Proteggere l’accesso al server con Gravitational Teleport

Tutorial

Assicurare l’accesso SSH è fondamentale per mantenere l’integrità e la sicurezza dell’infrastruttura del server. Se stai lottando per assicurare efficacemente l’accesso al server, non preoccuparti. Gravitational Teleport emerge come una soluzione all’avanguardia che rivoluziona il modo in cui i team gestiscono e rinforzano la sicurezza SSH.

In questo tutorial, scoprirai le complessità di Teleport, dotandoti degli elementi essenziali per proteggere la tua infrastruttura del server. Dalla gestione dell’accesso senza interruzioni alle robuste funzionalità di sicurezza, esplorerai come Teleport protegge l’accesso al tuo server.

Dominare la sicurezza del server con Gravitational Teleport e rinforzare la tua infrastruttura!

Prerequisiti

Imbarcarsi in questo tutorial su Gravitational Teleport richiede una certa conoscenza di base e risorse. Assicurati quindi che siano soddisfatti i prerequisiti indicati per seguire questo tutorial:

  • Due server Linux: Un server (host) viene utilizzato come bastion host, e l’altro viene utilizzato per limitare l’accesso SSH con Teleport – Questo tutorial utilizza due istanze EC2 di Ubuntu 22.04.

Correlato:Installare Ubuntu Server 20.04: una guida passo-passo

  • Traffico di ingresso HTTPS consentito per il server host (consulta la documentazione del tuo provider cloud).

💡 Nota: Questo tutorial utilizza istanze AWS EC2. Le modifiche necessarie vengono apportate alle Regole di ingresso del Gruppo di sicurezza. Consulta la documentazione AWS su come configurare le regole di ingresso del gruppo di sicurezza.

  • A registered domain name with DNS A record pointing to your host server’s IP address.
  • A multi-factor authenticator app such as Authy, Google Authenticator, or Microsoft Authenticator.

Correlato:Come configurare l’Autenticazione Multi-Fattore AWS (AWS MFA)

Installazione e configurazione di Gravitational Teleport su Ubuntu

Con la tua configurazione DNS in atto, devi dotare il tuo server Ubuntu di robuste funzionalità di sicurezza: Gravitational Teleport. Come un castello con le porte spalancate, senza le adeguate misure di sicurezza, il tuo server è vulnerabile a accessi non autorizzati e potenziali violazioni.

Gravitational Teleport assicura una robusta fortificazione, consentendo l’accesso al tuo server solo a individui autorizzati.

Per installare e configurare Gravitational Teleport, esegui quanto segue:

1. Effettua l’accesso SSH al server host, esegui il seguente comando per aggiornare il repository del gestore dei pacchetti e installare Teleport. L’ultima versione è 15.1.9 al momento della scrittura, ma puoi sempre consultare tutti i rilasci.

curl https://goteleport.com/static/install.sh | bash -s 15.1.9

Nota: Questo tutorial utilizza il gestore di pacchetti Advanced Package Tool (APT). Se lo script di installazione di Teleport non funziona correttamente, visita la documentazione ufficiale di Teleport per istruzioni di installazione adatte al tuo gestore di pacchetti.

Dopo aver eseguito lo script di installazione sopra riportato, dovresti ottenere un output simile.

Installing Teleport on Ubuntu

2. Una volta installato, esegui il seguente comando systemctl per verificare lo status del servizio teleport. 

systemctl status teleport

Come mostrato di seguito, Teleport non è attivo e disabilitato.

Prima di abilitare e avviare il servizio Teleport, devi impostare alcune configurazioni per Teleport nei seguenti passaggi.

Checking the Teleport service status

3. Successivamente, esegui questo comando teleport per completare quanto segue:

  • Genera un file di configurazione chiamato /etc/teleport.yaml per Teleport. Il servizio Systemd di Teleport, configurato durante l’installazione, richiede questo file per avviare Teleport.
  • Specifica l’indirizzo email (sostituisci <YOUR_EMAIL>) per la registrazione e le notifiche del certificato ACME. Il flag --acme indica a Teleport di ottenere automaticamente i certificati da Let’s Encrypt.

Correlato:Come Provvedere a un Sito Web Con aaPanel e LetsEncrypt

  • Specifica il Teleport --cluster-name, di solito rappresentato dall’URL del server proxy di Teleport (sostituisci <YOUR_TELEPORT_PROXY_URL>).
sudo teleport configure -o /etc/teleport.yaml \--acme --acme-email=<YOUR_EMAIL> \--cluster-name=<YOUR_TELEPORT_PROXY_URL>

Se configurato correttamente, vedrai il seguente output sul terminale.

Configuring Teleport

4. Ora, esegui ciascun comando qui sotto per abilitare e avviare il servizio Teleport.

Questi comandi non producono output sul terminale, ma verificherai le modifiche nel passaggio successivo. 

# Abilita il servizio Teleport per avviarsi automaticamente all'avvio sudo systemctl enable teleport# Avvia il servizio Teleportsudo systemctl start teleport

5. Infine, esegui il seguente comando systemctl per confermare lo stato del servizio Teleport. 

systemctl status teleport

L’output qui sotto conferma che il servizio Teleport è attivo e in esecuzione, il che significa che puoi accedere all’interfaccia utente e svolgere operazioni.

