Kā nostiprināt Ubuntu serveri 18.04 5 vienkāršās darbībās
Linux ir labi pazīstams kā viens no drošākajiem operētājsistēmas pieejams. Bet tas nenozīmē, ka varat paļauties uz to, ka tas būs pēc iespējas drošāks jau no kastes. Lai platforma būtu vēl drošāka, varat veikt dažas ātras un vienkāršas darbības.
Šeit ir pieci drošību veicinoši uzdevumi, kas jāveic tikko instalētā Ubuntu Server 18.04 platformā.
Droša koplietojamā atmiņa
Viena no pirmajām lietām, kas jums jādara, ir nodrošināt kopīgoto atmiņa izmanto sistēmā. Ja nezināt, koplietojamo atmiņu var izmantot uzbrukumā esošam pakalpojumam. Tādēļ nodrošiniet šo sistēmas atmiņas daļu. To var izdarīt, modificējot /etc/fstab failu. Lūk, kā to izdarīt:
-
Atveriet failu rediģēšanai, izdodot komandu:
sudo nano /etc/fstab
-
Pievienojiet šo rindiņu šī faila apakšā:
tmpfs /run/shm tmpfs noklusējuma iestatījumi, noexec, nosuid 0 0
Saglabājiet un aizveriet failu.
-
Lai izmaiņas stātos spēkā, restartējiet serveri ar šo komandu:
sudo atsāknēšana
Iespējot SSH pieteikšanos tikai noteiktiem lietotājiem
Izmantojiet Secure Shell (SSH) rīku, lai pieteiktos attālajos Linux serveros. Lai gan pēc noklusējuma SSH ir diezgan drošs, varat to padarīt drošāku, iespējojot SSH pieteikšanos tikai konkrētiem lietotājiem, piemēram, ja vēlaties atļaut SSH ievadi tikai lietotājam.
Lūk, kā to izdarīt:
Atveriet termināļa logu.
-
Atveriet SSH konfigurācijas failu rediģēšanai ar šo komandu:
sudo nano /etc/ssh/sshd_config
-
Faila apakšā pievienojiet rindu:
AllowUsers [email protected]
Saglabājiet un aizveriet failu.
-
Restartējiet sshd ar šo komandu:
sudo systemctl restartējiet sshd
Secure Shell tagad ļaus ievadīt tikai lietotājam džeks no IP adreses 192.168.1.162. Ja lietotājs, kas nav džeks mēģina ievadīt SSH serverī, viņiem tiek prasīts ievadīt paroli, taču parole netiks pieņemta (neatkarīgi no tā, vai tā ir pareiza), un ieeja tiks liegta.
Varat izmantot aizstājējzīmes, piemēram, lai piešķirtu piekļuvi visiem lietotājiem no noteiktas IP adreses. Ja vēlaties atļaut visiem lokālā tīkla lietotājiem piekļūt serverim, izmantojot SSH, pievienojiet šādu rindiņu:
AllowUsers *@192.168.1.*
Restartējiet SSH serveri, un viss ir kārtībā.
Iekļaujiet drošības pieteikšanās reklāmkarogu
Lai gan drošības pieteikšanās reklāmkaroga pievienošana var nešķist visefektīvākais drošības līdzeklis, tai ir priekšrocības. Piemēram, ja nevēlams lietotājs iegūst piekļuvi jūsu serverim un redz, ka esat iekļāvis konkrētu informāciju pieteikšanās reklāmkarogā (brīdinot viņus par viņu rīcības sekām), viņi varētu pārdomāt turpinot. Lūk, kā to iestatīt:
Atveriet a termināļa logs.
-
Izdod komandu:
sudo nano /etc/issue.net
Rediģējiet failu, lai pievienotu atbilstošu brīdinājumu.
Saglabājiet un aizveriet failu.
