Compare commits
19 Commits
d0a0f48747
...
production
| Author | SHA1 | Date | |
|---|---|---|---|
| f4610efc76 | |||
| 550f44702d | |||
| 95940b3cc4 | |||
| 10f19a66a5 | |||
| 083eb8c14c | |||
| a7e91816fc | |||
| 9a6bf41daf | |||
| 53eab68341 | |||
| 8d64ee08ff | |||
| 034c8f7dc7 | |||
| 42334fd919 | |||
| 825d2ace8e | |||
| 40ed06dc22 | |||
| d79df66e02 | |||
| 9d396f829b | |||
| be0812aa81 | |||
| aadddc41c6 | |||
| 77074c2bdb | |||
| e7591f07a9 |
531
README.md
531
README.md
@@ -1,5 +1,6 @@
|
||||
# Базовая (Стартовая) настройка Ubuntu Server
|
||||
[Termius_KeyGen]: https://gitea.homelab.ats.com.ru/Sugan/Basic-Ubuntu-Server-Setup/images/Termius_KeyGen.png
|
||||
[Termius_KeyGen]: images/Termius_KeyGen.png
|
||||
[Termius_GetKey]: images/Termius_GetKey.png
|
||||
|
||||
|
||||
# Содержание
|
||||
@@ -8,7 +9,6 @@
|
||||
* [Установка Termius клиента](#установка-termius-клиента)
|
||||
* [Установка OpenSSH на сервере](#установка-openssh-на-сервере)
|
||||
* [Установка Nano на сервере](#установка-nano-на-сервере)
|
||||
* [Установка whois на сервере](#установка-whois-на-сервере)
|
||||
* [Установка fail2ban на сервере](#установка-fail2ban-на-сервере)
|
||||
* [Настройки доступа по SSH](#настройки-доступа-по-ssh)
|
||||
* [Создание публичного и приватного ключа](#создание-публичного-и-приватного-ключа)
|
||||
@@ -22,9 +22,6 @@
|
||||
* [Создание файла приложения HTTPS](#создание-файла-приложения-https)
|
||||
* [Настройка и запуск UFW](#настройка-и-запуск-ufw)
|
||||
* [UFW и Docker - особенности](#ufw-и-docker---особенности)
|
||||
* [Настройки fail2ban](#настройки-fail2ban)
|
||||
* [Настройка правил jail](#настройка-правил-jail)
|
||||
* [Запуск fail2ban](#запуск-fail2ban)
|
||||
|
||||
|
||||
# Используемые программы
|
||||
@@ -34,7 +31,6 @@
|
||||
| **Termius** | *Termius — это современный SSH-клиент для Mac, Windows, Linux, iOS и Android. Подключайтесь одним щелчком мыши с любого устройства.* | <a href="https://termius.com" target="_blank">Официальный сайт</a> |
|
||||
| **OpenSSH** | *OpenSSH — это ведущий инструмент для удаленного входа по протоколу SSH. Он шифрует весь трафик, предотвращая перехват данных, взлом соединений и другие атаки. Кроме того, OpenSSH предлагает обширный набор функций безопасного туннелирования, несколько методов аутентификации и расширенные возможности настройки.* | <a href="https://www.openssh.org/" target="_blank">Официальный сайт</a> |
|
||||
| **Nano** | *GNU nano — это небольшой редактор для работы в терминале. Он поддерживает подсветку синтаксиса, проверку орфографии, выравнивание по ширине,* | <a href="https://www.nano-editor.org/" target="_blank">Официальный сайт</a> |
|
||||
| **whois** | *Пакет whois в Ubuntu — это клиент командной строки для получения информации о доменах и IP-адресах из баз данных WHOIS.* | <a href="https://launchpad.net/ubuntu/+source/whois" target="_blank">Launchpad ubuntu</a> |
|
||||
