🏠右奮闘ホームサーバービルダー-サーバープリファレンス🏠
5969 ワード
概要
このシリーズはUbuntu Server 20.04バージョンに準拠しています.
右奮闘設定を完了した作業について説明します.
筆者は物理サーバ(Mele Quieter2)で作業しているが、AWSやGCPなどのクラウドプラットフォームでも利用できる.
ただし、AWSまたはGCPでは、外部とインスタンスとの間で通信するファイアウォールが設定されているものとします.
筆者が使用している物理サーバ(Mele Quieter2)の詳細については、🏠右奮闘ホームサーバビルダー-開始🏠を参照してください.
1.パッケージのアップグレード
2.タイムゾーンの設定
筆者はAsia/Seoulに設定した.
3.SSHユーザー制限
サーバのセキュリティを確保するためには、(Whitelist)SSHを介してサーバに接続することのみを許可します.
nanoエディタを使用してSSHプロファイルsshd configを開きます.
筆者はナノエディタを使っていますが、viを使ってもいいです.
e.g.
e.g.
まずufwを無効にします.これは私たちが奮闘している基本的なファイアウォールです.
iptablesルールを作成する前にiptablesを初期化します.
-X基本チェーン以外のすべてのチェーンを削除します.
-P基本ポリシーを設定します.
INPUT、FOrWARD、OUTPUTともにACCEPTに初期化
変更を保存し、iptablesを再ロードします.
個別の3 rd party RDPクライアントまたはウィンドウのリモートデスクトップ接続機能を使用する場合は、次のコマンドを使用してRDPが使用する3389ポートを開きます.
3389ポートを開放すると、サーバのセキュリティが低下する可能性があります.
オープン・ルールを除いて、すべてのバインド・パケットが切断されます.
今回の放送では、右奮闘サーバーを設置した後の作業を紹介しました.
次の記事では、右奮闘サーバにデスクトップ環境とxrdpをインストールし、よくあるエラーを解決する手順について説明します.
このシリーズはUbuntu Server 20.04バージョンに準拠しています.
右奮闘設定を完了した作業について説明します.
筆者は物理サーバ(Mele Quieter2)で作業しているが、AWSやGCPなどのクラウドプラットフォームでも利用できる.
ただし、AWSまたはGCPでは、外部とインスタンスとの間で通信するファイアウォールが設定されているものとします.
筆者が使用している物理サーバ(Mele Quieter2)の詳細については、🏠右奮闘ホームサーバビルダー-開始🏠を参照してください.
1.パッケージのアップグレード
sudo apt update && sudo apt upgrade2.タイムゾーンの設定
timedatectlsudo dpkg-reconfigure tzdata筆者はAsia/Seoulに設定した.
3.SSHユーザー制限
サーバのセキュリティを確保するためには、(Whitelist)SSHを介してサーバに接続することのみを許可します.
nanoエディタを使用してSSHプロファイルsshd configを開きます.
筆者はナノエディタを使っていますが、viを使ってもいいです.
sudo nano /etc/ssh/sshd_configAllowUsers {user}AllowUsers ubuntue.g.
AllowUsers user1 user2e.g.
DenyUsers user1 user2sudo systemctl reload sshdまずufwを無効にします.これは私たちが奮闘している基本的なファイアウォールです.
sudo ufw disableiptables-persistentパッケージをインストールし、サーバが再起動するとこれらのパッケージの設定値が初期化されるので、設定値を維持することができます.sudo apt install iptables-persistent -yiptablesルールを作成する前にiptablesを初期化します.
sudo iptables -F
sudo iptables -X
sudo iptables -t nat -F
sudo iptables -t nat -X
sudo iptables -t mangle -F
sudo iptables -t mangle -X
sudo iptables -P INPUT ACCEPT
sudo iptables -P FORWARD ACCEPT
sudo iptables -P OUTPUT ACCEPT-X基本チェーン以外のすべてのチェーンを削除します.
-P基本ポリシーを設定します.
INPUT、FOrWARD、OUTPUTともにACCEPTに初期化
変更を保存し、iptablesを再ロードします.
sudo netfilter-persistent save
sudo netfilter-persistent reloadsudo iptables -A INPUT -i lo -j ACCEPTsudo iptables -A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPTsudo iptables -A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
sudo iptables -A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
sudo iptables -A INPUT -p tcp -m tcp --dport 443 -j ACCEPT외부 클라이언트(브라우저) <-> 중계 서버(Guacamole) <-> RDP(우분투 서버)1台のサーバにGuacamoleとxrdpがインストールされているため、Guacmole中継RDPのターゲットはlocalhostです.したがって、RDPポートをファイアウォールに個別に開放する必要はありません.個別の3 rd party RDPクライアントまたはウィンドウのリモートデスクトップ接続機能を使用する場合は、次のコマンドを使用してRDPが使用する3389ポートを開きます.
sudo iptables -A INPUT -p tcp -m tcp --dport 3389 -j ACCEPT3389ポートを開放すると、サーバのセキュリティが低下する可能性があります.
オープン・ルールを除いて、すべてのバインド・パケットが切断されます.
sudo iptables -P INPUT DROP
sudo iptables -P FORWARD DROPsudo iptables -P OUTPUT ACCEPTsudo iptables -Ssudo netfilter-persistent save
sudo netfilter-persistent reload今回の放送では、右奮闘サーバーを設置した後の作業を紹介しました.
次の記事では、右奮闘サーバにデスクトップ環境とxrdpをインストールし、よくあるエラーを解決する手順について説明します.
Reference
この問題について(🏠右奮闘ホームサーバービルダー-サーバープリファレンス🏠), 我々は、より多くの情報をここで見つけました https://velog.io/@dev-taewon-kim/ubuntu-server-setup-1テキストは自由に共有またはコピーできます。ただし、このドキュメントのURLは参考URLとして残しておいてください。
Collection and Share based on the CC Protocol