Sicherheitstipps für Ihren Linux-VPS

In den letzten Jahren ist die Zahl der Linux-Nutzer langsam aber sicher gewachsen, da immer mehr Menschen von Windows auf Open Source umsteigen.

In der Welt der Server sind diese Veränderungen noch offensichtlicher: Sowohl erfahrene Profis als auch Einsteiger wählen die Linux-Distribution als erstes Betriebssystem für den Server, diese Entscheidung ist in manchen Fällen alternativlos.

Auf jeden Fall grundlegende Sicherheit VPS-Server unter Linux höher als VPS unter Windows. Bedenken Sie jedoch, dass Ihr Linux-Server nur dann vollkommen sicher ist, wenn er richtig konfiguriert ist.

Daher geben wir in diesem Artikel einige nützliche Tipps, die Ihnen helfen, Ihren VPS-Server sicherer zu machen.

Aktualisieren Sie Ihre Distribution rechtzeitig

Zunächst ist es äußerst wichtig, Ihr System immer auf dem neuesten Stand zu halten. Die Installation häufiger Software-Updates kann ziemlich langweilig und zeitaufwändig sein, sollte aber niemals vernachlässigt werden!

Solche regelmäßigen Updates können potenzielle Schwachstellen wie Hintertüren beheben und beseitigen. Kürzlich wurde festgestellt, dass über 50% aller bestehenden WordPress-Installationen eine gefährliche Schwachstelle enthielten, die sie anfällig für Cyberangriffe machte.

So können Sie Ihre Linux-Distribution aktualisieren.

Debian oder Ubuntu aktualisieren

Beginnen wir mit der Aktualisierung der Paketliste:

apt-get-Update

Aktualisieren Sie die Pakete selbst:

apt-get upgrade

CentOS-Update

Leckeres Update

Wenn Sie daran denken, Ihr System regelmäßig zu aktualisieren, können Sie Sicherheitsprobleme vermeiden.

Verwenden Sie einen nicht standardmäßigen (nicht standardmäßigen) SSH-Port

Standardmäßig ist der SSH-Dienst-Abhörport auf Port 22 eingestellt. Wenn Sie diesen Wert unverändert lassen, kann Ihr VPS-Server zum Ziel für Online-Hacker werden, da Port 22 normalerweise das Hauptziel automatisierter Angriffe ist.

Um den Port zu ändern, müssen Sie nur die Dienstkonfigurationsdatei wie unten gezeigt ändern:

nano /etc/ssh/sshd_config

Der folgende Text (oder ähnlich, abhängig von der Konfigurationsdatei) sollte erscheinen:

# Welche Ports, IP-Adressen und Protokolle wir auf Port 22 abhören

Hier müssen Sie lediglich die Nummer 22 durch eine andere Portnummer ersetzen.

WICHTIG: Sie sollten niemals eine Portnummer verwenden, die bereits auf Ihrem System verwendet wird!

Speichern und beenden Sie nach dem Ändern des Ports die Konfigurationsdatei und starten Sie dann den Dienst neu:

systemctl startet sshd neu

Dadurch werden Ihre Änderungen automatisch übernommen. Beachten Sie, dass Sie jedes Mal einen neuen Port angeben müssen, wenn Sie eine SSH-Verbindung zu Ihrem Server anfordern.

Erstellen Sie einen Benutzer mit eingeschränkten Rechten

Unser nächster Tipp besteht darin, einen Benutzer mit eingeschränkten Rechten anzulegen. Im Allgemeinen benötigen Sie keine Root-Rechte, um als normaler Benutzer Aufgaben auszuführen. Mit dem folgenden Befehl können Sie ganz einfach einen neuen Benutzer mit eingeschränkten Rechten erstellen und Ihren Server sichern:

adduser CustomUserName

Geben Sie anschließend die erforderlichen Informationen ein (Name, Passwort und andere Daten). Dieser neue Benutzer darf sich über SSH anmelden. Wenn Sie nun eine Verbindung herstellen, können Sie Ihre neu erstellten Anmeldeinformationen verwenden.

Sobald Sie sich erfolgreich angemeldet haben, geben Sie einfach den folgenden Befehl ein, um alle Vorgänge auszuführen, die Root-Berechtigungen erfordern:

su root

Geben Sie dann das Passwort ein und der aktive Login wird auf den Root-Benutzer umgestellt.

Deaktivieren Sie die Root-Benutzeranmeldung

Root-Zugriff zu haben bedeutet, dass man über die meisten Berechtigungen im Betriebssystem verfügt. Wir empfehlen dringend, den direkten Root-Benutzerzugriff über SSH zu deaktivieren.

Wenn Sie den Zugriffstyp Ihres Servers nur auf Root belassen, kann dies zu dauerhaften Schäden führen!

