Zabezpečení Linux VPS

V digitálním věku je zabezpečení vašeho Virtual Private Server Linux (VPS)
zásadní pro ochranu vašich dat a infrastruktury. Tato
komplexní příručka zkoumá metody ochrany vašeho Linux VPS proti
bezpečnostní hrozby.

Udržujte váš systém v aktuálním stavu
Aktualizováno

Jedním z nejdůležitějších aspektů zabezpečení vašeho Virtual Private Server Linux (VPS) je
zajištění, aby váš systém byl vždy aktualizovaný. Zastaralý software může
obsahovat zranitelnosti, které mohou útočníci zneužít. Zde je postup:
Udělej to:

Použijte správce balíčků

Většina distribucí Linux poskytuje správce balíčků. Pokud například
používáte systém založený na Debian, můžete spustit následující příkazy
aktualizace a upgrade balíčků:

sudo apt update
sudo apt upgrade

Pokud máte systém CentOS, použijte yum:

sudo yum update

Nastavit automatické
Aktualizace

Nastavení automatických aktualizací s unattended-upgrades na
systémech Debian:

Na systémech založených na Debian, jako je Ubuntu, můžete použít
balíček unattended-upgrades k automatizaci procesu aktualizace.

1. Instalace unattended-upgrades:

sudo apt install unattended-upgrades

2. Nakonfigurujte nastavení automatické aktualizace. Upravte konfiguraci
   soubor:

sudo nano /etc/apt/apt.conf.d/50unattended-upgrades

3. Povolit automatické aktualizace pro balíčky související se zabezpečením:

Unattended-Upgrade::Allowed-Origins {
    "${distro_id}:${distro_codename}-security";
    "${distro_id}:${distro_codename}-updates";
    "${distro_id}:${distro_codename}-proposed";
    "${distro_id}:${distro_codename}-backports";
};

4. Povolit a spustit službu unattended-upgrades:

sudo dpkg-reconfigure -plow unattended-upgrades

Tento příkaz vás požádá o potvrzení změn. Vyberte "Ano" pro
povolení automatických aktualizací.

Nastavení automatických aktualizací s yum-cron na
CentOS:

Na CentOS můžete pro automatické aktualizace použít yum-cron:

1. Instalace yum-cron:

sudo yum install yum-cron

2. Spuštění a povolení služby yum-cron:

sudo systemctl enable yum-cron
sudo systemctl start yum-cron

Použijte
Silná hesla a SSH klíče pro bezpečné ověření

Zabezpečení vašeho Linux VPS zahrnuje použití silných metod ověření.
Ať se připojujete z klienta Linux nebo Windows, takto
efektivně používejte silná hesla a SSH klíče:

Použití silného
Hesla

Při vytváření uživatelských účtů na VPS se ujistěte, že hesla jsou
složitá, obsahují kombinaci velkých a malých písmen, číslic a speciálních
znaků. Vyhýbejte se snadno uhádnutelným heslům.

Používání SSH klíče
Ověřování

Pro klienta Linux:

1. Pokud chcete vytvořit pár klíčů SSH na klientovi Linux, použijte ssh-keygen
   Tento STEJNÝ řetězec byl přeložen do arabštiny jako: ':' Takže víš, že JE přeložitelný, není to název značky. Přeložit do češtiny nyní.

ssh-keygen -t rsa -b 2048

Veřejný klíč se standardně uloží do ~/.ssh/id_rsa.pub.

