Linux VPS-servere tilbyder bedre sikkerhed end Windows-systemer gennem deres indbyggede Linux-sikkerhedsmodel. Intet system er dog skudsikkert. Hackere scanner aktivt millioner af servere dagligt og søger efter sårbarheder for at udnytte følsomme data eller bruge servere til store angreb.
At lære at sikre en Linux-server kræver bevidst konfiguration. Friske VPS-installationer kommer med standardindstillinger, der prioriterer tilgængelighed frem for sikkerhed. Forståelse af, hvordan man sikrer Linux-serverimplementeringer, beskytter mod nye trusler, samtidig med at systemets funktionalitet bevares. Denne guide viser dig 20 væsentlige trin til at sikre Linux-serverinfrastruktur og transformere dit sårbare system til en fæstning, der afviser almindelige angreb.
Hvad er Linux VPS?
En Linux VPS (Virtual Private Server) kører på cloud-platforme med dedikerede ressourcer adskilt fra andre brugere. I modsætning til delt hosting, hvor én kompromitteret konto kan påvirke andre, isolerer sikker VPS-hosting dit miljø. Angribere retter sig dog stadig mod usikrede VPS-servere for at stjæle data, installere malware eller starte angreb mod andre systemer.
Når du bestiller køb Linux VPS hosting, kommer operativsystemet forudinstalleret med grundlæggende indstillinger. Disse standardkonfigurationer prioriterer brugervenlighed frem for sikkerhed og efterlader din server udsat for automatiserede angreb, der scanner for almindelige sårbarheder. Implementering af sikkerhedsskydata med VPS-servere kræver proaktive foranstaltninger ud over den grundlæggende installation.
Hvorfor du bør sikre din Linux VPS
Usikrede servere bliver mål inden for få timer efter, at de er gået online. Organisationer står nu over for en gennemsnit på 1.876 cyberangreb om ugen, hvilket repræsenterer en stigning på 75 % i forhold til året før. At forstå, hvordan man sikrer Linux-serverinfrastrukturen beskytter mod disse konstante trusler, der kan kompromittere dit system.
Det farligste aspekt er, at sofistikerede angreb ofte bliver uopdaget. Angribere kan få adgang til dine data, overvåge kommunikation eller bruge din servers ressourcer uden tydelige tegn på indtrængen. Sikker VPS-hosting kræver proaktive foranstaltninger, fordi angribere ikke annoncerer deres tilstedeværelse - når du bemærker usædvanlig aktivitet, kan betydelig skade allerede være sket.
Linux Security Model (LSM)
Linux inkluderer indbyggede sikkerhedsfunktioner, der nægter uautoriseret adgang til kritiske systemkomponenter. Linux-sikkerhedsmodellen med diagram viser, hvordan adgangskontrol beskytter filer, processer og brugerinteraktioner. Dette skaber flere sikkerhedslag, der gør udnyttelsen sværere sammenlignet med andre operativsystemer.
LSM'er kan dog ikke forhindre angreb forårsaget af dårlig konfiguration, svage adgangskoder eller forældet software. De giver grundlaget for, hvordan man sikrer en Linux-server, men kræver korrekt implementering for at være effektiv Ubuntu VPS hosting og andre Linux-distributioner.
20 måder at sikre Linux VPS på
Disse sikkerhedsforanstaltninger går fra grundlæggende konfigurationsændringer til avancerede overvågningssystemer. At mestre, hvordan man sikrer Linux-servermiljøer, kræver, at disse trin implementeres systematisk for at bygge en sikker Linux-server, der modstår almindelige angrebsvektorer.
Hver teknik adresserer specifikke sårbarheder, som angribere almindeligvis udnytter. Metoderne spænder fra grundlæggende konfigurationer, som enhver server har brug for, til sofistikerede overvågningssystemer til avanceret trusselsdetektion. Nogle foranstaltninger giver øjeblikkelig beskyttelse, mens andre skaber langsigtet sikkerhedsresiliens. Implementeringsrækkefølgen har betydning – grundlæggende hærdningstrin bør gå forud for avancerede overvågningsværktøjer. Tilsammen skaber disse 20 strategier overlappende sikkerhedslag, der reducerer din servers angrebsoverflade markant.
