Biroul meu

Sfaturi de securitate pentru VPS-ul dvs. Linux

În ultimii ani, numărul utilizatorilor Linux a crescut lent, dar sigur, pe măsură ce tot mai mulți oameni trec de la Windows la open source.

În lumea serverelor, aceste schimbări sunt și mai evidente: atât profesioniștii experimentați, cât și începătorii aleg distribuția Linux ca prim sistem de operare pentru server, această decizie nu are alternativă, în unele cazuri.

Cu siguranță securitate de bază Servere VPS pe Linux mai mare decât VPS pe Windows. Cu toate acestea, este important să rețineți că serverul dumneavoastră Linux va fi complet sigur doar dacă este configurat corect.

Prin urmare, în acest articol vom împărtăși câteva sfaturi utile care vă vor ajuta să vă faceți serverul VPS mai sigur.

Actualizați-vă distribuția la timp

În primul rând, este extrem de important să vă mențineți întotdeauna sistemul la zi. Instalarea de actualizări frecvente de software poate fi destul de plictisitoare și consumatoare de timp, dar nu trebuie neglijată niciodată!

Astfel de actualizări periodice pot corecta și elimina potențialele vulnerabilități, cum ar fi ușile din spate. S-a descoperit recent că peste 50% dintre toate instalațiile WordPress existente conțineau o vulnerabilitate periculoasă, lăsându-le vulnerabile la atacurile cibernetice.

Iată cum vă puteți actualiza distribuția Linux.

Actualizarea Debian sau Ubuntu

Să începem prin a actualiza lista de pachete:

apt-get update

Actualizați pachetele în sine:

apt-get upgrade

Actualizare CentOS

yum actualizare

Dacă vă amintiți să vă actualizați sistemul în mod regulat, puteți evita orice problemă de securitate.

Utilizați un port SSH non-standard (non-implicit).

În mod implicit, portul de ascultare al serviciului SSH este setat la portul 22. Dacă lăsați această valoare neschimbată, serverul dvs. VPS poate deveni o țintă pentru hackeri online, deoarece portul 22 este de obicei ținta principală atunci când vine vorba de atacuri automate.

Pentru a schimba portul, trebuie doar să modificați fișierul de configurare a serviciului, așa cum se arată mai jos:

nano /etc/ssh/sshd_config

Ar trebui să apară următorul text (sau similar, în funcție de fișierul de configurare):

# Ce porturi, adrese IP și protocoale ascultăm Port 22

Tot ce trebuie să faceți aici este pur și simplu să înlocuiți numărul 22 cu un alt număr de port.

IMPORTANT: Nu ar trebui să utilizați niciodată un număr de port care este deja utilizat pe sistemul dumneavoastră!

După schimbarea portului, salvați și părăsiți fișierul de configurare, apoi reporniți serviciul:

systemctl reporniți sshd

Acest lucru va aplica automat modificările dvs. Rețineți că trebuie să specificați un nou port de fiecare dată când solicitați o conexiune SSH la serverul dvs.

Creați un utilizator cu drepturi limitate

Următorul nostru sfat implică crearea unui utilizator cu drepturi limitate. În general, nu aveți nevoie de privilegii de root pentru a efectua sarcini ca utilizator obișnuit. Puteți crea cu ușurință un nou utilizator cu drepturi limitate și vă puteți asigura serverul cu următoarea comandă:

adduser CustomUserName

Apoi, completați informațiile solicitate (nume, parolă și alte date). Acest nou utilizator i se va permite să se autentifice prin SSH. Acum, când stabiliți o conexiune, puteți utiliza acreditările nou create.

După ce v-ați autentificat cu succes, pentru a efectua orice operațiuni care necesită permisiunea root, introduceți pur și simplu următoarea comandă:

su root

Apoi introduceți parola și autentificarea activă va fi comutată la utilizatorul root.

Dezactivați autentificarea utilizatorului root

A avea acces root înseamnă a avea majoritatea permisiunilor din sistemul de operare. Vă recomandăm insistent să dezactivați accesul direct al utilizatorului root prin SSH.

Lăsarea tipului de acces al serverului dvs. doar ca root poate provoca daune permanente!

IMPORTANT: Înainte de a dezactiva funcția de conectare la rădăcină, asigurați-vă că ați creat un alt utilizator așa cum am menționat în secțiunea anterioară!