2. Zkopírujte svůj veřejný klíč na VPS:

ssh-copy-id user@your_server_ip

3. Na serveru SSH zakažte přihlášení pomocí hesla SSH na VPS
   v konfiguračním souboru (/etc/ssh/sshd_config):

PasswordAuthentication no

Pro klienta Windows:

1. Na Windows použijte PowerShell pro podobnou funkčnost:

ssh-keygen

2. Zkopírujte svůj veřejný klíč na VPS přes PowerShell. Nahraďte
   IP-ADDRESS-OR-FQDN adresou vzdáleného serveru
   Adresa:

type $env:USERPROFILE\.ssh\id_rsa.pub | ssh root@{IP-ADDRESS-OR-FQDN} "cat >> .ssh/authorized_keys"

3. Na serveru SSH zakažte přihlášení pomocí hesla SSH na VPS
   v konfiguračním souboru (/etc/ssh/sshd_config):

PasswordAuthentication no

Implementovat bránu Firewall

Zabezpečení Linux VPS zahrnuje nastavení firewallu pro kontrolu
příchozího a odchozího provozu. Zde je postup implementace firewallu:
zlepšit zabezpečení

Použijte ufw (Uncomplicated Firewall) na Debian/Ubuntu nebo
firewalld na CentOS:

1. Nainstalujte nástroj pro správu firewallu, pokud ještě není nainstalován.

Pro ufw na Debian/Ubuntu:

sudo apt install ufw

Pro firewalld na CentOS:

sudo yum install firewalld

2. Přidejte pravidla pro povolení SSH před povolením firewallu, aby se zabránilo
   uzamčen/a

Pro ufw na Debian/Ubuntu:

sudo ufw allow OpenSSH

Pro firewalld na CentOS:

sudo firewall-cmd --permanent --add-service=ssh

3. Povolte firewall a nastavte výchozí pravidla:

Pro ufw na Debian/Ubuntu:

sudo ufw enable
sudo ufw default deny incoming
sudo ufw default allow outgoing

Pro firewalld na CentOS:

sudo systemctl start firewalld
sudo systemctl enable firewalld

4. Znovu načtěte firewall, aby se změny projevily.

Pro ufw na Debian/Ubuntu:

sudo ufw reload

Pro firewalld na CentOS:

sudo systemctl reload firewalld

Zakázat přihlášení jako root

Zabezpečení Linux VPS zahrnuje omezení přístupu root. Zde je postup
jak zakázat přihlášení jako root pro zvýšení zabezpečení:

1. Vytvořte nového uživatele: Přihlaste se na VPS jako root. Poté vytvořte
   nový účet uživatele s oprávněními sudo. Nahraďte newuser vaším
   požadované uživatelské jméno:

adduser newuser
usermod -aG sudo newuser

2. Vytvořte adresář .ssh, authorized_keys a nastavte oprávnění pro
   nového uživatele:

mkdir -p /home/newuser/.ssh
touch /home/newuser/.ssh/authorized_keys
chmod 600 /home/newuser/.ssh/authorized_keys
chown -R newuser:newuser /home/newuser/.ssh

3. Nezapomeňte vytvořit a zkopírovat veřejný klíč na
   VPS.

4. Přihlaste se jako nový uživatel.

5. Odpojte se od VPS (pokud jste připojeni jako root) a přihlaste se
   zpět pomocí nového účtu uživatele. Tím se zajistí, že můžete provádět
   správní úkoly pomocí sudo.

6. Upravte konfiguraci SSH:

Otevřete konfigurační soubor serveru SSH na vašem VPS. Tento soubor se
obvykle nachází na /etc/ssh/sshd_config:

sudo nano /etc/ssh/sshd_config

Najděte řádek, který se čte PermitRootLogin, a nastavte jej na no:

PermitRootLogin no

Uložte soubor a zavřete textový editor.

7. Restartujte službu SSH:

Po provedení této změny byste měli restartovat službu SSH, aby se
nová nastavení projevila:

Na Debian/Ubuntu:

sudo systemctl restart ssh

Na CentOS:

sudo systemctl restart sshd

Posílení bezpečnosti SSH
Konfigurace

Zabezpečení vašeho Linux VPS zahrnuje další zpevnění konfigurace SSH
pro zvýšenou bezpečnost a zajištění, že pravidla UFW jsou aktuální.
Tady je postup, jak zpevnit nastavení SSH a aktualizovat UFW:
pravidla:

1. Povolte nový port SSH v UFW:

Pokud používáte UFW (Uncomplicated Firewall), nejdříve povolte nový port SSH
předtím, než provedete změny výchozího portu:

# Allow the new SSH port (e.g., 2222)
sudo ufw allow 2222/tcp

2. Odeberte OpenSSH z pravidel UFW:

Po změně portu SSH byste měli odebrat starou službu OpenSSH
(výchozí port 22) z pravidel UFW, abyste zajistili, že je povolen pouze nový
port SSH:

# Remove the old OpenSSH service (default port 22)
sudo ufw delete allow OpenSSH

3. Změňte port SSH:

Ve výchozím nastavení SSH používá port 22. Změna výchozího portu může přidat
další vrstvu zabezpečení tím, že ztěžuje automatizovaným botům nalezení
váš server SSH.

Otevřete konfigurační soubor serveru SSH:

sudo nano /etc/ssh/sshd_config

Najděte řádek s textem Port 22 a změňte číslo portu na
jiný, nepoužívaný port, například 2222:

Port 2222

4. Povolte opětovné ověření klíče:

Můžete nastavit časový limit pro opětovné ověření klíče, abyste dále
zabezpečili svou relaci SSH. To znamená, že pokud necháte relaci SSH
bez dozoru, automaticky vyprší po určité době.

Přidejte nebo upravte následující řádky v konfiguračním souboru serveru
SSH a pak soubor uložte:

ClientAliveInterval 300
ClientAliveCountMax 2

5. Znovu načtěte pravidla UFW a službu SSH:

sudo ufw reload
sudo systemctl restart ssh

6. Jakmile provedete potřebné změny, můžete vytvořit nové připojení
   SSH pomocí následujícího příkazu:

ssh -p <new_port> user@your_server_ip

Implementujte Fail2Ban

Zabezpečení vašeho Linux VPS zahrnuje ochranu před útoky hrubou silou
a dalšími typy škodlivé činnosti. Fail2Ban je užitečný
nástroj pro tento účel. Zde je postup, jak implementovat Fail2Ban:

1. Nainstalujte Fail2Ban:

Začněte aktualizací seznamu balíčků, abyste měli nejnovější verzi:
dostupné balíčky:

Pro systémy založené na Debian (např. Ubuntu):

sudo apt update

Pro CentOS:

sudo yum update

Nainstalujte Fail2Ban:

Pro systémy založené na Debian:

sudo apt install fail2ban

Pro CentOS:

sudo yum install fail2ban

2. Konfigurace Fail2Ban:

Hlavní konfigurační soubor Fail2Ban se nachází v
/etc/fail2ban/jail.conf. Můžete vytvořit přepsání
soubor na /etc/fail2ban/jail.local přizpůsobit nastavení
bez úpravy výchozí konfigurace. Otevřete tento soubor:

sudo nano /etc/fail2ban/jail.local

Přidejte následující konfiguraci, aby se IP adresy zablokovaly na 10 minut
(600 sekund) po šesti neúspěšných pokusech o přihlášení. Upravte parametry podle
potřebné:

[sshd]
enabled = true
maxretry = 6
findtime = 600
bantime = 600

Uložte soubor a zavřete textový editor.

3. Spusťte a povolte Fail2Ban:

Spusťte Fail2Ban a povolte jeho automatické spuštění při startu systému:

sudo systemctl start fail2ban
sudo systemctl enable fail2ban

4. Zkontrolovat stav Fail2Ban:

Můžete zkontrolovat stav Fail2Ban a ověřit, že funguje správně:
jak se očekávalo:

sudo fail2ban-client status

Měli byste vidět, že monitoruje službu SSH.

Šest základních metod zde popsaných poskytuje efektivní ochranu
před potenciálními bezpečnostními hrozbami. Pokud budete pravidelně aktualizovat svůj systém,
používat silné ověřování, konfigurovat firewall, posílit SSH
a nasadit Fail2Ban, posílíte bezpečnost VPS a získáte klid
v dnešním propojeném světě. Máte-li jakékoli otázky,
neváhejte kontaktovat náš tým podpory na odesílání
lístek.