20 способов защитить ваш Linux VPS

Серверы Linux VPS имеют свои преимущества. Фактически, Linux VPS гораздо более безопасны по сравнению с другими операционными системами, такими как Windows, из-за модели безопасности Linux (LSM). Но они не идеальны и уж точно не неуязвимы. В этом посте мы рассмотрим более 20 способов защитить свой VPS от хакеров.

Безопасность Linux по умолчанию довольно хороша и лучше, чем у большинства ее конкурентов, но у нее все еще есть слабые места.

Мы знаем, что единственный хороший сервер — это безопасный сервер, поэтому мы собрали наши советы по защите сервера Linux VPS, чтобы вы могли остановить хакеров у ворот, прежде чем они взломают ваш сайт и получат доступ к конфиденциальным данным.

Эти методы не требуют много времени и усилий, но требуют определенного уровня административного опыта.

Если вам нужна помощь, не бойтесь обращаться – мы будем рады помочь.

Давайте начнем, вот 20 способов обеспечить безопасность вашего VPS .

1.Отключить root-логин

Хотите безопасный VPS? Тогда вам никогда не следует входить в систему как пользователь root.

По умолчанию каждый Linux VPS имеет «root» в качестве основного имени пользователя, поэтому хакеры пытаются атаковать методом грубой силы, чтобы взломать пароль и получить доступ. Отключение входа в систему от «root» имени пользователя добавляет еще один уровень безопасности, поскольку он не позволяет хакерам просто угадать ваши учетные данные пользователя.

Вместо того, чтобы входить в систему как пользователь root, вам нужно создать другое имя пользователя и использовать команду «sudo» для выполнения команд уровня root.

Sudo — это специальное право доступа, которое может быть предоставлено авторизованным пользователям, чтобы они могли выполнять административные команды, и оно устраняет необходимость в рутовом доступе.

Обязательно создайте своего пользователя без полномочий root и предоставьте ему соответствующие уровни авторизации, прежде чем отключать учетную запись «root».

Когда будете готовы, откройте /etc/ssh/sshd_configв nano или vi и найдите параметр «PermitRootLogin».

По умолчанию это «YES».

Измените его на «NO» и сохраните изменения.

2. Измените SSH-порт

Людям трудно взломать SSH, если они не могут его найти. Изменение номера порта SSH может предотвратить прямое подключение вредоносных скриптов к порту по умолчанию (22).

Для этого вам нужно открыть /etc/ssh/sshd_configи изменить соответствующую настройку.

Обязательно дважды проверьте, не используется ли выбранный номер порта какими-либо другими службами — вы же не хотите конфликтовать!

3. Обновляйте программное обеспечение сервера

Обновить программное обеспечение вашего сервера несложно .

Вы можете просто использовать менеджер пакетов rpm/yum (CentOS/RHEL) или apt-get (Ubuntu/Debian) для обновления до более новых версий установленного программного обеспечения, модулей и компонентов.

Вы даже можете настроить операционную систему для отправки уведомлений об обновлениях пакетов yum по электронной почте. Это упрощает отслеживание изменений. И, если вы готовы автоматизировать эту задачу, вы можете настроить cronjob для применения всех доступных обновлений безопасности от вашего имени.

Если вы используете панель, такую ​​как Plesk или cPanel, вам также необходимо обновить ее. Большинство панелей можно настроить на автоматическое обновление, а cPanel использует EasyApache для большинства обновлений пакетов.

Наконец, вам нужно как можно быстрее установить исправления безопасности. Чем дольше вы ждете, тем больше вероятность того, что вы поддадитесь злонамеренной атаке.

4. Отключите неиспользуемые сетевые порты.

Открытые сетевые порты и неиспользуемые сетевые службы являются легкой мишенью для хакеров, и вы должны защитить себя от их эксплуатации.

Используйте команду «netstat», чтобы увидеть все открытые на данный момент сетевые порты и связанные с ними службы.

Попробуйте настроить «iptables», чтобы закрыть все открытые порты, или использовать команду «chkconfig», чтобы отключить нежелательные службы. А если вы используете брандмауэр, такой как CSF, вы даже можете автоматизировать правила iptables.

