In questo tutorial, supponiamo che tu abbia già installato il server Ubuntu Ubuntu 20.04 LTS (Focal Fossa) appena installato. Ti consigliamo di utilizzare la versione LTS di Ubuntu per i tuoi server come Ubuntu 20.04 LTS (Focal Fossa). Ora, dopo aver installato il server Ubuntu 20.04, procedi con i passaggi successivi all'installazione sul tuo server. Questo tutorial include passaggi utili per configurare un server per applicare la sicurezza di base al server.
Segui i passaggi seguenti.
1. Aggiorna il tuo sistema
Prima di tutto, accedi al sistema Ubuntu 20.04 tramite il terminale di sistema. Ora, esegui i seguenti comandi per aggiornare apt cache e aggiornare tutti i pacchetti sul tuo sistema.
sudo apt update sudo apt upgrade
2. Crea un account utente
Non consigliamo mai di utilizzare l'utente root per lavorare su Ubuntu 20.04. Creiamo un account per l'amministrazione del sistema e abilitiamo l'accesso sudo per questo.
sudo adduser sysadmin
Ora aggiungi l'utente appena creato al gruppo sudo, in modo che possa ottenere tutti i privilegi sudo.
ssudo usermod -aG sudo sysadmin
3. Server SSH sicuro
Ti consigliamo di cambiare la porta SSH predefinita, ti aiuta a proteggere il tuo sistema dai tentativi di hacking. Per modificare la porta predefinita, modifica il file di configurazione OpenSSH /etc/ssh/sshd_config e apporta le seguenti modifiche.
- Cambia porta predefinita:sarà utile modificare la porta ssh predefinita poiché le porte predefinite sono sempre sugli attaccanti.
Port 2222
- Disabilita l'accesso SSH root – Inoltre, vorresti disabilitare l'accesso root tramite ssh.
PermitRootLogin no
4. Imposta SSH basato su chiave
Si consiglia vivamente di utilizzare l'accesso ssh basato su chiave anziché l'accesso tramite password. Per configurarlo, crea una coppia di chiavi ssh sul tuo sistema locale.
Gli utenti Linux possono utilizzare il comando seguente e gli utenti Windows utilizzano puttygen.exe per generare una coppia di chiavi ssh.
ssh-keygen
Risultato di esempio:
Generating public/private rsa key pair. Enter file in which to save the key (/home/sysadmin/.ssh/id_rsa): Created directory '/home/sysadmin/.ssh'. Enter passphrase (empty for no passphrase): Enter same passphrase again: Your identification has been saved in /home/sysadmin/.ssh/id_rsa Your public key has been saved in /home/sysadmin/.ssh/id_rsa.pub The key fingerprint is: SHA256:Wewuzm5MjMkiTQA4zFKPpGWpOcEE7TGRlFSgYGpsWHE [email protected] The key's randomart image is: +---[RSA 3072]----+ |@O%OE | |@@O+ . | |*X.+. o | |* . . + | | . o . +S . | | . o + o. | | . . o. . | | oo. | | o+ | +----[SHA256]-----+
Ora copia la chiave pubblica appena creata .ssh/id_rsa.pub contenuto del file sui server ~/.ssh/authorized_keys file. Puoi copiare direttamente la chiave pubblica nel file del server o utilizzare il comando seguente.
ssh-copy-id -i ~/.ssh/id_rsa.pub [email protected]
Ora accedi al server con SSH, non verrà più richiesta la password.
ssh [email protected]
5. Configura Firewall con FirewallD
L'edizione predefinita del server Ubuntu 20.04 non ha firewalld installato su di essa. Puoi semplicemente eseguire il comando seguente per installare i pacchetti richiesti dai repository predefiniti.
sudo apt install firewalld
Dopo l'installazione, avvia il servizio firewall e abilitalo all'avvio automatico all'avvio del sistema.
systemctl start firewalld systemctl enable firewalld
Per impostazione predefinita, il firewall consentiva l'accesso SSH agli utenti remoti. Potrebbe anche essere necessario consentire altri servizi tramite il firewall agli utenti remoti.
Puoi fornire direttamente un nome di servizio come "http" o "https" per consentire. Il firewalld usa il file /etc/services per determinare la porta corrispondente del servizio.
firewall-cmd --permanent --add-service=http firewall-cmd --permanent --add-service=https
Se uno qualsiasi dei nomi del servizio non è definito nel file /etc/services. È possibile eseguire la regola del firewall utilizzando direttamente il numero di porta. Ad esempio per consentire la porta TCP 8080 o 10000 (Webmin predefinito) al firewall.
firewall-cmd --permanent --add-port=8080/tcp firewall-cmd --permanent --add-port=10000/tcp
Dopo aver apportato modifiche al firewall, assicurati di ricaricare le modifiche utilizzando il comando seguente.
firewall-cmd --reload
Per visualizzare, tutte le porte e i servizi consentiti utilizzano il comando seguente.
firewall-cmd --permanent --list-all
Uscita:
public target: default icmp-block-inversion: no interfaces: sources: services: cockpit dhcpv6-client http https ssh ports: 8080/tcp 10000/tcp protocols: masquerade: no forward-ports: source-ports: icmp-blocks: rich rules:
Conclusione
Il tuo sistema Ubuntu 20.04 LTS (Focal Fossa) è pronto per l'uso. Non dimenticare di condividere le tue idee sulla configurazione iniziale del server, che aiuterà gli altri.