Введение
Доброго времени суток, хабр! В этом туториале я кратко распишу базовую настройку безопасного vps сервера для личного пользования(например pet проектов) на ubuntu 22.04. На истину в последней инстанции не претендую, поэтому с радостью буду дополнять статью советами и коммандами из комментариев)
Примечания
Везде где я использую vim для работы с текстовыми файлами, вы можете использовать nano, так как он более понятный.
В этом туториале предполагается, что vps вы уже выбрали и приобрели, с выбором оного может помочь вот эта статья
Настройка
Обновления
После покупки vps обычно вы получаете пароль от рута и ip адрес вашего севера, используйте их для входа.
ssh root@your_ipПодключаемся на сервер, нажимаем yes и вводим пароль.
apt update && apt dist-upgrade -y && rebootОбновляем данные о пакетах, апгрейдим все что есть на сервере и перезагружаемся, после чего заново входим на сервер.
Я использую apt dist-upgrade, вместо apt upgrade потому что это безопаснее и надежнее, подробнее можно почитать тут
Создание пользователя и настройка sudo
useradd -m super -G sudo -s /bin/bashСоздаем пользователя по имени super для работы с правами на sudo, собственной директорией и с bash в шелла.
Отдельного пользователя для работы мы делаем, так как работать из под рута небезопасно из-за неограниченных привилегий.
visudoПравим sudo конфиг через специальную тулзу, встроенную в sudo. Здесь нам нужно исправить несколько вещей:
1. Даем возможность пользователям группы sudo использовать sudo без ввода пароля, добавляя NOPASSWD, так как мы не будем устанавливать пароли.
# Allow members of group sudo to execute any command
%sudo ALL=(ALL:ALL) NOPASSWD:ALL
2. Запрещаем использовать дополнительные конфиги для безопасности, поэтому комментируем удаляем эту строчку.
#includedir /etc/sudoers.d
3. Запрещаем группе admin использовать sudo, комментируя эту строчку.
# Members of the admin group may gain root privileges
#%admin ALL=(ALL) ALLитоговый /etc/sudoers
#
# This file MUST be edited with the 'visudo' command as root.
#
# Please consider adding local content in /etc/sudoers.d/ instead of
# directly modifying this file.
#
# See the man page for details on how to write a sudoers file.
#
Defaults env_reset
Defaults mail_badpass
Defaults secure_path="/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin:/snap/bin"
# Host alias specification
# User alias specification
# Cmnd alias specification
# User privilege specification
root ALL=(ALL:ALL) ALL
# Members of the admin group may gain root privileges
#%admin ALL=(ALL) ALL
# Allow members of group sudo to execute any command
%sudo ALL=(ALL:ALL) NOPASSWD:ALL
# See sudoers(5) for more information on "#include" directives:
su super
cdЗаходим под созданным пользователем в его домашнюю директорию для дальнейшей настройки.
echo 'umask 0077' >> .bashrcСтавим маску на все создаваемые файлы, чтобы максимально ограничить доступ к ним.
mkdir .ssh && chmod 700 .sshСоздаем папку для хранения ssh ключей и оставляем доступ только пользователю.
Почему именно 700 можно почитать здесь
Настройка ssh
Для безопасного входа на сервер нам нужно сгенерировать ssh ключи, чтобы использовать их вместо паролей. На этом этапе нужно две консоли, одна на сервере, а другая на локале.
# locale
ssh-keygen -t rsa -b 4096Альтернативный способ:
# locale
ssh-keygen -t ed25519При использовании альтернативного способа все делается так же, кроме того что ключ по умолчанию называется id_ed25519 . Про различие алгоритмов можно почитать тут
Генерируем ssh ключи на локальном компьютере, не на сервере! И получаем два ключа в папке ~/.ssh/: публичный(у него на конце .pub), который мы грузим на сервер, и приватный, который мы никуда никогда не загружаем!
# locale
scp .ssh/id_rsa.pub root@your_ip:/home/super/.ssh/Загружаем полученный на предыдущем шаге ключ на сервер в папку нашего пользователя.
# server
sudo chown super:super .ssh/id_rsa.pub && chmod 600 .ssh/id_rsa.pub && mv .ssh/id_rsa.pub .ssh/authorized_keysВ консоли которая уже на сервере 'передаем' загруженный ключ под нашего пользователя, т.к. загружали мы его под рутом, ограничиваем права доступа к нему и переименовываем в authorized_key.
# locale
ssh -i .ssh/id_rsa super@your_ipПроверяем, что удачно можем авторизоваться на сервере с помощью ключа под нашим пользователем и продолжаем настройку.
# server
sudo vi /etc/passwdВыключаем пользователя root, чтобы никаким способом нельзя было работать из под него. Меняем его shell на /usr/sbin/nologin, должно получиться вот так:
# server
sudo vi /etc/ssh/sshd_configТеперь нам нужно настроить ssh сервер. Нам нужно исправить следующие строчки:
Меняем порт на нестандартный
Port 2220Явно запрещаем авторизацию под root, меняя yes на no
PermitRootLogin noЗапрещаем авторизацию по паролю, оставляя только по ключу:
# To disable tunneled clear text passwords, change to no here!
PasswordAuthentication no
PermitEmptyPasswords noСтавим принудительную авторизацию по ключу
PubkeyAuthentication yesИз комментария @aruslantsev
Еще стоит проверить, что в конфиге явно указано
KbdInteractiveAuthentication noилиChallengeResponseAuthentication no. Иначе такая команда может привести к удивительным результатам:ssh -o PreferredAuthentications=password -o PubkeyAuthentication=no example.comВыходим и сохраняем конфиг, после чего перезапускаем ssh сервер.
