ハビブ・ムヘニ/ウィキメディア・コモンズ、CC BY-SA

現在では、ホスティング上でサーバーを立ち上げるのは、マウスを数回クリックするだけで数分で完了します。 しかし、起動直後、彼はロッカーディスコにいる無邪気な女の子のようにインターネット全体にオープンであるため、自分が敵対的な環境にいることになります。 スキャナーはそれをすぐに見つけ、ネットワーク内を探索して脆弱性や構成ミスを探す、自動的にスクリプト化された何千ものボットを検出します。 基本的な保護を確保するために、起動直後に行うべきことがいくつかあります。

ページ内容

• 非rootユーザー
• SSHパスワードの代わりにキー
• ファイアウォール
• Fail2Ban
• 自動セキュリティ更新
• デフォルトのポートの変更

非rootユーザー

最初のステップは、自分用の非 root ユーザーを作成することです。 ポイントはユーザーが root システム内で絶対的な権限を与え、彼にリモート管理を許可すると、あなたはハッカーの仕事の半分を行うことになり、ハッカーに有効なユーザー名を残すことになります。

したがって、別のユーザーを作成し、root の SSH 経由のリモート管理を無効にする必要があります。

新しいユーザーはコマンドによって開始されます useradd:

useradd [options] <username>

次に、コマンドを使用してパスワードを追加します passwd:

passwd <username>

最後に、このユーザーを、管理者特権でコマンドを実行する権限を持つグループに追加する必要があります。 sudo。 Linux ディストリビューションによっては、これらは異なるグループになる場合があります。 たとえば、CentOS と Red Hat では、ユーザーはグループに追加されます。 wheel:

usermod -aG wheel <username>

Ubuntuではグループに追加されます sudo:

usermod -aG sudo <username>

SSHパスワードの代わりにキー

ブルート フォースやパスワードの漏洩は標準的な攻撃ベクトルであるため、SSH (Secure Shell) でのパスワード認証を無効にし、代わりにキー認証を使用することが最善です。

SSH プロトコルを実装するためのさまざまなプログラムがあります。 ああ и ドロップベア, しかし、最も人気があるのは OpenSSH です。 Ubuntu への OpenSSH クライアントのインストール:

sudo apt install openssh-client

サーバーのインストール:

sudo apt install openssh-server

Ubuntu サーバー上で SSH デーモン (sshd) を起動します。

sudo systemctl start sshd

起動するたびにデーモンを自動的に起動します。

sudo systemctl enable sshd

OpenSSH のサーバー部分にはクライアント部分が含まれることに注意してください。 つまり、 openssh-server 他のサーバーに接続できます。 さらに、クライアント マシンからリモート サーバーからサードパーティ ホストへの SSH トンネルを開始すると、サードパーティ ホストはリモート サーバーをリクエストの送信元と見なします。 システムをマスクするための非常に便利な機能です。 詳細については記事を参照してください 「実践的なヒント、例、SSH トンネル」.

通常、クライアント マシンに (セキュリティ目的で) コンピュータへのリモート接続の可能性を防ぐために本格的なサーバーをインストールすることは意味がありません。

したがって、新しいユーザーの場合は、まずサーバーにアクセスするコンピューター上で SSH キーを生成する必要があります。

ssh-keygen -t rsa

公開鍵はファイルに保存されます .pub で始まるランダムな文字列のように見えます。 ssh-rsa.

ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQ3GIJzTX7J6zsCrywcjAM/7Kq3O9ZIvDw2OFOSXAFVqilSFNkHlefm1iMtPeqsIBp2t9cbGUf55xNDULz/bD/4BCV43yZ5lh0cUYuXALg9NI29ui7PEGReXjSpNwUD6ceN/78YOK41KAcecq+SS0bJ4b4amKZIJG3JWm49NWvoo0hdM71sblF956IXY3cRLcTjPlQ84mChKL1X7+D645c7O4Z1N3KtL7l5nVKSG81ejkeZsGFzJFNqvr5DuHdDL5FAudW23me3BDmrM9ifUmt1a00mWci/1qUlaVFft085yvVq7KZbF2OP2NQACUkwfwh+iSTP username@hostname

