Hvordan herde Ubuntu Server 18.04 i 5 enkle trinn
Linux er kjent for å være en av de sikreste operativsystemer tilgjengelig. Men det betyr ikke at du kan stole på at den er så sikker som mulig rett ut av esken. Det er noen få raske, enkle trinn du kan ta for å sikre at plattformen din er enda sikrere.
Her er fem sikkerhetsforsterkende oppgaver å utføre på en nyinstallert Ubuntu Server 18.04-plattform.
Sikkert delt minne
En av de første tingene du bør gjøre er å sikre den delte hukommelse brukt på systemet. Hvis du ikke er klar over det, kan delt minne brukes i et angrep mot en kjørende tjeneste. På grunn av dette, sikre den delen av systemminnet. Du kan gjøre dette ved å endre /etc/fstab fil. Dette er hvordan:
-
Åpne filen for redigering ved å gi kommandoen:
sudo nano /etc/fstab
-
Legg til følgende linje nederst i filen:
tmpfs /run/shm tmpfs defaults, noexec, nosuid 0 0
Lagre og lukk filen.
-
For at endringene skal tre i kraft, start serveren på nytt med denne kommandoen:
sudo omstart
Aktiver SSH-pålogging kun for spesifikke brukere
Bruk Secure Shell (SSH)-verktøyet til å logge på dine eksterne Linux-servere. Selv om SSH er ganske sikkert som standard, kan du gjøre det sikrere ved å aktivere SSH-pålogging kun for spesifikke brukere, for eksempel hvis du bare vil tillate SSH-inngang for brukeren
Slik gjør du dette:
Åpne et terminalvindu.
-
Åpne SSH-konfigurasjonsfilen for redigering med denne kommandoen:
sudo nano /etc/ssh/sshd_config
-
Legg til linjen nederst i filen:
Tillat brukere [email protected]
Lagre og lukk filen.
-
Start sshd på nytt med denne kommandoen:
sudo systemctl start sshd på nytt
Secure Shell vil nå bare tillate oppføring av bruker jack fra IP-adressen 192.168.1.162. Hvis en annen bruker enn jack forsøker å SSH inn på serveren, blir de bedt om et passord, men passordet vil ikke bli akseptert (uansett om det er riktig), og adgang vil bli nektet.
Du kan bruke jokertegn, for eksempel for å gi tilgang til alle brukere fra en bestemt IP-adresse. Hvis du vil gi alle brukere på ditt lokale nettverk tilgang til serveren via SSH, legg til følgende linje:
Tillat brukere *@192.168.1.*
Start SSH-serveren på nytt, og du er i gang.
Inkluder et sikkerhetspåloggingsbanner
Selv om å legge til et sikkerhetspåloggingsbanner kanskje ikke virker som det mest effektive sikkerhetstiltaket, har det fordeler. For eksempel hvis en uønsket bruker får tilgang til serveren din, og hvis de ser at du inkluderte spesifikke informasjon i et påloggingsbanner (som advarer dem om konsekvensene av handlingene deres), kan de tenke seg om to ganger fortsetter. Slik setter du det opp:
Åpne a terminalvindu.
-
Gi kommandoen:
sudo nano /etc/issue.net
Rediger filen for å legge til en passende advarsel.
Lagre og lukk filen.
-
Deaktiver bannermeldingen fra Message Of The Day (motd). Åpne en terminal og gi kommandoen:
sudo nano /etc/pam.d/sshd
-
Med denne filen åpen for redigering, kommenter de følgende to linjene (legg til en # til begynnelsen av hver linje):
økt valgfri pam_motd.so motd=/run/motd.dynamic
økt valgfri pam_motd.so noupdate -
Deretter åpner du /etc/ssh/sshd_config med kommandoen:
sudo nano /etc/ssh/sshd_config
-
Fjern kommentaren til linjen (fjern # symbol):
Banner /etc/issue.net
Lagre og lukk filen.
-
Start SSH-serveren på nytt med kommandoen:
sudo systemctl start sshd på nytt
-
Når noen logger på serveren din med SSH, ser de det nylig lagt til banneret som advarer dem om eventuelle konsekvenser av ytterligere handling.
Begrens SU-tilgang
Med mindre annet er konfigurert, kan Linux-brukere bruke su kommando for å bytte til en annen bruker. Når de gjør det, får de rettighetene som er gitt til den andre brukeren. Så hvis bruker EN (som har begrenset tilgang til serveren) bruker su for å endre til bruker B (som har mindre begrenset tilgang til serveren), bruker EN er nå bruker B og kan gjøre mer med serveren. På grunn av dette, deaktiver tilgang til su-kommandoen. Dette er hvordan:
-
Opprett en ny administratorgruppe på serveren med denne kommandoen:
sudo groupadd admin
-
Legg til brukere i denne gruppen, for eksempel for å legge til bruker jack til gruppen. Kommandoen for dette er:
sudo usermod -a -G admin jack
Hvis du er logget inn som bruker jack, logg ut og på igjen for at endringene skal tre i kraft.
-
Gi tilgang til su-kommandoen til admin-gruppen med kommandoen:
sudo dpkg-statoverride --oppdatering --legg til root admin 4750 /bin/su
-
Hvis du logger inn på Ubuntu-serveren din som bruker jack og prøv å bruke su-kommandoen for å bytte til en annen bruker, det er tillatt fordi jack er medlem av admin. Andre brukere nektes tilgang til su-kommandoen.
Installer fail2ban
Fail2ban er et inntrengningsforebyggende system som overvåker loggfiler og søker etter bestemte mønstre som tilsvarer et mislykket påloggingsforsøk. Hvis et visst antall mislykkede pålogginger oppdages fra en spesifikk IP-adresse (innen en angitt tidsperiode), blokkerer fail2ban tilgang fra den IP-adressen.
Slik installerer du fail2ban:
-
Åpne et terminalvindu og gi denne kommandoen:
sudo apt-get install fail2ban
-
Katalogen /etc/fail2ban inneholder hovedkonfigurasjonsfilen, jail.conf. Også i den katalogen er underkatalogen, fengsel.d. De jail.conf fil er hovedkonfigurasjonsfilen og fengsel.d inneholder de sekundære konfigurasjonsfilene. Ikke rediger jail.conf fil. Opprett i stedet en ny konfigurasjon som overvåker SSH-pålogginger. Skriv inn følgende kommando:
sudo nano /etc/fail2ban/jail.local
-
I denne nye filen legger du til følgende innhold:
[sshd]
aktivert = sant
port = 22
filter = sshd
logpath = /var/log/auth.log
maxretry = 3Denne konfigurasjonen aktiverer fengselet, setter SSH-porten som skal overvåkes til 22, bruker sshd-filteret og angir at loggfilen skal overvåkes.
Lagre og lukk filen.
-
Start fail2ban på nytt med kommandoen:
sudo systemctl restart fail2ban
-
Hvis du prøver å sikre Shell til den serveren og mislykkes påloggingen tre ganger (angitt som standard av fail2ban), blokkeres tilgangen fra IP adresse du jobber fra.
