През последните години броят на потребителите на Linux бавно, но сигурно нараства, тъй като все повече хора преминават от Windows към отворен код.
В света на сървърите тези промени са още по-очевидни: както опитни професионалисти, така и начинаещи избират Linux дистрибуцията като първа операционна система за сървъра, това решение няма алтернатива в някои случаи.
Определено основна сигурност VPS сървъри на Linux по-високо от VPS на Windows. Въпреки това е важно да запомните, че вашият Linux сървър ще бъде напълно защитен само ако е конфигуриран правилно.
Затова в тази статия ще споделим някои полезни съвети, които ще ви помогнат да направите своя VPS сървър по-сигурен.
Актуализирайте разпространението си навреме
На първо място, изключително важно е винаги да поддържате системата си актуална. Инсталирането на чести софтуерни актуализации може да бъде доста скучно и отнема много време, но никога не трябва да се пренебрегва!
Такива периодични актуализации могат да коригират и елиминират потенциални уязвимости като задни вратички. Наскоро беше открито, че над 50% от всички съществуващи инсталации на WordPress съдържат опасна уязвимост, което ги прави уязвими за кибератаки.
Ето как можете да актуализирате вашата Linux дистрибуция.
Актуализиране на Debian или Ubuntu
Нека започнем с актуализиране на списъка с пакети:
apt-get актуализация
Актуализирайте самите пакети:
apt-get надграждане
Актуализация на CentOS
yum актуализация
Ако не забравяте да актуализирате системата си редовно, можете да избегнете проблеми със сигурността.
Използвайте нестандартен (не по подразбиране) SSH порт
По подразбиране портът за слушане на SSH услуга е настроен на порт 22. Ако оставите тази стойност непроменена, вашият VPS сървър може да стане цел за онлайн хакери, тъй като порт 22 обикновено е основната цел, когато става въпрос за автоматизирани атаки.
За да промените порта, трябва само да промените конфигурационния файл на услугата, както е показано по-долу:
nano /etc/ssh/sshd_config
Трябва да се появи следният текст (или подобен, в зависимост от конфигурационния файл):
# Какви портове, IP адреси и протоколи слушаме Порт 22
Всичко, което трябва да направите тук, е просто да замените числото 22 с различен номер на порт.
ВАЖНО: Никога не трябва да използвате номер на порт, който вече се използва във вашата система!
След като промените порта, запазете и излезте от конфигурационния файл и след това рестартирайте услугата:
systemctl рестартирайте sshd
Това автоматично ще приложи вашите промени. Имайте предвид, че трябва да посочите нов порт всеки път, когато поискате SSH връзка към вашия сървър.
Създайте потребител с ограничени права
Следващият ни съвет включва създаване на потребител с ограничени права. Най-общо казано, не се нуждаете от root привилегии, за да изпълнявате задачи като обикновен потребител. Можете лесно да създадете нов потребител с ограничени права и да защитите вашия сървър със следната команда:
adduser CustomUserName
След това попълнете исканата информация (име, парола и други данни). Този нов потребител ще може да влезе през SSH. Сега, когато установите връзка, можете да използвате вашите новосъздадени идентификационни данни.
След като влезете успешно, за да извършите операции, които изискват root разрешение, просто въведете следната команда:
su корен
След това въведете паролата и активното влизане ще бъде превключено към root потребител.
Деактивирайте влизането на root потребител
Да имате root достъп означава да имате повечето от разрешенията в операционната система. Силно препоръчваме да деактивирате директния достъп на root потребител чрез SSH.
Оставянето на типа достъп на сървъра ви само като root може да причини трайни щети!
ВАЖНО: Преди да деактивирате функцията за root влизане, не забравяйте да създадете друг потребител, както споменахме в предишния раздел!
За да забраните достъпа до сървъра чрез root потребител, можете да следвате тези стъпки.
Променете SSH конфигурационния файл
Първо отворете SSH конфигурационния файл, както споменахме в началния раздел на тази статия със следната команда:
nano /etc/ssh/sshd_config
След това намерете този раздел:
# Удостоверяване: LoginGraceTime 120 PermitRootLogin да StrictModes да
Намерете реда - PermitRootLogin и заменете да На не
За да приложите промените, трябва само да рестартирате SSH услугата:
systemctl рестартирайте sshd
След като приключите, ще забележите, че връзките към вашия сървър чрез root потребител ще бъдат автоматично отхвърлени.
Използвайте ключове за сигурност за идентификация
Използването на ключове за сигурност (SSH ключове) има редица предимства за сигурността.
Първо, можете да получите достъп до своя терминал, без да се налага да въвеждате парола. Второ, можете изцяло да деактивирате процеса на влизане с парола, което означава, че няма да имате нужда от парола, за да се свържете със сървъра.
Тази стъпка защитава вашия сървър от някои възможни атаки, като например атаки с груба сила.
Инсталирайте fail2ban
Друго страхотно нещо, което можете да направите, за да защитите сървъра си, е е да инсталирате Fail2ban.
Този лек софтуер предотвратява проникване, тъй като е проектиран да блокира неизвестни IP адреси, които се опитват да проникнат и да получат достъп до вашата система. За да инсталирате софтуерния пакет, можете да използвате следната команда.
Как да инсталирате Fail2ban за Ubuntu и Debian
apt-get install fail2ban
Как да инсталирате Fail2ban за CentOS
yum инсталирайте epel-release yum инсталирайте fail2ban
След успешното инсталиране на пакета, ще трябва да редактирате неговия конфигурационен файл, за да го конфигурирате във вашата система.
ВАЖНО: Преди да правите промени в конфигурационния файл, силно препоръчваме да създадете резервно копие на оригинала, като използвате следната команда:
cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.conf.backup
След като направите резервно копие на оригиналния файл, отворете конфигурационния файл Fail2ban с тази команда и конфигурирайте настройките:
nano /etc/fail2ban/jail.conf
Когато приключите с редактирането на конфигурационния файл, рестартирайте услугата с:
рестартиране на услугата fail2ban
Всяка допълнителна информация за софтуера може да бъде намерена в официална документация за Fail2ban.
Настройте вътрешна защитна стена
Дистрибуциите на Linux включват услуга за защитна стена, наречена "iptables". По подразбиране няма активни правила. За да проверите дали наистина е във вашата система, въведете следната команда:
iptables -L
Препоръчваме да създадете и конфигурирате някои правила за защитна стена, които да отговарят на вашите нужди. Услугата за защитна стена обаче е конфигурирана по различен начин за всяка Linux дистрибуция. Трябва да се запознаете с официална документация за избраната от вас операционна система Linux, за извършване на съответните промени.
Архивирайте своя VPS
SIDATA вече предоставя безплатно резервно копие за 7 дни.
За да създадете резервни копия за по-дълъг период, поръчайте услугата - Cloud storage, цена от 0,5 UAH за 1 GB и направете резервно копие.
Наличието на резервно копие на данни на вашия VPS сървър може да ви помогне да възстановите напълно всяка информация, която може да е била изгубена поради хакерска атака или физическа неизправност на сървъра.