Börja med att installera iperf på båda datorerna:

sudo aptitude install iperf

Standardporten som används av iperf är 5001, se till att den är öppen i din brandvägg om du har någon innan du börjar.

Kör sedan igång servertjänsten på datorn du vill mäta bandbredden från med kommandot:

iperf -s

Anslut sedan till servern och mät din bandbredd med kommandot:

iperf -c <IP-adress>

Outputen du får ser ut så här:

$ iperf -c <IP>
------------------------------------------------------------
Client connecting to <IP>, TCP port 5001
TCP window size: 16.0 KByte (default)
------------------------------------------------------------
[  6] local <IP> port 59050 connected with <IP> port 5001
[ ID] Interval       Transfer     Bandwidth
[  6]  0.0-10.0 sec   109 MBytes  91.4 Mbits/sec

1. Börja med att kontrollera att du har paketet update-manager-core installerat:

sudo aptitude install update-manager-core

2. Kontrollera sedan att du har raden Promt=lts i filen /etc/update-manager/release-upgrades:

sudo nano /etc/update-manager/release-upgrades

3. Nu kan du börja installationen:

sudo do-release-upgrade --devel-release

Följ instruktioneran och när du är klar med uppgraderingen startar du om datorn.

[note]För instruktioner om andra uppgraderingsalternativ:

• https://help.ubuntu.com/community/LucidUpgrades[/note]

I denna guiden kommer jag gå igenom några enkla steg hur man installerar, kommer igång och gör SSH säkert på din serverdator.

Guiden är baserad på wiki-inlägget Secure SSH, som jag själv använde mig av för något år sedan när jag hade min första server och skulle komma igång med SSH. Men jag ansåg att den kunde göras ännu mer nybörjarvänlig.

Installation

Det enda som behövs för att komma igång är paketet openssh-server på din server. Ubuntu har som standard en SSH-klient vid namn OpenSSH (openssh-client) installerad.

Installera paketet openssh-server på din server:

sudo aptitude install openssh-server

Komma igång

Nu är det bara att logga in på servern med kommandot:

ssh <användarnamn>@<IP-adress>

Inloggningsuppgifterna är kontot du har på servern. Svårare än så är det inte att komma igång med SSH, dock hänger hela säkerheten på hur starkt ditt lösenord är.

Gör SSH säkrare

Det finns några enkla säkerhetsåtgärder jag rekomenderar att man vidtar för att göra SSH säkrare, stegen jag kommer gå igenom är:

• Använda certifikat
• Byta ut standardporten
• Neka åtkomst för användaren root
• Ändra tiden man har på sig att logga in
• Inaktivera möjligheten att kunna använda det lokala kontot för att logga in
• Använda Fail2ban

Använda certifikat

För certifikatet använder vi oss av en RSA-nyckel, vilket innebär att man måste ha en nyckel som är godkänd av servern för att kunna logga in på servern.

Börja med att skapa en RSA-nyckel på din arbetsdator (En nyckel på 1024 bitar ska vara tillräckligt, men jag rekomenderar en nyckel på 4096 bitar för att vara lite extra säker):

ssh-keygen -t rsa -b 4096

[note]Det är en god idé att skapa nyckeln på arbetsdatorn eftersom att nyckeln blir säkrare på en arbetsdator som är välanvänd, eftersom mus- och hårddiskanvändande spelar in i hur stark nyckeln blir. Detta har att göra med slump på den datorn man skapar nyckeln på. På Wikipedia finns en intressant artikel vid namn Pseudoslumptalsgenerator som är den typ av slumpgenerator datorer använder.[/note]

Du kommer bli tillfrågad vart du vill spara din nyckel, om du inte har några nycklar sedan tidigare duger standardmappen bra, vilket du bekräftar med tangenten <Enter>. Nästa val är att välja lösenord för din nyckel, välj ett starkt lösenord, blanda gärna stora och små bokstäver, siffror och tecken för att vara extra säker.

