защита на сървър

Съвети за по-добра сигурност за вашия Linux VPS

6 минути четене

Не е тайна, че повечето хора биха предпочели сървър на Linux пред този на Windows. Защо? Общото мнение е, че Linux има по-добра сигурност. Трябва обаче да припомним, че всеки сървър е сигурен, само когато конфигурираме добре някои критични части от сървъра си. 

Важни стъпки към по-добра сървъра сигурност

Уверете се, че системата ви е актуална

На първо място, важно е да проверите дали вашата система е ъпдейтната. Има чести актуализации на софтуера за по-добра сигурност и не трябва да ги пренебрегвате. Ето защо първата ви стъпка е да се уверите, че дистрибуцията ви е актуализирана. Нужно е само да изпълните командите по-долу.

За Debian/Ubuntu:

Актуализирайте списъка с пакети:

apt-get update

Актуализирайте самите пакети:

apt-get upgrade

За CentOS/AlmaLinux:

yum update

Актуализирайте системата си редовно!

Използвайте нестандартен SSH порт

Вероятно знаете, че по подразбиране SSH е настроен на порт 22. Вероятно е да бъдете мишена на ботове, опитващи се да пробият паролата ви. Един бърз начин да се справите с проблема е да промените SSH порта си. Това може да направите като промените конфигурационния файл на SSH сървъра, както е показано по-долу.

nano/etc/ssh/sshd_config

Намерете следният ред:

# What ports, IPs and protocols we listen for
Port 22

Моля, обърнете внимание, че не трябва да използвате номер на порт, който вече се използва във вашата система. Например можете да заложите порт 22000. Запазете файла и рестартирайте SSH сървъра: 

systemctl restart sshd

Това е достатъчно, за да приложите промените. Моля, имайте предвид, че ще трябва да посочвате новия порт всеки път, когато поискате да се свържете със сървъра. Може да намерите по-детайлна информация за това как да променитe SSH портове в една от нашите статии.

Създайте потребител с ограничени права

При изпълнението на ежедневните ви задачи, вие рядко се нуждаете от това да работите с потребител, имащ root права до сървъра. Вместо това, можете да ги изпълявате под потребител с ограничени права. Можете да създадете нов потребител с тази команда:

adduser CustomUserName

След това попълнете исканата информация (име, парола и т.н.). Новият потребител ще има достъп до SSH по подразбиране. Всеки път, когато искате да се свържете със сървъра си, използвайте новият потребител, а не root.

Когато сте влезли, за да извършвате операции, които изискват root достъп, просто въведете следната команда:

su root

След това въведете паролата на root потребителя и активната SSH сесия ще бъде превключена към root потребителя.

Деактивирайте влизането с root потребител

Да имате root достъп означава да имате най-високото ниво на достъп до сървъра. Ние препоръчваме да деактивирате директния root достъп на потребителя чрез SSH протокола. Опасно е да оставите достъп до сървъра си само чрез root защото този акаунт може да създаде необратими щети. Не забравяйте, че трябва да създадете друг потребител, преди да изпълните стъпките по-долу, за да деактивирате достъпа до сървъра чрез root потребителя.

Първо, променете конфигурационния файл на SSH, както писахме по-рано.

nano/etc/ssh/sshd_config

Намерете раздела, показан по -долу:

# Authentication: 
LoginGraceTime 120
PermitRootLogin yes 
StrictModes yes

В реда PermitRootLogin заменете yes с no.

За да приложите промените, трябва да рестартирате SSH сървъра:

systemctl restart sshd

Това е.

Използвайте ключовете за сигурност за идентификация

Използването на ключове за сигурност (SSH ключове) има своите предимства, пред употребата на парола. Първо, можете да получите достъп до терминала си, без да се налага да въвеждате паролата си всеки път. И второ, можете напълно да деактивирате влизането с парола, като по този начин повишавате сигурността на сървъра си. Тази стъпка защитава вашия сървър от някои възможни атаки (например brute force attacks). Ако искате да разберете повече за SSH ключовете, прегледайте тази статия.

Инсталирайте Fail2ban

Друго нещо, което можете да направите, за да защитите сървъра си, е да инсталирате Fail2ban. Този софтуер блокира IP адреси, които се опитват да проникнат във вашата система.

Използвайте следната команда, за да инсталирате софтуерния пакет:

За Ubuntu/Debian:

apt-get install fail2ban

За CentOS:

yum install epel-release
yum install fail2ban

Когато софтуерът е инсталиран, трябва да коригирате конфигурационния му файл, спрямо вашите нужди. Преди това ви препоръчваме да създадете резервно копие на конфигурационния файл, като използвате следната команда:

cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.conf.backup

За да коригирате конфигурацията, отворете файла:

nano /etc/fail2ban/jail.conf

След редакция, рестартирайте услугата със следната команда:

service fail2ban restart

Ако имате нужда от допълнителна информация относно Fail2ban, разгледайте официалната му документация тук.

Конфигурирайте защитна стена (firewall)

Linux дистрибуциите идват с услуга за защитна стена, наречена iptables. По подразбиране няма активни правила. За да валидирате това, въведете следната команда:

iptables -L

Препоръчваме ви да създадете и настроите правилата на защитната стена според вашите нужди. Ако искате да научите повече за това какво може да постигнете с този инструмент, моля, вижте официалната документация на дистрибуцията, която използвате. Може да намерите по-подробна информация и тук.

Архивирайте системата и данните си

Сигурността не се отнася само за защита на вашата система от атаки, въпреки че това е от съществено значение. Ето защо друг важен аспект на сигурността е редовното архивиране (бекъп) на вашата система на отдалечен сървър.

Абонирай се за нашия имейл бюлетин.

Присъединете се към 5000+ абоната и започнете да получавате полезно съдържание, съвети и отстъпки!

Избери услуга и стартирай за минути!

Конфигуриране
Методи на плащане:
Bitcoin
Lightning Network (Bitcoin)
Litecoin
Карта
Банков превод