| **fail2ban** | *Fail2Ban сканирует файлы журналов, такие как /var/log/auth.log, и блокирует IP-адреса, с которых совершается слишком много неудачных попыток входа. Для этого он обновляет правила системного брандмауэра, чтобы на настраиваемый период времени отклонять новые подключения с этих IP-адресов. Fail2Ban изначально настроен на чтение многих стандартных файлов журналов, таких как файлы sshd и Apache, и его легко настроить на чтение любого выбранного вами файла журнала для отслеживания любых нужных вам ошибок.* | <a href="https://github.com/fail2ban/fail2ban" target="_blank">GitHub репозиторий</a> |
|
||||
|
||||
|
||||
@@ -62,7 +58,7 @@
|
||||
|
||||
**Шаг 1:** Обновление пакетов и файлов операционной системы:
|
||||
```bash
|
||||
apt update && apt update -y
|
||||
apt update && apt upgrade -y
|
||||
```
|
||||
|
||||
**Шаг 2:** Установка OpenSSH-Server:
|
||||
@@ -91,7 +87,7 @@ nano --version
|
||||
|
||||
**Шаг 1:** Обновление пакетов и файлов операционной системы:
|
||||
```bash
|
||||
apt update && apt update -y
|
||||
apt update && apt upgrade -y
|
||||
```
|
||||
|
||||
**Шаг 2:** Установка Nano:
|
||||
@@ -105,31 +101,12 @@ nano --version
|
||||
```
|
||||
> Если вывел версию, то Nano установлен успешно.
|
||||
|
||||
## Установка whois на сервере
|
||||
> *Предполагается что Вы вошли под root правами*
|
||||
|
||||
**Шаг 1:** Обновление пакетов и файлов операционной системы:
|
||||
```bash
|
||||
apt update && apt update -y
|
||||
```
|
||||
|
||||
**Шаг 2:** Установка Whois:
|
||||
```bash
|
||||
apt install whois
|
||||
```
|
||||
|
||||
**Шаг 3:** Проверка установки Whois:
|
||||
```bash
|
||||
whois google.com
|
||||
```
|
||||
> Если Whois установлен успешно: Вы получите данные о регистраторе, дате создания и истечения срока регистрации, а также DNS-серверах.
|
||||
|
||||
## Установка fail2ban на сервере
|
||||
> *Предполагается что Вы вошли под root правами*
|
||||
|
||||
**Шаг 1:** Обновление пакетов и файлов операционной системы:
|
||||
```bash
|
||||
apt update && apt update -y
|
||||
apt update && apt upgrade -y
|
||||
```
|
||||
|
||||
**Шаг 2:** Установка fail2ban:
|
||||
@@ -147,20 +124,25 @@ cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local
|
||||
```bash
|
||||
nano /etc/fail2ban/jail.local
|
||||
```
|
||||
Вы должны увидеть:
|
||||
|
||||
> Удалите все содержимое `Alt+T` - удаляет все от курсора до конца файла
|
||||
|
||||
**Шаг 5:** Вставьте в файл:
|
||||
```ini
|
||||
[sshd]
|
||||
enabled = true
|
||||
port = ssh
|
||||
port = 2222
|
||||
logpath = %(sshd_log)s
|
||||
backend = %(sshd_backend)s
|
||||
maxretry = 3
|
||||
findtime = 10m
|
||||
bantime = 1h
|
||||
```
|
||||
> Если файл пуст, то вставьте в него код выше.
|
||||
> Если enabled = false, измените на enabled = true.
|
||||
|
||||
> `port = 2222` - Ваш порт ssh, в инструкции был 2222
|
||||
|
||||
Сохраните файл `Ctrl+X` -> `y` -> `Enter`.
