Нет никаких сомнений в том, что данные — это все. Наиболее ценным ресурсом для корпорации являются данные о ее клиентах, которые могут содержать финансовые данные, базы данных, историю общения и многое другое. Веб-сайт компании нуждается в большей безопасности, поскольку он управляет большим количеством данных о клиентах, чтобы обеспечить безопасность своих клиентов. Безопасность данных может означать сокрытие конфиденциальной информации от конкурента или целостность данных обучения.
Во многом эта безопасность данных зависит от выбранной вами среды хостинга и выбора, который вы делаете в отношении безопасности своих данных. Самый мудрый выбор, который вы можете сделать для операций вашей компании и безопасности данных, может состоять в том, чтобы не торопиться при выборе подходящего плана хостинга. Решение VPS намного безопаснее, чем вариант виртуального хостинга, однако есть еще много шагов для обеспечения повышенной безопасности VPS.
В первом разделе статьи будут рассмотрены общие особенности решений безопасности VPS.
Если у вас уже есть это, перейдите ко второму разделу, где вы найдете 21 совет о том, как защитить свой VPS.
Ключевые выводы
- Каждый сервер и веб-хост имеют уязвимости, которыми могут воспользоваться хакеры. Единственный способ остановить неопытных хакеров или усложнить задачу опытным хакерам — это повысить безопасность сайта или VPS-сервера.
- Самый простой подход к предотвращению атак, таких как грубая сила, распределенный отказ в обслуживании (DDoS), сканирование портов и другие угрозы, которые могут вызвать перебои в обслуживании или захват сервера, — это использование брандмауэра.
- SSH или Secure Socket Shell позволяет подключаться к серверу или удаленному компьютеру с помощью текстовых интерфейсов.
- Управляемые серверы обновляются, запускаются, настраиваются и обслуживаются хостинговой компанией; это варьируется от хоста к хосту. Однако неуправляемый сервер обеспечивает гораздо меньшую помощь.
- Просто применяя правильные протоколы, такие как выбор хорошего хостинг-провайдера, создание пользователей с ограниченными правами или отключение входа в систему root, многих рисков можно избежать.
Что такое VPS?
Проще говоря, виртуальный частный сервер (VPS) — это просто сервер. Просто сервер? Действительно? Ну… немного особенный.
Мы все знаем, что сервер — это компьютер, на котором хранится вся информация и файлы, из которых состоит ваш сайт. VPS становится особенным, потому что он виртуальный и частный. Он виртуальный, что означает, что он может создавать несколько виртуальных серверов на одной физической машине, и он является частным, потому что вы делите ресурсы сервера, такие как ОЗУ и ЦП, на эти виртуальные серверы.
По сравнению с виртуальным хостингом, где нет выделенного серверного пространства, VPS является более безопасным и надежным вариантом. Однако это более ограничено, чем аренда целого сервера. Веб-сайты, которые имеют средний уровень трафика и могут позволить себе больший бюджет, чем виртуальный хостинг, но которым не требуются ресурсы выделенного сервера, обычно выбирают VPS-хостинг.
Что такое безопасность VPS?
В 2012 году Sophos сообщила, что ежедневно атакуют более 30 000 веб-сайтов. Учитывая, как далеко развился Интернет за последние годы, нынешняя цифра, скорее всего, будет значительно выше.
Большинство провайдеров VPS включают несколько функций безопасности, которые могут существенно повлиять на безопасность вас и ваших гостей.
- Доступны бесплатные SSL-сертификаты, защита от DDoS-атак, защита брандмауэра и сканирование на вирусы.
- Выберите компанию, которая часто выполняет резервное копирование, чтобы уменьшить задержку и поддерживать ваш сайт.
Поскольку VPS работает на физическом сервере как виртуальная машина, велика вероятность того, что сервер подвержен угрозам безопасности.
Как технология VPS повышает безопасность
Серверы без ПО составляют технологию VPS.
- Сервер без операционной системы — это физический сервер, который имеет только одного арендатора. Вы единственный владелец сервера.
- Термин «голое железо» подразумевает, что арендатор имеет полный контроль над оборудованием.
Пустой сервер делится на экземпляры VPS с помощью гипервизора.
- Гипервизор — это программное обеспечение, которое создает виртуальные машины и управляет ими.
- По существу разделяя свои ресурсы, такие как память и вычисления, гипервизор позволяет одному хост-компьютеру управлять несколькими гостевыми виртуальными машинами.
Разделы «голого» сервера виртуализируются в отдельных средах. Поскольку гипервизор часто недоступен для широкой публики, угрозы безопасности также отсутствуют.
В этом смысле системы VPS намного безопаснее, чем виртуальный хостинг. Вы можете решить использовать VPS, так как опасность повышенной восприимчивости того не стоит.
Безопасность Linux и общие недостатки
Хотя стандартная безопасность Linux в целом лучше, чем у большинства конкурентов, тем не менее, в ней есть недостатки. Эти недостатки существуют из-за пользователей, которые неправильно настраивают систему, устанавливают небезопасное программное обеспечение, оставляют программы без исправлений или устанавливают вредоносные программы.
