορίζεται ως προεπιλογή από το fail2ban), η πρόσβαση αποκλείεται από το διεύθυνση IP εργάζεστε από.