17 стъпки за защита на VPS сървъра
Всичко в интернет пространството е изложено на опасност. Тя се крие в действията на ботове, хакери, любопитни ученици и други неспокойни обитатели на глобалната мрежа. Сървърите, както специализираните, така и VPS, са изложени на голяма опасност.Основи на сигурността на VPS в Linux и Windows
Доставчикът обикновено осигурява основна защита от DDoS, но това, което потребителят прави със своята машина, не е негова работа. Така че грижата за сигурността зависи от вас. И така, на какво трябва да обърнете внимание?1. Силна парола и двуфакторно удостоверяване
Защитете сървъра си със сложна парола с повече от 12 символа; включвайте цифри и специални символи; променяйте големината на някои букви. Ако не искате сами да измисляте сложни пароли, създайте ги с помощта на онлайн инструменти. Например, като използвате нашия генератор.Двуфакторното удостоверяване осигурява допълнително ниво на сигурност. За да влезете в контролния панел, в допълнение към стандартните данни (потребителско име и парола), сървърът ще ви помоли да въведете временен код, който ще бъде изпратен на вашия имейл или телефонен номер. Ако нападателите получат достъп до вашите идентификационни данни, можете да сте сигурни, че сте в безопасност, докато телефонът ви не бъде откраднат или имейлът ви не бъде хакнат.
Актуализиране на пароли
Необходимо е своевременно да актуализирате паролите. Включете функцията "дата на изтичане", която може да бъде конфигурирана с помощта на помощната програма usermod в Linux или ръчно във файла /etc/shadow. Когато срокът й изтече, системата автоматично ще изпрати известие на потребителя с молба да смени паролата си.2. Актуализация на софтуера
Дори и най-малките пропуски в защитената система на VPS могат да бъдат използвани от нападатели, затова не забравяйте да актуализирате софтуера си. Следете версията на операционната система, свързаните модули, CMS, контролния панел. За да осигурите максимална защита на VPS сървъра, се препоръчва да активирате автоматичните актуализации на CMS.Отстранете ненужните програми и добавки за CMS. Запазете минимума, който е необходим за работата на сайта ви, а всичко останало спокойно изпратете на сметището.
3. Не съхранявайте всички файлове в "една кошница"
Разделете данните по оптимален начин. В случай на хакерска атака или проблем при един потребител, данните на другите потребители няма да бъдат засегнати. Ако е необходимо, разделете проектите на различни сървъри. Не "съхранявайте" всичко на един сървър.Важно е също така да забраните достъпа до SUID/SGID (nosuid) и да забраните изпълнението на изпълними файлове (noexec).
4. Резервни копия
Важно е да не забравяте да правите често резервни копия. Някои доставчици на хостинг услуги автоматично създават резервни копия, но е добре да уточните тази информация, за да не се окажете изправени пред загубата на всичките си данни в случай на хакерска атака без възможност да ги възстановите.С VPS на ЕвроХостер имате възможност да архивирате виртуалната си машина ръчно, когато прецените, че е необходимо, както и да настроите архивиране по график. Ако е необходимо, можете да съхранявате до 5 резервни копия.
5. Промяна на SSH порта
SSH е сигурен, стандартизиран начин за свързване с VPS на Linux. Той осигурява сигурна връзка, криптиране от край до край и възможност за използване на функции като удостоверяване на ключове без използване на парола.За да намалите риска от SSH атака, се препоръчва да промените порта, към който се насочват ботовете. SSH използва порт 22 по подразбиране, така че си струва да изберете друг достъпен порт.
Деактивирайте ненужните портове и объркайте ботовете
На сървъра трябва да бъдат отворени само портовете за активните услуги, а всички останали трябва да бъдат затворени.Интелигентността на ботовете оставя много да се желае - те действат според дадените инструкции, без да разбират същността им твърде дълбоко. Например, ако им се каже да влязат в порт SSH, те отиват на порт 22, а ако им се каже да влязат в порт FTP, те отиват на порт 21. Можете да объркате бота, като промените номерата на ключовите портове и деактивирате неизползваните портове. Основното нещо е да бъдете последователни:
- Отворете желания порт с помощта на iptables или ufw;
- променете номера на порта в настройките на услугата;
- затворете стария порт.
