Советы по безопасности для вашего Linux VPS

За последние время число пользователей Linux медленно, но уверенно растет, так как все больше людей переходят с Windows на open source.

В мире серверов эти изменения еще более очевидны: как опытные профессионалы, так и новички выбирают дистрибутив Linux в качестве первой операционной системы для сервера, такое решение является безальтернативным, в некоторых случаях.

Безусловно базовая безопасность VPS сервера на Linux выше, чем VPS на Windows. Однако важно помнить, что ваш сервер на Linux будет полностью безопасным только в том случае, если он правильно настроен.

Поэтому в этой статье мы поделимся несколькими полезными советами, которые помогут сделать ваш VPS сервер более защищенным.

Обновляйте дистрибутив вовремя

Прежде всего, крайне важно всегда поддерживать вашу систему в актуальном состоянии. Установка частых обновлений программного обеспечения может быть довольно скучным и времязатратным занятием, но ни в коем случае нельзя пренебрегать этим!

Такие периодические обновления могут исправлять и устранять потенциальные уязвимости, такие как бэкдоры. Недавно было обнаружено, что более 50% всех существующих установок WordPress содержали опасную уязвимость, оставляя их уязвимыми к кибератакам.

Вот как вы можете обновить свой дистрибутив Linux.

Обновление Debian или Ubuntu

Начнем с обновлением списка пакетов:

apt-get update

Обновите сами пакеты:

apt-get upgrade

Обновление CentOS

yum update

Если вы не забудете регулярно обновлять свою систему, вы сможете избежать каких-либо проблем с безопасностью.

Используйте нестандартный (не по умолчанию) порт SSH

По умолчанию порт прослушивания службы SSH установлен на порт 22. Если оставить это значение без изменений, ваш VPS-сервер может стать целью для онлайн-хакеров, поскольку порт 22 обычно является основной целью, когда речь идет об автоматических атаках.

Чтобы изменить порт, вам нужно всего лишь изменить файл конфигурации службы, как показано ниже:

nano /etc/ssh/sshd_config

Должен появиться следующий текст (или аналогичный, в зависимости от файла конфигурации):

# Какие порты, IP-адреса и протоколы мы слушаем
Port 22

Все, что вам нужно сделать здесь, это просто заменить номер 22 на другой номер порта.

ВАЖНО: Никогда не следует использовать номер порта, который уже используется в вашей системе!

После изменения порта сохраните и выйдите из файла конфигурации, а затем перезапустите службу:

systemctl restart sshd

Это автоматически применит ваши изменения. Имейте в виду, что вам нужно указывать новый порт каждый раз, когда вы запрашиваете SSH-соединение с вашим сервером.

Создать пользователя с ограниченными правами

Наш следующий совет предполагает создание пользователя с ограниченными правами. Вообще говоря, вам не нужны права root для выполнения задач от имени обычного пользователя. Вы можете легко создать нового пользователя с ограниченными правами и защитить свой сервер с помощью следующей команды:

adduser CustomUserName

Далее заполните запрошенную информацию (имя, пароль и другие данные). Этому новому пользователю будет разрешено войти в систему через SSH. Теперь, когда вы устанавливаете соединение, вы можете использовать свои вновь созданные учетные данные.

После успешного входа в систему для выполнения любых операций, требующих разрешения root, просто введите следующую команду:

su root

Затем введите пароль, и активный логин будет переключен на пользователя root.

Отключите вход пользователя root

Наличие root-доступа означает наличие большинства разрешений в операционной системе. Мы настоятельно рекомендуем вам отключить прямой доступ пользователя root по протоколу SSH.

Если оставить в качестве типа доступа для вашего сервера только root-доступ, это может привести к необратимому повреждению!

ВАЖНО: Прежде чем отключать функцию входа в систему пользователя root, обязательно создайте другого пользователя, как мы упоминали в предыдущем разделе!

Чтобы отключить доступ к серверу через пользователя root, вы можете выполнить следующие действия.

Измените файл конфигурации SSH

Сначала откройте файл конфигурации SSH, как мы упоминали в начальном разделе этой статьи, с помощью следующей команды:

nano /etc/ssh/sshd_config

Далее найдите этот раздел:

# Аунтефикация: 
LoginGraceTime 120
PermitRootLogin yes 
StrictModes yes

Найдите строку — PermitRootLogin и замените yes на no

Чтобы применить изменения, вам просто нужно перезапустить службу SSH:

systemctl restart sshd

После завершения вы заметите, что подключения к вашему серверу через пользователя root будут автоматически отклонены.

Используйте ключи безопасности для идентификации

Использование ключей безопасности (ключей SSH) имеет ряд преимуществ в области безопасности.

Во-первых, вы можете получить доступ к своему терминалу без необходимости ввода пароля. Во-вторых, вы можете полностью отключить процесс входа в систему с паролем, а это означает, что для подключения к серверу пароль не потребуется.

Этот шаг защищает ваш сервер от некоторых возможных атак, таких как атаки грубой силы (brute force).

Установить fail2ban

Еще одна замечательная вещь, которую вы можете сделать для защиты своего сервера, — это установить Fail2ban.

Это легкое программное обеспечение предотвращает вторжение, поскольку оно предназначено для блокировки неизвестных IP-адресов, которые пытаются проникнуть в вашу систему и получить доступ к ней. Чтобы установить пакет программного обеспечения, вы можете использовать следующую команду.

Как установить Fail2ban для Ubuntu и Debian

apt-get install fail2ban

Как установить Fail2ban для CentOS

yum install epel-release
yum install fail2ban

После успешной установки пакета вам нужно будет изменить его файл конфигурации, чтобы настроить его в вашей системе. 

ВАЖНО: Прежде чем вносить какие-либо изменения в файл конфигурации, мы настоятельно рекомендуем создать резервную копию оригинала с помощью следующей команды:

cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.conf.backup

После того, как вы сделали резервную копию исходного файла, откройте файл конфигурации Fail2ban с помощью этой команды и настройте параметры:

nano /etc/fail2ban/jail.conf

Когда вы закончите редактирование файла конфигурации, перезапустите службу с помощью:

service fail2ban restart

Любую дополнительную информацию о программном обеспечении вы можете найти в официальной документации Fail2ban.

Настройте внутренний брандмауэр

Дистрибутивы Linux включают службу брандмауэра под названием «iptables». По умолчанию у него нет активных правил. Чтобы убедиться, что он действительно находится в вашей системе, введите следующую команду:

iptables -L

Мы рекомендуем создать и настроить некоторые правила брандмауэра в соответствии с вашими потребностями. Однако служба брандмауэра настраивается по-разному для каждого дистрибутива Linux. Вам необходимо ознакомиться с официальной документацией для выбранной вами ОС Linux, чтобы внести соответствующие изменения.

Сделайте резервную копию вашего VPS

SIDATA уже предоставляет бесплатно – резервную копию на 7 дней.

Для создании резервных копий на больший период закажите услугу – Облачное хранилище, стоимость от 0,5 грн за 1 Гб и сделайте резервную копию.

Наличие резервной копии данных на вашем VPS сервере может помочь вам полностью восстановить любую информацию, которая может быть потеряна из-за хакерской атаки или неисправности физического сервера.