Наиболее известная уязвимость включает вредоносное ПО.
Вредоносное ПО может время от времени проходить по сети с размещенного сервера и оказывать влияние на другие системы. Если какая-либо личная информация находится на локальном сервере, она станет общедоступной, и на хосте произойдет утечка данных. Вредоносное ПО по-прежнему может влиять на локальную виртуальную машину, даже если оно не распространяется по сети.
Каждый сервер и веб-хост содержит уязвимости, которыми могут легко воспользоваться хакеры.
Например, сниффинг и атака грубой силы включают в себя перехват и извлечение данных хакерами, а также угадывание конфиденциальных учетных данных. SQL-инъекция — это процесс, с помощью которого хакер использует код веб-приложения для доступа к базе данных сервера. Межсайтовый скриптинг (XSS) — это атака на стороне клиента, при которой вредоносный код внедряется на веб-сайт.
Риски безопасности включают отсутствие контроля на функциональном уровне.
Это вызвано тем, что сервер не может правильно проверить права доступа, которые затем предоставляют root-доступ пользователям в целом. Или кража личных данных в результате незащищенных данных, слабых паролей или неправильно настроенных тайм-аутов сеансов приложений.
Ни одна хостинговая платформа не застрахована от атак, но VPS — одно из самых безопасных решений
Ваши данные, программное обеспечение и операционная система отделены от других экземпляров, поскольку каждый экземпляр VPS подобен выделенному серверу. Каждая виртуальная машина имеет доступ к собственному набору серверных ресурсов для поддержания целостности выделенного сервера. Пул ресурсов хоста будет содержать любые ресурсы, которые не используются после их рассредоточения. В результате получается эффективная система, которая использует только те ресурсы, которые вам нужны, а остальные оставляет для использования другими серверными приложениями.
Блокировка доступа с помощью брандмауэров
Без брандмауэра у вас не будет максимального уровня безопасности, несмотря на особый характер повышенной безопасности VPS-хостинга.
Самый простой подход к предотвращению атак, таких как грубая сила, распределенный отказ в обслуживании (DDoS), сканирование портов и другие угрозы, которые могут вызвать перебои в обслуживании или захват сервера, — это использование брандмауэра. Например, правильно настроенный брандмауэр остановит любые подключения к любым портам, которые не используются какими-либо доверенными службами.
Использование услуг должно соответствовать строгим правилам, установленным брандмауэром VPS. Например, когда он замечает, что один IP-адрес создает непропорционально большой объем трафика. Правильно настроенный брандмауэр остановит IP-адрес до того, как он начнет потреблять ресурсы сервера и снижать производительность.
Популярные брандмауэры Linux
Linux является популярной операционной системой для вариантов веб-хостинга VPS, и некоторые из самых популярных брандмауэров Linux приведены ниже:
UFW
Хотя Uncomplicated Firewall (UFW) есть не во всех программных системах, это решение присутствует в последних версиях Ubuntu, а также может быть установлено в других дистрибутивах Linux.
Также доступны службы, позволяющие настраивать UFW с помощью графического пользовательского интерфейса. Управление UFW не только проще, но и имеет другие преимущества. Он предоставляет пользователям инструменты, включая поддержку IPv6, возможность блокировать ряд IP-адресов и возможность ограничить доступ к определенным портам.
Iptables
Используя набор программируемых табличных правил, брандмауэр командной строки Linux, Iptables, позволяет системным администраторам контролировать как входящий, так и исходящий трафик.
Iptables — один из самых адаптируемых брандмауэров. В основном это связано с такими функциями, как поддержка резервного копирования и восстановления, а также гибкость для работы на различных уровнях. Единственным недостатком является то, что Iptables можно настроить только с помощью интерфейса командной строки, который многим пользователям трудно понять.
Ip6tables
В отличие от Iptables, которые используются в ядре Linux для настройки, поддержки и проверки таблиц правил фильтрации пакетов IPv4, Ip6tables поддерживают правила фильтрации пакетов IPv6. Однако оба имеют почти идентичный синтаксис.
Если пакет соответствует одному из определенных правил, правила определяют, что с ним следует делать. Если правило соответствует, будет цель. Эта цель может быть другой цепочкой или исключительным значением, таким как ACCEPT, DROP или RETURN.
Nftables
Предполагаемая замена Iptables — nftables. Та же команда создала Ntftables, который включает готовые функции IPv4 и IPv6. Его можно настроить только через терминал, как и Iptables. К счастью, он предлагает потребителям более понятный синтаксис.
Это говорит о том, что настройка брандмауэра, входящего в состав операционной системы, должна быть проще для владельцев серверов, которые хотят его использовать. Хотя nftables ранее был интегрирован в несколько дистрибутивов, он все еще не так широко используется, как Iptables. Однако мы ожидаем, что в конечном итоге он заменит брандмауэр Linux по умолчанию.
