אבטחה בסיסית

בשלבים הבאים, נראה איך מגדירים כמה דברים בסיסים חשובים ביותר.

את ההגדרות נעשה באמצעות פקודות של Linux, כך שמי שלא מכיר, ברוך הבא , אין מה להיבהל. תוך כדי ההגדרות תלמד את הפקודות, וככל שתמשיך בתהליך תכיר את מערכת Linux יותר ויותר.

הוספת משתמש חדש
כעת נוסיף משתמש חדש, שישמש אותנו לשימוש היומיומי, במקום המשתמש ברירת מחדל root שקיבלנו במייל ההקמה של השרת.
המשתמש root הוא המשתמש המנהל, ברירת מחדל, ובתור מנהל, יש לו הרשאות לעשות כל דבר.
לכן, כדי להימנע מראש מטעויות, מומלץ לא להשתמש במשתמש Root על בסיס קבוע, כיוון שאתה יכול (בטעות) גם לבצע שינויים הרסניים. זו בדיוק הסיבה שבגלל ניצור כעת משתמש חדש.
ובהמשך נראה, כיצד להשתמש בהרשאות מנהל , כאשר צריך אותן.

כדי להוסיף משתמש בלינוקס, ישנה פקודה שנקראת adduser
הקלד את הפקודה, ואחריה, את שם היוזר החדש.

adduser username sudo

(כמובן החלף את username בשם היוזר שאתה רוצה)
המלה sudo היא השם של הקבוצה אליה ישויך המשתמש – במקרה שלנו לקבוצת המנהלים, מה שיתן למשתמש הרשאות ניהול
אחרי כן תתבקש פעמים להקליד סיסמא.
ולאחר מכן תקבל מספר שאלות על "פרטים אישיים" כמו למשל שם, מספר חדר, טלפונים וכדומה…
אתה יכול להקיש Enter ולדלג על כולן, הן חסרות משמעות.
השאלה האחרונה היא Is this information correct ? ,
כלומר, האם הכל נכון ?
כמובן – הקלד y (=כן) וזהו, הקמת יוזר חדש ב-Linux.

הגדרות גישת SSH (לא חובה)

עכשיו, לאחר שיצרנו חשבון חדש, כדאי לאבטח מעט את הגישה שלנו אליו, את גישת ה-SSH.

נתחיל בכך שנערוך את קובץ ההגדרות
כדי לערוך את הקובץ , נשתמש בעורך טקסט שנקרא nano (בדיוק כמו notepad במערכות Windows)
להסבר קצר על השימוש ב-nano – לחץ כאן.
כתוב את הפקודה הבאה . פקודה זו פותחת לעריכה את קופץ ההגדרות של SSH בעורך הטקסט nano

nano /etc/ssh/sshd_config

אם אתם מחוברים בתור משתמש שאינו root תצטרכו להוסיף את המלה sudo לפני הפקודה

sudo nano /etc/ssh/sshd_config

ואז המחשב יבקש ממכם את סיסמת המנהל שלכם

הדבר הראשון שנרצה לעשות הוא לשנות את פורט ברירת המחדל שדרכו אנחנו ניגשים.
אם אתה זוכר, במדריך הקודם כאשר התחברנו לשרת באמצעות Putty, הפורט שדרכו נכנסנו היה פורט 22.
ומכיוון שפורט זה הינו ברירת מחדל, מומלץ לשנות אותו לפורט פחות נפוץ. וכך במידה ומישהו מעוניין לפרוץ לשרת, יש עוד שלב שעליו לעבור בדרך – הוא צריך קודם כל לזהות דרך איזה פורט אנחנו מתחברים. (פורט – פירושו ערוץ, למחשב ישנם עשרות אלפי ערוצים=פורטים שדרכם הוא יכול להתקשר עם מחשבים אחרים).
שים לב : חשוב שתזכור איזה פורט אתה מגדיר בפעולה הבאה, ותרשום לעצמך היכן שהוא, כיוון שמייד אחרי כן, לא תוכל כבר להתחבר לשרת בפורט 22, אלא רק בפורט החדש שאותו תגדיר.
לצורך הדוגמא נגדיר את פורט 3331
אז כעת חפש בקובץ (בשורות הראשונות) את הביטוי Port 22 ושנה אותו ל- Port 3331
אתה יכול להגדיר כל פורט שתרצה בין 1025 ל-65536.
הגבלת גישה באמצעות חשבון root
מכיוון שיצרנו משתמש חדש, שיש לו הרשאות נרחבות, יהיה בטוח יותר להגביל את הגישה באמצעות משתמש root.
לצורך כך, חפש את השורה