次に、root の下からサーバー上のユーザーのホーム ディレクトリに SSH ディレクトリを作成し、そのファイルに SSH 公開キーを追加します。 authorized_keysVim などのテキスト エディタを使用して:

mkdir -p /home/user_name/.ssh && touch /home/user_name/.ssh/authorized_keys

vim /home/user_name/.ssh/authorized_keys

最後に、ファイルに正しいアクセス許可を設定します。

chmod 700 /home/user_name/.ssh && chmod 600 /home/user_name/.ssh/authorized_keys

そして所有権をこのユーザーに変更します。

chown -R username:username /home/username/.ssh

クライアント側では、認証用の秘密キーの場所を指定する必要があります。

ssh-add DIR_PATH/keylocation

これで、次のキーを使用してユーザー名でサーバーにログインできるようになります。

ssh [username]@hostname

認証後、scp コマンドを使用してファイルをコピーできます。 sshfs ファイル システムまたはディレクトリをリモートでマウントします。

パスワード認証を無効にして秘密キーを紛失すると、自分のサーバーにまったくログインできなくなるため、秘密キーのバックアップ コピーをいくつか作成することをお勧めします。

上で述べたように、SSH では root の認証を無効にする必要があります (これが新しいユーザーを開始した理由です)。

CentOS/Red Hat では、次の行が見つかります。 PermitRootLogin yes 設定ファイル内で /etc/ssh/sshd_config そしてそれを変更します:

PermitRootLogin no

Ubuntu では次の行を追加します PermitRootLogin no 設定ファイルに 10-my-sshd-settings.conf:

sudo echo "PermitRootLogin no" >> /etc/ssh/sshd_config.d/10-my-sshd-settings.conf

新しいユーザーがキーを使用して認証していることを確認した後、パスワード認証を無効にして、パスワード漏洩やブルート フォースのリスクを排除できます。 ここで、攻撃者がサーバーにアクセスするには、秘密キーを取得する必要があります。

CentOS/Red Hat では、次の行が見つかります。 PasswordAuthentication yes 設定ファイル内で /etc/ssh/sshd_config 次のように変更します。

PasswordAuthentication no

Ubuntu では次の行を追加します PasswordAuthentication no ファイルへ 10-my-sshd-settings.conf:

sudo echo "PasswordAuthentication no" >> /etc/ssh/sshd_config.d/10-my-sshd-settings.conf

SSH 経由で XNUMX 要素認証を有効にする手順については、次を参照してください。 ここで.

ファイアウォール

ファイアウォールは、直接許可したポート上のトラフィックのみがサーバーに送信されるようにします。 これにより、他のサービスで誤って有効になったポートの悪用が防止され、攻撃対象領域が大幅に減少します。

ファイアウォールをインストールする前に、SSH が除外リストに含まれており、ブロックされないことを確認する必要があります。 そうしないと、ファイアウォールの起動後にサーバーに接続できなくなります。

Ubuntu ディストリビューションには Uncomplicated Firewall (UFW)、CentOS/Red Hat を使用 - ファイアウォール.

Ubuntu のファイアウォールで SSH を許可する:

sudo ufw allow ssh

CentOS/Red Hat では、次のコマンドを使用します。 firewall-cmd:

sudo firewall-cmd --zone=public --add-service=ssh --permanent

この手順の後、ファイアウォールを開始できます。

CentOS/Red Hat で、firewalld の systemd サービスを開始します。

sudo systemctl start firewalld
sudo systemctl enable firewalld

Ubuntu では次のコマンドを使用します。

sudo ufw enable

Fail2Ban

サービス Fail2Ban サーバー上のログを解析し、各IPアドレスからのアクセス試行回数をカウントします。 この設定では、一定期間内に許可されるアクセス試行回数のルールを指定します。その後、この IP アドレスは指定された期間ブロックされます。 たとえば、5 時間以内に SSH 認証の試行が 2 回失敗することを許可し、その後、指定された IP アドレスを 12 時間ブロックするとします。