Брандмауэр сервера конфигурации
ConfigServer Firewall или CSF — один из самых популярных вариантов брандмауэра для серверов Linux. Учитывая, что он бесплатный и использует Iptables в качестве основы, настроить его в большинстве дистрибутивов Linux не так уж сложно. Механизмы в CSF обеспечивают эффективную защиту от сканирования портов и SYN-флуда. Особо следует отметить демона сбоя входа в систему, функцию, которая регулярно отслеживает попытки грубой силы и блокирует IP-адрес нарушителя, если обнаруживает доказательства возможного нападения.
Хотя CSF отличается от многих других решений брандмауэра своим обширным набором функций, для большинства пользователей его основным преимуществом является беспрепятственное соединение с панелями управления веб-хостингом. Пользователям, использующим DirectAdmin, например, не нужно настраивать CSF через интерфейс командной строки. Вместо этого они могут контролировать правила брандмауэра внутри своих панелей управления. В дополнение ко всему этому они могут анализировать исчерпывающую статистику и делать выводы о вероятных тенденциях атак благодаря подключаемым модулям графического интерфейса CSF.
Использование SSH для безопасного удаленного входа
SSH или Secure Socket Shell позволяет подключаться к серверу или удаленному компьютеру с помощью текстовых интерфейсов. Сеанс оболочки будет выполнен после установления безопасного SSH-соединения, что позволит вам выполнять команды из клиентского программного обеспечения на вашем локальном компьютере для управления сервером.
Клиент и связанный с ним серверный компонент создают соединение SSH. Установка SSH-клиента на ваш компьютер позволит вам подключиться к серверу или другому компьютеру. Если учетные данные действительны, клиент создает зашифрованное соединение, используя указанную информацию об удаленном хосте.
Демон SSH — это компонент на стороне сервера, который постоянно отслеживает определенный порт TCP/IP на наличие потенциальных клиентских запросов на подключение. Демон SSH ответит версиями программного обеспечения и протокола, которые он предлагает, как только клиент установит соединение, и затем они поделятся своей идентификационной информацией. Если введенные учетные данные верны, SSH запускает новый сеанс для соответствующей среды.
Вы должны убедиться, что клиентский и серверный компоненты установлены на локальном и удаленном компьютерах соответственно, чтобы установить соединение SSH. OpenSSH — это популярная программа SSH с открытым исходным кодом, используемая в дистрибутивах Linux. OpenSSH может быть легко установлен. И машина, которую вы используете для подключения, и терминал сервера должны быть доступны.
При подключении к удаленному серверу вам будет предложено подтвердить личность системы.
[client]$ ssh tux@10.200.1.3
The authenticity of host '10.200.1.3 (10.200.1.3)' can't be established.
ED25519 key fingerprint is SHA256:55ZkHA/4KU7M9B3je9uj8+oOLjFdV0xHxPTjMvCT0hE.
Are you sure you want to continue connecting (yes/no/[fingerprint])?
Индивидуальной идентификацией системы, в которую вы входите, является отпечаток пальца. Отпечаток системы может быть записан, если вы его установили и настроили, но если нет, то у вас, скорее всего, нет механизма проверки его валидности. Отпечаток пальца взят из ключа SSH, который хранится на удаленном сервере в каталоге /etc/ssh
[server]$ sudo ssh-keygen -v -lf \
/etc/ssh/ssh_host_ed25519_key`
Вы можете получить ключ SSH хоста с помощью приведенной выше команды, и вы можете использовать отпечаток пальца, чтобы убедиться, что сервер, на который вы входите, является тем, который вы ожидаете.
Ключи SSH — самый безопасный выбор, поскольку они предотвращают попытки грубой силы и избавляют вас от необходимости многократно вводить пароль.
Зачем использовать управляемый сервер по сравнению с неуправляемым сервером для обеспечения безопасности
Управляемый сервер обновляется, запускается, настраивается и обслуживается хостинговой компанией (хотя это зависит от хоста к хосту). Для тех из вас, кому может быть неудобно управлять сервером Linux, это отличное решение. Чтобы узнать, какие обязанности может или не может выполнять хостинговая компания, свяжитесь с ними.
Однако неуправляемый сервер обеспечивает гораздо меньшую помощь. Вы будете нести ответственность за управление сервером, обслуживание и настройку. Тем не менее, это более экономичный выбор, и он дает вам некоторую свободу действий в отношении того, что вы делаете.
Безопасен ли управляемый VPS?
С услугой управляемого VPS в вашем круглосуточном распоряжении целый штат квалифицированных специалистов по хостингу. Хотя внутренняя продажа билетов является наиболее распространенным методом, некоторые поставщики услуг также предоставляют техническую поддержку по телефону и в чате. Когда дело доходит до безопасности VPS, это очень важно. Если вам нужно изменить правило брандмауэра, выполнить обновление или сбросить пароль, обычно может помочь немедленная связь со службой поддержки. Поскольку они работают с технологией каждый день, операторы лучше всего подготовлены для выявления ее основных причин.
