Как стать автором
Обновить

VPS cheatsheet

Уровень сложностиПростой
Время на прочтение7 мин
Количество просмотров17K

Введение

Доброго времени суток, хабр! В этом туториале я кратко распишу базовую настройку безопасного vps сервера для личного пользования(например pet проектов) на ubuntu 22.04. На истину в последней инстанции не претендую, поэтому с радостью буду дополнять статью советами и коммандами из комментариев)

Примечания

  1. Везде где я использую vim для работы с текстовыми файлами, вы можете использовать nano, так как он более понятный.

  2. В этом туториале предполагается, что vps вы уже выбрали и приобрели, с выбором оного может помочь вот эта статья

Настройка

Обновления

После покупки vps обычно вы получаете пароль от рута и ip адрес вашего севера, используйте их для входа.

ssh root@your_ip

Подключаемся на сервер, нажимаем yes и вводим пароль.

apt update && apt dist-upgrade -y && reboot

Обновляем данные о пакетах, апгрейдим все что есть на сервере и перезагружаемся, после чего заново входим на сервер.

Я использую apt dist-upgrade, вместо apt upgrade потому что это безопаснее и надежнее, подробнее можно почитать тут

Создание пользователя и настройка sudo

useradd -m super -G sudo -s /bin/bash

Создаем пользователя по имени super для работы с правами на sudo, собственной директорией и с bash в шелла.

Отдельного пользователя для работы мы делаем, так как работать из под рута небезопасно из-за неограниченных привилегий.

visudo

Правим sudo конфиг через специальную тулзу, встроенную в sudo. Здесь нам нужно исправить несколько вещей:

1. Даем возможность пользователям группы sudo использовать sudo без ввода пароля, добавляя NOPASSWD, так как мы не будем устанавливать пароли.

# Allow members of group sudo to execute any command
%sudo   ALL=(ALL:ALL) NOPASSWD:ALL


2. Запрещаем использовать дополнительные конфиги для безопасности, поэтому комментируем удаляем эту строчку.

#includedir /etc/sudoers.d


3. Запрещаем группе admin использовать sudo, комментируя эту строчку.

# Members of the admin group may gain root privileges
#%admin ALL=(ALL) ALL
итоговый /etc/sudoers
#
# This file MUST be edited with the 'visudo' command as root.
#
# Please consider adding local content in /etc/sudoers.d/ instead of
# directly modifying this file.
#
# See the man page for details on how to write a sudoers file.
#
Defaults	env_reset
Defaults	mail_badpass
Defaults	secure_path="/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin:/snap/bin"

# Host alias specification

# User alias specification

# Cmnd alias specification

# User privilege specification
root	ALL=(ALL:ALL) ALL

# Members of the admin group may gain root privileges
#%admin ALL=(ALL) ALL

# Allow members of group sudo to execute any command
%sudo   ALL=(ALL:ALL) NOPASSWD:ALL

# See sudoers(5) for more information on "#include" directives:

su super
cd

Заходим под созданным пользователем в его домашнюю директорию для дальнейшей настройки.

echo 'umask 0077' >> .bashrc

Ставим маску на все создаваемые файлы, чтобы максимально ограничить доступ к ним.

mkdir .ssh && chmod 700 .ssh

Создаем папку для хранения ssh ключей и оставляем доступ только пользователю.

Почему именно 700 можно почитать здесь

Настройка ssh

Для безопасного входа на сервер нам нужно сгенерировать ssh ключи, чтобы использовать их вместо паролей. На этом этапе нужно две консоли, одна на сервере, а другая на локале.

# locale
ssh-keygen -t rsa -b 4096

Альтернативный способ:

# locale
ssh-keygen -t ed25519

При использовании альтернативного способа все делается так же, кроме того что ключ по умолчанию называется id_ed25519 . Про различие алгоритмов можно почитать тут

Генерируем ssh ключи на локальном компьютере, не на сервере! И получаем два ключа в папке ~/.ssh/: публичный(у него на конце .pub), который мы грузим на сервер, и приватный, который мы никуда никогда не загружаем!

# locale
scp .ssh/id_rsa.pub root@your_ip:/home/super/.ssh/

Загружаем полученный на предыдущем шаге ключ на сервер в папку нашего пользователя.

