Mengamankan Koneksi SSH Anda di Ubuntu 20.04

MHernawan — Tue, 14 Jul 2020 14:24:12 +0000

OpenSSH adalah implementasi protokol SSH. OpenSSH direkomendasikan untuk login jarak jauh, membuat cadangan, transfer file jarak jauh melalui scp atau sftp, dan banyak lagi. SSH sempurna untuk menjaga kerahasiaan dan integritas untuk pertukaran data antara dua jaringan dan sistem. Namun, keuntungan utama adalah otentikasi server, melalui penggunaan kriptografi kunci publik. Dari waktu ke waktu ada desas-desus tentang OpenSSH zero day exploit. Halaman ini menunjukkan cara mengamankan server OpenSSH Anda yang berjalan pada sistem ubuntu 20.04 server yang merupakan penjabaran dari tulisan saya tentang pengaturan awal server di ITKoding untuk meningkatkan keamanan sshd.

1. Gunakan SSH login berbasis kunci publik

Server OpenSSH mendukung berbagai otentikasi. Disarankan agar Anda menggunakan otentikasi berbasis kunci publik. Pertama, buat pasangan kunci menggunakan perintah ssh-keygen berikut di desktop / laptop lokal Anda:

$ ssh-keygen -t key_type -b bits -C "comment"  
$ ssh-keygen -t ed25519 -C "Login to production cluster at xyz corp"  
$ ssh-keygen -t rsa -b 4096 -f ~/.ssh/id_rsa_aws_$(date +%Y-%m-%d) -C "AWS key for abc corp clients"

Selanjutnya, instal kunci publik menggunakan perintah ssh-copy-id:

$ ssh-copy-id -i /path/to/public-key-file user@host  
$ ssh-copy-id user@remote-server-ip-or-dns-name  
$ ssh-copy-id hernawan@ubuntul7-aws-server

Saat dipromosikan, masukkan kata sandi pengguna. Verifikasi bahwa login berbasis kunci ssh bekerja untuk Anda:

$ ssh hernawan@ubuntul7-aws-server

2. Nonaktifkan login pengguna root

Sebelum kami menonaktifkan login pengguna root, pastikan pengguna biasa dapat login sebagai root. Sebagai contoh, izinkan pengguna hernawan untuk login sebagai root menggunakan perintah sudo.

$ sudo adduser hernawan sudo

Setelah dikonfirmasi nonaktifkan login root dengan menambahkan baris berikut ke sshd_config:

PermitRootLogin no  
ChallengeResponseAuthentication no  
PasswordAuthentication no  
UsePAM no

3. Nonaktifkan login berbasis kata sandi

Semua login berbasis kata sandi harus dinonaktifkan. Hanya login berbasis kunci publik yang diizinkan. Tambahkan yang berikut ini di file sshd_config Anda:

AuthenticationMethods publickey
PubkeyAuthentication yes

4. Batasi akses shs Users

Secara default, semua pengguna sistem dapat masuk melalui SSH menggunakan kata sandi atau kunci publik mereka. Terkadang Anda membuat akun pengguna UNIX / Linux untuk tujuan FTP atau email. Namun, para pengguna dapat masuk ke sistem menggunakan ssh. Mereka akan memiliki akses penuh ke alat sistem termasuk kompiler dan bahasa scripting seperti Perl, Python yang dapat membuka port jaringan dan melakukan banyak hal mewah lainnya. Hanya izinkan pengguna hernawan untuk menggunakan sistem melalui SSH, tambahkan yang berikut ke sshd_config:

AllowUsers hernawan

5. Nonaktifkan Kata Sandi Kosong

Anda perlu secara eksplisit melarang login jarak jauh dari akun dengan kata sandi kosong, perbarui sshd_config dengan baris berikut:

PermitEmptyPasswords no

6. Ubah Port SSH dan batasi pengikatan IP

Secara default, SSH mendengarkan semua antarmuka yang tersedia dan alamat IP pada sistem. Batasi pengikatan port ssh dan ubah port ssh (banyak skrip memaksa hanya mencoba tersambung ke port TCP # 22). Untuk mengikat ke port 300, tambahkan atau perbaiki baris berikut di sshd_config:

Port 300

Kesimpulan

Dengan 6 langkah tersebut kita sudah bisa meminimalisir dari serangan maupun brute force melalui SSH ke server.