Verifying the Teleport service is active and running

Configurazione dell’Accesso all’Interfaccia Utente Web di Teleport e delle Credenziali dell’Amministratore

Teleport è attivo, ma come gestire senza problemi l’accesso degli utenti, monitorare le sessioni e supervisionare l’infrastruttura del server? Puoi interagire con Teleport comodamente dal tuo browser web con la sua interfaccia utente web, ma prima devi configurare l’accesso all’interfaccia web e le credenziali dell’utente amministratore.

Per configurare l’accesso all’interfaccia web di Teleport e le credenziali dell’amministratore, segui questi passaggi:

1. Visita l’URL del proxy di Teleport che hai configurato nel passaggio tre della sezione “Installazione e Configurazione di Gravitational Teleport su Ubuntu” (cioè, https://teleport.example.com).

Se avviene con successo, sarai accolto dalla pagina di accesso di Teleport qui sotto. Sfortunatamente, non puoi ancora accedere. Devi configurare un utente amministratore e l’autenticazione a due fattori (passaggio due).

Accessing the Teleport sign-in page

2. Sul tuo server host, esegui il seguente comando dello strumento CLI di Teleport (tctl) per eseguire le seguenti operazioni:

  • Crea (add) un utente amministratore dedicato a Teleport.
  • Consenti all’utente admin di accedere agli host SSH con i login designati: root, ec2-user e ubuntu.
  • Assegna i ruoli, access e editor, all’utente amministratore.
sudo tctl users add admin --roles=access,editor --logins=root,ec2-user,ubuntu

Una volta aggiunto, copia il link di invito generato dall’output che indica il successo della creazione dell’utente amministratore.

Creating a dedicated Teleport admin user

3. Naviga al link di invito che hai copiato nel passaggio tre in una nuova scheda del browser, poi clicca su INIZIA nella pagina di Benvenuto, come mostrato di seguito. Quest’azione ti consente di iniziare a configurare l’utente amministratore.

Accessing the Teleport sign-in page

4. Successivamente, fornisci e conferma una password sicura per l’utente amministratore, e clicca su AVANTI per procedere.

Setting the admin password

5. Apri la tua app autenticatore, scannerizza il codice QR, inserisci il Codice Autenticatore generato nel campo richiesto, e clicca su INVIA.

Questo processo ti consente di configurare l’autenticazione a due fattori sul tuo dispositivo per un ulteriore livello di sicurezza.

Setting up two-factor authentication

6. Ora, clicca VAI AL CLUSTER per accedere al tuo account Teleport.

Accessing the Teleport dashboard

Il tuo browser verrà reindirizzato alla dashboard di Teleport come quella sotto riportata, che mostra il server host dove Teleport è in esecuzione. Nota che il tuo server host è l’unica risorsa attualmente gestita da Teleport.

Overviewing the Teleport dashboard

Aggiunta e Gestione delle Risorse con Teleport

Ora hai accesso alla tua dashboard di Teleport, che ha solo una risorsa disponibile. Ma una piattaforma centralizzata si rivela veramente efficace quando è possibile gestire più risorse contemporaneamente.

Con le potenti capacità di gestione delle risorse di Teleport, puoi facilmente aggiungere nuovi server, database o altri componenti di infrastruttura, il tutto da un’interfaccia singola.

Per gestire le risorse con Teleport, procedi come segue:

1. Nella dashboard di Teleport, clicca su Aggiungi Nuova Risorsa (in alto a destra) per iniziare ad aggiungere una nuova risorsa.

Enrolling a new resource

2. Scegli una tra la moltitudine di risorse che potenzialmente puoi aggiungere per garantire l’accesso sicuro tramite Teleport. La scelta di questo tutorial è il Server Ubuntu 14.04+, come indicato di seguito.

Selecting a resource to add for access management

3. Copia il comando generato da Teleport, che eseguirai nel passaggio successivo.

Copying the generated command

4. Ora, apri un terminale sul tuo secondo server e esegui il comando copiato al passaggio tre per aggiungere il server alla gestione degli accessi.

Se avrai successo, vedrai un output come nello screenshot qui sotto.

Adding a second server to Teleport

5. Una volta aggiunto, clicca su AVANTI e completa i successivi prompt cliccando su AVANTI e FINE.

Proceeding with configuring the new resource

6. Infine, vai alla tua bacheca Teleport e vedrai la tua nuova istanza aggiunta, come illustrato di seguito.

Confirming the new Teleport instance is successfully added

Conclusione

Ecco fatto—hai installato e configurato con successo Gravitational Teleport, configurato l’interfaccia Web di Teleport e stabilito le credenziali di amministrazione. Durante questo tutorial, hai acquisito preziosa conoscenza per proteggere e gestire l’accesso al server in modo efficace!

Ora, perché non portare questa nuova conoscenza al livello successivo? Installa la CLI di Teleport (tsh) specificamente sul tuo computer locale e connettiti al server Teleport tramite CLI invece che tramite l’interfaccia utente.

Implementa la gestione dell’accesso per risorse aggiuntive come i cluster Kubernetes e molto altro ancora!

Source:
https://adamtheautomator.com/gravitational-teleport/