Вопрос или проблема
Ubuntu 16.04.2
Пожалуйста, учтите, что я новичок, и вопрос может быть неуклюжим.
Я прочитал несколько теоретических материалов, но не имею достаточно практики.
Предположим, у нас есть VPS, купленный у хостера.
Я немного боюсь подключаться через ssh. Могут возникнуть ситуации, когда можно всё испортить и не смочь подключиться (например, настроить iptables так, чтобы всё блокировалось, или потерять свой закрытый ключ и т.д.).
Предположим, что мы хотим обновить OpenSSL.
Ну, насколько я могу понять, нам нужно его скачать, извлечь, настроить и собрать. Затем перезагрузить сервер для уверенности.
Что делать, если ssh не будет работать? Мы перезагрузили, и не можем получить доступ. Я боюсь, что мой хостер не поможет мне восстановить доступ к серверу.
Может быть, я должен открыть доступ telnet в UFW, пока переустанавливаю OpenSSL?
Это небезопасно.
Может, я должен заплатить немного больше денег своему провайдеру за статический IP, настроить UFW, чтобы разрешить доступ через Telnet только с моего статического IP? Это немного лучше.
Может ли панель управления (типа ISP manager) быть полезной здесь?
Итак, не могли бы вы сказать, какой правильный способ обновления OpenSSL.
Прежде всего, никогда не позволяйте telnetd (telnet серверу) принимать подключения на публичном интерфейсе. На современных системах в этом нет необходимости. Всё, что вы можете сделать с помощью telnet, можно сделать с помощью SSH, и SSH является безопасным (доступ разрешён только аутентифицированным клиентам, а связь шифруется “на проводе”). Резервируйте свои закрытые ключи в безопасном месте.
Чтобы обновить openssl, если он уже установлен:
sudo apt update && sudo apt install openssl
На самом деле, всё зависит от того, почему вы хотите “обновить” OpenSSL. Учитывая, что у вас последняя LTS версия Ubuntu, обычно все обычные исправления ошибок/уязвимости портируются в пакетные версии OpenSSL и OpenSSH для вас. Таким образом, сборка OpenSSL из исходного кода должна быть последним вариантом.
В вашей ситуации я рекомендовал бы, если вы не ищете какой-то конкретной неподдерживаемой возможности, использовать пакеты из репозиториев Ubuntu.
В этом случае, обычный процесс для выполнения такой операции следующий:
sudo apt-get update
sudo apt-get upgrade
Если вы знаете, что есть более новая версия OpenSSL, которую вы хотите использовать, вы можете просто обновить этот пакет отдельно, выполнив:
sudo apt-get install openssl
Если это вернёт 0 packages updated, то обновлений пакетов не было.
Затем посмотрите на пакеты, которые Ubuntu хочет обновить, и примите более обоснованное решение. Если список обновляемых пакетов выглядит приемлемым для ваших нужд, нажатие Y и Enter позволит процессу обновления продолжиться.
Конечно, лучший способ не допустить ситуации “я не могу получить сетевой доступ к своему серверу” — иметь консольный доступ к серверу. К сожалению, не зная, кто ваш провайдер, я не могу посоветовать вам, возможно ли это или каким способом вы бы это сделали. Однако множество систем предоставления ресурсов дают вам хотя бы некоторое KVM-функциональность, так что это может быть возможно. Вам нужно прочитать документацию вашего хостера о том, как это сделать.
.
Ответ или решение
Обновление OpenSSL на виртуальном сервере (VPS) связано с некоторыми рисками, особенно для новичков, которые могут быть обеспокоены потенциальной потерей доступа через SSH. Обеспечение безопасности и бесперебойного управления доступом к серверу при обновлении программного обеспечения является критически важным, чтобы избежать ситуаций, когда сервер становится недоступным. В этой статье мы подробно рассмотрим, как безопасно обновить OpenSSL на VPS, имеющем операционную систему Ubuntu 16.04.2, и при этом не утратить доступ по SSH.
Теория
OpenSSL — это библиотека, обеспечивающая криптографические возможности для приложений, включая шифрование и дешифрование данных. Обновления OpenSSL часто содержат исправления уязвимостей и улучшения функциональности, поэтому важно их своевременно устанавливать. Однако при работе с VPS нужно учитывать, что обновление может повлиять на сервисы, использующие OpenSSL, такие как OpenSSH, что в свою очередь может привести к потере доступа к серверу, если после обновления возникнут какие-либо сбои.
Пример
Предположим, что у вас есть VPS с установленной Ubuntu 16.04.2, и вы хотите обновить OpenSSL до самой последней версии, доступной в репозитории. Ваш основной инструмент для удаленного доступа — это SSH, который также может зависеть от OpenSSL для обеспечения безопасности соединений.
Применение
Чтобы успешно обновить OpenSSL, следуйте пошаговым инструкциям, которые помогут минимизировать риск потери доступа:
-
Резервное копирование: Прежде чем предпринимать какие-либо действия, создайте резервную копию важных файлов и настроек. Особенно убедитесь, что у вас есть резервная копия ключей SSH и конфигурационных файлов.
-
Подготовка альтернативного доступа: Перед началом обновления дополнительно настройте консольный доступ или доступ через панель управления, предоставляемую вашим хостером, если это возможно. Некоторые провайдеры VPS предоставляют доступ через виртуальную консоль или с помощью KVM. Это будет вашей резервной линией доступа в случае, если вы потеряете подключение по SSH.
-
Обновление через пакетный менеджер: На Ubuntu обновление OpenSSL из официальных репозиториев является надежным подходом. Это гарантирует, что вы получите стабильную и протестированную версию. Выполните следующие команды для обновления:
sudo apt-get update sudo apt-get upgradeЭти команды обновят ваши текущие пакеты до их последних доступных версий, включая возможные обновления для OpenSSL. Однако перед вводом команды
Yдля подтверждения убедитесь, что в списке пакетов на обновление нет конфликтующих или подозрительных записей. -
Обязательные проверки после обновления: После обновления перезапустите сервисы, которые зависят от OpenSSL, чтобы убедиться, что они используют обновленную версию. Для этого выполните команду:
sudo systemctl restart sshdЭто перезапустит SSH-сервер и применит обновления. Аккуратно переподключитесь к вашему серверу, чтобы убедиться в правильной работе.
-
Проверка версии OpenSSL: Убедитесь, что OpenSSL обновлен до нужной версии. Проверьте это командой:
openssl versionОна покажет текущую версию OpenSSL.
-
Мониторинг и восстановление: Внимательно следите за работой вашего сервера после обновления. Если возникнут какие-то сложности, используйте альтернативный доступ, подготовленный ранее, для возвращения к предыдущей версии программного обеспечения или для внесения корректировок. Убедитесь в доступности резервных копий на случай, если потребуется вернуться к предыдущему состоянию системы.
Этот алгоритм позволяет минимизировать риск утраты доступа при обновлении OpenSSL на вашем VPS, обеспечивая безопасность и надежность процесса. Важно внимательно следить за каждодневным состоянием безопасности вашего сервера и действовать осторожно при обновлении критических компонентов системы.