PermitRootLogin yes

(הרשה כניסת רוט – כן)
ושנה אותה ל

PermitRootLogin no

להגדיר בדיוק למי מותר להיכנס לשרת
השלב הבא, הוא להגדיר לשרת במדויק מי המשתמשים שמורשים להיכנס אליו.
שים לב : בצע שלב זה בזהירות, כיוון שאם לא תכתוב נכון את שם המשתמש שלך, אתה תחסום את הכניסה של עצמך (ואת כניסה ה-root חסמת לפני רגע, כך ש…)
כדי להגדיר במדויק, הוסף בסוף הקובץ את השורה הבאה

AllowUsers username

כמובן, שאם קראת ליוזר בשם אחר, אז תחליף את המילה username בשם של היוזר החדש שהגדרת.
בסוף התהליך, הקש Ctrl+X ולחץ על Y לשמירת הקובץ ואנטר ליציאה.
אתחול שירות ה-SSH
ה-SSH, הוא בעצם שירות, כלומר תוכנה שרצה ברקע של השרת כל הזמן.
כעת, לאחר ששינינו מספר הגדרות, כדי שהגדרות אלו יתחילו לעבוד , עלינו לאתחל את השירות, כלומר לטעון אותו מחדש, עם ההגדרות החדשות כמובן.
ככה טוענים אותו מחדש:

sudo restart ssh

עכשיו, רגע לפני שנתנתק מהשרת, היינו רוצים לבדוק את ההגדרות החדשות, כיוון שאנחנו לא רוצים לנסות להתחבר ולגלות שעשינו משהו לא נכון, וכעת אנחנו לא יכולים להתחבר לשרת.
לשם כך, פתח בבקשה במקביל עוד חלון של "טרמינל" כלומר, של Putty.
כדי לעשות זאת – לחץ מקש ימני על הפס העליון של Putty ושם בחר באפשרות New Session
עכשיו, הגדר מחדש את ה-IP, עם הפורט החדש שהגדרת (אל תשכח את ההגדרה של 2 only)
וכאשר אתה נכנס לשרת, היכנס הפעם עם המשתמש החדש שלך.
כדאי מאוד לדעת
מעכשיו, אם תצטרך להריץ משהו בתור "מנהל" , השתמש בפקודה sudo, ואחריה את הפקודה שאתה רוצה להריץ. (בדומה לאפשרות ב-Windows במקש ימני > Run As Administrator).
למשל

 sudo YourCommandHere

אם הכל היה תקין, אתה יכול לצאת כעת מ-2 החלונות.
איחולי! כל הכבוד! שרת ה-VPS שלך, מאובטח עתה מעט יותר .

סיכום מקוצר של השיעור :
פקודות/תוכנות Linux :
שינוי סיסמא באמצעות passwd
הוספת משתמש באמצעות adduser
עריכת קובץ הגדרות המשתמשים באמצעות visudo
הענקת הרשאות מלאות למשתמש באמצעות הוספת השורה koko ALL=(ALL:ALL) ALL לקובץ הגדרות המשתמשים.
עריכה באמצעות nano של קובץ הגדרות ה-SSH , הקלדנו כך nano /etc/ssh/sshd_config
שינוי פורט בקובץ הגדרות ה-SSH
הגבלת גישה באמצעות חשבון root, על ידי זה שהגדרנו PermitRootLogin no
הגדרה מדויקת של המשתמש שיכול להיכנס לשרת באמצעות הוספת השורה AllowUsers koko
אתחול/טעינת שירות ה-SSH מחדש – service ssh restart
פתיחת Session חדש של Putty (מקש ימני > New Session)
שימוש בפקודה sudo לפני פקודות אחרות, כאשר רוצים להפעיל משהו כמנהל.

כתיבת תגובה

האימייל לא יוצג באתר. שדות החובה מסומנים *