Ubuntu serveri 18.04 tugevdamine viie lihtsa sammuga

December 02, 2021
SisseLinux Tarkvara Ja Rakendused

Linux on tuntud kui üks turvalisemaid operatsioonisüsteemid saadaval. Kuid see ei tähenda, et võite loota, et see on kohe karbist välja võttes võimalikult turvaline. Teie platvormi veelgi turvalisemaks muutmiseks saate teha mõned kiired ja lihtsad sammud.

Siin on viis turvalisust tugevdavat ülesannet, mida värskelt installitud Ubuntu Server 18.04 platvormil täita.

Turvaline ühismälu

Üks esimesi asju, mida peaksite tegema, on jagatud turvalisus mälu süsteemis kasutatud. Kui te pole teadlik, saab jagatud mälu kasutada töötava teenuse rünnakuks. Seetõttu kindlustage see osa süsteemimälust. Seda saate teha muutes /etc/fstab faili. Tehke järgmist.

Avage fail redigeerimiseks käsuga:
```
sudo nano /etc/fstab
```

Lisage selle faili allossa järgmine rida:

tmpfs /run/shm tmpfs vaikeseaded, noexec, nosuid 0 0

Salvestage ja sulgege fail.
Muudatuste jõustumiseks taaskäivitage server järgmise käsuga:
```
sudo taaskäivitamine
```

Lubage SSH sisselogimine ainult kindlatele kasutajatele

Kasutage oma Linuxi kaugserveritesse sisselogimiseks tööriista Secure Shell (SSH). Kuigi SSH on vaikimisi üsna turvaline, saate seda turvalisemaks muuta, lubades SSH sisselogimise ainult kindlatele kasutajatele, näiteks kui soovite lubada ainult kasutajale SSH-sissepääsu

tungraua, IP-aadressilt 192.168.1.162.

Seda saab teha järgmiselt.

Avage terminali aken.
Avage SSH konfiguratsioonifail selle käsuga redigeerimiseks:
```
sudo nano /etc/ssh/sshd_config
```
Lisage faili allossa rida:
```
AllowUsers [email protected]
```
Salvestage ja sulgege fail.
Taaskäivitage sshd selle käsuga:
```
sudo systemctl taaskäivitage sshd
```

Secure Shell lubab nüüd siseneda ainult kasutajal tungraua IP-aadressilt 192.168.1.162. Kui kasutaja peale tungraua proovib SSH-d serverisse siseneda, küsitakse neilt parooli, kuid parooli ei aktsepteerita (olenemata sellest, kas see on õige) ja sissepääs keelatakse.

Saate kasutada metamärke, et anda juurdepääs kõigile kasutajatele konkreetselt IP-aadressilt. Kui soovite lubada kõigile kohtvõrgu kasutajatele juurdepääsu serverile SSH kaudu, lisage järgmine rida:

AllowUsers *@192.168.1.*

Taaskäivitage SSH-server ja oletegi valmis.

Kaasake turvalisuse sisselogimise bänner

Kuigi turvasisselogimisbänneri lisamine ei pruugi tunduda kõige tõhusam turvameede, on sellel eeliseid. Näiteks kui soovimatu kasutaja saab juurdepääsu teie serverile ja kui ta näeb, et lisasite konkreetse sisselogimisbänneril olevat teavet (hoiatades neid nende tegevuse tagajärgede eest), võivad nad kaks korda mõelda jätkates. Selle seadistamiseks tehke järgmist.

