Denne guiden tar utgangspunkt i at du akkurat har satt opp en webserver hos linode som kjører Ubuntu 20.04. Målet med guiden er å vise et minimum av sikkerhetstiltak en webserver som er tilgjengelig over internett bør ha før noe som helst skal servers på den.

Forskjellen mellom Linux distroene og andre tilbydere av Virtuelle Private Servere (VPS) er relativt liten for å oppnå samme resultat. Målet her er å gi ett godt grunnlag og en god introduksjon til temaet sikring av servere på internett.

Logg inn med den utdelte root brukeren til severen via SSH.

Før du gjør noe som helst annet anbefales det å sette opp en sudo bruker, så du kan umiddelbart slutte å bruke root brukeren.

Når du oppretter en bruker i Ubuntu 20.04 blir du bedt om å skrive inn passord umiddelbart. Sett ett komplisert passord, som du vil slite med å huske, og som det er vanskelig for noen andre å gjette seg frem til. Videre må du legge til denne brukeren i listen over sudo brukere.

Denne kommandoen vil åpne rettighetsfilen /etc/sudoers.tmp med teksredigeringsprogrammet nano. Finn den kommenterte linjen "# User privilege specification". skriv nøyaktig det samme som står bak root, bare på en ny linje med ditt brukernavn først. Det er også mulig å legge til brukeren i sudoers brukergruppen for å oppnå det samme resultatet, men jeg synes det er letter å legge til sudo privilegier på denne måten.

Trykk Ctrl+S for å lagre, og Ctrl+X for å lukke nano. Når dette er gjort kan du logge inn med den nye brukeren ned su-kommandoen (switch user), og teste om den har fått sudo tilganger, og samtidig oppdatere systemet.

Hvis alt gikk som det skulle er du klar til å logge helt ut fra SSH økten som root, og inn som den nye brukeren din. Avslutt SSH økten ved å trykke Ctrl-D. Og logg inn med den nye brukeren.

Siden de aller fleste brute-force hacker angrep gjøres av roboter mot root brukeren. Det aller første vi gjør å deaktivere muligheten for å logge inn via SSH som root brukeren.

Åpne configurasjons filen for SSH deamonen, og endre PermitRootLogin fra "yes" til "no".

Når det er gjort må SSH deamonen restartes for at endringene skal tas i bruk.

Brannmur er den enkleste måten å begrense hvor mange vindu som er åpne fra verden og inn til serveren vår.

Jeg liker å bruke UFW (Uncomplicated FireWall) siden den som navnet antyder, er ganske ukomplisert, og lett å forstå.

Default med UFW er at alt er stengt. Så for hver tjeneste man ønsker å serve, legger man til den tjenesten i en hviteliste over hvilke data pakker som slipper igjennom brannmuren.

Før jeg skrur den på må jeg legge til SSH i listen over tjenester som den slipper igjennom. Hvis jeg ikke legger til SSH, vil jeg ikke klare å logge inn via SSH til serveren når brannmuren er aktivert.

Det som er supert med UFW er at man veldig raskt kan legge til tjenester i hvitelisten basert på tjeneste type eller navn.

Da er det klart for å aktivere brannmuren.

Hvis alt gikk som det skulle, er jeg fortsatt innlogget. Om det ikke gikk bra, og jeg ble kastet ut av SSH økten er det bare å bruke Linode sin virtuelle LISH terminal, på samme måte som om jeg tilkoblet en fysisk server med skjerm og tastatur for å rette feilen.

Når brannmuren er i drift kan vi sjekke status på brannmuren.

Ved å lese statusen kan vi nå se at UFW ikke slipper igjennom noe utenifra med mindre det er spesifikt definert, og den slipper ut all trafikk. Med andre ord så funker den som en vanlig klient, med mindre noe annet er spesifisert. Videre kan vi se listen over unntak fra regelen.

I vårt tilfellet slipper brannmuren igjennom trafikk til port 22, som da er SSH tilkoblinger. Ingen annen trafikk slipper igjennom. Så når vi er klare til å for eksempel starte en webserver må vi legge til de nødvendige portene 80 (HTTP) og 443 (HTTPS).

Fail2ban er en python basert inntrenger forbyggende system (IPD) løsning som følger med på innloggings logger. Den kan settes opp slik at den blokkerer innlogginger fra IP-adresser som mislyktes å logge inn - for eksempel 3 ganger.

Med fail2ban installert er det lett å sikre seg mot brute-force angrep hvor en hacker forsøker å logge inn med en liste av brukernavn og passord, i håp om å til slutt klare å finne en kombinasjon som gjør at de klarer å logge seg inn.

Start med å installere fail2ban:

Når det er ferdig installert, naviger til mappen med configurasjons filene, lag en kopi av jail.conf, som du døper jail.local. Alle endringene du trenger å gjøre med oppsettet av fail2ban skal gjøres i denne filen.

Disse .local filene er de konfigurasjons filene som vil bli brukt av fail2ban, hvis fail2ban finner de. Det som er supert med disse filene er at de ikke blir endret når du oppdaterer fail2ban på ett senere tidspunkt.

Åpne jail.local og aktiver overvåkning av SSH ved å legge til linjen "enabled = true",

Hvis du ønsker å endre på de forhåndssatte varigheten på en utestengelse, hvor raskt man må skrive feil, og hvor mange forsøk man får før en IP-adresse blir blokkert, kan det også gjøres i denne filen.

Hvis du har en statisk IP-adresse der du jobber ifra kan det være nyttig å legge inn den adressen i listen over ignoreip så den ikke feilaktig blir blokkert.

Når endringene er gjort må fail2ban restartes for at endringene skal bli tatt i bruk.

For å teste om fail2ban er i drift og følger med på sshd, kjør denne kommandoen

Da skal alt være klart til at fail2ban kan starte. For at den skal starte å fungere som den skal må maskinen restartes.

Når maskinen starter igjen skal fail2ban kjøre, og du bør ikke bli overasket om den allerede etter noen minutter har bannet noen IP-adresser.

Først må du finne ut hvilken tidssone du selv er i

Utifra listen henter kopierer jeg ut riktig tidssone, og bruker den til å sette rett tidssone

Da er kan jeg sjekke at tidssonen stemmer med å bruke date kommandoen igjen.

Siden jeg ikke liker å bruke AM/PM, men heller vil ha 24timers format på klokken endrer jeg dette med:

Dette forandrer tidsformatet til den britiske måten å vise tid på. For at endringene skal vises må du logge ut og inn igjenn fra maskinen.

Resultatet er at det i (allefall for meg) blir litt lettere å lese systemlogger.