5. Удалите ненужные модули/пакеты

Маловероятно, что вам понадобятся все пакеты и службы, поставляемые вместе с вашим дистрибутивом Linux. С каждой удаляемой службой на одну уязвимость меньше, поэтому убедитесь, что вы запускаете только те службы, которые действительно используете.
Не используете пакет? Просто мусор!

Кроме того, избегайте установки ненужного программного обеспечения, пакетов и служб, чтобы свести к минимуму потенциальные угрозы. Это также имеет приятный побочный эффект оптимизации производительности вашего сервера!

6. Отключить IPv6

IPv6 имеет несколько преимуществ по сравнению с IPv4, но маловероятно, что вы его используете.

Не используете IPv6? Отключи его! Но его используют хакеры, которые часто отправляют вредоносный трафик через IPv6, и, оставив протокол открытым, вы можете подвергнуть себя потенциальным эксплойтам. Чтобы решить эту проблему, отредактируйте /etc/sysconfig/network и обновите настройки, чтобы они были  NETWORKING_ IPV6=no и IPV6INIT=no.

7. Используйте шифрование GnuPG

Хакеры часто атакуют данные, когда они передаются по сети. Вот почему так важно шифровать передачу данных на ваш сервер с помощью паролей, ключей и сертификатов. Одним из популярных инструментов является GnuPG, система аутентификации на основе ключей, используемая для шифрования сообщений. Она использует «открытый ключ», который можно расшифровать только с помощью «закрытого ключа», доступного только предполагаемому получателю.

8. Имейте надежную политику паролей

Слабые пароли всегда были и всегда будут одной из самых больших угроз безопасности. Не позволяйте учетным записям пользователей иметь пустые поля пароля или использовать простые пароли, такие как «123456», «password», «qwerty123» или «trustno1».

Вы можете повысить безопасность, потребовав, чтобы все пароли были в нижнем и верхнем регистре, чтобы избежать использования словарных слов и включать цифры и символы. Включите устаревание паролей, чтобы заставить пользователей менять старые пароли через регулярные промежутки времени, и рассмотрите возможность ограничения повторного использования предыдущих паролей.

Также используйте команду «faillog», чтобы установить лимит неудачных попыток входа в систему и заблокировать учетные записи пользователей после неоднократных неудачных попыток, для защиты вашей системы от атак грубой силы.

9. Настройте брандмауэр

Проще говоря, вам нужен брандмауэр, если вы хотите действительно безопасный VPS.

К счастью, есть из чего выбрать. NetFilter — это брандмауэр, интегрированный с ядром Linux, и вы можете настроить его для фильтрации нежелательного трафика. С помощью NetFilter и iptables вы можете бороться с распределенными атаками типа «отказ в обслуживании» (DDos).

Установить брандмауэр недостаточно. Убедитесь, что он настроен правильно!

TCPWrapper — еще одно полезное приложение, система списка управления доступом (ACL) на основе хоста, которое используется для фильтрации доступа к сети для различных программ. Оно предлагает проверку имени хоста, стандартизированное ведение журнала и защиту от спуфинга, и все это может помочь повысить вашу безопасность.

Другие популярные брандмауэры CSF и APF, оба из которых предлагают плагины для популярных панелей, таких как cPanel и Plesk.

10. Используйте разбиение диска

Для дополнительной безопасности рекомендуется разбить диск на разделы, чтобы файлы операционной системы были отделены от пользовательских файлов, файлов tmp и сторонних программ. Вы также можете отключить доступ SUID/SGID (nosuid) и отключить выполнение двоичных файлов (noexec) в разделе операционной системы.

11. Сделать /boot доступным только для чтения

На серверах Linux все файлы, относящиеся к ядру, хранятся в каталоге «/boot».

Но уровень доступа по умолчанию для каталога — «чтение-запись». Чтобы предотвратить несанкционированное изменение загрузочных файлов, которые имеют решающее значение для бесперебойной работы вашего сервера, рекомендуется изменить уровень доступа на «только для чтения».