WICHTIG: Bevor Sie die Root-Anmeldefunktion deaktivieren, müssen Sie unbedingt einen anderen Benutzer erstellen, wie im vorherigen Abschnitt erwähnt!

Um den Zugriff auf den Server durch den Root-Benutzer zu deaktivieren, können Sie die folgenden Schritte ausführen.

Ändern Sie die SSH-Konfigurationsdatei

Öffnen Sie zunächst die SSH-Konfigurationsdatei, wie wir im ersten Abschnitt dieses Artikels erwähnt haben, mit dem folgenden Befehl:

nano /etc/ssh/sshd_config

Suchen Sie als Nächstes diesen Abschnitt:

#-Authentifizierung: LoginGraceTime 120 PermitRootLogin ja StrictModes ja

Suchen Sie die Zeile „PermitRootLogin“ und ersetzen Sie sie Ja An NEIN

Um die Änderungen zu übernehmen, müssen Sie lediglich den SSH-Dienst neu starten:

systemctl startet sshd neu

Sobald Sie fertig sind, werden Sie feststellen, dass Verbindungen zu Ihrem Server über den Root-Benutzer automatisch abgelehnt werden.

Verwenden Sie Sicherheitsschlüssel zur Identifizierung

Die Verwendung von Sicherheitsschlüsseln (SSH-Schlüsseln) bietet eine Reihe von Sicherheitsvorteilen.

Erstens können Sie auf Ihr Terminal zugreifen, ohne ein Passwort eingeben zu müssen. Zweitens können Sie den Passwort-Anmeldevorgang vollständig deaktivieren, sodass Sie kein Passwort benötigen, um sich mit dem Server zu verbinden.

Dieser Schritt schützt Ihren Server vor einigen möglichen Angriffen wie Brute-Force-Angriffen.

Installieren Sie fail2ban

Eine weitere großartige Sache, die Sie tun können, um Ihren Server zu sichern, ist ist Fail2ban zu installieren.

Diese leichtgewichtige Software verhindert Eindringlinge, da sie darauf ausgelegt ist, unbekannte IP-Adressen zu blockieren, die versuchen, in Ihr System einzudringen und Zugriff darauf zu erhalten. Um das Softwarepaket zu installieren, können Sie den folgenden Befehl verwenden.

So installieren Sie Fail2ban für Ubuntu und Debian

apt-get install fail2ban

So installieren Sie Fail2ban für CentOS

yum install epel-release yum install fail2ban

Nach erfolgreicher Installation des Pakets müssen Sie seine Konfigurationsdatei bearbeiten, um es auf Ihrem System zu konfigurieren. 

WICHTIG: Bevor Sie Änderungen an der Konfigurationsdatei vornehmen, empfehlen wir Ihnen dringend, mit dem folgenden Befehl eine Sicherungskopie des Originals zu erstellen:

cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.conf.backup

Nachdem Sie die Originaldatei gesichert haben, öffnen Sie die Fail2ban-Konfigurationsdatei mit diesem Befehl und konfigurieren Sie die Einstellungen:

nano /etc/fail2ban/jail.conf

Wenn Sie mit der Bearbeitung der Konfigurationsdatei fertig sind, starten Sie den Dienst neu mit:

Dienst fail2ban neu starten

Weitere Informationen zur Software finden Sie in offizielle Fail2ban-Dokumentation.

Richten Sie eine interne Firewall ein

Linux-Distributionen enthalten einen Firewall-Dienst namens „iptables“. Standardmäßig sind keine aktiven Regeln vorhanden. Um zu überprüfen, ob es sich tatsächlich auf Ihrem System befindet, geben Sie den folgenden Befehl ein:

iptables -L

Wir empfehlen, einige Firewall-Regeln entsprechend Ihren Anforderungen zu erstellen und zu konfigurieren. Allerdings ist der Firewall-Dienst für jede Linux-Distribution unterschiedlich konfiguriert. Sie müssen sich damit vertraut machen offizielle Dokumentation für Ihr ausgewähltes Linux-Betriebssystem, die entsprechenden Änderungen vorzunehmen.

Sichern Sie Ihren VPS

SIDATA Bietet bereits eine kostenlose Sicherungskopie für 7 Tage.

Um Backups für einen längeren Zeitraum zu erstellen, bestellen Sie den Dienst – Cloud-Speicher, Kosten ab 0,5 UAH pro 1 GB und erstellen Sie eine Sicherungskopie.

Eine Datensicherung auf Ihrem VPS-Server kann Ihnen dabei helfen, alle Informationen vollständig wiederherzustellen, die möglicherweise aufgrund eines Hackerangriffs oder einer Fehlfunktion des physischen Servers verloren gegangen sind.