6. Криптиране за защита на VPS
Конфигуриране на помощната програма GnuPG за сигурно предаване на информация в мрежата. Това е безплатна и лесна за използване програма, която ви позволява да криптирате всички изходящи пакети. Без правилния ключ те не могат да бъдат достъпни, дори ако бъдат прихванати по пътя. Нападателите няма да могат да извлекат никаква полза, а декриптирането на информацията ще отнеме години.7. Антивирусна защита и защитна стена
Не забравяйте да активирате и конфигурирате защитна стена и антивирусна програма (за Windows). Когато избирате доставчик на хостинг, обърнете внимание на наличието на вградена защитна стена, която блокира подозрителни връзки и има защита срещу DDoS атаки.Linux предлага и няколко опции за сигурност:
- UFW е проста защитна стена, която е идеална дори за начинаещи;
- IPTables - за управление на NetFilter, вграден в ядрото на Linux;
- NFTables е защитна стена с прост синтаксис, която съчетава поддръжка на IPv4 и IPv6.
Активиране на cPHulk в WHM cPanel
Въпреки че защитните стени се считат за ефективна мярка за сигурност, те могат да имат уязвимости и да не са конфигурирани правилно. В такива случаи активирането на cPHulk защитава допълнително виртуалния сървър. Функцията първо блокира възможността за влизане в системата, а след това, ако е необходимо, целият IP адрес ще бъде блокиран от защитната стена.Приложение на FAIL2BAN
За да осигурите допълнителна сигурност в Linux, можете да използвате помощната програма fail2ban. За да я инсталирате, изпълнете следната команда: apt install fail2ban. Преди да промените настройките, препоръчваме да направите резервно копие на файловете си, за да запазите настройките по подразбиране. Помощната програма включва няколко филтъра за сървъра Apache, но се препоръчва да създадете свои собствени филтри въз основа на изискванията за сигурност на вашия уеб сървър. FAIL2BAN може да следи логовете за вход, да открива IP адреси, от които са направени голям брой неуспешни опити за оторизация. Помощната програма автоматично създава правила за защитна стена, които временно блокират такива IP адреси.8. Премахване на достъпа до /boot
Най-добре е да забраните достъпа до директорията /boot, където се съхраняват файлове, свързани с ядрото на Linux. Ако даден потребител има достъп до тези файлове, той може да получи разрешения, които не бихте искали да дадете на хакери.Отворете файла /etc/fstab в произволен текстов редактор. В края на файла въведете следния ред:
LABEL=/boot /boot ext2 defaults,ro 1 2
Запазете и затворете.9. SFTP
Преконфигурирайте сървъра си от остарелия протокол FTP към защитения протокол SFTP. Това е аналог на SSL за FTP, който осигурява по-високо ниво на защита. Препоръчва се също така да забраните анонимните връзки към сървъра, за да предотвратите възможността за изтегляне на файлове без разрешение.10. Отървете се от потребителя root (с привилегии на администратор)
Той може да промени всичко, което пожелае. Затова се препоръчва да забраните напълно root и да създадете отделен потребител с необходимите права и сложна парола.За да забраните root, отворете /etc/ssh/sshd_config, намерете директивата PermitRootLogin и заменете думата "yes" с "no".
Ограничения на правата на други потребители
Чрез задаване на пароли на публичните папки системата ще бъде защитена, тъй като е възможно да се проникне в нея дори чрез файлове без стойност. Необходимо е да се ограничат правата на потребителите, като им се даде достъп само до необходимите функции. Такава стратегия за защита на сървъра е много по-проста, отколкото да се контролира сигурността на всички акаунти.11. Деактивирайте IPv6
Това е още една важна стъпка за подобряване на сигурността на Linux сървъра. Проучванията показват, че хакерите често злоупотребяват с IPv6, като го използват за разпространение на зловреден софтуер и използване на уязвимости в операционната система. Ето защо, ако не е необходимо да използвате IPv6, най-добре е да го деактивирате.12. Наблюдение на логовете на сървъра
Обикновено всеки контролен панел на VPS има основен мониторинг. Той показва стандартни параметри на работата на системата: процесор, памет и натоварване на диска. Системните дневници и регистрационните файлове на полезните програми ще ви помогнат да проследите нежеланата дейност на сървъра, както и да идентифицирате уязвимостите в системата като цяло. Важна роля играе директорията /var/log, в която се съхраняват логове, съдържащи важна информация за работата на системата, ядрото, мениджърите на пакети и други приложения.Много полезно е разширеното наблюдение на производителността на VPS/VDS, което включва показатели на самите услуги. Ако разполагате с такава възможност (например услугата се предоставя от вашия доставчик по подразбиране или се закупува допълнително), това е чудесно. Пускането на отделен сървър за мониторинг може да е твърде скъпо и да е необходимо само в ограничен брой случаи.