# server
sudo systemctl restart sshdИтоговый /etc/ssh/sshd_config
# $OpenBSD: sshd_config,v 1.103 2018/04/09 20:41:22 tj Exp $
# This is the sshd server system-wide configuration file. See
# sshd_config(5) for more information.
# This sshd was compiled with PATH=/usr/bin:/bin:/usr/sbin:/sbin
# The strategy used for options in the default sshd_config shipped with
# OpenSSH is to specify options with their default value where
# possible, but leave them commented. Uncommented options override the
# default value.
Include /etc/ssh/sshd_config.d/*.conf
Port 2220
#AddressFamily any
#ListenAddress 0.0.0.0
#ListenAddress ::
#HostKey /etc/ssh/ssh_host_rsa_key
#HostKey /etc/ssh/ssh_host_ecdsa_key
#HostKey /etc/ssh/ssh_host_ed25519_key
# Ciphers and keying
#RekeyLimit default none
# Logging
#SyslogFacility AUTH
#LogLevel INFO
# Authentication:
#LoginGraceTime 2m
PermitRootLogin no
#StrictModes yes
#MaxAuthTries 6
#MaxSessions 10
PubkeyAuthentication yes
# Expect .ssh/authorized_keys2 to be disregarded by default in future.
#AuthorizedKeysFile .ssh/authorized_keys .ssh/authorized_keys2
#AuthorizedPrincipalsFile none
#AuthorizedKeysCommand none
#AuthorizedKeysCommandUser nobody
# For this to work you will also need host keys in /etc/ssh/ssh_known_hosts
#HostbasedAuthentication no
# Change to yes if you don't trust ~/.ssh/known_hosts for
# HostbasedAuthentication
#IgnoreUserKnownHosts no
# Don't read the user's ~/.rhosts and ~/.shosts files
IgnoreRhosts yes
# To disable tunneled clear text passwords, change to no here!
PasswordAuthentication no
PermitEmptyPasswords no
# Change to yes to enable challenge-response passwords (beware issues with
# some PAM modules and threads)
ChallengeResponseAuthentication no
KbdInteractiveAuthentication no
# Kerberos options
#KerberosAuthentication no
#KerberosOrLocalPasswd yes
#KerberosTicketCleanup yes
#KerberosGetAFSToken no
# GSSAPI options
#GSSAPIAuthentication no
#GSSAPICleanupCredentials yes
#GSSAPIStrictAcceptorCheck yes
#GSSAPIKeyExchange no
# Set this to 'yes' to enable PAM authentication, account processing,
# and session processing. If this is enabled, PAM authentication will
# be allowed through the ChallengeResponseAuthentication and
# PasswordAuthentication. Depending on your PAM configuration,
# PAM authentication via ChallengeResponseAuthentication may bypass
# the setting of "PermitRootLogin without-password".
# If you just want the PAM account and session checks to run without
# PAM authentication, then enable this but set PasswordAuthentication
# and ChallengeResponseAuthentication to 'no'.
UsePAM yes
#AllowAgentForwarding yes
#AllowTcpForwarding yes
#GatewayPorts no
X11Forwarding yes
#X11DisplayOffset 10
#X11UseLocalhost yes
#PermitTTY yes
PrintMotd no
#PrintLastLog yes
#TCPKeepAlive yes
#PermitUserEnvironment no
#Compression delayed
#ClientAliveInterval 0
#ClientAliveCountMax 3
#UseDNS no
#PidFile /var/run/sshd.pid
#MaxStartups 10:30:100
#PermitTunnel no
#ChrootDirectory none
#VersionAddendum none
# no default banner path
Banner /etc/ssh/banner
# Allow client to pass locale environment variables
AcceptEnv LANG LC_*
# override default of no subsystems
Subsystem sftp /usr/lib/openssh/sftp-server
# Example of overriding settings on a per-user basis
#Match User anoncvs
# X11Forwarding no
# AllowTcpForwarding no
# PermitTTY no
# ForceCommand cvs server# locale
vi .ssh/configНастраиваем ssh config, чтобы каждый раз не прописывать ip адрес, путь до ключа и пользователя.
Host pet
# Меняем на свой ip
HostName your_ip
# Меняем на своего пользователя
User super
IdentitiesOnly yes
IdentityFile ~/.ssh/id_rsa
# Меняем на свой порт, если не меняли порт, то ставим 22
Port 2220
Теперь мы можем подключаться на сервер с помощью команды:
ssh petПодключаемся на сервер и продолжаем настройку.
Установка доп. программ
sudo apt install git ufw nmap net-tools curlУстанавливаем дефолтные тулзы для работы.
ufw - надстройка над
iptables, упрощает настройку файрволла сервера.git - часто необходим для скачивания и развертывания программ на сервере, лишним не будет.
nmap - для 'простукивания' портов, помогает проверить что на сервере лишние порты не открыты.
net-tools - сюда входит популярный
ifconfigиnetstat, часто облегчает работу.curl - для выполнения http запросов прямо из консоли.
(Опционально) Если нужен докер, то инструкция здеcь
Firewall
# Если меняли порт ssh
sudo ufw allow 2220/tcp
# Если не меняли
sudo ufw allow sshРазрешаем подключение по ssh.
sudo ufw default deny incoming
sudo ufw default allow outgoingЗапрещаем все входящие подключения и разрешаем все выходящие.
sudo ufw enableВключаем firewall.
На этом базовая настройка сервера закончена, надеюсь туториал вам помог :-)
Из комментариев
Fail2ban
@aborouhin Раз уж мы про безопасность - то можно добавить к списку для установки и настройки fail2ban.
Вот здесь есть хорошая инструкция по настройке fail2ban на ssh. Если кратко, то он автоматически банит подключение с ip адреса при опеределнном количестве неудачных попыток авторизации, что помогает против ботов.