Для этого просто отредактируйте файл /etc/fstab и добавьте LABEL=/boot /boot ext2 defaults, ro 1 2 внизу. А если в будущем вам потребуется внести изменения в ядро, вы можете просто вернуться в режим «чтение-запись». Затем вы можете внести свои изменения и снова установить режим «только для чтения», когда закончите.

12. Используйте SFTP, а не FTP

Протокол передачи файлов (FTP) устарел и больше не является безопасным, даже при использовании зашифрованных соединений «FTP через TLS» (FTPS).

И FTP, и FTPS по-прежнему уязвимы для перехвата пакетов, когда компьютерная программа перехватывает и регистрирует трафик, проходящий через вашу сеть. FTP полностью «открыт», и передача файлов FTPS также «открыта», что означает, что шифруются только учетные данные.

SFTP — это «FTP через SSH» (также известный как «защищенный FTP»), и он полностью шифрует все данные, включая как учетные данные, так и файлы, которые передаются.

13. Используйте брандмауэр

Ваш брандмауэр — это привратник, который либо разрешает, либо запрещает доступ к серверу, и это ваша первая линия защиты от хакеров.

Установка и настройка брандмауэра должна быть одним из первых действий, которые вы должны сделать при настройке и защите VPS или сервера без ПО.

14. Установите антивирусное/антивредоносное ПО.

Основная задача брандмауэра — блокировать доступ к любым источникам известного вредоносного трафика, и он эффективно действует как первая линия защиты. Но ни один брандмауэр не защищает от дурака, и вредоносное программное обеспечение все еще может проникнуть внутрь, поэтому вам необходимо дополнительно защитить себя.

Слишком много начинающих администраторов серверов не устанавливают антивирусное программное обеспечение, и это ошибка. Наиболее распространенной причиной этого является не лень, а то, что они не хотят тратить деньги на программное обеспечение для обеспечения безопасности.

Как правило, платные решения обычно являются лучшими, потому что их поток доходов позволяет им нанимать талантливых программистов и исследователей, которые могут помочь программному обеспечению оставаться актуальным.

Но если бюджет ограничен, то неплохо было бы взглянуть на некоторые бесплатные альтернативы.

ClamAV и Maldet — это два приложения с открытым исходным кодом, которые могут сканировать ваш сервер и оценивать потенциальные угрозы. Вот почему мы устанавливаем их оба в рамках процесса повышения безопасности VPS для наших клиентов на поддержке серверов.

15. Включите автообновление CMS

Хакеры постоянно пытаются найти лазейки в безопасности, особенно в системе управления контентом вашего сайта (CMS). Популярные поставщики CMS включают Joomla, Drupal и WordPress, на которых работает почти 20% Интернета.

Большинство разработчиков CMS регулярно выпускают исправления безопасности, а также новые функции.

Системы позволяют автоматически обновлять CMS, чтобы исправление применялось сразу после выхода новой версии. WordPress опоздал с автоматическими обновлениями, и если у вас старый сайт, то он может быть отключен по умолчанию. Обязательно проверьте настройки и включите автообновления, где это возможно.

Помните, что содержание вашего веб-сайта является вашей ответственностью, а не вашего хостера. Вы должны следить за тем, чтобы он регулярно обновлялся, а также рекомендуется регулярно делать резервные копии.

16. Включить cPHulk в WHM

Помимо брандмауэра, cPanel также имеет защиту от перебора cPHulk.

Брандмауэры не безошибочны, и «хороший» трафик, который проскакивает, может оказаться плохим. Эти ложные срабатывания связаны с настройками брандмауэра, и для обеспечения дополнительной защиты могут потребоваться дополнительные настройки.

Тем временем cPHulk действует как вторичный брандмауэр, предотвращая атаки грубой силы (от неоднократных попыток подбора пароля) на сервер.

Мы часто обнаруживаем, что cPHulk сначала блокирует возможность входа в систему, а затем брандмауэр догоняет, блокируя IP-адрес. Таким же сродством является и denyhosts.

17. Предотвращение анонимных загрузок по FTP

cPanel и Plesk по умолчанию отключают анонимную загрузку по FTP, но в других настройках она может быть предварительно включена.

