Ubuntuサーバ初期設定(+セキュリティ設定)

ノード保護のためのセキュリティ強化方法です。
AWS EC2及びlightsailは特殊環境なため、このマニュアル通りに動かない場合がございます。
不明な点はGuildコミュニティで質問してみてください。
この手順はエアギャップオフラインマシン(VirtualBox上のUbuntu)では実施する必要はありません
Ubuntuサーバーを強化する手順(初期設定)
オススメのターミナルソフト
1.R-Login(Winodws)http://nanno.dip.jp/softlib/man/rlogin/ 2.Terminal(Mac)https://www.webdesignleaves.com/pr/plugins/mac_terminal_basics_01.html​
🧙♂ ルート権限を付与したユーザーアカウントの作成
サーバを操作する場合はrootアカウントを使用せず、root権限を付与したユーザーアカウントで操作するようにしましょう。 rootアカウントで誤ってrmコマンドを使用すると、サーバ全体が完全消去されます。
新しいユーザーの追加 (例：cardano)
1.上記ターミナルソフトを使用し、サーバーに割り当てられた初期アカウント(rootなど)でログインする。
2.新しいユーザーアカウントを作る(任意のアルファベット文字)
adduser cardano
New password:           # ユーザーのパスワードを設定
Retype new password:    # 確認再入力
​
Enter the new value, or press ENTER for the default
        Full Name []:   # フルネーム等の情報を設定 (不要であればブランクでも OK)
        Room Number []:
        Work Phone []:
        Home Phone []:
        Other []:
Is the information correct? [Y/n]:y
cardanoをsudoグループに追加する
usermod -G sudo cardano
rootユーザーからログアウトする
exit
3.ターミナルソフトのユーザーをパスワードを上記で作成したユーザーとパスワードに書き換えて再接続。
****🔏 SSHパスワード認証を無効化し、SSH鍵認証方式のみを使用する
SSHを強化する基本的なルールは次の通りです。
SSHログイン時パスワード無効化 (秘密鍵を使用)
rootアカウントでのSSHログイン無効化 (root権限が必要なコマンドはsu or sudoコマンドを使う)
許可されていないアカウントからのログイン試行をログに記録する (fail2banなどの、不正アクセスをブロックまたは禁止するソフトウェアの導入を検討する)
SSHログイン元のIPアドレス範囲のみに限定する (希望する場合のみ)※利用プロバイダーによっては、定期的にグローバルIPが変更されるので注意が必要
鍵ペアーの作成
ssh-keygen -t rsa
次のような返り値があります。
それぞれ何も入力せずにEnterを押してください
Enter file in which to save the key (/home/cardano/.ssh/id_rsa):  #このままEnter
lsEnter passphrase (empty for no passphrase): #このままEnter
Enter same passphrase again: #このままEnter
パスワードは設定しなくてもOK
cd ~/.ssh
ls
id_rsa（秘密鍵）とid_rsa.pub（公開鍵）というファイルが作成されているか確認する。
cd ~/.ssh/
cat id_rsa.pub >> authorized_keys
chmod 600 authorized_keys
chmod 700 ~/.ssh
rm id_rsa.pub
id_rsaファイルをローカルパソコンへダウンロードする
1.R-loginの場合はファイル転送ウィンドウを開く
2.左側ウィンドウ(ローカル側)は任意の階層にフォルダを作成する。
3.右側ウィンドウ(サーバ側)は「.ssh」フォルダを選択する
4.右側ウィンドウから、id_rsaファイルの上で右クリックして「ファイルのダウンロード」を選択する
5.一旦サーバからログアウトする 6.R-Loginのサーバ接続編集画面を開き、「SSH認証鍵」をクリックし4でダウンロードしたファイルを選ぶ 7.サーバへ接続する
SSHの設定変更
/etc/ssh/sshd_configファイルを開く
sudo nano /etc/ssh/sshd_config
ChallengeResponseAuthenticationの項目を「no」にする
ChallengeResponseAuthentication no
PasswordAuthenticationの項目を「no」にする
PasswordAuthentication no
PermitRootLoginの項目を「no」にする
PermitRootLogin no
PermitEmptyPasswordsの項目を「no」にする
PermitEmptyPasswords no
ポート番号をランダムな数値へ変更する (49513～65535までの番号)
Port xxxxx　先頭の#を外してランダムな数値へ変更してください
ローカルマシンからSSHログインする際、ポート番号を以下で設定した番号に合わせてください。
Ctrl+O で保存し、Ctrl+Xで閉じる
SSH構文にエラーがないかチェックします。
sudo sshd -t
SSH構文エラーがない場合、SSHプロセスを再起動します。
sudo service sshd reload
一旦、ログオフし、ログイン出来るか確認します。
exit
​
上記でログイン出来ない場合は、SSHキーを指定してログインします。