Kopiera innehållet från filen id_rsa.pub som finns i din arbetsdator till filen authorized_keys som finns på din server. Om du inte har någon nyckel sparad i filen authorized_keys sedan tidgare, kan du kopiera hela filen till servern och samtidigt ge den rätt namn, för detta använder vi programmet SCP, vilket använder SSH.

Börja med att skapa mappen .ssh på din server:

mkdir .ssh

Kopiera sedan filen med SCP till din server:

scp -p .ssh/id_rsa.pub <användarnamn>@<IP-adress>:.ssh/authorized_keys

Var noga med att det bara är din användare som har rättigheter att läsa filen id_rsa.pub på din arbetsdator och filen authorized_keys på din server. Är du osäker kan du sätta rätt rättigheter med dessa kommandon:

Klienten:

chmod 600 id_rsa.pub

Servern:

chmod 600 authorized_keys

Byta ut standardporten

Att byta ut standardporten är en enkel och bra åtgärd för att försvåra åtkomsten för obehöriga användare.

Börja med att öppna filen /etc/ssh/sshd_config på din server:

sudo nano /etc/ssh/sshd_config

Leta reda på raden:

Port 22

Och ändra värdet till en annan ledig port, gärna en port ovan 10000.

Neka åtkomst för användaren root

Att inte tillåta användaren root använda SSH är en annan enkel säkerhetsåtgärd som jag rekomenderar.

Leta reda på raden:

PermitRootLogin yes

Och ändra värdet yes till no.

Ändra tiden man har på sig att logga in

Att ändra tiden man har på sig att logga in kan vara en god idé, detta är helt valfritt. Som standard har man 120 sekunder på sig att logga in.

För att ändra värdet för detta är det följande rad du ska ändra:

LoginGraceTime 120

Inaktivera möjligheten att kunna använda det lokala kontot för att logga in

Detta är en åtgärd jag starkt rekomenderar att man ordnar. Om du inaktiverar möjligheten att kunna använda det lokala kontot på servern för att kunna ansluta måste man ha ett certifikat för att kunna komma åt servern via SSH.

Leta reda på raden:

PasswordAuthentication yes

Och ändra värdet yes till no.

Kontrollera även så att följande rader i konfigurationsfilen stämmer:

Protocol 2
UsePrivilegeSeparation yes
StrictModes yes
RSAAuthentication yes
PubkeyAuthentication yes

Spara och stäng filen med tangentbordskombinationen <Ctrl> + <X>, följt av <y> för att bekräfta åtgärden.

För att ändringarna ska börja gälla på servern behöver vi starta om tjänsten:

sudo /etc/init.d/ssh restart

Använd Fail2ban

Fail2ban är en tjänst som går igenom loggarna på din server och bannar IP-adresser som har angett fel lösenord 3 gånger i rad. Den uppdaterar brandväggen och blockerar IP-adresserna via den vägen. Fail2ban är även ett smidigt program om du har Apache, vsftp etc.

För att installera fail2ban använder du dig av kommandot:

sudo aptitude install fail2ban

Som standard blockeras IP-adressen i 600 sekunder efter 3 felaktiga försök. Eftersom standardvärdet på 600 sekunder bara håller fel folk bort en kort stund rekomenderar jag att du ändrat värdet så att blockeringen blir permanent.

Öppna konfigurationsfilen med kommandot:

sudo nano /etc/fail2ban/jail.conf

Leta reda på detta stycket som finns i början av filen:

[DEFAULT]

# "ignoreip" can be an IP address, a CIDR mask or a DNS host
ignoreip = 127.0.0.1
bantime  = 600
maxretry = 3

Ändra värdet för bantime till 0, vilket gör avstäningen permanent.

Spara och stäng filen med tangentbordskombinationen <Ctrl> + <X>, följt av <y> för att bekräfta åtgärden.

Nu är det bara att logga in på din server med kommandot:

ssh <användarnamn>@<IP-adress> -p <Port>

Du kommer nu bli tillfrågad om att låsa upp den privata RSA-nyckeln som du tidigare skapade.

Väl inloggad via SSH ser det ut så här:

Lycka till!