|
||||
|
||||
**Шаг 5:** Перезапуск:
|
||||
**Шаг 6:** Перезапуск:
|
||||
```bash
|
||||
systemctl restart fail2ban
|
||||
```
|
||||
@@ -168,7 +150,7 @@ systemctl restart fail2ban
|
||||
systemctl enable fail2ban
|
||||
```
|
||||
|
||||
**Шаг 6:** Проверка:
|
||||
**Шаг 7:** Проверка:
|
||||
```bash
|
||||
fail2ban-client status sshd
|
||||
```
|
||||
@@ -178,24 +160,487 @@ fail2ban-client status sshd
|
||||
# Настройки доступа по SSH
|
||||
## Создание публичного и приватного ключа
|
||||
**Шаг 1:** Запустите Termius
|
||||
|
||||
**Шаг 2:** Выберите пункт меню Keychain (1)
|
||||
**Шаг 3:** Выбирите Kay type RSA (2)
|
||||
**Шаг 4:** Выбирите Key size 2048 (3)
|
||||
**Шаг 5:** Введите удобное для Вас название ключа в поле Label (4)
|
||||
**Шаг 6:** Введите удобный для Вас пароль для ключа в поле Passphrase (5)
|
||||
**Шаг 7:** Нажмите кнопку Generate & save
|
||||
|
||||
**Шаг 3:** Выбирите Kay type ED25519 (2)
|
||||
|
||||
**Шаг 4:** Введите удобное для Вас название ключа в поле Label (3)
|
||||
|
||||
**Шаг 5:** Введите удобный для Вас пароль для ключа в поле Passphrase (4)
|
||||
|
||||
**Шаг 6:** Нажмите кнопку Generate & save
|
||||
|
||||
![Termius_KeyGen][Termius_KeyGen]
|
||||
|
||||
**Шаг 8:** Скопируйте публичный ключ
|
||||
|
||||
![Termius_GetKey][Termius_GetKey]
|
||||
|
||||
**Шаг 9:** Сохраните публичный ключ в удобное для Вас место
|
||||
|
||||
> ПРИМЕР ПУБЛИЧНОГО КЛЮЧА:
|
||||
```pem
|
||||
ssh-ed25519 AAAAC3NzaC1lZDI1NTE5AAAAIJsxETJS8K1IgvWsgZaXToAlacvnt9pJgAdxmQPP+AsM Generated By Termius
|
||||
```
|
||||
|
||||
## Добавление публичного ключа в OpenSSH
|
||||
> *Предполагается что Вы вошли под root правами*
|
||||
|
||||
Для добавления ключей авторизации по SSH в OpenSSH используется файл `authorized_keys` который находится в каталоге `~/.ssh`
|
||||
|
||||
**Шаг 1:** Создать каталог `.ssh`
|
||||
```bash
|
||||
mkdir ~/.ssh
|
||||
```
|
||||
Эта команда создаст нужный каталог или выведет:
|
||||
> mkdir: /root/.ssh: File exists
|
||||
|
||||
**Шаг 2:** Установить права доступа к каталогу `~/.ssh`
|
||||
```bash
|
||||
chmod 700 ~/.ssh
|
||||
```
|
||||
|
||||
**Шаг 3:** Создать файл `authorized_keys` в каталоге `~/.ssh` и добавить в него Ваш публичный ключ
|
||||
```bash
|
||||
nano ~/.ssh/authorized_keys
|
||||
```
|
||||
Скопируйте [Ваш публичный ключ](#создание-публичного-и-приватного-ключа) и вставте его в файл authorized_keys сочетанием клавиш `Ctrl+Shift+V`
|
||||
|
||||
Сохраните файл `Ctrl+X` -> `Y` -> `Enter`
|
||||
|
||||
**Шаг 4:** Установить права доступа к файлу `authorized_keys`
|
||||
```bash
|
||||
chmod 600 ~/.ssh/authorized_keys
|
||||
```
|
||||
|
||||
|
||||
## Редактирование конфигурации OpenSSH
|
||||
Для включения авторизации по ключу необходимо отредактировать конфигурационный файл OpenSSH