1. Hold softwaren opdateret
Forældet software indeholder kendte sikkerhedssårbarheder, som angribere udnytter. Softwareudviklere udgiver regelmæssigt patches, der løser disse sårbarheder, hvilket gør opdateringer til din første forsvarslinje for at sikre Linux-serversystemer.
Konfigurer automatiske opdateringer til kritiske sikkerhedsrettelser:
# Ubuntu/Debian
sudo apt update && sudo apt upgrade -y
# CentOS/RHEL
sudo yum update -yKonfigurer e-mail-meddelelser om tilgængelige opdateringer for at holde dig informeret om sikkerhedsrettelser, der kræver manuel gennemgang.
2. Deaktiver root-login
Hver Linux-server inkluderer en "root"-brugerkonto med ubegrænset systemadgang. Da hackere ved, at denne konto altid eksisterer, målretter de den med brute force angreb at gætte adgangskoder og få fuldstændig serverkontrol.
Opret en ny administrativ bruger, før du deaktiverer root-adgang:
# Create new user
sudo adduser adminuser
sudo usermod -aG sudo adminuser
# Disable root login in SSH configuration
sudo nano /etc/ssh/sshd_config
# Change: PermitRootLogin no
sudo systemctl restart sshdDette tvinger angribere til at gætte både brugernavn og adgangskode, hvilket øger sikkerheden markant.
3. Generer et SSH-nøglepar
Adgangskodebaserede logins, især hvis adgangskoderne er svage, kan være en sårbarhed. SSH-nøglegodkendelse tilbyder et mere sikkert alternativ. Ved at bruge kryptografiske nøgler i stedet for adgangskoder, sikrer du en mere robust og svær at knække godkendelsesmetode.
Denne sikkerhedsforanstaltning er særlig kritisk i betragtning af det stjålne legitimationsoplysninger fungerer som den indledende angrebsvektor i 24 % af databrud ifølge sikkerhedsundersøgelser. Disse angreb tager længere tid at opdage og indeholde end nogen anden metode, hvilket gør forebyggelse gennem SSH-nøgler afgørende.
Generer SSH-nøglepar til sikker godkendelse:
ssh-keygen -t rsa -b 4096
ssh-copy-id username@server-ipSSH-nøgler kan være op til 4096 bit lange, hvilket gør dem eksponentielt mere sikre end selv komplekse adgangskoder.
4. Aktiver to-faktor-godkendelse
Tofaktorautentificering tilføjer et andet verifikationstrin ud over adgangskoder. Selvom angribere får din adgangskode, kan de ikke få adgang til din server uden den anden godkendelsesfaktor.
Installer og konfigurer to-faktor-godkendelse:
sudo apt install libpam-google-authenticator
google-authenticatorKonfigurer din mobile autentificeringsapp til at generere tidsbaserede koder til serveradgang.
5. Skift SSH-porten
Standard SSH-porten (22) modtager konstante angrebsforsøg fra automatiserede scanningsværktøjer. Skift til en brugerdefineret port reducerer eksponeringen for disse automatiske angreb. I betragtning af at globale gennemsnitlige omkostninger ved et databrud nåede 4,88 millioner dollars i 2024 giver selv simple sikkerhedsforanstaltninger såsom havneændringer værdifuld beskyttelse mod automatiserede trusler.
For de fleste Linux-distributioner:
sudo nano /etc/ssh/sshd_config
# Find: #Port 22
# Change to: Port 2222 (choose a port between 1024-65535)
sudo systemctl restart sshdTil Ubuntu 23.04 og nyere versioner:
sudo nano /lib/systemd/system/ssh.socket
# Update ListenStream=2222
sudo systemctl daemon-reload
sudo systemctl restart ssh.serviceVigtig: Test den nye port, før du lukker din nuværende session:
# Test connection in a new terminal
ssh username@server-ip -p 2222Opdater dine firewallregler for at tillade den nye port:
sudo ufw allow 2222
sudo ufw delete allow 22 # Remove old rule after testingHusk at angive den nye port ved tilslutning: ssh brugernavn@server-ip -p 2222
6. Deaktiver ubrugte netværksporte og IPv6
Åbne netværksporte giver adgangspunkter for angribere. Hver kørende tjeneste skaber potentielle sårbarheder, så deaktiver unødvendige tjenester og deres tilknyttede porte.