-
Atspējojiet reklāmkaroga ziņojumu no Dienas ziņojuma (motd). Atveriet termināli un izdodiet komandu:
sudo nano /etc/pam.d/sshd
-
Kad šis fails ir atvērts rediģēšanai, komentējiet šādas divas rindiņas (pievienojot a # līdz katras rindas sākumam):
sesija nav obligāta pam_motd.so motd=/run/motd.dynamic
sesija nav obligāta pam_motd.so noupdate -
Tālāk atveriet /etc/ssh/sshd_config ar komandu:
sudo nano /etc/ssh/sshd_config
-
Atceliet rindiņas komentāru (noņemiet # simbols):
Reklāmkarogs /etc/issue.net
Saglabājiet un aizveriet šo failu.
-
Restartējiet SSH serveri ar komandu:
sudo systemctl restartējiet sshd
-
Kad kāds piesakās jūsu serverī, izmantojot SSH, viņš redz jūsu tikko pievienoto reklāmkarogu, kas brīdina par jebkādām turpmākas darbības sekām.
Ierobežot SU piekļuvi
Ja vien nav konfigurēts citādi, Linux lietotāji var izmantot su komanda lai pārietu uz citu lietotāju. To darot, viņi iegūst šim citam lietotājam piešķirtās privilēģijas. Tātad, ja lietotājs A (kuram ir ierobežota piekļuve serverim) izmanto su lai pārietu uz lietotāju B (kam ir mazāk ierobežota piekļuve serverim), lietotājs A tagad ir lietotājs B un var darīt vairāk ar serveri. Šī iemesla dēļ atspējojiet piekļuvi komandai su. Lūk, kā to izdarīt:
-
Izveidojiet jaunu administratora grupu serverī ar šo komandu:
sudo grupa pievieno administratoru
-
Pievienojiet šai grupai lietotājus, piemēram, lai pievienotu lietotāju džeks uz grupu. Komanda tam ir:
sudo usermod -a -G administratora ligzda
Ja esat pieteicies kā lietotājs džeks, izejiet un piesakieties vēlreiz, lai izmaiņas stātos spēkā.
-
Piešķiriet administratora grupai piekļuvi komandai su ar komandu:
sudo dpkg-statooverride -- update -- add root admin 4750 /bin/su
-
Ja piesakāties savā Ubuntu serverī kā lietotājs džeks un mēģināt izmantot komandu su, lai pārslēgtos uz citu lietotāju, tas ir atļauts, jo džeks ir admin dalībnieks. Citiem lietotājiem ir liegta piekļuve komandai su.
Instalējiet fail2ban
Fail2ban ir ielaušanās novēršanas sistēma, kas uzrauga žurnālfailus un meklē konkrētus modeļus, kas atbilst neveiksmīgam pieteikšanās mēģinājumam. Ja no noteiktas IP adreses tiek atklāts noteikts skaits neveiksmīgu pieteikšanos (noteiktā laika periodā), fail2ban bloķē piekļuvi no šīs IP adreses.
Lūk, kā instalēt fail2ban:
-
Atveriet termināļa logu un izdodiet šo komandu:
sudo apt-get install fail2ban
-
Katalogs /etc/fail2ban satur galveno konfigurācijas failu, jail.conf. Šajā direktorijā ir arī apakšdirektorijs, cietums.d. The jail.conf fails ir galvenais konfigurācijas fails un cietums.d satur sekundāros konfigurācijas failus. Nerediģējiet jail.conf failu. Tā vietā izveidojiet jaunu konfigurāciju, kas uzrauga SSH pieteikšanos. Ievadiet šādu komandu:
sudo nano /etc/fail2ban/jail.local
-
Šajā jaunajā failā pievienojiet šādu saturu:
[sshd]
iespējots = patiess
ports = 22
filtrs = sshd
logpath = /var/log/auth.log
maksretrija = 3Šī konfigurācija iespējo cietumu, iestata pārrauga SSH portu uz 22, izmanto sshd filtru un iestata pārrauga žurnāla failu.
Saglabājiet un aizveriet šo failu.
-
Restartējiet fail2ban ar komandu:
sudo systemctl restart fail2ban
-
Ja mēģināt Secure Shell šajā serverī un trīs reizes neizdodas pieteikties (fail2ban iestatīts kā noklusējuma), piekļuve tiek bloķēta no IP adrese jūs strādājat no.