|
||||
|
||||
**Шаг 1:** Открыть файл конфигурации OpenSSH путь к файлу `/etc/ssh/sshd_config`
|
||||
```bash
|
||||
nano /etc/ssh/sshd_config
|
||||
```
|
||||
|
||||
<details>
|
||||
<summary>Вы увидите файл конфигурации OpenSSH вида:</summary>
|
||||
|
||||
```ini
|
||||
|
||||
# This is the sshd server system-wide configuration file. See
|
||||
# sshd_config(5) for more information.
|
||||
|
||||
# This sshd was compiled with PATH=/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin:/usr/games
|
||||
|
||||
# The strategy used for options in the default sshd_config shipped with
|
||||
# OpenSSH is to specify options with their default value where
|
||||
# possible, but leave them commented. Uncommented options override the
|
||||
# default value.
|
||||
|
||||
# In general, the first uncommented definition of an option takes precedence.
|
||||
# For options that accept multiple values, like 'Port', subsequent definitions
|
||||
# are appended to the configuration.
|
||||
#
|
||||
# Note that the above implies that configuration options from snippets in
|
||||
# /etc/ssh/sshd_config.d/*.conf take precedence over those defined in this
|
||||
# file. In addition, configuration snippet files are processed in lexical
|
||||
# order, so options defined in files with names that sort earlier take
|
||||
# precedence.
|
||||
#
|
||||
# Such configuration snippets may be present in default installations of
|
||||
# Ubuntu.
|
||||
# Include /etc/ssh/sshd_config.d/*.conf
|
||||
|
||||
# When systemd socket activation is used (the default), the socket
|
||||
# configuration must be re-generated after changing Port, AddressFamily, or
|
||||
# ListenAddress.
|
||||
#
|
||||
# For changes to take effect, run:
|
||||
#
|
||||
# systemctl daemon-reload
|
||||
# systemctl restart ssh.socket
|
||||
#
|
||||
Port 22
|
||||
#AddressFamily any
|
||||
#ListenAddress 0.0.0.0
|
||||
#ListenAddress ::