Основная идея управляемого VPS заключается в том, что сервер полностью настроен для размещения ваших веб-сайтов к тому времени, когда вы получите к нему доступ. Поэтому он нуждается в защите от кибератак. Давайте посмотрим, какова безопасность на других типах хостинга.
Безопасность в других видах хостинга
Безопасность неуправляемого VPS зависит от ваших способностей.Даже неуправляемый сервер может обеспечить высочайший уровень безопасности, если вы знакомы с безопасностью сервера и уверены, что справитесь с ней без труда. Управляемые решения VPS просто избавляют от необходимости решать вопросы безопасности самостоятельно, нанимая внутренних специалистов.
Общий хостинг использует одни и те же ресурсы для нескольких пользователей на общих серверах. Худшая часть этой системы заключается в том, что независимо от того, насколько хорошо вы защищаете свой веб-сайт, если другая учетная запись на сервере будет скомпрометирована, все рискуют. VPS, напротив, изолированы и полностью независимы друг от друга.
Выделенные серверы оставляют безопасность полностью на вас, как и в случае с неуправляемым VPS. Аппаратное обеспечение принадлежит только вам, и вы можете использовать его так, как считаете нужным. Вы можете получить техническую помощь бесплатно или в качестве платной услуги в зависимости от хоста.
Как работают управляемые резервные копии на уровне сервера?
У вас будет доступ к программному обеспечению для резервного копирования на управляемом веб-сервере. Ежедневное резервное копирование файлов вашего сервера защищает самую последнюю копию ваших данных от непредвиденных происшествий или кибератак. Эти резервные копии будут храниться в облаке, вдали от вашего сервера. Если что-то случится с вашим сервером, вы сможете быстро и с небольшой потерей данных восстановить его до самой последней точки восстановления.
Реализации резервного копирования не часто доступны на неуправляемых серверах. Это означает, что для дублирования данных и успешного и безопасного предотвращения потери или повреждения данных вам необходимо будет найти свои собственные решения для резервного копирования хостинга VPS. ИТ-специалисты с нужными навыками могут создавать сценарии резервного копирования, но тогда они будут отвечать за любые правила и процессы резервного копирования.
Включает ли управляемый хостинг обновления и исправления?
Ваша хостинговая компания может обновлять ваш сервер с помощью самых последних исправлений, используя управляемый VPS, защищая вашу систему от хакеров. Использование услуги управляемого хостинга гарантирует, что ваш сервер будет автоматически получать регулярные обновления и исправления ОС.
Фундаментальные исправления операционной системы защищают ваш VPS-хостинг и не позволяют хакерам использовать известные эксплойты против ваших серверов, что делает своевременное исправление необходимым для безопасности вашего VPS.
Операционные системы выпускают обновления, когда есть уязвимость, чтобы исправить вашу сеть и не дать злоумышленникам причинить больше вреда. Все обновления и программные исправления необходимо устанавливать вручную, если вы используете неуправляемый хостинг.
Поставляются ли управляемые серверы с защитой безопасности?
Контролируемый антивирус, также известный как централизованно управляемый антивирус, — это программное обеспечение, предназначенное для защиты компьютерных систем, используемых вашей компанией, от вирусов и других опасностей. Все работает через один сетевой сервер, а не через антивирусное программное обеспечение, установленное на каждом устройстве.
- Управляемая антивирусная защита не имеет финансового смысла для малых предприятий, на которых работает менее десяти человек.
- Средним предприятиям может потребоваться анализ затрат и выгод, чтобы установить осуществимость с экономической точки зрения.
- Для работы централизованно управляемого антивируса необходимо приобрести подписку для каждой рабочей станции в вашей компании.
Надежным управляемым антивирусным решениям часто требуется специалист по безопасности на месте, чтобы гарантировать функциональность системы. Это, несомненно, приведет к значительным затратам для вашей компании, в дополнение к практическим трудностям, связанным с наличием второго лица, ответственного за безопасность на рабочем месте.
Имеют ли управляемые серверы автоматические обновления?
Безопасность VPS зависит от аппаратных усовершенствований, таких как RAID вашего жесткого диска (избыточный массив независимых/недорогих дисков). Обновление этих важнейших аппаратных частей обеспечивает наилучшую производительность хранилища на нескольких жестких дисках.
Все ваши данные могут быть потеряны, если ваша система RAID выйдет из строя. Поэтому очень важно иметь под рукой специализированную бригаду для отслеживания этих аппаратных опасностей. Чтобы обеспечить безопасность вашего сервера, управляемые серверы будут автоматически получать обновления оборудования в центре обработки данных.
Персонал службы поддержки автоматически обновит эти элементы оборудования в нужное время, когда оборудование выйдет из строя или устареет. Даже незначительные корректировки, такие как замена жесткого диска или добавление дополнительной оперативной памяти, могут быть выполнены с помощью управляемой поддержки. Имейте в виду, что ваш веб-сайт или приложение будут недоступны, пока происходят изменения, которые обычно занимают 30 минут или меньше.