# server
sudo chown super:super .ssh/id_rsa.pub && chmod 600 .ssh/id_rsa.pub && mv .ssh/id_rsa.pub .ssh/authorized_keys

В консоли которая уже на сервере 'передаем' загруженный ключ под нашего пользователя, т.к. загружали мы его под рутом, ограничиваем права доступа к нему и переименовываем в authorized_key.

# locale
ssh -i .ssh/id_rsa super@your_ip

Проверяем, что удачно можем авторизоваться на сервере с помощью ключа под нашим пользователем и продолжаем настройку.

# server
sudo vi /etc/passwd

Выключаем пользователя root, чтобы никаким способом нельзя было работать из под него. Меняем его shell на /usr/sbin/nologin, должно получиться вот так:

/etc/passwd
/etc/passwd
# server
sudo vi /etc/ssh/sshd_config

Теперь нам нужно настроить ssh сервер. Нам нужно исправить следующие строчки:

  1. Меняем порт на нестандартный

Port 2220
  1. Явно запрещаем авторизацию под root, меняя yes на no

PermitRootLogin no
  1. Запрещаем авторизацию по паролю, оставляя только по ключу:

# To disable tunneled clear text passwords, change to no here!
PasswordAuthentication no
PermitEmptyPasswords no
  1. Ставим принудительную авторизацию по ключу

PubkeyAuthentication yes
  1. Из комментария @aruslantsev

    Еще стоит проверить, что в конфиге явно указано KbdInteractiveAuthentication no или ChallengeResponseAuthentication no. Иначе такая команда может привести к удивительным результатам: ssh -o PreferredAuthentications=password -o PubkeyAuthentication=no example.com

  2. Выходим и сохраняем конфиг, после чего перезапускаем ssh сервер.

# server
sudo systemctl restart sshd
Итоговый /etc/ssh/sshd_config
#	$OpenBSD: sshd_config,v 1.103 2018/04/09 20:41:22 tj Exp $

# This is the sshd server system-wide configuration file.  See
# sshd_config(5) for more information.

# This sshd was compiled with PATH=/usr/bin:/bin:/usr/sbin:/sbin

# The strategy used for options in the default sshd_config shipped with
# OpenSSH is to specify options with their default value where
# possible, but leave them commented.  Uncommented options override the
# default value.

Include /etc/ssh/sshd_config.d/*.conf

Port 2220
#AddressFamily any
#ListenAddress 0.0.0.0
#ListenAddress ::

#HostKey /etc/ssh/ssh_host_rsa_key
#HostKey /etc/ssh/ssh_host_ecdsa_key
#HostKey /etc/ssh/ssh_host_ed25519_key

# Ciphers and keying
#RekeyLimit default none

# Logging
#SyslogFacility AUTH
#LogLevel INFO

# Authentication:

#LoginGraceTime 2m
PermitRootLogin no
#StrictModes yes
#MaxAuthTries 6
#MaxSessions 10

PubkeyAuthentication yes

# Expect .ssh/authorized_keys2 to be disregarded by default in future.
#AuthorizedKeysFile	.ssh/authorized_keys .ssh/authorized_keys2

#AuthorizedPrincipalsFile none

#AuthorizedKeysCommand none
#AuthorizedKeysCommandUser nobody

# For this to work you will also need host keys in /etc/ssh/ssh_known_hosts
#HostbasedAuthentication no
# Change to yes if you don't trust ~/.ssh/known_hosts for
# HostbasedAuthentication
#IgnoreUserKnownHosts no
# Don't read the user's ~/.rhosts and ~/.shosts files
IgnoreRhosts yes

# To disable tunneled clear text passwords, change to no here!
PasswordAuthentication no
PermitEmptyPasswords no

# Change to yes to enable challenge-response passwords (beware issues with
# some PAM modules and threads)
ChallengeResponseAuthentication no
KbdInteractiveAuthentication no

# Kerberos options
#KerberosAuthentication no
#KerberosOrLocalPasswd yes
#KerberosTicketCleanup yes
#KerberosGetAFSToken no