|
||||
|
||||
#HostKey /etc/ssh/ssh_host_rsa_key
|
||||
#HostKey /etc/ssh/ssh_host_ecdsa_key
|
||||
#HostKey /etc/ssh/ssh_host_ed25519_key
|
||||
|
||||
# Ciphers and keying
|
||||
#RekeyLimit default none
|
||||
|
||||
# Logging
|
||||
#SyslogFacility AUTH
|
||||
#LogLevel INFO
|
||||
|
||||
# Authentication:
|
||||
|
||||
#LoginGraceTime 2m
|
||||
PermitRootLogin yes
|
||||
#StrictModes yes
|
||||
#MaxAuthTries 6
|
||||
#MaxSessions 10
|
||||
|
||||
#PubkeyAuthentication no
|
||||
|
||||
# Expect .ssh/authorized_keys2 to be disregarded by default in future.
|
||||
AuthorizedKeysFile .ssh/authorized_keys .ssh/authorized_keys2
|
||||
|
||||
#AuthorizedPrincipalsFile none
|
||||
|
||||
#AuthorizedKeysCommand none
|
||||
#AuthorizedKeysCommandUser nobody
|
||||
|
||||
# For this to work you will also need host keys in /etc/ssh/ssh_known_hosts
|
||||
#HostbasedAuthentication no
|
||||
# Change to yes if you don't trust ~/.ssh/known_hosts for
|
||||
# HostbasedAuthentication
|
||||
#IgnoreUserKnownHosts no
|
||||
# Don't read the user's ~/.rhosts and ~/.shosts files
|
||||
#IgnoreRhosts yes
|
||||
|
||||
# To disable tunneled clear text passwords, change to "no" here!
|
||||
#PasswordAuthentication yes
|
||||
#PermitEmptyPasswords no
|
||||
|
||||
# Change to "yes" to enable keyboard-interactive authentication. Depending on
|
||||
# the system's configuration, this may involve passwords, challenge-response,
|
||||
# one-time passwords or some combination of these and other methods.
|
||||
# Beware issues with some PAM modules and threads.
|
||||
KbdInteractiveAuthentication no
|
||||
|
||||
# Kerberos options
|
||||
#KerberosAuthentication no
|
||||
#KerberosOrLocalPasswd yes
|
||||
#KerberosTicketCleanup yes
|
||||
#KerberosGetAFSToken no
|
||||
|
||||
# GSSAPI options
|
||||
#GSSAPIAuthentication no
|
||||
#GSSAPICleanupCredentials yes
|
||||
#GSSAPIStrictAcceptorCheck yes
|
||||
#GSSAPIKeyExchange no
|
||||
|
||||
# Set this to 'yes' to enable PAM authentication, account processing,
|
||||
# and session processing. If this is enabled, PAM authentication will
|
||||
# be allowed through the KbdInteractiveAuthentication and
|
||||
# PasswordAuthentication. Depending on your PAM configuration,
|
||||
# PAM authentication via KbdInteractiveAuthentication may bypass
|
||||
# the setting of "PermitRootLogin prohibit-password".
|
||||
# If you just want the PAM account and session checks to run without
|
||||
# PAM authentication, then enable this but set PasswordAuthentication
|
||||
# and KbdInteractiveAuthentication to 'no'.
|
||||
UsePAM yes
|
||||
|
||||
#AllowAgentForwarding yes
|
||||
#AllowTcpForwarding yes
|
||||
#GatewayPorts no
|
||||
X11Forwarding yes
|
||||
#X11DisplayOffset 10
|
||||
#X11UseLocalhost yes
|
||||
#PermitTTY yes
|
||||
PrintMotd no
|
||||
#PrintLastLog yes
|
||||
#TCPKeepAlive yes
|
||||
#PermitUserEnvironment no
|
||||
#Compression delayed
|
||||
#ClientAliveInterval 0
|
||||
#ClientAliveCountMax 3
|
||||
#UseDNS no
|
||||
#PidFile /run/sshd.pid
|
||||
#MaxStartups 10:30:100
|
||||
#PermitTunnel no
|
||||
#ChrootDirectory none
|
||||
#VersionAddendum none
|
||||
|
||||
# no default banner path
|
||||
#Banner none
|
||||
|
||||
# Allow client to pass locale and color environment variables
|
||||
AcceptEnv LANG LC_* COLORTERM NO_COLOR
|
||||
|
||||
# override default of no subsystems
|
||||
Subsystem sftp /usr/lib/openssh/sftp-server
|
||||
|
||||
# Example of overriding settings on a per-user basis
|
||||
#Match User anoncvs
|
||||
# X11Forwarding no
|
||||
# AllowTcpForwarding no
|
||||
# PermitTTY no
|
||||
# ForceCommand cvs server
|
||||
```
|
||||
|
||||
</details>
|
||||
|
||||
> Файл /etc/ssh/sshd_config управляет безопасностью и поведением SSH-сервера, где активные (не закомментированные) директивы переопределяют значения по умолчанию. Ключевые настройки включают использование порта 22, включение PAM, поддержку SFTP и, в данном случае, разрешение прямого входа под root-пользователем (PermitRootLogin yes).
|
||||
|
||||
**Шаг 2:** Изменить строчку: `#PubkeyAuthentication no` на `PubkeyAuthentication yes`
|
||||
|
||||
**Шаг 3:** Сохранить изменения `Ctrl+X` -> `Y` -> `Enter`
|
||||
|
||||
<details>
|
||||
<summary>Ниже разбор всех ключевых параметров из конфига, разбитый по логическим группам.</summary>
|
||||
|
||||
> Важное правило этого файла: если строка начинается с #, параметр закомментирован и работает значение по умолчанию. Если # нет — настройка активна.
|
||||
|
||||
1. Сетевые настройки
|
||||
|
||||
Port 22: Стандартный порт для SSH. Часто меняют на нестандартный (например, 2222), чтобы спастись от ботов-сканеров.
|
||||
|
||||
AddressFamily any: Разрешает подключения и через IPv4, и через IPv6.
