Paramètres de sécurité autour de la connexion pour le serveur Ubuntu sur IBM Cloud VPC Gen 2

Aperçu de cet article

Au moment de Création d'Ubuntu VSI sur IBM Cloud VPC Gen 2, j'ai résumé ce que j'ai fait pour garantir la sécurité dans un mémorandum.

Le contenu de l'implémentation est le suivant.

--Création d'un utilisateur général

• Paramètres sudo généraux de l'utilisateur
• Paramètres d'authentification par clé publique SSH pour les utilisateurs généraux
• Interdire la connexion SSH en tant que root --Désactiver l'authentification par mot de passe
• Changement du groupe de sécurité par défaut (restriction de l'adresse IP de la source d'accès)

En outre, cet article fait référence aux articles suivants.

• Comment établir une connexion SSH via un proxy HTTP (Mac)
• Comment accéder à l'extérieur depuis Windows 10 sous environnement proxy par SSH
• Jusqu'à la connexion avec l'authentification par clé publique SSH
• Interdire la connexion root de ssh sur Ubuntu

Conditions préalables

Cet article suppose ce qui suit:

--VSI OS est Ubuntu

• Le terminal local est un Mac

Créer un utilisateur général

Dans l'état initial, la connexion SSH est effectuée en tant que root, mais il est dangereux de continuer à utiliser root tel quel, alors créez un utilisateur général. Dans Ubuntu, vous pouvez utiliser deux types de commandes, la commande useradd '' et la commande adduser, mais comme il y a des inconvénients tels que la commande useradd '' ne créant pas le répertoire de base, utilisez la commande adduser. Utiliser. Vous pouvez définir le mot de passe de manière interactive en exécutant la commande adduser.

# adduser <Identifiant d'utilisateur>

Paramètres sudo généraux de l'utilisateur

Après cela, pour interdire la connexion SSH en tant que root, autorisez les utilisateurs généraux à devenir root avec sudo su ''. Cela est possible en ajoutant l'utilisateur au groupe sudo, alors exécutez la commande suivante: Spécifiez -aG '' car il remplace le groupe spécifié comme ayant uniquement -G comme option au lieu de l'ajouter.

# usermod -aG sudo <Identifiant d'utilisateur>

Configuration de l'authentification par clé publique SSH pour les utilisateurs généraux

Créez une clé SSH sur votre terminal local.

ssh-keygen -t rsa -b 4096 -f id_rsa_ubuntu

La commande ci-dessus crée le fichier id_rsa_ubuntu (clé privée) et le fichier id_rsa_ubuntu.pub (clé publique), copiez donc le contenu du fichier id_rsa_ubuntu.pub (clé publique).

Ensuite, du côté Ubuntu, su à l'utilisateur général cible, créez / éditez le fichier `` .ssh / allowed_keys '', et collez le contenu copié de la clé publique.

# su - <Identifiant d'utilisateur>
$ mkdir ~/.ssh
$ vi ~/.ssh/authorized_keys

Après cela, déconnectez-vous une fois et confirmez que l'accès SSH est possible en tant qu'utilisateur général.

ssh -i <Chemin du fichier de clé privée> <Identifiant d'utilisateur>@<Adresse IP VSI>

Interdire la connexion SSH en tant que root et désactiver l'authentification par mot de passe

Pour interdire la connexion SSH en tant que root et désactiver l'authentification par mot de passe, modifiez le fichier / etc / ssh / sshd_config comme suit.

#Paramètres d'autorisation de connexion root. Oui->Changer en non. S'il est commenté, annulez-le et modifiez-le.
PermitRootLogin no

#Paramètres d'authentification par mot de passe. Oui->Changer en non. S'il est commenté, annulez-le et modifiez-le.
PasswordAuthentication no

Modifier le groupe de sécurité par défaut (limiter l'adresse IP de la source d'accès)

Dans les paramètres du groupe de sécurité VPC, limitez l'adresse IP de la source d'accès à une adresse IP spécifique uniquement.

Accédez à la page Groupes de sécurité VPC (https://cloud.ibm.com/vpc-ext/network/securityGroups).

Le VPC cible a un groupe de sécurité par défaut, alors sélectionnez-le. (Dans cet exemple, sélectionnez le groupe de sécurité par défaut du VPC appelé samplevpc)

Cliquez sur "Règles".

La règle entrante de groupe de sécurité par défaut accepte l'accès au port 22 (SSH) à partir de n'importe quelle adresse IP, sauf si vous avez modifié la spécification par défaut lors de la création du VPC. Limitez-le à une plage d'adresses IP spécifique uniquement. Cliquez sur le bloc à trois points à l'extrême droite de la ligne «TCP» et sélectionnez «Supprimer» pour le supprimer. Cliquez ensuite sur le bouton Créer.

En tant que nouvelle règle entrante, spécifiez «TCP» pour «Protocole», une valeur minimale de «22» pour «Plage de ports» et une valeur maximale de «22». Sélectionnez également "Blocage CIDR", spécifiez la plage d'adresses IP source d'accès à autoriser et cliquez sur le bouton "Enregistrer".

Voici l'état après la création d'une règle qui spécifie deux types de plages.

Par conséquent, l'accès SSH ne peut être effectué qu'à partir d'une adresse IP spécifique, la connexion SSH en tant que root est interdite et l'authentification par mot de passe est également désactivée.

Accès SSH avec spécification de proxy

Dans les opérations à distance récentes, il y a des cas où le serveur est accessible depuis le domicile, mais dans ce cas, l'adresse IP est attribuée dynamiquement par le fournisseur Internet, et il y a des cas où la plage d'adresses IP ne peut pas être réduite. Si votre entreprise fournit un proxy HTTP distant, vous pourrez peut-être limiter votre adresse IP aux adresses IP autorisées en passant par ce proxy.

How to SSH in via HTTP Proxy (Mac) introduit l'accès SSH via HTTP Proxy lors de l'utilisation d'un Mac. En exécutant la commande suivante en même temps, il est possible de définir l'adresse IP de la source d'accès sur l'adresse autorisée.

ssh -i <Chemin du fichier de clé privée> <Identifiant d'utilisateur>@<Adresse IP VSI> -o ProxyCommand='nc -X connect -x <Nom d'hôte du proxy HTTP>:<Numéro de port du proxy HTTP> %h %p'

Dans le cas de Windows, il peut être implémenté de la même manière par Comment accéder à l'extérieur depuis Windows 10 sous l'environnement proxy par SSH.