Захист вашого Linux VPS: 15 заходів для запобігання злому

​1. Вимкнення входу для користувача root

За замовчуванням, основним користувачем на стандартному VPS є "root", який має повний доступ до сервера. Однак це також робить користувача root головною мішенню для потенційних хакерів.

Для підвищення безпеки рекомендується створити нового користувача і використовувати команду "sudo" для виконання команд кореневого рівня за потреби. Перш ніж вимкнути обліковий запис root, переконайтеся, що новий обліковий запис адміністратора має відповідні привілеї доступу.

Щоб вимкнути доступ користувача root, змініть параметр PermitRootLogin у файлі sshd_config на "No". Це не дозволить користувачеві root увійти на сервер.

Хоча цей крок підвищує безпеку, подальше налаштування рівнів доступу користувачів має вирішальне значення. Важливо призначати привілеї доступу відповідно до індивідуальних потреб користувача. Наприклад, веб-розробнику може не знадобитися кореневий доступ, тоді як системному адміністратору можуть знадобитися лише обмежені команди кореневого рівня.

​2. Зміна порту SSH

SSH є важливим компонентом для віддаленого доступу до серверів, які зазвичай працюють на порту 22 за замовчуванням. Однак зловмисники активно шукають сервери з відкритими портами типу 22 для використання вразливостей SSH. Одним з поширених методів атаки є підбір облікових даних користувача root для отримання несанкціонованого доступу.

Щоб протистояти цій загрозі, одним з ефективних заходів є зміна порту SSH на альтернативний. Таким чином, автоматичне сканування не буде виявляти SSH на стандартному порту 22. Щоб змінити порт, потрібно оновити певний файл (який ми розглянемо в наступних порадах, тому тримайте його під рукою).

/etc/ssh/sshd_config

Перш ніж вносити будь-які зміни до файлу, переконайтеся, що порт, який ви збираєтеся використовувати, не зайнятий іншим сервісом. Інакше виникне конфлікт, що призведе до неправильної роботи обох сервісів.

​3. Підтримка серверного програмного забезпечення в актуальному стані

Важливо регулярно контролювати та оновлювати серверне програмне забезпечення, використовуючи відповідний менеджер пакетів для вашої операційної системи, наприклад, RPM або YUM для CentOS/RHEL або apt-get для Ubuntu/Debian. Крім того, зверніть увагу на такі панелі, як Plesk або cPanel, і переконайтеся, що вони оновлюються вручну або через автоматичні сповіщення. Щоб бути в курсі оновлень пакунків, ви можете налаштувати нагадування на електронну пошту у вашій операційній системі.

​4. Відключення невикористовуваних мережевих портів

Наполегливо рекомендуємо уникати входу від імені користувача root. Оскільки ім'я користувача "root" зазвичай є мішенню хакерів для атак грубої сили, вимкнення входу від імені користувача root додає додатковий рівень безпеки, не дозволяючи їм вгадати пароль.

Замість цього створіть нове ім'я користувача і використовуйте команду "sudo" для виконання команд кореневого рівня без входу від імені користувача root. Sudo надає авторизованим користувачам спеціальний доступ до адміністративних команд без необхідності авторизації від імені користувача root.

Перш ніж вимкнути обліковий запис root, переконайтеся, що ви створили користувача без прав root з необхідними дозволами.

​5. Вимкнення IPv6

На жаль, дослідження показують, що хакери часто використовують IPv6 на VPS-серверах для розповсюдження шкідливого програмного забезпечення, запуску загроз і використання вразливостей в операційній системі сервера.

Щоб зменшити цей ризик, веб-майстрам необхідно активно підтримувати свій Linux-сервер, регулярно оновлюючи його. Крім того, вимкнення IPv6 як мережевої служби може допомогти підвищити безпеку і мінімізувати потенціал для зловмисників.

​6. Використання шифрування GnuPG

Захист даних під час передачі мережею має вирішальне значення через часті хакерські атаки. Для забезпечення безпеки необхідно шифрувати передачі на ваш сервер за допомогою паролів, ключів і сертифікатів. GnuPG, широко використовуваний інструмент, використовує для шифрування систему автентифікації на основі ключів. Вона використовує "відкритий ключ", який може бути розшифрований лише "закритим ключем" одержувача.