|
||||
|
||||
ListenAddress: Позволяет указать конкретный IP-адрес сервера, на котором SSH будет ждать подключений (по умолчанию — на всех).
|
||||
|
||||
2. Ключи сервера и шифрование
|
||||
|
||||
HostKey: Пути к секретным ключам самого сервера. Они нужны, чтобы клиент (твой ПК) мог убедиться, что подключается именно к тому серверу, к которому планировал.
|
||||
|
||||
RekeyLimit: Настройка того, как часто сервер будет обновлять сессионные ключи (по умолчанию — раз в 1 ГБ данных или раз в час).
|
||||
|
||||
3. Логирование
|
||||
|
||||
SyslogFacility AUTH: Категория системного журнала (syslog), куда полетят логи авторизации.
|
||||
|
||||
LogLevel INFO: Степень детализации логов. INFO — золотая середина (кто зашел, когда, ошибки).
|
||||
|
||||
4. Доступ и ограничения (Аутентификация)
|
||||
|
||||
LoginGraceTime 2m: Время, которое дается пользователю на ввод пароля. Если не успел — дисконнект.
|
||||
|
||||
PermitRootLogin yes: (Важно!) Разрешает вход под пользователем root. В целях безопасности лучше ставить prohibit-password (только по ключам) или no.
|
||||
|
||||
StrictModes yes: Проверяет права доступа к файлам в папке .ssh. Если они открыты для всех, SSH откажется работать (защита от кражи ключей).
|
||||
|
||||
MaxAuthTries 6: Сколько попыток ввода пароля дается, прежде чем соединение оборвется.
|
||||
|
||||
MaxSessions 10: Максимальное количество открытых сессий (окон) в рамках одного сетевого соединения.
|
||||
|
||||
5. Методы входа
|
||||
|
||||
PubkeyAuthentication: Разрешает вход по SSH-ключам (самый безопасный способ).
|
||||
|
||||
AuthorizedKeysFile: Путь, где лежат публичные ключи клиентов, которым разрешен вход.
|
||||
|
||||
PasswordAuthentication: Разрешает или запрещает вход по обычному паролю.
|
||||
|
||||
PermitEmptyPasswords no: Запрещает вход пользователям с пустым паролем.
|
||||
|
||||
KbdInteractiveAuthentication no: Отключает "интерактивный" ввод (часто используется для одноразовых паролей или хитрых систем PAM).
|
||||
|
||||
6. Взаимодействие с системой
|
||||
|
||||
UsePAM yes: Подключает систему PAM (Pluggable Authentication Modules). Она позволяет использовать системные пароли, политики блокировки и другие модули Linux для авторизации.
|
||||
|
||||
PrintMotd no: Не показывать "сообщение дня" (Message of the Day) при входе.
|
||||
|
||||
AcceptEnv: Разрешает клиенту передавать свои переменные окружения (например, язык системы LANG).
|
||||
|
||||
7. Дополнительные возможности
|
||||
|
||||
X11Forwarding yes: Разрешает пробрасывать графические интерфейсы (если ты запустишь GUI-приложение на сервере, оно откроется в окне на твоем компе).
|
||||
|
||||
Subsystem sftp: Указывает путь к программе, которая обеспечивает работу SFTP (передачу файлов через SSH).
|
||||
|
||||
Match User: Специальный блок в конце. Позволяет задать индивидуальные настройки для конкретного пользователя или группы (например, одному юзеру запретить всё, кроме SFTP).
|
||||
|
||||
|
||||
</details>
|
||||
|
||||
**Шаг 4:** Перезапустить службу ssh
|
||||
```bash
|
||||
systemctl restart ssh
|
||||
```
|
||||
|
||||
|
||||
## Проверка доступа по ключу
|
||||
Теперь **ВАЖНО** подключится к серверу по ключу.
|
||||
|
||||
Используйте Termius.
|
||||
|
||||
Как добавить Host и выполнить авторизацию по ключу можно прочитать в документации к Termius.