Implementasi HTTP3 QUIC di Nginx

MHernawan — Tue, 14 Jul 2020 13:14:10 +0000

Saya sangat terinspirasi oleh berita bahwa protokol HTTP3 sudah tersedia dan sekarang kita bisa menggunakannya. Saya menghadapi beberapa masalah selama implementasi dan akan mencoba berbagi informasi proses ini untuk Anda.

Pada artikel ini, saya akan menunjukkan apa yang diperlukan untuk mengatur dukungan HTTP 3 Nginx.

HTTP3 QUIC (Quick UDP Internet Connections) protokol dari Google, TCP + TLS + HTTP/2 diimplementasikan pada UDP.

Pada bulan Maret 2020, dukungan HTTP3 sedang dalam pengembangan di Nginx dan diharapkan dalam rilis 1.17 namun sampai sekarang 1.19 belum ada berita lebih lanjut. Ada cara untuk memilikinya hari ini yaitu dengan mengkompilasi Nginx dengan modul QUIC. Anda dapat melakukan ini dengan mengikuti manual dari Cloudflare / quiche repo atau menggunakan docker dengan Nginx + quic yang telah dikompilasi.

Nah, saya menggunakan docker dari ymuski. Nginx dikompilasi dengan semua modul yang masuk dalam gambar docker Nginx resmi + modul borringssl dan http3.

Apa yang dibutuhkan?

Sertifikat TLS
Konfigurasi nginx
Docker container

Terbitkan sertifikat untuk domain Anda:
certbot certonly --standalone --non-interactive --agree-tos -d your.domain.com -m your@email.com

Buat konfigurasi Nginx (contoh lengkap):

# Enable QUIC and HTTP/3.
listen 443 quic reuseport;
# Request buffering in not currently supported for HTTP/3.
proxy_request_buffering off;

# Add Alt-Svc header to negotiate HTTP/3.
add_header alt-svc 'h3-27=":443"; ma=86400';
ssl_protocols TLSv1.3;

Jalankan docker container:

docker run --name nginx -d -p 80:80 -p 443:443/tcp -p 443:443/udp -v /etc/letsencrypt/:/opt/nginx/certs/ -v /opt/nginx/conf/example.nginx.conf:/etc/nginx/nginx.conf ymuski/nginx-quic

Ayo kita coba!

CATATAN: Jika Anda menjalankan server cloud dan memiliki keamanan, kemungkinan besar HTTP3 tidak akan berfungsi - buka port 443/udp dalam pengaturan firewall.

Bagaimana cara menguji HTTP3?

Dukungan HTTP3 QUIC adalah berupa fitur yang harus diaktifkan terlebih dahulu, jadi Anda harus mengaktifkannya.
Chrome (>79) go to chrome://flags/#enable-quic
Firefox (> 72) go to about:config => network.http.http3.enabled
Masuk ke developer console (F12) => Network and check protocol.

Kelebihan HTTP3

HTTP3 bermanfaat dalam kasus-kasus berikut:
Handshake lebih cepat (1 atau 0-RTT)
Tidak ada pemblokiran head-of-line
Peralihan jaringan tidak akan memengaruhi koneksi (Streaming)
Tes curl saya sendiri antara HTTP2 dan HTTP3 menunjukkan 30% latency bust.

DEV Community: MHernawan

Mengamankan Koneksi SSH Anda di Ubuntu 20.04

Implementasi HTTP3 QUIC di Nginx