# GSSAPI options
#GSSAPIAuthentication no
#GSSAPICleanupCredentials yes
#GSSAPIStrictAcceptorCheck yes
#GSSAPIKeyExchange no

# Set this to 'yes' to enable PAM authentication, account processing,
# and session processing. If this is enabled, PAM authentication will
# be allowed through the ChallengeResponseAuthentication and
# PasswordAuthentication.  Depending on your PAM configuration,
# PAM authentication via ChallengeResponseAuthentication may bypass
# the setting of "PermitRootLogin without-password".
# If you just want the PAM account and session checks to run without
# PAM authentication, then enable this but set PasswordAuthentication
# and ChallengeResponseAuthentication to 'no'.
UsePAM yes

#AllowAgentForwarding yes
#AllowTcpForwarding yes
#GatewayPorts no
X11Forwarding yes
#X11DisplayOffset 10
#X11UseLocalhost yes
#PermitTTY yes
PrintMotd no
#PrintLastLog yes
#TCPKeepAlive yes
#PermitUserEnvironment no
#Compression delayed
#ClientAliveInterval 0
#ClientAliveCountMax 3
#UseDNS no
#PidFile /var/run/sshd.pid
#MaxStartups 10:30:100
#PermitTunnel no
#ChrootDirectory none
#VersionAddendum none

# no default banner path
Banner /etc/ssh/banner

# Allow client to pass locale environment variables
AcceptEnv LANG LC_*

# override default of no subsystems
Subsystem	sftp	/usr/lib/openssh/sftp-server

# Example of overriding settings on a per-user basis
#Match User anoncvs
#	X11Forwarding no
#	AllowTcpForwarding no
#	PermitTTY no
#	ForceCommand cvs server

# locale
vi .ssh/config

Настраиваем ssh config, чтобы каждый раз не прописывать ip адрес, путь до ключа и пользователя.

Host pet
  # Меняем на свой ip
  HostName your_ip
  # Меняем на своего пользователя
  User super
  IdentitiesOnly yes
  IdentityFile ~/.ssh/id_rsa
  # Меняем на свой порт, если не меняли порт, то ставим 22
  Port 2220

Теперь мы можем подключаться на сервер с помощью команды:

ssh pet

Подключаемся на сервер и продолжаем настройку.

Установка доп. программ

sudo apt install git ufw nmap net-tools curl

Устанавливаем дефолтные тулзы для работы.

  1. ufw - надстройка над iptables, упрощает настройку файрволла сервера.

  2. git - часто необходим для скачивания и развертывания программ на сервере, лишним не будет.

  3. nmap - для 'простукивания' портов, помогает проверить что на сервере лишние порты не открыты.

  4. net-tools - сюда входит популярный ifconfig и netstat, часто облегчает работу.

  5. curl - для выполнения http запросов прямо из консоли.

(Опционально) Если нужен докер, то инструкция здеcь

Firewall

# Если меняли порт ssh
sudo ufw allow 2220/tcp

# Если не меняли
sudo ufw allow ssh

Разрешаем подключение по ssh.

sudo ufw default deny incoming
sudo ufw default allow outgoing

Запрещаем все входящие подключения и разрешаем все выходящие.

sudo ufw enable

Включаем firewall.

На этом базовая настройка сервера закончена, надеюсь туториал вам помог :-)

Из комментариев

Fail2ban

@aborouhin Раз уж мы про безопасность - то можно добавить к списку для установки и настройки fail2ban.

Вот здесь есть хорошая инструкция по настройке fail2ban на ssh. Если кратко, то он автоматически банит подключение с ip адреса при опеределнном количестве неудачных попыток авторизации, что помогает против ботов.

Теги:
Хабы:
Всего голосов 8: ↑3 и ↓50
Комментарии45

Публикации

Истории

Работа

Ближайшие события

28 ноября
Конференция «TechRec: ITHR CAMPUS»
МоскваОнлайн
2 – 18 декабря
Yandex DataLens Festival 2024
МоскваОнлайн
11 – 13 декабря
Международная конференция по AI/ML «AI Journey»
МоскваОнлайн
25 – 26 апреля
IT-конференция Merge Tatarstan 2025
Казань