Zabezpečený linux vps

V digitálním věku zabezpečení vašeho virtuálního privátního serveru Linux (VPS)
je nejdůležitější pro ochranu vašich dat a infrastruktury. Tento
komplexní průvodce zkoumá metody ochrany vašeho Linux VPS proti
kybernetické hrozby.

Udržujte svůj systém
Aktualizováno

Jedním z nejdůležitějších aspektů zabezpečení vašeho Linux VPS je
ujistěte se, že váš systém je aktuální. Zastaralý software může
obsahují zranitelná místa, která mohou zneužít útočníci. Zde je návod, jak na to
udělej to:

Použijte Správce balíčků

Většina distribucí Linuxu poskytuje správce balíčků. Například pokud
používáte systém založený na Debianu, můžete spustit následující příkazy
pro aktualizaci a upgrade balíčků:

sudo apt update
sudo apt upgrade

Pokud používáte systém CentOS, použijte yum:

sudo yum update

Nastavit automaticky
Aktualizace

Nastavte automatické aktualizace se zapnutými bezobslužnými aktualizacemi
Systémy založené na Debianu:

Na systémech založených na Debianu, jako je Ubuntu, můžete použít
balíček bezobslužných upgradů pro automatizaci procesu aktualizace.

1. Instalace bezobslužných upgradů:

sudo apt install unattended-upgrades

2. Nakonfigurujte nastavení automatické aktualizace. Upravte konfiguraci
   soubor:

sudo nano /etc/apt/apt.conf.d/50unattended-upgrades

3. Povolit automatické aktualizace pro balíčky související se zabezpečením:

Unattended-Upgrade::Allowed-Origins {
    "${distro_id}:${distro_codename}-security";
    "${distro_id}:${distro_codename}-updates";
    "${distro_id}:${distro_codename}-proposed";
    "${distro_id}:${distro_codename}-backports";
};

4. Povolte a spusťte službu bezobslužných upgradů:

sudo dpkg-reconfigure -plow unattended-upgrades

Tento příkaz vás vyzve k potvrzení změn. Vyberte „Ano“.
povolit automatické aktualizace.

Nastavte automatické aktualizace se zapnutým yum-cronem
CentOS:

Na CentOS můžete použít yum-cron pro automatické aktualizace:

1. Nainstalujte yum-cron:

sudo yum install yum-cron

2. Spusťte a povolte službu yum-cron:

sudo systemctl enable yum-cron
sudo systemctl start yum-cron

Použití
Silná hesla a klíče SSH pro bezpečné ověřování

Zabezpečení vašeho Linux VPS zahrnuje použití silných metod ověřování.
Ať už se připojujete z klienta pro Linux nebo Windows, zde je návod, jak na to
efektivně používat silná hesla a klíče SSH:

Použití Strong
Hesla

Při vytváření uživatelských účtů na vašem VPS se ujistěte, že jsou hesla nastavena
komplexní, kombinující velká a malá písmena, čísla a speciální
postavy. Vyhněte se snadno uhodnutelným heslům.

Pomocí klíče SSH
Autentizace

Pro klienta Linux:

1. Chcete-li vygenerovat pár klíčů SSH na svém klientovi Linux, použijte ssh-keygen
   příkaz:

ssh-keygen -t rsa -b 2048

Veřejný klíč bude standardně uložen v ~/.ssh/id_rsa.pub.

2. Zkopírujte svůj veřejný klíč do VPS:

ssh-copy-id user@your_server_ip

3. Zakažte přihlašování SSH na základě hesla na VPS na serveru SSH
   konfigurační soubor (/etc/ssh/sshd_config):

PasswordAuthentication no

Pro klienta Windows:

1. V systému Windows použijte pro podobné funkce PowerShell:

ssh-keygen

2. Zkopírujte svůj veřejný klíč do VPS pomocí PowerShellu. Nahradit
   IP-ADDRESS-OR-FQDN se vzdáleným serverem
   adresa:

type $env:USERPROFILE\.ssh\id_rsa.pub | ssh root@{IP-ADDRESS-OR-FQDN} "cat >> .ssh/authorized_keys"