Как обезопасить свой VPS (21 совет)
Просто приняв правильные протоколы для защиты вашего сервера, можно избежать многих рисков. Вот несколько распространенных методов, которые помогут вам начать безопасность вашего сервера с правильной ноги.
1. Выберите хостинг-провайдера, который серьезно относится к безопасности
Чтобы обеспечить безопасность вашего сервера, выбранная вами хостинговая компания должна иметь надежную архитектуру безопасности и обеспечивать дополнительную безопасность. Не каждый веб-хост подходит к безопасности одинаково. Клиенты должны тщательно выбирать веб-хостинг, если они хотят обеспечить безопасность своего веб-сайта.
2. Создание пользователя с ограниченными правами
Задачи, не требующие root-доступа, обычно должны выполняться обычным пользователем.
С помощью этой команды вы можете создать нового пользователя:
sudo adduser username
Для запуска административных команд авторизованным пользователям может быть предоставлено специальное право доступа, известное как sudo, которое не требует root-доступа.
После создания пользователя введите данные, которые запрашивает система.
Доступ по SSH будет доступен для нового пользователя. Используйте указанные учетные данные для установления соединения.
Введите следующую команду после входа в систему для выполнения задач, требующих прав root:
su root
При появлении запроса введите пароль для переключения на пользователя root в качестве активного входа в систему.
3. Отключите вход в систему root
На каждом Linux VPS есть пользователь root, который, по сравнению с другими пользователями, имеет самые большие права. Поскольку «root» является именем пользователя по умолчанию для каждого Linux VPS, хакеры используют атаки грубой силы, чтобы попытаться угадать пароль и получить доступ.
Еще одна степень защиты добавляется путем отключения входа в систему с использованием имени пользователя «root», поскольку это не позволяет хакерам просто угадать ваши учетные данные пользователя.
- Вы должны создать имя пользователя вместо того, чтобы входить в систему как пользователь root, и выполнять команды уровня root с помощью sudo.
- Прежде чем отключить учетную запись «root», обязательно создайте пользователя без полномочий root и предоставьте ему необходимые уровни авторизации.
- После этого откройте
/etc/ssh/sshd_configи найдите «PermitRootLogin». Это автоматически ответит «да». Измените его на «нет» и сохраните изменения.
4. Измените SSH-порт
Для корневого доступа и простого управления сервером клиенты VPS часто используют SSH (защищенную оболочку). Обычно он устанавливается на порт 22 по умолчанию. Хакеры также знают об этом и регулярно запускают атаки, используя общий сетевой протокол.
Одним из быстрых решений является изменение номера порта по умолчанию. Это все равно, что украсть магазин, не понимая, где деньги.
Чтобы получить удаленный доступ к SSH, хакеры сканируют серверы на наличие открытых портов. Злоумышленник, который обнаружит SSH на этом порту, может выполнить атаку грубой силы, чтобы получить удаленный доступ к серверу, угадывая учетные данные пользователя root.
Измените файл конфигурации службы с помощью предпочитаемого вами текстового редактора.
sudo nano /etc/ssh/sshd_config
Вам будет предложено ввести номер порта, который вы предпочитаете. Пожалуйста, не используйте номер порта, который уже используется в вашей системе. На всякий случай используйте номер от 49152 до 65535. Затем вы должны сохранить и выйти из файла конфигурации.
Запустите службу снова, используя следующую строку кода:
sudo systemctl restart sshd
Этого должно быть достаточно для реализации корректировок. Не забывайте указывать новый номер порта всякий раз, когда вы запрашиваете SSH-соединение с вашим сервером, например:
ssh username@IPv4_of_your_VPS -p NewPortNumber
5. Удалите ненужные модули/пакеты
Вам вряд ли потребуются все программы и службы, которые есть в вашей системе Linux. Каждая удаленная служба — это на одну уязвимость меньше, поэтому запускайте только те службы, которые действительно используете. Кроме того, чтобы уменьшить возможные опасности, избегайте установки лишнего программного обеспечения, пакетов и служб. Это также предлагает дополнительное преимущество повышения производительности вашего сервера.
6. Отключить IPv6
IPv6 имеет несколько преимуществ. Предпочтительный вариант атаки хакера на большое количество веб-сайтов — использование автоматизированного сценария. IPv6 используется редко. В результате у вас есть определенные потребности для вашего сайта.
Уточните у своего разработчика, нужна ли вам функциональность IPv6 на хостинг-сервере VPS. Немедленно отключите его, если он не используется. Вы можете получить вредоносный трафик через IPv6. Их блокировка защитит ваши данные с помощью безопасного VPS.
Чтобы отключить IPv6,
Войдите в SSH и выполните следующую команду:
sudo nano /etc/sysctl.d/99-sysctl.conf
Откроется файл конфигурации, в который нужно добавить пару строк.
net.ipv6.conf.all.disable_ipv6 = 1
net.ipv6.conf.default.disable_ipv6 = 1
net.ipv6.conf.lo.disable_ipv6 = 1
Сохраните, закройте и запустите файл, используя следующие команды:
sudo sysctl -p
cat /proc/sys/net/ipv6/conf/all/disable_ipv6
Если на вашем терминале стоит 1, IPv6 успешно отключен.