Разрешение анонимным пользователям загружать через FTP представляет собой серьезную угрозу безопасности, поскольку позволяет любому загружать все, что он хочет, на ваш веб-сервер. Как вы понимаете, это не рекомендуется — это все равно, что отдать ключи взломщику.

Чтобы отключить анонимную загрузку, измените настройки конфигурации FTP вашего сервера.

18. Установите сканер руткитов

Одним из самых опасных вредоносных программ является руткит.

Он существует на уровне операционной системы (ОС), ниже обычного программного обеспечения безопасности, и может разрешать незамеченный доступ к серверу. К счастью, вы можете использовать «chrootkit», инструмент с открытым исходным кодом, чтобы узнать, заражен ли ваш сервер. Но руткиты не всегда легко удалить, и часто лучший способ решить проблему — переустановить ОС.

19. Делайте регулярные резервные копии

Слишком многие люди забывают делать регулярные резервные копии, а потом жалеют об этом, когда что-то идет не так и у них нет копии своих данных. Независимо от того, насколько вы осторожны и насколько защищен ваш сервер, всегда есть вероятность, что что-то пойдет не так.

Не подвергайте себя ненужному риску, не создавая резервные копии, и не полагайтесь на то, что ваш хост сделает это. Рекомендуется делать собственные резервные копии, даже если ваш хостинг-провайдер говорит, что делает это от вашего имени. Храните копии в разных местах и ​​рассмотрите возможность использования облака, чтобы к вашей резервной копии можно было получить доступ из любого места.

Мы предлагаем бесплатные резервные копии для всех клиентов хостиг тарифов, но мы по-прежнему рекомендуем клиентам хранить собственные резервные копии в качестве дополнительной меры предосторожности. Резервных копий никогда не бывает слишком много! Обратите внимание, что клиенты VPS должны настраивать резервные копии самостоятельно.

20. Используйте надежный пароль

Мы знаем, мы знаем – мы уже говорили об этом.

Но политика надежных паролей абсолютно необходима, поэтому ее всегда стоит повторять. Плохие пароли по-прежнему являются угрозой номер один для безопасности. То же самое относится и к защите серверов Windows !

Протокол пароля часто понимается неправильно. Сложность важна, но не менее важна и длина. Хотя использование комбинации заглавных и строчных букв, цифр и специальных символов является хорошей идеей, вы также должны сделать его настолько длинным, насколько это реально возможно.

Сообщите об этом своим пользователям и примите меры для защиты вашего сервера на уровне администратора.

Как установить надежный пароль

Все еще не уверены, достаточно ли надежны ваши пароли? Вот несколько наших лучших советов по созданию надежного пароля:

• Сделайте их длинными и запоминающимися
• Избегайте словарных слов (например, «зеленые яблоки»)
• Избегайте простой замены чисел (например, «ад0»)
• Избегайте любых отсылок к поп-культуре (например, «ncc1701»).
• Стремитесь сделать так, чтобы никто не мог угадать
• Никогда не используйте один и тот же пароль дважды
• Ваш логин root (Linux) или RDP (Windows) должен иметь собственный уникальный пароль.

Для достижения наилучших результатов не забывайте регулярно менять пароль и использовать разные пароли для разных веб-сайтов. Никогда не записывайте его и никогда, никогда, никогда не делитесь им с кем-то еще.

Вывод

Уязвимости в инфраструктуре веб-сервера могут иметь катастрофические последствия. Это как плавать в кишащей акулами воде с кровоточащим порезом.

Миллионы хакеров по всему миру работают круглосуточно, чтобы обнаружить даже малейшие уязвимости в безопасности вашего VPS. Для вас крайне важно защитить свой VPS от потенциальных угроз, потому что рано или поздно хакеры придут за вами.

Корпоративные сайты и сайты электронной коммерции, в частности, становятся главными целями для потенциальных хакеров. Хотя в большинстве компаний есть базовые меры безопасности, они часто неэффективны и их легко взломать.

Наши услуги администрирования хостинга включают аудит безопасности и защиту . Мы заботимся о безопасности вашего сервера, пока вы сосредоточены на том, что у вас получается лучше всего.