​7. Впровадження надійної парольної політики

Слабкий пароль є значним ризиком для безпеки. Важливо заборонити використання користувачами сервера паролів, які легко вгадуються.

При виборі пароля бажано використовувати комбінацію великих і малих літер, цифр і символів. Крім того, ви можете обмежити термін дії пароля, встановивши певний період, протягом якого користувачі повинні змінити свій пароль.

Для підвищення безпеки та запобігання атакам грубої сили рекомендується встановити ліміти невдалих спроб входу за допомогою команди "faillog". Це допоможе автоматично вимкнути облікові записи користувачів після повторних невдалих спроб входу.

​8. Налаштування брандмауера

Захист системи від несанкціонованого доступу має вирішальне значення, і одним з ефективних заходів є перевірка та налаштування брандмауера. Для боротьби з DDoS-атаками та фільтрації непотрібного трафіку на вашому VPS-сервері розгортання брандмауера є обов'язковим. Популярні брандмауери, такі як CSF і APF, пропонують плагіни для широко використовуваних панелей, таких як cPanel і Plesk.

Під час налаштування нового Linux VPS одним з перших кроків має бути встановлення та налаштування брандмауера. Крім того, бажано використовувати SFTP (FTP через SSH) замість застарілого і небезпечного FTP (File Transfer Protocol) для безпечної передачі файлів.

​9. Використання розбиття диска на розділи

Для підвищення безпеки рекомендується розбити диск на розділи і відокремити файли операційної системи від файлів користувача, сторонніх програм і тимчасових файлів. Цього можна досягти, вимкнувши доступ до SUID/SGID (nosuid) і заборонивши виконання двійкових файлів (noexec) на розділі з операційною системою.

Відокремлюючи файли операційної системи від інших даних, таких як файли користувачів і тимчасові файли, ви знижуєте ризик потенційних вразливостей, що впливають на критичні компоненти системи. Досвідчений системний адміністратор розуміє важливість логічного розбиття дискового простору на сервері VPS для зменшення ймовірності втрати файлів і підвищення загальної безпеки системи.

​10. Використання SFTP замість FTP

SFTP (Secure File Transfer Protocol) – це високозахищений протокол передачі файлів, який забезпечує захист даних і конфіденційність завдяки використанню SSH (Secure Shell). З іншого боку, FTP (File Transfer Protocol) – це незахищений протокол передачі файлів, який наражає вас на потенційні ризики, такі як атаки грубої сили та підміна.

На відміну від FTP, SFTP забезпечує швидку та зашифровану передачу файлів, гарантуючи конфіденційність та цілісність ваших даних. Хоча з FTP можна встановити безпечне з'єднання, вміст файлів залишається незашифрованим. При обміні конфіденційними даними дуже важливо аутентифікувати сервер, і SFTP перевершує його в цьому аспекті, шифруючи з'єднання і пропонуючи більш надійний і безпечний процес передачі файлів. Ось чому ми рекомендуємо використовувати SFTP замість FTP для підвищення безпеки.

​11. Увімкнення автоматичного оновлення CMS

Важливо регулярно оновлювати системи управління контентом (CMS) та встановлювати патчі безпеки для запобігання зломів і атак на веб-сайти. Оскільки платформи CMS, такі як Joomla, WordPress і Drupal, є програмним забезпеченням з відкритим вихідним кодом, дуже важливо захистити вашу систему Linux, увімкнувши автоматичне оновлення для вашої CMS.

Незалежно від CMS, яку ви використовуєте, хоч то Joomla, WordPress або Drupal, постійні оновлення безпеки необхідні для захисту від втрати даних і збереження конфіденційної інформації. Використання наданих виправлень і нових функцій безпеки CMS є важливим для постійного захисту вашого Linux VPS.

Увімкнувши автоматичні оновлення, ядро вашої CMS, теми та плагіни будуть регулярно оновлюватися найновішими визначеннями вірусів, що підвищить безпеку вашого веб-сайту від потенційних майбутніх атак. Такий підхід також спрощує управління декількома веб-сайтами для їхніх власників, оскільки кількість веб-сайтів зростає. Крім того, автоматичні оновлення гарантують, що ви отримаєте доступ до найновіших функцій і виправлень помилок, що сприятиме підвищенню продуктивності та стабільності.