|
||||
|
||||
## Окончательное редактирование конфигурации OpenSSH
|
||||
> !!!Если авторизация по ключу прошла успешно, то можно приступить к окончательному редактированию конфигурации!!!
|
||||
|
||||
> Дополнительно изменим порт подключения по SSH - это необходимо для безопасности
|
||||
|
||||
**Шаг 1:** Открыть файл конфигурации OpenSSH путь к файлу `/etc/ssh/sshd_config`
|
||||
```bash
|
||||
nano /etc/ssh/sshd_config
|
||||
```
|
||||
|
||||
**Шаг 2:** Изменить строчку: `Port 22` на `Port 2222` - 2222 как пример, укажите любой свободный порт.
|
||||
|
||||
> Изменения порта - защита от сканеров
|
||||
|
||||
**Шаг 3:** Сохранить изменения `Ctrl+X` -> `Y` -> `Enter`
|
||||
|
||||
**Шаг 4:** Перезапустить службу ssh
|
||||
```bash
|
||||
systemctl restart ssh
|
||||
```
|
||||
> Теперь получить доступ к серверу можно ТОЛЬКО через ключ
|
||||
|
||||
|
||||
# Настройки UFW
|
||||
UFW - Ubuntu Firewall
|
||||
|
||||
## Редактирование файла приложения OpenSSH-Server
|
||||
|
||||
**Шаг 1:** Перейти в каталог `/etc/ufw/applications.d/` - тут хранятся файлы политик UFW для приложений
|
||||
```bash
|
||||
cd /etc/ufw/applications.d/
|
||||
```
|
||||
**Шаг 2:** Получить список файлов и катологов в каталоге `/etc/ufw/applications.d/`
|
||||
```bash
|
||||
ls -la
|
||||
```
|
||||
<details>
|
||||
<summary>Список файлов и катологов в каталоге `/etc/ufw/applications.d/`</summary>
|
||||
|
||||
```bash
|
||||
total 20
|
||||
drwxr-xr-x 2 root root 4096 Oct 7 10:05 .
|
||||
drwxr-xr-x 3 root root 4096 Oct 7 09:51 ..
|
||||
-rw-r--r-- 1 root root 147 Oct 7 09:57 openssh-server
|
||||
```
|
||||
|
||||
</details>
|
||||
|
||||
**Шаг 3** Изменить файл конфигурации для OpenSSH-Server
|
||||
```bash
|
||||
nano openssh-server
|
||||
```
|
||||
<details>
|
||||
<summary>Содержимое файла `/etc/ufw/applications.d/openssh-server`</summary>
|
||||
|
||||
```ini
|
||||
[OpenSSH]
|
||||
title=Secure shell server, an rshd replacement
|
||||
description=OpenSSH is a free implementation of the Secure Shell protocol.
|
||||
ports=22/tcp
|
||||
```
|
||||
|
||||
</details>
|
||||
|
||||
**Шаг 4** Изменить порт на порт указанный в [Окончательное редактирование конфигурации OpenSSH](#окончательное-редактирование-конфигурации-openssh) - в инструкции - это порт 2222
|
||||
```ini
|
||||
[OpenSSH]
|
||||
title=Secure shell server, an rshd replacement
|
||||
description=OpenSSH is a free implementation of the Secure Shell protocol.
