Kuidas konfigureerida oma server turvalise laine sõlme jaoks

Lainete täisnuppu on väga lihtne installida ja käivitada:

  • Teil on või olete ostnud vähemalt 1000 lainet
  • Saate VPS-i, millel töötab Ubuntu 16.04
  • Järgige juhiseid saidil https://github.com/wavesplatform/Waves/wiki/How-to-install-Waves-node-on-Ubuntu (või järgige seda videoõpetust https://www.youtube.com/watch?v = CDmMeZlzKbk)
  • Oodake sünkroonimist plokiahelaga, rentige oma lained oma sõlme ... ja seal olete maailma kiireima plokiahela täissõlmega!

Teie sõlm on nüüd osa Waves'i detsentraliseeritud võrgustikust ja on valmis töötlema mõnda erinevat tüüpi tehingut, võtma vastu renditud laineid ja lõpuks kaevandama bloki, mis annab teile tasu.

Kui teie server pole väliste ohtude eest kaitstud, on teie raha ohus! Järgmises artiklis näitan teile, kuidas omada põhilist, kuid tõhusat konfiguratsiooni, et vältida enamlevinud rünnakuvektorite sihtimist.

Sisu:

  • Loo kasutaja
  • Looge privaatsed ja avalikud võtmed ning konfigureerige SSH
  • Konfigureerige tulemüür
  • Hoidke oma serverit värskendatud

Sissejuhatus

Teil on Ubuntu 16.04 VPS IP-aadressi ja juurparooliga.
Te installite Waves sõlme ja sünkroonite plokiahela, kuid enne seda peaksite esmalt oma serveri turvama!

Alustame uue kasutaja loomisega, et hiljem liiga võimas juurkonto keelata, siis loome serverile pääsemiseks SSH-võtmed, keelame paroolide sisselogimised ja häälestame tulemüüri, et hoida lahti ainult need pordid, mida me tegelikult vajame.

Avage terminal ja pääsete SSH-iga oma serverisse juurde juurkonto abil, eeldades, et 100.20.30.30.40 on teie VPS-i IP:

ssh root@100.20.30.40

Loo kasutaja

Juurina sisse logitud saate luua uue kasutaja, nimetagem seda täisnoodiks:

adduser fullnode

Tippige nüüd kasutaja jaoks kaks korda uus parool, muutke see keerukaks ja raskesti arvatavaks. Kui teilt küsitakse täisnime, telefoni jms kohta, sisestage lihtsalt Enter, te ei pea kõiki välju täitma.

Peate kasutaja lisama sudo-rühma:

usermod -G sudo fullnode

Uus kasutaja on nüüd privilegeeritud kasutaja. Nüüd saate seansi lõpetada juurotsijana:

väljumine

ja logige sisse fullnode kasutajana, kasutades parooli, mille tipite selle loomisel:

ssh fullnode@100.20.30.40

Looge privaatsed ja avalikud võtmed ning konfigureerige SSH

Parooliga kaitstud sisselogimine pole tegelikult turvaline ja tõenäoliselt on juurparool saadetud e-postiga selge tekstina. Ründaja, kes satub teie e-posti kontole, võib omada ka teie sõlme, kui teie e-posti aadressi ei pääse, võib ta ikkagi oma serverisse sisselogimist sundida proovima mis tahes paroolikombinatsiooni.

Sellepärast loome vähem nõrga sisselogimismeetodi jaoks SSH-võtmed ja seome selle uue kasutajaga, keelame paroolide sisselogimised ja keelame juurkonto.

Loote arvutisse SSH-võtmed (privaatsed ja avalikud) ja laadite seejärel avaliku võtme üles VPS-is.

Avage oma arvutis terminal ja liikuge SSH-kausta (see on sama nii Linuxi kui ka MacO-de puhul):

cd .ssh

Looge võtmed käsuga:

ssh-keygen -t rsa -b 4096

Saate sarnase väljundi:

Avaliku / privaatse rsa võtmepaari genereerimine.
Sisestage fail, kuhu võti salvestada (/home/myuser/.ssh/id_rsa):

Pange oma võtmetele täissõlmeks, ärge valige vaikenime. Valige pikk ja keeruline parool ning tippige see kaks korda. Nüüd on teie võtmed kasutamiseks valmis ja saate kopeerida VPS-is oleva avaliku võtme faili Author_keys, kasutage seda üherealist käsku:

kass fullnode.pub | ssh fullnode@100.20.30.40 “mkdir -p ~ / .ssh && kass >> ~ / .ssh / Author_keys”

Nüüd saame konfigureerida serveris SSH, et hakata võtmeid sisselogimismeetodina kasutama. Viimane kord parooliga sisse logige:

ssh fullnode@100.20.30.40

ja muutke SSH-konfiguratsioonifaili:

sudo nano / etc / ssh / sshd_config

Eemaldage kommentaar (märk #) järgmistest ridadest:

Autoriseeritud võtmefail% h / .ssh / volitatud võtmed

ja muutke real jah: ei

ParoolAutentimisnumber

Lisaks võime muuta vaikimisi SSH-porti, et vältida automaatset pordi skannimist ja pahatahtlikke automatiseeritud robotid. Muutke arv 22 rea Pordi numbriks, eelistatavalt väiksemaks kui 1024:

Sadam 1020

Ärge unustage lubada tulemüürile kohandatud SSH-porti, vastasel juhul lukustatakse teid teie server!