​12. Активація cPHulk у WHM

Поряд з брандмауером, cPanel пропонує систему безпеки "cPHulk".

Хоча брандмауери ефективні, вони іноді можуть мати вразливості та неправильні налаштування, що дозволяє хакерам отримати несанкціонований доступ. У таких випадках cPHulk слугує додатковим рівнем безпеки, спеціально розробленим для запобігання атакам грубої сили на сервер.

Процес полягає в тому, що cPHulk спочатку блокує функцію входу в систему, а потім брандмауер блокує всю IP-адресу. Щоб увімкнути цю функцію, перейдіть до Центру безпеки WHM і виберіть опцію захисту cPHulk Brute Force.

​13. Запобігання анонімному завантаженню на FTP

Увімкнення анонімного завантаження по FTP на вашому сервері Linux може призвести до розміщення нелегального програмного забезпечення або неприйнятного контенту, що робить ваш сервер вразливим до шкідливого програмного забезпечення, яке може вплинути на всю віртуальну машину. Щоб запобігти цьому, рекомендується вимкнути анонімне завантаження і дозволити тільки авторизованим користувачам завантажувати файли через FTP.

Щоб вимкнути анонімний доступ, виконайте такі дії:

Відкрийте наступний файл:

/etc/vsftpd/vsftpd.conf

Відредагуйте конфігурацію для анонімного доступу і змініть її на наступну:

anonymous_enabled=NO

Вносячи цю зміну в конфігурацію, ви гарантуєте, що анонімний доступ до FTP-сервера буде вимкнено, що сприятиме більш безпечному та контрольованому завантаженню файлів.

​14. Регулярне резервне копіювання даних

Багато користувачів роблять помилку, нехтуючи регулярним резервним копіюванням, і шкодують про це, коли трапляються непередбачувані події, і вони розуміють, що не мають копії своїх даних. Незалежно від того, наскільки ви обережні і наскільки захищений ваш сервер, завжди існує ймовірність того, що щось піде не так.

Щоб уникнути непотрібних ризиків, важливо не забувати про важливість резервного копіювання і не покладатися лише на хостинг-провайдера. Наполегливо рекомендуємо вам самостійно створювати резервні копії, навіть якщо ваша хостингова компанія стверджує, що робить це за вас. Зберігайте копії резервних копій у різних місцях і розгляньте можливість використання хмарних сховищ, щоб забезпечити доступ до них з будь-якого місця.

​15. Використання надійного пароля

Слабкі паролі становлять значний ризик для безпеки вашого Linux-сервера, і те ж саме стосується серверів Windows. Дуже важливо вибрати надійний пароль, який включає комбінацію великих і малих літер, цифр і символів. Наполегливо рекомендується вибирати довгий і складний пароль.

І CPanel, і Plesk надають можливість впроваджувати надійну політику паролів і встановлювати терміни дії паролів. Використання цих функцій забезпечує додатковий рівень безпеки для вашого сервера.

​Висновок

Безпека вашого Linux VPS має вирішальне значення для захисту ваших персональних даних і підтримки стабільності та функціональності системи. У цій статті ви знайдете вичерпні рекомендації щодо підвищення безпеки, включно з використанням надійних паролів, увімкненням брандмауера, встановленням антивірусного програмного забезпечення, вимкненням непотрібних служб і використанням шифрування. Дотримуючись цих кроків, ви зможете значно зменшити ризики безпеки та ефективно захистити свою систему.

Важливо розуміти, що безпека – це безперервний процес, оскільки нові загрози можуть з'явитися будь-якої миті. Залишатися в курсі останніх тенденцій, регулярно переглядати та оновлювати свої методи безпеки – дуже важливо. У світі, де мільйони хакерів постійно шукають вразливості, стає вкрай важливим посилити захист вашого VPS від потенційних загроз. Корпоративні веб-сайти та інтернет-магазини є особливо привабливими цілями, які часто піддаються компрометації, незважаючи на базові заходи безпеки. Ця стаття має на меті надати інформацію та стратегії для захисту вашого Linux VPS сервера та запобігання хакерським атакам.