3. Zakažte přihlašování SSH na základě hesla na VPS na serveru SSH
   konfigurační soubor (/etc/ssh/sshd_config):

PasswordAuthentication no

Implementujte bránu firewall

Zabezpečení vašeho Linux VPS zahrnuje nastavení firewallu, který budete ovládat
příchozí a odchozí provoz. Zde je návod, jak implementovat firewall
zvýšit bezpečnost:

Použijte ufw (Uncomplicated Firewall) na Debian/Ubuntu nebo
firewall na CentOS:

1. Nainstalujte nástroj pro správu brány firewall, pokud ještě není nainstalován.

Pro ufw na Debian/Ubuntu:

sudo apt install ufw

Pro firewall na CentOS:

sudo yum install firewalld

2. Přidejte pravidla pro povolení SSH před povolením brány firewall, aby se zabránilo bytí
   uzamčeno:

Pro ufw na Debian/Ubuntu:

sudo ufw allow OpenSSH

Pro firewall na CentOS:

sudo firewall-cmd --permanent --add-service=ssh

3. Povolte firewall a nastavte výchozí pravidla:

Pro ufw na Debian/Ubuntu:

sudo ufw enable
sudo ufw default deny incoming
sudo ufw default allow outgoing

Pro firewall na CentOS:

sudo systemctl start firewalld
sudo systemctl enable firewalld

4. Znovu načtěte bránu firewall, aby se změny projevily.

Pro ufw na Debian/Ubuntu:

sudo ufw reload

Pro firewall na CentOS:

sudo systemctl reload firewalld

Zakázat přihlášení uživatele root

Zabezpečení vašeho Linux VPS zahrnuje omezení přístupu root. Zde je návod
pro zakázání přihlášení root pro vyšší zabezpečení:

1. Vytvořit nového uživatele: Přihlaste se do svého VPS jako uživatel root. Poté vytvořte
   nový uživatelský účet s právy sudo. Nahraďte nového uživatele svým
   požadované uživatelské jméno:

adduser newuser
usermod -aG sudo newuser

2. Vytvořte adresář .ssh, autorizované_klíče a nastavte oprávnění pro
   nový uživatel:

mkdir -p /home/newuser/.ssh
touch /home/newuser/.ssh/authorized_keys
chmod 600 /home/newuser/.ssh/authorized_keys
chown -R newuser:newuser /home/newuser/.ssh

3. Nezapomeňte vygenerovat a zkopírovat veřejný klíč do svého
   VPS.

4. Přihlaste se jako Nový uživatel.

5. Odpojte se od VPS (pokud jste připojeni jako root) a přihlaste se
   zpět pomocí nového uživatelského účtu. To zajišťuje, že můžete provádět
   administrativní úkoly pomocí sudo.

6. Upravit konfiguraci SSH:

Otevřete konfigurační soubor serveru SSH na svém VPS. Tento soubor je
obvykle umístěn v /etc/ssh/sshd_config:

sudo nano /etc/ssh/sshd_config

Najděte řádek s nápisem PermitRootLogin a nastavte jej na no:

PermitRootLogin no

Uložte soubor a ukončete textový editor.

7. Restartujte službu SSH:

Po provedení této změny byste měli restartovat službu SSH pro
nová nastavení, která se projeví:

Na Debian/Ubuntu:

sudo systemctl restart ssh

Na CentOS:

sudo systemctl restart sshd

Harden SSH
Konfigurace

Zabezpečení vašeho Linux VPS zahrnuje další posílení SSH
konfigurace pro větší zabezpečení a zajištění souladu pravidel UFW
datum. Zde je návod, jak zpevnit nastavení SSH a aktualizovat UFW
pravidla:

1. Povolit nový port SSH v UFW:

Pokud používáte UFW (Uncomplicated Firewall), nejprve povolte nový SSH
port před provedením změn výchozího portu:

# Allow the new SSH port (e.g., 2222)
sudo ufw allow 2222/tcp

2. Odebrat OpenSSH z pravidel UFW:

Po změně portu SSH byste měli odstranit starý OpenSSH
služba (výchozí port 22) z pravidel UFW, aby bylo zajištěno, že pouze nové
Port SSH je povolen:

# Remove the old OpenSSH service (default port 22)
sudo ufw delete allow OpenSSH

3. Změňte port SSH:

Ve výchozím nastavení používá SSH port 22. Změnou výchozího portu lze přidat
další vrstvu zabezpečení tím, že je pro automatizované roboty obtížnější najít
váš SSH server.

Otevřete konfigurační soubor serveru SSH:

sudo nano /etc/ssh/sshd_config

Najděte řádek s nápisem Port 22 a změňte číslo portu na a
jiný, nepoužitý port, například 2222:

Port 2222

4. Povolit opětovné ověření klíče:

Pro další zabezpečení můžete nastavit časový limit pro opětovné ověření klíče
vaše relace SSH. To znamená, že pokud opustíte relaci SSH
bez dozoru, po určité době automaticky vyprší.

Přidejte nebo upravte následující řádky v konfiguraci serveru SSH
soubor a poté jej uložte:

ClientAliveInterval 300
ClientAliveCountMax 2

5. Znovu načíst pravidla UFW a službu SSH:

sudo ufw reload
sudo systemctl restart ssh

6. Jakmile provedete potřebné změny, můžete vytvořit nový SSH
   připojení pomocí následujícího příkazu:

ssh -p <new_port> user@your_server_ip

Implementujte Fail2Ban

Zabezpečení vašeho Linux VPS zahrnuje jeho ochranu před přihlášením hrubou silou
pokusy a další typy škodlivé činnosti. Fail2Ban je užitečný
nástroj pro tento účel. Zde je návod, jak implementovat Fail2Ban:

1. Nainstalujte Fail2Ban:

Začněte aktualizací seznamu balíčků, abyste měli jistotu, že máte nejnovější
dostupné balíčky:

Pro systémy založené na Debianu (např. Ubuntu):

sudo apt update

Pro CentOS:

sudo yum update

Nainstalujte Fail2Ban:

Pro systémy založené na Debianu:

sudo apt install fail2ban

Pro CentOS:

sudo yum install fail2ban

2. Konfigurace Fail2Ban:

Hlavní konfigurační soubor Fail2Ban se nachází na
/etc/fail2ban/jail.conf. Můžete vytvořit přepsání
soubor na /etc/fail2ban/jail.local pro přizpůsobení nastavení
bez úpravy výchozí konfigurace. Otevřete tento soubor:

sudo nano /etc/fail2ban/jail.local

Přidejte následující konfiguraci k zákazu IP adres na 10 minut
(600 sekund) po šesti neúspěšných pokusech o přihlášení. Upravte parametry jako
potřebné:

[sshd]
enabled = true
maxretry = 6
findtime = 600
bantime = 600

Uložte soubor a ukončete textový editor.

3. Spustit a povolit Fail2Ban:

Spusťte Fail2Ban a povolte jeho spuštění při startu:

sudo systemctl start fail2ban
sudo systemctl enable fail2ban

4. Zkontrolujte stav Fail2Ban:

Můžete zkontrolovat stav Fail2Ban, abyste se ujistili, že funguje
očekávaný:

sudo fail2ban-client status

Měli byste vidět, že monitoruje službu SSH.

6 základních metod zde diskutovaných poskytuje robustní obranu
proti potenciálním zranitelnostem. Tím, že budete svůj systém aktualizovat,
použití silné autentizace, konfigurace firewallů, posílení SSH,
a implementací Fail2Ban posilujete své VPS a udržujete klid
mysli ve stále propojeném světě. Pokud máte nějaké dotazy, ne
neváhejte kontaktovat náš tým podpory odesláním
lístek.