Se aktuelt åbne porte:
sudo netstat -tulpn
# Alternative command
sudo ss -tulpnBruge iptables at administrere firewall-regler og lukke unødvendige porte.
Deaktiver IPv6, hvis det ikke er nødvendigt:
sudo nano /etc/sysctl.conf
# Add these lines:
net.ipv6.conf.all.disable_ipv6 = 1
net.ipv6.conf.default.disable_ipv6 = 1
net.ipv6.conf.lo.disable_ipv6 = 1
# Apply changes
sudo sysctl -p
# Verify IPv6 is disabled
cat /proc/sys/net/ipv6/conf/all/disable_ipv6
# Should return 1Opdater netværkskonfiguration (find din aktuelle netplan-fil):
# Find netplan configuration files
ls /etc/netplan/
# Edit your specific configuration file
sudo nano /etc/netplan/[your-config-file].yaml
# Comment out IPv6 configuration lines
sudo netplan apply7. Konfigurer en firewall
Firewalls styrer, hvilken netværkstrafik der kan nå din server. De blokerer uautoriserede forbindelser, mens de tillader legitim trafik gennem specificerede porte.
Hurtig UFW-opsætning:
sudo ufw default deny incoming
sudo ufw default allow outgoing
sudo ufw allow ssh
sudo ufw enableVæsentlige firewall-regler:
| Formål | Kommando | Resultat |
| Tillad HTTP | sudo ufw tillade 80 | Webtrafik tilladt |
| Tillad HTTPS | sudo ufw tillade 443 | Sikker webtrafik |
| Tillad tilpasset SSH-port | sudo ufw tillade 2222 | SSH på brugerdefineret port |
| Bloker specifik IP | sudo ufw benægte fra 192.168.1.100 | IP fuldstændig blokeret |
Tjek firewall-status:
sudo ufw status verboseDenne konfiguration blokerer al indgående trafik undtagen SSH-forbindelser.
8. Installer Anti-Malware og Anti-Virus applikationer
Linux-systemer kan være inficeret med malware, der stjæler data, miner kryptovaluta eller giver bagdørsadgang til angribere. Anti-malware-software registrerer og fjerner disse trusler, før de kompromitterer dit system.
Installer ClamAV for omfattende virusscanning:
sudo apt install clamav clamav-daemon clamav-freshclam
sudo freshclam
sudo systemctl enable clamav-freshclam
sudo systemctl start clamav-freshclamKør manuelle scanninger på kritiske mapper:
sudo clamscan -r /home --infected --remove --bell
sudo clamscan -r /var/www --infected --removeFor øget beskyttelse, installer Maldet sammen med ClamAV:
# Verify URL availability before downloading
wget http://www.rfxn.com/downloads/maldetect-current.tar.gz
tar -xzf maldetect-current.tar.gz
cd maldetect-*
sudo ./install.sh
# Note: Always verify download URLs from official sources before usePlanlæg daglige automatiske scanninger med cron:
# Add to crontab: Daily scan at 2 AM
0 2 * * * /usr/bin/clamscan -r /home --quiet --infected --remove9. Installer en rootkit-scanner
Rootkits er ondsindede programmer, der gemmer sig dybt inde i operativsystemet, og de bliver ofte uopdaget af standard antivirussoftware. De kan give angribere vedvarende adgang til dit system, mens de forbliver usynlige for normale registreringsmetoder.
Installer og konfigurer Chkrootkit til rootkit-detektion:
sudo apt install chkrootkit
sudo chkrootkit | grep INFECTEDInstaller RKHunter for yderligere rootkit-beskyttelse:
sudo apt install rkhunter
sudo rkhunter --update
sudo rkhunter --propupd
sudo rkhunter --checkOpret automatiske ugentlige rootkit-scanninger:
# Add to crontab: Weekly rootkit scan every Sunday at 3 AM
0 3 * * 0 /usr/bin/rkhunter --cronjob --update --quiet
0 4 * * 0 /usr/bin/chkrootkit | grep INFECTED > /var/log/chkrootkit.logHvis rootkits opdages, skal du straks isolere serveren og overveje fuldstændig OS-geninstallation, da rootkits kan være ekstremt vanskelige at fjerne fuldstændigt, mens systemets integritet bevares.