****🤖 システムを更新する
不正アクセスを予防するには、システムに最新のパッチを適用することが重要です。
sudo apt-get update -y && sudo apt-get upgrade -y
sudo apt-get autoremove
sudo apt-get autoclean
自動更新を有効にすると、手動でインストールする手間を省けます。
sudo apt-get install unattended-upgrades
sudo dpkg-reconfigure -plow unattended-upgrades
🧸 rootアカウントを無効にする
サーバーのセキュリティを維持するために、頻繁にrootアカウントでログインしないでください。
# rootアカウントを無効にするには、-lオプションを使用します。
sudo passwd -l root
# 何らかの理由でrootアカウントを有効にする必要がある場合は、-uオプションを使用します。
sudo passwd -u root
🧩 安全な共有メモリー
システムで共有されるメモリを保護します。
/etc/fstabを開きます
sudo nano /etc/fstab
次の行をファイルの最後に追記して保存します。
tmpfs    /run/shm    tmpfs    ro,noexec,nosuid    0 0
変更を有効にするには、システムを再起動します。
sudo reboot
****⛓ Fail2banのインストール
Fail2banは、ログファイルを監視し、ログイン試行に失敗した特定のパターンを監視する侵入防止システムです。特定のIPアドレスから（指定された時間内に）一定数のログイン失敗が検知された場合、Fail2banはそのIPアドレスからのアクセスをブロックします。
sudo apt-get install fail2ban -y
SSHログインを監視する設定ファイルを開きます。
sudo nano /etc/fail2ban/jail.local
ファイルの最後に次の行を追加し保存します。
[sshd]
enabled = true
port = <22 or your random port number>
filter = sshd
logpath = /var/log/auth.log
maxretry = 3
fail2banを再起動して設定を有効にします。
sudo systemctl restart fail2ban
****🧱 ファイアウォールを構成する
標準のUFWファイアウォールを使用して、ノードへのネットワークアクセスを制限できます。
新規インストール時点では、デフォルトでufwが無効になっているため、以下のコマンドで有効にしてください。
SSH接続用のポート22番(または設定したランダムなポート番号 #)
ノード用のポート6000番または6001番
ノード監視Grafana用3000番ポート
Prometheus-node-exporter用のポート12798・9100をリレーノードのIPのみ受け付ける用に設定してください。  
ブロックプロデューサーノードおよびリレーノード用に設定を変更して下さい。  
ブロックプロデューサーノードでは、リレーノードのIPのみ受け付ける用に設定してください。  
ブロックプロデューサーノード
リレーノード1
ブロックプロデューサーノード
sudo ufw allow <22またはランダムなポート番号>/tcp
sudo ufw allow from <リレーノードIP> to any port <BP用のポート番号(6000)>
sudo ufw allow from <リレーノードIP> to any port 12798
sudo ufw allow from <リレーノードIP> to any port 9100
sudo ufw enable
sudo ufw status numbered
リレーノード1
sudo ufw allow <22またはランダムなポート番号>/tcp
sudo ufw allow 6000/tcp
sudo ufw allow 3000/tcp
sudo ufw enable
sudo ufw status numbered
設定が有効であることを確認します。
     To                         Action      From
     --                         ------      ----
[ 1] 22/tcp                     ALLOW IN    Anywhere
[ 2] 3000/tcp                   ALLOW IN    Anywhere
[ 3] 6000/tcp                   ALLOW IN    Anywhere
[ 4] 22/tcp (v6)                ALLOW IN    Anywhere (v6)
[ 5] 3000/tcp (v6)              ALLOW IN    Anywhere (v6)
[ 6] 6000/tcp (v6)              ALLOW IN    Anywhere (v6)
🔭 リスニングポートの確認
安全なサーバーを維持するには、時々リスニングネットワークポートを検証する必要があります。これにより、ネットワークに関する重要な情報を得られます。
netstat -tulpn
ss -tulpn
🛠 SSHの2段階認証を設定する
設定に失敗するとログインできなくなる場合があるので、設定前に２つのウィンドウでログインしておいてください。
万が一ログインできなくなった場合、復旧できます。
SSHはリモートアクセスに使用されますが、重要なデータを含むコンピュータとの接続としても使われるため、別のセキュリティーレイヤーの導入をお勧めします。2段階認証(2FA)