Avage a terminali aken.
Väljasta käsk:
```
sudo nano /etc/issue.net
```
Redigeerige faili sobiva hoiatuse lisamiseks.
Salvestage ja sulgege fail.
Keela päevasõnumi (motd) bännersõnum. Avage terminal ja andke käsk:
```
sudo nano /etc/pam.d/sshd
```
Kui see fail on redigeerimiseks avatud, kommenteerige kahte järgmist rida (lisage a # iga rea algusesse):
```
seansi valikuline pam_motd.so motd=/run/motd.dynamic
seansi valikuline pam_motd.so noupdate
```
Järgmisena avage /etc/ssh/sshd_config käsuga:
```
sudo nano /etc/ssh/sshd_config
```
Tühjendage rea kommentaarid (eemaldage # sümbol):
```
Bänner /etc/issue.net
```
Salvestage ja sulgege see fail.
Taaskäivitage SSH-server käsuga:
```
sudo systemctl taaskäivitage sshd
```
Kui keegi logib teie serverisse SSH-ga sisse, näeb ta teie äsja lisatud bännerit, mis hoiatab neid edasise tegevuse tagajärgede eest.

Piirake SU juurdepääsu

Kui pole teisiti konfigureeritud, saavad Linuxi kasutajad kasutada su käsk teise kasutaja vastu vahetamiseks. Kui nad seda teevad, saavad nad sellele teisele kasutajale antud õigused. Nii et kui kasutaja A (kellel on serverile piiratud juurdepääs) kasutab su kasutajaks muutmiseks B (kellel on serverile vähem piiratud juurdepääs), kasutaja A on nüüd kasutaja B ja saab serveriga rohkem ära teha. Seetõttu keelake juurdepääs käsule su. Tehke järgmist.

Looge serveris uus administraatorirühm selle käsuga:
```
sudo groupadd admin
```
Lisage sellesse gruppi kasutajaid, näiteks kasutaja lisamiseks tungraua rühmale. Selle käsk on järgmine:
```
sudo usermod -a -G administraatori pesa
```
Kui olete kasutajana sisse logitud tungraua, logige välja ja logige uuesti sisse, et muudatused jõustuksid.

Andke administraatorirühmale juurdepääs käsule su käsuga:

sudo dpkg-statooverride -- update -- lisa juuradministraator 4750 /bin/su

Kui logite oma Ubuntu serverisse kasutajana sisse tungraua ja proovige kasutada käsku su, et lülituda teisele kasutajale, on see lubatud, kuna tungraua on admin liige. Teistel kasutajatel on keelatud juurdepääs käsule su.

Installige fail2ban

Fail2ban on sissetungimise ennetamise süsteem, mis jälgib logifaile ja otsib konkreetseid mustreid, mis vastavad ebaõnnestunud sisselogimiskatsele. Kui teatud arv ebaõnnestunud sisselogimisi tuvastatakse konkreetselt IP-aadressilt (määratud aja jooksul), blokeerib fail2ban juurdepääsu sellelt IP-aadressilt.

Fail2ban installimiseks toimige järgmiselt.

Avage terminali aken ja andke järgmine käsk:
```
sudo apt-get install fail2ban
```
Kataloog /etc/fail2ban sisaldab peamist konfiguratsioonifaili, jail.conf. Selles kataloogis on ka alamkataloog, vangla.d. The jail.conf fail on peamine konfiguratsioonifail ja vangla.d sisaldab sekundaarseid konfiguratsioonifaile. Ärge redigeerige jail.conf faili. Selle asemel looge uus konfiguratsioon, mis jälgib SSH sisselogimisi. Sisestage järgmine käsk:
```
sudo nano /etc/fail2ban/jail.local
```
Lisage sellesse uude faili järgmine sisu:
```
[sshd]
lubatud = tõene
port = 22
filter = sshd
logpath = /var/log/auth.log
maxretry = 3
```
See konfiguratsioon võimaldab vanglat, seab jälgitava SSH-pordi väärtuseks 22, kasutab sshd-filtrit ja seadistab jälgitava logifaili.
Salvestage ja sulgege see fail.
Taaskäivitage fail2ban käsuga:
```
sudo systemctl restart fail2ban
```
Kui proovite Secure Shelli sellesse serverisse sisse logida ja kolm korda sisselogimine ebaõnnestub (fail2ban määrab vaikimisi), blokeeritakse juurdepääs IP-aadress te töötate.