7. Используйте шифрование GnuPG
Вмешательство возможно в любые данные, перемещающиеся в Интернете. Веб-сайты используют HTTPS для шифрования данных между пользователями и веб-сайтами, но другие данные, такие как учетные данные, передаваемые серверным службам, или файлы, отправляемые через FTP, могут быть перехвачены. Асинхронное шифрование решает эту проблему, шифруя данные с помощью открытого ключа, который может расшифровать только закрытый ключ получателя.
Администраторы и владельцы сайтов смогут передавать данные с использованием асинхронного шифрования с помощью программы GnuPG. Любая третья сторона может использовать открытый ключ для отправки зашифрованного контента владельцу сайта или администраторам, а закрытый ключ используется для его расшифровки. Поскольку закрытый ключ полезен для расшифровки данных, его следует хранить в безопасном месте и никому не передавать.
8. Настройте брандмауэр
Настройте брандмауэр и ограничения для доступности контента и открытого доступа. Обычно это делает ваш поставщик услуг на полностью управляемом хостинге VPS. Доступно несколько вариантов брандмауэра.
NetFilter — это брандмауэр, встроенный в ядро Linux, который можно настроить для фильтрации нежелательного трафика. Вы можете защититься от DDoS-атак, используя NetFilter и Iptables. Настроить брандмауэр недостаточно. Убедитесь, что он правильно настроен.
TCPWrapper — еще один важный инструмент; это система списков управления доступом (ACL) на основе хоста для фильтрации доступа к сети для различных программ. Он обеспечивает проверку имени хоста, последовательное ведение журнала и предотвращение спуфинга, которые могут помочь укрепить вашу безопасность.
Мы предлагаем установить Uncomplicated Firewall (UFW) в качестве дополнительного уровня для управления входящим и исходящим трафиком в вашей системе. Это удобный брандмауэр Netfilter.
UFW — это интерфейс для Iptables, который часто присутствует в выпусках Linux. Как правило, он будет отклонять все входящие соединения, но разрешать исходящие соединения, что снижает опасность возможных атак. Кроме того, вы можете изменять и добавлять правила брандмауэра в соответствии с вашими потребностями.
Чтобы включить UFW, сначала подключитесь через SSH с помощью следующей команды:
sudo ufw enable
Если в ответе указано, что такой команды нет, используйте вместо нее эту команду:
sudo apt-get установить ufw
Когда установка будет завершена, запустите первую команду, упомянутую выше, чтобы включить UFW.
Используйте следующую команду для проверки состояния брандмауэра:
status sudo ufw
9. Используйте разбиение диска
Злоумышленники, имеющие возможность запускать исполняемые файлы в ОС, могут влиять на ее работу и функции, а также шпионить за данными. Загрузив и запустив зараженные файлы в пользовательских каталогах /tmp и /var/tmp, злоумышленник может получить доступ к операционной системе.
Разбейте диск на разделы, чтобы файлы операционной системы были отделены от пользовательских файлов, временных файлов и сторонних программ для дополнительной безопасности. В разделе операционной системы вы можете дополнительно отключить доступ к SUID/SGID (nosuid) и выполнение бинарных файлов (noexec).
# mount -t tmpfs -o noexec,nosuid,nodev tmpfs /tmp
# mount -t tmpfs -o noexec,nosuid,nodev tmpfs /var/tmp
10. Сделать /boot доступным только для чтения
Все файлы, относящиеся к ядру, находятся в каталоге «/boot» на серверах Linux. Однако уровень доступа к каталогу по умолчанию — «чтение-запись».
Чтобы предотвратить злонамеренное изменение загрузочных файлов, которые важны для эффективной работы вашего сервера, вы можете установить уровень доступа «только для чтения».
Просто измените файл /etc/fstab и поставьте LABEL=/boot /boot ext2 defaults.
И, если вам когда-нибудь понадобится внести изменения в ядро, вы можете легко переключиться обратно в режим «чтение-запись». Когда вы закончите, вы можете внести свои изменения и вернуть его в «только для чтения».
11. Используйте SFTP, а не FTP
Передача файлов между сервером шифруется с помощью Secure FTP. FTP отправляет все данные в виде открытого текста, но SFTP — это «FTP через SSH», который шифрует передачу файлов. Некоторые владельцы веб-сайтов используют FTPS, хотя FTPS шифрует учетные данные, передаваемые на сервер, только после их аутентификации. SFTP шифрует пароли и передаваемую информацию.
Чтобы настроить SFTP-соединение, войдите в SSH и инициируйте SFTP, используя следующую команду:
sftp user@server_ipaddress
12. Установите антивирусное/антивредоносное ПО.
Основная функция брандмауэра — предотвратить доступ к любым известным враждебным источникам трафика, и он эффективно служит вашей первой линией защиты. Однако ни один брандмауэр не идеален, и иногда вредоносное программное обеспечение может проникнуть внутрь, поэтому вы должны принять дополнительные меры предосторожности.