事前にお手元のスマートフォンに「Google認証システムアプリ」のインストールが必要です
sudo apt update
sudo apt upgrade
sudo apt install libpam-google-authenticator -y
SSHがGoogle Authenticator PAM モジュールを使用するために、/etc/pam.d/sshdファイルを編集します。
sudo nano /etc/pam.d/sshd
先頭の @include common-authを#を付与してコメントアウトする
#@include common-auth
以下の行を追加します。
auth required pam_google_authenticator.so
以下を使用してsshdデーモンを再起動します。
sudo systemctl restart sshd.service
/etc/ssh/sshd_config ファイルを開きます。
sudo nano /etc/ssh/sshd_config
ChallengeResponseAuthenticationの項目を「yes」にします。
ChallengeResponseAuthentication yes
UsePAMの項目を「yes」にします。
UsePAM yes
最後の行に1行追加します。(SSH公開鍵秘密鍵ログインを利用の場合)
AuthenticationMethods publickey,keyboard-interactive
ファイルを保存して閉じます。
以下を使用してsshdデーモンを再起動します。
sudo systemctl restart sshd.service
google-authenticator コマンドを実行します。
google-authenticator
いくつか質問事項が表示されます。推奨項目は以下のとおりです。
Make tokens “time-base”": yes
Update the .google_authenticator file: yes
Disallow multiple uses: yes
Increase the original generation time limit: no
Enable rate-limiting: yes
プロセス中に大きなQRコードが表示されますが、その下には緊急時のスクラッチコードがひょうじされますので、忘れずに書き留めておいて下さい。
スマートフォンでGoogle認証システムアプリを開き、QRコードを読み取り2段階認証を機能させます。
🚀 参考文献
How to Harden your Ubuntu 18.04 Server
SSH is essential to server management. And although Linux is considered to be secure out of the box, it is advisable to follow the…
medium.com
Ubuntu system hardening guide for desktops and servers
Step by step guide to secure any Ubuntu desktop or server. Harden your Ubuntu during installation and afterwards with the available security tips.
linux-audit.com
How To Harden OpenSSH on Ubuntu 18.04 | DigitalOcean
Linux servers are often administered remotely using SSH by connecting to an OpenSSH server, which is the default SSH server software used within Ubuntu, Debian, CentOS, FreeBSD, and most other Linux/BSD-based systems. In this tutorial, you will harden
www.digitalocean.com
Configure SSH to use two-factor authentication | Ubuntu
Ubuntu is an open source software operating system that runs from the desktop, to the cloud, to all your internet connected things.
ubuntu.com
​https://gist.github.com/lokhman/cc716d2e2d373dd696b2d9264c0287a3#file-ubuntu-hardening-md​
How to Harden Ubuntu Server 18.04 in 5 Easy Steps
Don't assume your Ubuntu Server platform is perfectly secure, out of the box. With these five easy steps, gain a serious bump in platform security.
www.lifewire.com
The 50 Best Linux Hardening Security Tips: A Comprehensive Checklist
Although Linux is much more secure when compared to home operating systems, admins still need to maintain a set of Linux hardening policies.
www.ubuntupit.com
前
カルダノステークプール構築手順
次
Chronyのセットアップ方法
最終更新 1 month ago