|
||||
ports=2222/tcp
|
||||
```
|
||||
> Сохранить изменения `Ctrl+X` -> `Y` -> `Enter`
|
||||
|
||||
## Создание файла приложения HTTP
|
||||
|
||||
**Шаг 1** Созда файл конфигурации для HTTP
|
||||
```bash
|
||||
nano http-server
|
||||
```
|
||||
> Дописать к http слово server через дефис обязательно
|
||||
|
||||
**Шаг 2** Создать инструкцию в файле
|
||||
```ini
|
||||
[HTTP]
|
||||
title=Hyper Text Transport Protocol
|
||||
description=Hyper Text Transport Protocol
|
||||
ports=80
|
||||
```
|
||||
|
||||
> Сохранить изменения `Ctrl+X` -> `Y` -> `Enter`
|
||||
|
||||
|
||||
## Создание файла приложения HTTPS
|
||||
|
||||
**Шаг 1** Созда файл конфигурации для HTTPS
|
||||
```bash
|
||||
nano https-server
|
||||
```
|
||||
> Дописать к https слово server через дефис обязательно
|
||||
|
||||
**Шаг 2** Создать инструкцию в файле
|
||||
```ini
|
||||
[HTTPS]
|
||||
title=Hyper Text Transport Protocol Secure
|
||||
description=Hyper Text Transport Protocol Secure
|
||||
ports=443
|
||||
```
|
||||
|
||||
> Сохранить изменения `Ctrl+X` -> `Y` -> `Enter`
|
||||
|
||||
|
||||
## Настройка и запуск UFW
|
||||
|
||||
Для начала нужно проверить, все ли хорошо с созданными и отредактированными файлами конфигурации
|
||||
```bash
|
||||
ufw app list
|
||||
```
|
||||
Вывод:
|
||||
```bash
|
||||
Available applications:
|
||||
HTTP
|
||||
HTTPS
|
||||
OpenSSH
|
||||
```
|
||||
> Если так, то все хорошо
|
||||
|
||||
**Шаг 1:** Применить политики
|
||||
```bash
|
||||
ufw allow OpenSSH
|
||||
```
|
||||
После:
|
||||
```bash
|
||||
ufw allow HTTP
|
||||
```
|
||||
После:
|
||||
```bash
|
||||
ufw allow HTTPS
|
||||
```
|
||||
|
||||
**Шаг 2:** Отключить все входящие подключения
|
||||
```bash
|
||||
ufw default deny incoming
|
||||
```
|
||||
|
||||
**Шаг 3:** Включить все исходящие подключения
|
||||
```bash
|
||||
ufw default allow outgoing
|
||||
```
|
||||
|
||||
**Шаг 4:** Запустить UFW
|
||||
```bash
|
||||
ufw enable
|
||||
```
|
||||
|
||||
**Шаг 5:** Проверить работу UFW
|
||||
```bash
|
||||
ufw status verbose
|
||||
```
|
||||
Вывод:
|
||||
```bash
|
||||
Status: active
|
||||
Logging: on (low)
|
||||
Default: deny (incoming), allow (outgoing), deny (routed)
|
||||
New profiles: skip
|
||||
|
||||
To Action From
|
||||
-- ------ ----
|
||||
2222/tcp (OpenSSH) ALLOW IN Anywhere
|
||||
80 (HTTP) ALLOW IN Anywhere
|
||||
443 (HTTPS) ALLOW IN Anywhere
|
||||
2222/tcp (OpenSSH (v6)) ALLOW IN Anywhere (v6)
|
||||
80 (HTTP (v6)) ALLOW IN Anywhere (v6)
|
||||
443 (HTTPS (v6)) ALLOW IN Anywhere (v6)
|
||||
```
|
||||
> Если так, то все хорошо
|
||||
|
||||
|
||||
## UFW и Docker - особенности
|
||||
## Настройки fail2ban
|
||||
## Настройка правил jail
|
||||
## Запуск fail2ban
|
||||
Docker-у плевать на UFW, он пробрасывает порты в обход. Например, может: 80:8080 - тогда будет работать порт 8080.
|
||||
|
||||
> Но если Docker пробросит 4455:8080, например, а в UFW порт 4455 не открыт, то доступа к сервису в Docker контейнере на порту 8080 не будет.
|
||||
|
||||
BIN
images/Termius_GetKey.png
Normal file
BIN
images/Termius_GetKey.png
Normal file
Binary file not shown.
|
After Width: | Height: | Size: 95 KiB |
Binary file not shown.
|
Before Width: | Height: | Size: 50 KiB After Width: | Height: | Size: 63 KiB |
Reference in New Issue
Block a user