Umriss dieses Artikels

Zum Zeitpunkt von Erstellen von Ubuntu VSI auf IBM Cloud VPC Gen 2 habe ich zusammengefasst, was ich getan habe, um die Sicherheit als Memorandum zu gewährleisten.

Der Inhalt der Implementierung ist wie folgt.

--Erstellen eines allgemeinen Benutzers --Allgemeine Benutzer-Sudo-Einstellungen

SSH-Authentifizierungseinstellungen für öffentliche Schlüssel für allgemeine Benutzer
SSH-Login als root verbieten
Deaktivierbare Passwortauthentifizierung
Änderung der Standardsicherheitsgruppe (Einschränkung der IP-Adresse der Zugriffsquelle)

Darüber hinaus verweist dieser Artikel auf die folgenden Artikel.

Voraussetzungen

Dieser Artikel setzt Folgendes voraus:

--VSI OS ist Ubuntu

Das lokale Terminal ist ein Mac

Erstellen eines allgemeinen Benutzers

Im Ausgangszustand wird die SSH-Anmeldung als root ausgeführt, es ist jedoch gefährlich, root weiterhin so zu verwenden, wie es ist. Erstellen Sie daher einen allgemeinen Benutzer. In Ubuntu können Sie zwei Arten von Befehlen verwenden, den Befehl useradd und den Befehl adduser. Da jedoch Unannehmlichkeiten wie der Befehl useradd auftreten, bei dem das Ausgangsverzeichnis nicht erstellt wird, verwenden Sie den Befehl adduser. Benutzen. Sie können das Passwort interaktiv festlegen, indem Sie den Befehl adduser ausführen.

# adduser <Benutzeridentifikation>

Allgemeine Benutzer-Sudo-Einstellungen

Um die SSH-Anmeldung als Root zu verbieten, können allgemeine Benutzer anschließend mit "sudo su" root werden. Dies ist möglich, indem Sie den Benutzer zur Sudo-Gruppe hinzufügen. Führen Sie daher den folgenden Befehl aus: Geben Sie "-aG" an, da es die angegebene Gruppe ersetzt, für die nur "-G" als Option angegeben ist, anstatt sie hinzuzufügen.

# usermod -aG sudo <Benutzeridentifikation>

Einrichten der Authentifizierung mit öffentlichem SSH-Schlüssel für allgemeine Benutzer

Erstellen Sie einen SSH-Schlüssel auf Ihrem lokalen Terminal.

ssh-keygen -t rsa -b 4096 -f id_rsa_ubuntu

Mit dem obigen Befehl werden die Dateien id_rsa_ubuntu (privater Schlüssel) und id_rsa_ubuntu.pub (öffentlicher Schlüssel) erstellt. Kopieren Sie daher den Inhalt der Datei id_rsa_ubuntu.pub (öffentlicher Schlüssel).

Erstellen / bearbeiten Sie auf der Ubuntu-Seite für den allgemeinen Zielbenutzer die Datei ".ssh / autorisierte_Tasten" und fügen Sie den kopierten Inhalt des öffentlichen Schlüssels ein.

# su - <Benutzeridentifikation>
$ mkdir ~/.ssh
$ vi ~/.ssh/authorized_keys

Melden Sie sich danach einmal ab und bestätigen Sie, dass der SSH-Zugriff als allgemeiner Benutzer möglich ist.

ssh -i <Pfad der privaten Schlüsseldatei> <Benutzeridentifikation>@<VSI-IP-Adresse>

Verbieten Sie die SSH-Anmeldung als Root und deaktivieren Sie die Kennwortauthentifizierung

Um die SSH-Anmeldung als Root zu verhindern und die Kennwortauthentifizierung zu deaktivieren, bearbeiten Sie die Datei / etc / ssh / sshd_config wie folgt.

#Einstellungen für die Root-Anmeldeberechtigung. Ja->Wechseln Sie zu Nr. Wenn es auskommentiert ist, brechen Sie es ab und ändern Sie es.
PermitRootLogin no

#Einstellungen für die Kennwortauthentifizierung. Ja->Wechseln Sie zu Nr. Wenn es auskommentiert ist, brechen Sie es ab und ändern Sie es.
PasswordAuthentication no

Ändern Sie die Standardsicherheitsgruppe (beschränken Sie die Zugriffsquellen-IP-Adresse).

Beschränken Sie in den Einstellungen der VPC-Sicherheitsgruppe die IP-Adresse der Zugriffsquelle nur auf eine bestimmte IP-Adresse.

Wechseln Sie zur Seite VPC-Sicherheitsgruppen (https://cloud.ibm.com/vpc-ext/network/securityGroups).

Die Ziel-VPC verfügt über eine Standardsicherheitsgruppe. Wählen Sie diese aus. (Wählen Sie in diesem Beispiel die VPC-Standardsicherheitsgruppe samplevpc aus.)

Klicken Sie auf "Regeln".

Die Standardregel für eingehende Sicherheitsgruppen akzeptiert den Zugriff auf Port 22 (SSH) von jeder IP-Adresse aus, es sei denn, Sie haben die Standardspezifikation beim Erstellen der VPC geändert. Beschränken Sie dies nur auf einen bestimmten IP-Adressbereich. Klicken Sie auf den Dreipunktblock ganz rechts in der Zeile "TCP" und wählen Sie "Löschen", um ihn zu löschen. Klicken Sie dann auf die Schaltfläche Erstellen.

Geben Sie als neue eingehende Regel "TCP" für "Protokoll", einen Mindestwert von "22" für "Portbereich" und einen Höchstwert von "22" an. Wählen Sie außerdem "CIDR-Block", geben Sie den Bereich der zulässigen Zugriffsquellen-IP-Adressen an und klicken Sie auf die Schaltfläche "Speichern".

Das Folgende ist der Status nach dem Erstellen einer Regel, die zwei Arten von Bereichen angibt.

Daher kann der SSH-Zugriff nur von einer bestimmten IP-Adresse aus durchgeführt werden, die SSH-Anmeldung als Root ist verboten und die Kennwortauthentifizierung ist ebenfalls deaktiviert.

SSH-Zugriff mit Proxy-Spezifikation

In den letzten Remote-Vorgängen gibt es Fälle, in denen von zu Hause aus auf den Server zugegriffen wird. In diesem Fall wird die IP-Adresse jedoch vom Internetprovider dynamisch zugewiesen, und es gibt Fälle, in denen der IP-Adressbereich nicht eingegrenzt werden kann. Wenn Ihr Unternehmen einen Remote-HTTP-Proxy bereitstellt, können Sie Ihre IP-Adresse möglicherweise auf autorisierte IP-Adressen beschränken, indem Sie diesen Proxy verwenden.

[SSH über HTTP-Proxy (Mac)] [https://qiita.com/testnin2/items/1584e5863c3b149feb71) führt den SSH-Zugriff über HTTP-Proxy bei Verwendung eines Mac ein. Durch Ausführen des folgenden Befehls ist es möglich, die IP-Adresse der Zugriffsquelle auf die zulässige Adresse festzulegen.

ssh -i <Pfad der privaten Schlüsseldatei> <Benutzeridentifikation>@<VSI-IP-Adresse> -o ProxyCommand='nc -X connect -x <HTTP-Proxy-Hostname>:<HTTP-Proxy-Portnummer> %h %p'

Im Fall von Windows kann es auf die gleiche Weise implementiert werden durch So greifen Sie von Windows 10 aus in der Proxy-Umgebung von SSH nach außen zu.

Sicherheitseinstellungen für die Anmeldung zum Ubuntu-Server unter IBM Cloud VPC Gen 2