CentOS および Red Hat への Fail2Ban のインストール:

sudo yum install fail2ban

Ubuntu および Debian へのインストール:

sudo apt install fail2ban

実行：

systemctl start fail2ban
systemctl enable fail2ban

プログラムには XNUMX つの構成ファイルがあります。 /etc/fail2ban/fail2ban.conf и /etc/fail2ban/jail.conf。 禁止制限は XNUMX 番目のファイルで指定されます。

SSH の Jail は、デフォルト設定 (試行 5 回、間隔 10 分、禁止 10 分) でデフォルトで有効になっています。

[デフォルト]ignorecommand=bantime=10m findtime=10m maxretry=5

SSH に加えて、Fail2Ban は nginx または Apache Web サーバー上の他のサービスを保護できます。

自動セキュリティ更新

ご存知のとおり、すべてのプログラムで新しい脆弱性が常に発見されています。 情報が公開されると、人気のあるエクスプロイト パックにエクスプロイトが追加され、ハッカーやティーンエイジャーがすべてのサーバーを連続してスキャンする際に大量に使用されます。 したがって、セキュリティ更新プログラムが提供されたらすぐにインストールすることが非常に重要です。

Ubuntu サーバーでは、自動セキュリティ更新がデフォルトで有効になっているため、それ以上のアクションは必要ありません。

CentOS/Red Hat ではアプリケーションをインストールする必要があります dnf-自動 そしてタイマーをオンにします。

sudo dnf upgrade
sudo dnf install dnf-automatic -y
sudo systemctl enable --now dnf-automatic.timer

タイマーチェック:

sudo systemctl status dnf-automatic.timer

デフォルトのポートの変更

SSH は、Telnet (ポート 1995) と FTP (ポート 23) を置き換えるために 21 年に開発されました。 デフォルトでポート 22 が選択されています、IANAによって承認されています。

当然のことながら、すべての攻撃者は SSH がどのポートで実行されているかを認識しており、そのポートを残りの標準ポートとともにスキャンして、ソフトウェアのバージョンを調べたり、標準の root パスワードをチェックしたりします。

標準ポートの変更 (難読化) を数回行うと、ガベージ トラフィックの量、ログのサイズ、サーバーの負荷が軽減され、攻撃対象領域も減少します。 多少ですが 「隠蔽による保護」というこの方法を批判する (隠蔽によるセキュリティ)。 その理由は、この手法が基本的な手法に反するからです。 建築上の保護。 したがって、たとえば、米国国立標準技術研究所は、 「サーバーセキュリティガイド」 この文書には、オープン サーバー アーキテクチャの必要性が示されています。「システムのセキュリティは、そのコンポーネントの実装の機密性に依存すべきではありません」とこの文書には記載されています。

理論的には、デフォルトのポートを変更することはオープン アーキテクチャの実践に反します。 しかし実際には、悪意のあるトラフィックの量は実際に減少するため、これは簡単で効果的な対策です。

ポート番号はディレクティブを変更することで設定できます Port 22 設定ファイル内で /etc/ssh/sshd_config。 パラメータでも示されます -p <port> в sshd。 SSHクライアントとプログラム SFTP オプションもサポートします -p <port>.

パラメーター -p <port> コマンドで接続するときにポート番号を指定するために使用できます ssh Linuxで。 の SFTP и scp パラメータが使用されます -P <port> (大文字の P)。 コマンドライン命令は、構成ファイル内の値をオーバーライドします。

サーバーが多数ある場合、Linux サーバーを保護するためのこれらのアクションのほとんどすべてをスクリプトで自動化できます。 ただし、サーバーが XNUMX つしかない場合は、プロセスを手動で制御することをお勧めします。

広告の権利について

注文してすぐに始めましょう！ VDSの作成 どのような構成でも、どのオペレーティング システムでも 128 分以内に完了します。 最大構成では、512 CPU コア、4000 GB RAM、XNUMX GB NVMe を最大限に活用できます。 素晴らしい 🙂

出所： habr.com