В результате установка антивирусного программного обеспечения в качестве стратегии повышения безопасности имеет решающее значение. Есть и другие доступные варианты, однако ClamAV является наиболее известным. Это бесплатное программное обеспечение с открытым исходным кодом, которое выявляет подозрительные действия и помещает нежелательные файлы в карантин.
Чтобы установить ClamAV, войдите в SSH, используя следующую команду:
sudo apt-get install clamav clamav-daemon
Теперь ClamAV установлен на вашем компьютере. Выполните следующую команду, чтобы проверить, была ли она установлена или нет.
clamscan --version
13. Включить cPHulk в WHM
В дополнение к брандмауэру cPanel включает в себя защиту от перебора «cPHulk». Положительный трафик, который проходит, может оказаться вредным. Эти ложные срабатывания происходят из-за настроек брандмауэра, и должны быть внесены коррективы для обеспечения дополнительной защиты.
Между тем, cPHulk работает как вторичный брандмауэр на сервере, блокируя попытки грубой силы.
Мы часто обнаруживаем, что cPHulk сначала блокирует возможность входа в систему, а брандмауэр догоняет позже, блокируя полный IP-адрес. Чтобы включить его, перейдите в Центр безопасности WHM и выберите cPHulk Brute Force Protection. Это еще один этап нашей стратегии усиления безопасности для управляемых VPS и выделенных серверов.
14. Предотвращение анонимных загрузок по FTP
Включение анонимной загрузки по FTP повышает риск того, что ваш сервер станет домом для нелегального программного обеспечения или другого запрещенного контента. Это может быть вредоносное ПО, которое заражает остальную часть виртуальной системы. Вместо разрешения анонимных загрузок отключите FTP-сервер, чтобы только авторизованные пользователи могли загружать через FTP.
15. Установите сканер руткитов
Руткиты являются одними из самых смертоносных типов вредоносных программ. Они могут предложить злоумышленнику доступ к серверу, позволить дополнительным вредоносным программам работать в ОС или деактивировать любое антивирусное программное обеспечение. Сканер руткитов, такой как chkrootkit, отключает руткиты или идентифицирует их, если они проникают на сервер.
Поскольку руткиты взаимодействуют с ОС и могут остаться незамеченными обычными службами защиты от вредоносных программ, удалить их значительно сложнее, чем обычные вредоносные программы. В случае продвинутых руткитов может потребоваться переустановка ОС. В результате крайне важно использовать средства защиты от вредоносных программ, которые выявляют и устраняют вредоносное ПО.
16. Делайте регулярные резервные копии
Слишком многие люди не делают частых резервных копий только для того, чтобы расстраиваться, когда возникает какая-то проблема, и у них нет копии своих данных. Всегда есть вероятность того, что что-то пойдет не так, независимо от того, насколько вы осторожны и насколько защищен ваш сервер.
Не подвергайте себя неоправданной опасности, не сумев создать резервную копию, и не полагайтесь на то, что ваш хост сделает это. Мы рекомендуем вам делать резервные копии, даже если ваша хостинговая компания утверждает, что делает это от вашего имени. Сделайте много копий и попробуйте использовать облако, чтобы вашу резервную копию можно было просматривать из любого места.
17. Используйте надежный пароль
Придумайте надежный, непредсказуемый пароль, который сможете запомнить только вы. Это обеспечивает безопасность VPS и предотвращает вторжение данных.
Атаки грубой силы часто нацелены на общие пароли на серверах. Система паролей часто неверно истолковывается. Хотя сложность важна, важна и длина. Хотя использование комбинации заглавных и строчных букв, цифр и специальных символов является хорошей идеей, вы также должны сделать ее настолько длинной, насколько это возможно.
Сообщите об этом своим пользователям и примите административные меры для защиты вашего сервера. И cPanel, и Plesk могут быть настроены на требование надежных паролей и автоматическое истечение срока действия учетных данных.
Как установить надежный пароль? Вот несколько советов, которые вы могли бы использовать:
- Не менее 15 символов для доступа к очень конфиденциальным данным и 30 символов для доступа к особо конфиденциальным данным.
- Используйте хотя бы один цифровой символ.
- Не используйте отсылки к поп-культуре.
- Должен быть хотя бы один специальный символ.
- Должны присутствовать прописные и строчные буквы.
- Не используйте один и тот же пароль более одного раза.
- Для каждого входа в root (Linux) потребуется свой уникальный пароль.
18. Отслеживайте журналы вашего VPS-сервера
Администраторы хоста и владельцы сайтов должны иметь возможность отслеживать. Мониторинг сервера должен регистрировать определенные события, такие как сбои входа в систему, неудачные загрузки, ошибки или другие типичные опасности. Эти журналы затем можно использовать в анализе и отчетах, чтобы предоставить администраторам обширные данные и информацию о действиях сервера. Администраторы могут использовать журналы для обнаружения продолжающихся атак или нарушений.