Salvestage (CTRL + O ja Enter) ja sulgege fail (CTRL + X). Taaskäivitage SSH-teenus ja väljuge seansist.

sudo teenuse ssh taaskäivitamine
väljumine

Nüüd saame testida, kas SSH-ga sisselogimine töötab hästi ja kui positiivne, siis võime root sisselogimise keelata. Nüüdsest kasutate seda käsku oma serverisse sisselogimiseks.

Kui kasutate Linuxit:

ssh -i /home/myuser/.ssh/fullnode -p 1020 fullnode@100.20.30.40

Kui kasutate MacO-sid, muutke tee järgmisele:

ssh -i /Users/myuser/.ssh/fullnode -p 1020 fullnode@100.20.30.40

Sisestage parool ja te peaksite sisse logima, kui olete sisse loginud, võime root sisselogimise ja juurkonto keelata. Redigeerime uuesti SSH-konfiguratsioonifaili:

sudo nano / etc / ssh / sshd_config

ja muutke järgmisteks ridadeks:

PermitRootLogin nr
X11Saatmine nr

Salvestage ja sulgege fail, taaskäivitage SSH-teenus:

sudo teenuse ssh taaskäivitamine

Rootina enam sisse logida ei saa.
Juurkonto keelamiseks serveris tippige käsk:

sudo passwd -dl root

Konfigureerige tulemüür

Viimane samm on tulemüüri installimine ja avatud hoidmine ainult nende sadamate jaoks, mille Waves'i täissõlm peab töötama. Installigem UFW, iptable'i kasutajaliides:

sudo apt-get update
sudo apt-get install ufw

Terve sõlm vajab avatud 3porti, meie sisselogimiseks kohandatud SSH-porti, P2P jaoks 6868 ja süsteemivärskenduste jaoks porti http (80). Me juhendame tulemüüri selle kahe käsklusega:

sudo ufw luba 1020
sudo ufw luba 6868
sudo ufw luba http

Tulemüüri kasutamise lubamiseks toimige järgmiselt.

sudo ufw luba

See on see, mida peate tulemüüri seadistamiseks.

SSH ja HTTP portide kaitsmiseks liigse arvu taotluste, näiteks julma jõu rünnakute eest on installimiseks veel üks pakett. Installi fail2ban koos:

sudo apt-get install fail2ban

Peame redigeerima fail2ban2f konfiguratsioonifaili, kuna muutsime vaikes SSH-porti. Avage fail:

sudo nano /etc/fail2ban/jail.local

ja muutke SSH-ga seotud ridu:

port = ssh

teie kohandatud SSH-pordi juurde, meie näites numbrile 1020:

port = 1020

Salvestage ja sulgege fail, ärge unustage fail2ban taaskäivitada:

sudo teenuse fail2ban taaskäivitamine

Hoidke oma serverit värskendatud

Ajakohase tarkvaraga server on vastupidavam teadaolevate vigade ja tavaliste häkkimistehnikate vastu. Saate oma serverit käsitsi värskendada:

sudo apt-get update
sudo apt-get upgrade

Parem on käsitseda automaatselt värskendatud turvalisust ja pakett ilma järelevalveta - versiooniuuendused teeb seda teie jaoks. Installige see:

sudo apt-get install valveta versiooniuuendused

ja konfigureerige see käsuga:

sudo dpkg-rekonfigureeri järelevalveta-versiooniuuendusi

Seadistamise lõpetamiseks valige kahes järgmises küsimuses Jah ja Ok.

Järeldus

Interneti-ühendusega serverit võivad häkkerid, robotid ja automatiseeritud skriptid sihtida niipea, kui see on võrgus saadaval, selle õpetuse abil saate tõhusalt vähendada paroolide julma jõu ja sadamate avamise rünnakute riski.

Peate hoidma salasõna ja parooli saladuses ning mitte kunagi jagama oma SSH privaatvõtit veebis. Kasutage SSH-võtmete komplekti ainult ühe sõlme jaoks ja looge iga uue sõlme jaoks uus komplekt erineva parooliga.

WDTMC sõlm

Kas juhendaja oli teile kasulik?
Kui soovite annetada või rentida Waves'i minu sõlme, kasutage aadressi:

3P8bVfmENR7bPhqbPCzjyzrGodrTMNfqVZX

või kasutage wdtmc pseudonüümi.