Pentru a dezactiva accesul la server prin utilizatorul root, puteți urma acești pași.

Schimbați fișierul de configurare SSH

Mai întâi, deschideți fișierul de configurare SSH așa cum am menționat în secțiunea inițială a acestui articol cu următoarea comandă:

nano /etc/ssh/sshd_config

În continuare, găsiți această secțiune:

Autentificare #: LoginGraceTime 120 PermitRootLogin da StrictModes da

Găsiți linia - PermitRootLogin și înlocuiți da pe Nu

Pentru a aplica modificările, trebuie doar să reporniți serviciul SSH:

systemctl reporniți sshd

Odată finalizat, veți observa că conexiunile la serverul dvs. prin utilizatorul root vor fi respinse automat.

Utilizați cheile de securitate pentru identificare

Utilizarea cheilor de securitate (chei SSH) are o serie de avantaje de securitate.

În primul rând, vă puteți accesa terminalul fără a fi nevoie să introduceți o parolă. În al doilea rând, puteți dezactiva complet procesul de conectare prin parolă, ceea ce înseamnă că nu veți avea nevoie de o parolă pentru a vă conecta la server.

Acest pas vă protejează serverul de unele posibile atacuri, cum ar fi atacurile cu forță brută.

Instalați fail2ban

Un alt lucru grozav pe care îl puteți face pentru a vă securiza serverul este este să instalezi Fail2ban.

Acest software ușor previne intruziunea, deoarece este conceput pentru a bloca adrese IP necunoscute care încearcă să se infiltreze și să obțină acces la sistemul dumneavoastră. Pentru a instala pachetul software, puteți utiliza următoarea comandă.

Cum se instalează Fail2ban pentru Ubuntu și Debian

apt-get install fail2ban

Cum se instalează Fail2ban pentru CentOS

yum install epel-release yum install fail2ban

După instalarea cu succes a pachetului, va trebui să editați fișierul de configurare al acestuia pentru a-l configura pe sistemul dumneavoastră. 

IMPORTANT: Înainte de a face orice modificări în fișierul de configurare, vă recomandăm insistent să creați o copie de rezervă a originalului utilizând următoarea comandă:

cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.conf.backup

După ce ați făcut o copie de rezervă a fișierului original, deschideți fișierul de configurare Fail2ban cu această comandă și configurați setările:

nano /etc/fail2ban/jail.conf

Când ați terminat de editat fișierul de configurare, reporniți serviciul cu:

repornirea serviciului fail2ban

Orice informații suplimentare despre software pot fi găsite în documentația oficială Fail2ban.

Configurați un firewall intern

Distribuțiile Linux includ un serviciu de firewall numit „iptables”. În mod implicit, nu are reguli active. Pentru a verifica dacă este într-adevăr pe sistemul dvs., introduceți următoarea comandă:

iptables -L

Vă recomandăm să creați și să configurați câteva reguli de firewall pentru a se potrivi nevoilor dvs. Cu toate acestea, serviciul firewall este configurat diferit pentru fiecare distribuție Linux. Trebuie să te familiarizezi cu documentație oficială pentru sistemul de operare Linux ales, pentru a face modificările corespunzătoare.

Faceți backup pentru VPS-ul dvs

SIDATA oferă deja o copie de rezervă gratuită timp de 7 zile.

Pentru a crea copii de rezervă pentru o perioadă mai lungă, comandați serviciul - Stocare în cloud, costă de la 0,5 UAH pe 1 GB și faceți o copie de rezervă.

A avea o copie de rezervă a datelor pe serverul dvs. VPS vă poate ajuta să recuperați complet orice informație care s-ar fi putut pierde din cauza unui atac de hacker sau a unei defecțiuni a serverului fizic.

Sfaturi de securitate pentru VPS-ul dvs. Linux
SIDATA
Vasilenko Serghii
Director Tehnic SIDATA
SIDATA - inchiriere server

SIDATA este un furnizor de încredere de servicii de închiriere de servere în întreaga lume și în Ucraina. Aceasta este o închiriere de server ieftină pentru milioane de oameni interesați să își protejeze datele și să economisească bani.

Soluții

Servere virtuale VPS/VDS

Servere dedicate

informație

Companie

Chat online SIDATA
{{welcomeText}}

    Lăsați o cerere și vă vom contacta