XEN aneb virtualizujeme (4/6)
Uplynulou část našeho seriálu o nasazení operačního systému GNU/Linux na produkční server a následné realizaci virtualizace na platformě XEN jsme věnovali instalaci distribuce Debian GNU/Linux 5.04 "Lenny". Nyní je čas pokročit dále a provést konfiguraci serveru.
Jestliže jste postupovali správně, máte nyní k dispozici server se základní instalací Debian GNU/Linux 5.04 "Lenny" a nastavením zrcadlení disků v RAID-1. Zároveň máme výraznou část pevných disků vyčleněnou pro virtualizaci. Díky tomu budeme moci s větší mírou bezpečnosti spouštět různé služby na jednom serveru a případně vytvářet řadu virtuálních serverů (tzv. Virtual private servers – VPS) pro další uživatele systému.
Ale nepředbíhejme. Abychom našeho cíle dosáhli, musíme nejprve systém poněkud odladit a nakonfigurovat, abychom tak docílili skutečně použitelného výsledku. Veškerou konfiguraci budeme samozřejmě provádět pod uživatelem root, tedy správcem systému s plnými oprávněními.
Sám patřím mezi příznivce textového editoru Vim, takže první věcí, kterou v nové instalaci dělám, je přidání balíku vim-nox do systému:
aptitude install vim-nox
Oproti výchozímu editoru Vim v Debianu upravuje tato mutace chování a ovládání editoru tak, aby byl skutečně použitelný a nedělal problémy při ovládání z klasické klávesnice a nikoliv unixového terminálu ze sedmdesátých let. Jestliže vy sami Vimu neholdujete, můžete tuto část přeskočit a nadále používat například populární editor Nano, který je ve výchozí instalaci také obsažen.
Jako další bychom měli upravit konfiguraci SSH. Nebudeme se chtít nadále hlásit do systému pomocí hesla, ale za pomoci našeho RSA/DSA (resp. DSS) klíče. Toto řešení je mnohem bezpečnější a jestliže zakážeme možnost vzdáleného přihlašování s použitím hesla, zbavíme se tak významné části potenciálních typů útoků.
Vlastní klíčový pár (veřejný a soukromý klíč) si vytvoříme na lokálním stroji pomocí příkazu:
ssh-keygen -t rsa
Výsledná sada klíčů se umístí do domovské složky uživatele do adresáře .ssh. Zde bychom tedy měli nalézt soubory id_rsa a id_rsa.pub. Druhý zmiňovaný, tedy ten s příponou .pub, je veřejný klíč, který zkopírujeme na náš server do adresáře .ssh v domovské složce uživatele, na kterého se budeme připojovat:
scp id_rsa.pub franta@192.0.0.15:/home/franta/.ssh
Zde jej přidáme do seznamu autorizovaných klíčů a smažeme původní soubor:
cat id_rsa.pub >> authorized_keys && rm id_rsa.pub
Dále potřebujeme nastavit chování samotného SSH serveru. To provedeme v jeho hlavním konfiguračním souboru, který nalezneme v umístění /etc/ssh/sshd_conf.
Jestliže se na uživatele root nebudeme připojovat vůbec a budeme se k němu dostávat pouze z jiného účtu na serveru, nastavíme zde:
PermitRootLogin no
V případě, že bychom se chtěli na uživatele root připojovat klíčem, nastavíme místo "no" volbu "without-password".
Vypneme také obecně používání hesel ke vzdálenému přihlašování, jak jsem zmínil již výše:
PasswordAuthentication no
V konfiguračním souboru bychom také měli zkontrolovat stav následujících položek (a případně upravit tak, aby odpovídaly zde uvedené konfiguraci):
Protocol 2
StrictModes yes
X11Forwarding no
PermitTunnel no
Tímto zaručíme, že se bude používat pouze SSH protokol verze 2. Ten rozšiřuje významnou měrou bezpečnostní spolehlivost a omezuje rizika oproti již zastaralému protokolu verze 1.
Zároveň pomocí položky StrictModes zajistíme kontrolu práv v domovských adresářích uživatelů a pokud není něco v pořádku, přihlášení bude odmítnuto.
Vzhledem k tomu, že na produkčním serveru nemáme a nebudeme mít desktopové prostředí X Window System (X11), zakážeme také přeposílání xkových paketů prostřednictvím SSH.
Poslední položka zakáže tunelování SSH spojení. To je výhodné zejména v případě, že na server bude mít přístup více uživatelů kromě administrátora a máme obavu, že by mohli server využívat jako proxy ke stahování torrentů nebo jiným nekalým činnostem.
V tuto chvíli tedy máme produkční server v základní konfiguraci hotový. Nainstalovali jsme si základní systém a nastavili bezpečnější způsob připojování na server.
Následující část našeho seriálu budeme věnovat dalším konfiguračním volbám a instalaci software pro zprovoznění virtualizace.
| 
Reklama
Anketa