13. Не осъществявайте достъп до сървъра от публични интернет точки и др.
Не се препоръчва използването на обществени мрежи, тъй като на тяхната сигурност не може да се разчита напълно. За неопитния потребител може да бъде доста трудно да различи такава мрежа от официална точка за достъп. Нападателят може да прихване целия ви трафик. Ето защо не се препоръчва да се свързвате с вашия VPS сървър от такива мрежи.14. Мониторинг на спама
Защитата на вашия пощенски сървър включва контрол на спама, който често се използва от нападателите.15. Настройка на автоматично прекъсване на сесията
Когато потребителят случайно забрави да затвори RDP клиента на компютъра, опцията за автоматично изключване ще предотврати неоторизиран достъп до системата. След определен интервал от време системата ще изисква парола, за да влезете отново.Такъв е случаят със сървърите с Windows.
16. Вградените кръпки за Linux могат да помогнат
Предотвратяване на потенциално опасни конфигурации и стартиране на зловреден софтуер. В допълнение към интегрираните решения, широко се използват контейнерни системи или системи за контрол на достъпа в пясъчни кутии. Те ограничават достъпа до ядрото на системата чрез политики за сигурност и създаване на изолирани среди, в които се стартират потенциално злонамерени приложения. За изолирано изпълнение на приложения в Linux се използват следните системи: SELinux, AppArmor, LXC/Arkose и Seccomp/BPF. Промяната на кореновата директория chroot също се използва за безопасно изолиране на приложенията. Недостатъците на този метод са, че е труден за внедряване и има ограничен контрол върху процесите.17. Проверени доставчици
И последен, важен съвет - изберете уеб хостинг компания, която напълно отговаря на вашите нужди и има безупречна репутация. Не се заблуждавайте от фалшиви, измислени отзиви.Как да действате в случай на хакване на VPS
Ако сървърът е компрометиран, това ще стане ясно веднага. Причините за това могат да варират от обикновено невнимание на потребителя до методичен подбор на пароли от нарушителите.Признаци на хакерство: нестабилна работа, блокиране, липса на потребителски достъп. А трафикът може да скочи до небето, пощата може да се изпраща тайно, файловете могат да се прехвърлят без ваше знание чрез SSH.
Как да проверите сървъра за пробив
Следете отблизо фоновите операции и ги откривайте своевременно. Проверявайте времето за влизане, ако някой е влязъл без вас. Разгледайте историята на командите и операциите. Ако активирането на опасни команди съвпада с времето за влизане в системата, значи сървърът е компрометиран. Прегледайте списъка с IP адреси. Ако там има непознати адреси без удостоверяване, значи опасенията се потвърждават. Обърнете внимание на опашката за поща и потърсете командни редове X-PHP-Script, за да откриете евентуални скриптове, изпълняващи нежелани писма. Проверете последно модифицираните файлове на сайта си, за да откриете нежелани промени.Прегледайте VPS за обвивки - код, който може да бъде използван от атакуващите за получаване на достъп. Ако откриете обвивки, премахнете ги. Проверете временните и стартовите директории на сървъра за скриптове, които не би трябвало да се намират там.
Как да прекъснете "кислорода" на нарушителите
Много експерти съветват да се преинсталира операционната система, ако е открита хакерска атака, но това не винаги е задължително. Ако точната причина е известна и тя вече е отстранена, можете да:- ограничаване на достъпа до административния панел само до определени IP адреси;
- затворете ненужните портове в настройките на защитната стена;
- премахване на всички зловредни скриптове и шел програми от сървъра;
- актуализиране на потребителските пароли и SSH ключовете;
- да извършите пълна актуализация на софтуера.
Заключение
Когато работите със специализиран или виртуален сървър, е изключително важно да осигурите сигурност. Комплексните мерки предотвратяват изтичането на данни и предпазват сървъра от хакерски атаки.Ако действията ви са неефективни, няма нужда да се отчайвате. Възстановяването на производителността на сървъра и отстраняването на откритите уязвимости винаги е възможно. Ако е необходимо, можете бързо да възстановите настройките и информацията от резервни копия. А най-важното нещо при осигуряването на сигурността е последователността.
23 Apr 2024, 12:30:58