Менеджеры узлов могут отслеживать активность серверов, чтобы гарантировать безопасность клиентских сайтов, но владельцы сайтов должны делать то же самое. Чем раньше будет остановлен взлом, тем уже будет окно для хакера, чтобы украсть данные.
19. Отключить неиспользуемые порты
Поскольку информация о сервере передается через сетевые порты, она может стать важной целью для киберпреступников. Ваш ИТ-администратор должен распознавать открытые порты и закрывать их, чтобы предотвратить доступ хакеров.
Вместо того, чтобы закрывать сетевые порты, вы можете выбрать брандмауэр для портов вашей системы. Это допустимый вариант, но вы должны следить за настройками UPNP. UPNP — это конфигурация программного обеспечения брандмауэра, которая автоматически открывает сетевые порты. Деактивация этой функции оптимизирует безопасность вашего брандмауэра и сетевых портов.
Другой вариант — обнаружить открытые порты с помощью команды netstat. Затем команда Iptables может изменить настройки брандмауэра или открыть порты. Сначала запустите netstat, чтобы узнать, какие порты открыты:
netstat -a
Если порт открыт, Netstat подтвердит это. После подтверждения введите следующую команду, чтобы деактивировать порт по вашему выбору:
iptables -I INPUT -p tcp -dport 22 -j DROP
20. Держите операционную систему исправленной и обновленной
Операционная система Linux была разработана с учетом требований безопасности, однако могут возникать проблемы, которые необходимо решать. Когда потребуются исправления, поставщик вашего дистрибутива предоставит обновление. При определенных обстоятельствах найденная уязвимость считается критической. Когда уязвимость значительна, администраторы должны незамедлительно обновить операционную систему, поскольку эксплойт может подвергнуть сервер опасности.
Чем дольше операционная система остается без исправлений, тем шире окно возможностей для злоумышленников. Обновления сервера часто устанавливаются администраторами, однако поздние обновления делают сервер уязвимым для уязвимостей, пока не появятся исправления.
21. Внедрите fail2ban для блокировки вредоносных IP-адресов
Fail2ban — это технология обработки журналов, которая отслеживает каждое действие на сервере с помощью системных журналов. Программа отслеживает и информирует пользователей об автоматических атаках на ваш сервер из неизвестных источников.
Слишком много неправильных паролей, неправомерное использование файлов и вставка данных в файлы являются признаками вредоносного ПО. Он также защищает серверы от DoS-атак, DDoS-атак, атак по словарю и перебора. Fail2Ban блокирует IP-адреса с помощью Iptables и firewalld.
Чтобы настроить программное обеспечение Fail2ban, запустите SSH-соединение и установите его с помощью следующей команды:
sudo apt-get install fail2ban
Проверьте состояние установки с помощью приведенной ниже команды.
sudo systemctl status fail2ban
Финальные дубли
Недостатки безопасности веб-серверов могут иметь катастрофические последствия. Миллионы хакеров по всему миру делают все возможное, чтобы найти даже самые маленькие бреши в безопасности вашего VPS. Корпоративные веб-сайты и веб-сайты электронной коммерции, в частности, становятся популярными целями для потенциальных киберпреступников. Несмотря на то, что в большинстве организаций существуют базовые процедуры безопасности, они часто неадекватны и легко используются.
Крайне важно постоянно поддерживать и защищать ваш VPS, особенно когда на нем хранятся важные данные и программы.
- Хотя Linux популярен благодаря своей высокой безопасности, он все же содержит недостатки, о которых вам следует знать.
- Вредоносное ПО, сниффер и атаки грубой силы, SQL-инъекции, межсайтовый скриптинг (XSS), отсутствие контроля на уровне функций и ошибочная аутентификация — вот примеры распространенных кибератак и проблем, о которых следует знать.
- В результате пользователи виртуальных частных серверов должны понимать, как защитить их и управлять ими.
Часто задаваемые вопросы (FAQ)
- Безопасен ли VPS?
Когда дело доходит до безопасности VPS, имейте в виду, что VPS так же безопасен, как и другие типы серверов. Хорошим подходом было бы разрешить обычным пользователям войти на сервер, а затем предоставить логины суперпользователя.
- Почему я должен выбрать безопасность управляемого VPS?
Если вы не знакомы с администрированием серверов и у вас нет поддержки опытного разработчика, управляемые услуги VPS — ваш лучший выбор.
- Каковы риски безопасности при использовании серверов VPS?
Плохая конфигурация безопасности, слабые пароли, отсутствие обновлений безопасности и использование нелицензионного программного обеспечения — это лишь некоторые из уязвимостей, которые хакеры используют для получения доступа к вашей учетной записи и веб-сайту.
- Требуются ли WHM и cPanel на моем VPS?
Строго говоря, вам не нужны WHM или cPanel для вашего VPS. Есть несколько дополнительных панелей управления веб-хостингом, которые могут помочь вам в администрировании вашего виртуального сервера, и вы даже можете попробовать обойтись без них.