10. Brug Fail2Ban til forebyggelse af indtrængen
Fail2Ban overvåger loginforsøg og blokerer automatisk IP-adresser, der viser ondsindet adfærd, såsom gentagne mislykkede loginforsøg.
Hurtig installation:
sudo apt install fail2ban
sudo cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local
sudo nano /etc/fail2ban/jail.localVæsentlige SSH-beskyttelsesindstillinger:
[sshd]
enabled = true
port = ssh
maxretry = 3
bantime = 3600
findtime = 600Nøglekonfigurationsværdier:
| Indstilling | Værdi | Mening |
| maxretry | 3 | Mislykkede forsøg før forbud |
| bantime | 3600 | Forbuds varighed (1 time) |
| finde tid | 600 | Tidsvindue (10 minutter) |
Start og aktivér:
sudo systemctl start fail2ban
sudo systemctl enable fail2banTjek forbudte IP'er:
sudo fail2ban-client status sshd11. Tænd SELinux
Sikkerhedsforbedret Linux (SELinux) giver obligatorisk adgangskontrol, der begrænser, hvad programmer kan gøre, selvom de er kompromitteret. Det skaber et ekstra sikkerhedslag ud over standard Linux-tilladelser.
Tjek og aktiver SELinux:
sestatus
sudo setenforce enforcingSELinux-politikker forhindrer kompromitterede applikationer i at få adgang til uautoriserede systemressourcer. Følg disse korte instruktioner for at få mest muligt ud af SELinux for optimal konfiguration.
12. Beskyt filer, mapper og e-mails
Krypter følsomme filer for at beskytte dem mod uautoriseret adgang, selvom angribere får systemadgang. Dette er vigtigt for sikre Linux-filserverkonfigurationer, der håndterer følsomme data.
Brug GPG til filkryptering:
gpg --cipher-algo AES256 --compress-algo 1 --s2k-mode 3 --s2k-digest-algo SHA512 --s2k-count 65536 --symmetric filenameIndstil korrekte filtilladelser for at begrænse adgangen:
chmod 600 sensitive-file # Owner read/write only
chmod 700 private-directory # Owner access only13. Tag sikkerhedskopier regelmæssigt
Regelmæssige sikkerhedskopier sikrer, at du kan genoprette efter sikkerhedshændelser, hardwarefejl eller utilsigtet datatab. Automatiserede sikkerhedskopier reducerer risikoen for menneskelige fejl og udgør en kritisk komponent i sikre VPS-hostingstrategier.
Opret automatiske sikkerhedskopieringsscripts:
#!/bin/bash
tar -czf /backup/$(date +%Y%m%d)-system.tar.gz /home /etc /var/logGem sikkerhedskopier flere steder, inklusive lagerplads uden for webstedet, efter 3-2-1 backup-reglen.
14. Opret diskpartitionering
Diskpartitionering adskiller systemfiler fra brugerdata, hvilket begrænser skader, hvis en partition bliver kompromitteret. Det forhindrer også opbrug af diskplads i ét område i at påvirke hele systemet.
Anbefalet partitionsskema:
/støvle – 500 MB (startfiler)
/ – 20 GB (systemfiler)
/hjem – 50 GB (brugerdata)
/var – 10 GB (logfiler og databaser)
/tmp – 2 GB (midlertidige filer)
bytte – 2 GB (virtuel hukommelse)
Monter midlertidige partitioner med sikkerhedsbegrænsninger:
# Add to /etc/fstab for permanent mounting
echo "tmpfs /tmp tmpfs defaults,noexec,nosuid,nodev,size=2G 0 0" >> /etc/fstab
echo "tmpfs /var/tmp tmpfs defaults,noexec,nosuid,nodev,size=1G 0 0" >> /etc/fstab# Anvend straks
sudo mount -aBekræft partitionssikkerhed:
mount | grep -E "(noexec|nosuid|nodev)"
df -h # Check disk usage by partitionDe noexec option forhindrer ondsindede eksekverbare filer i at køre, nosuid deaktiverer set-user-ID bits, og nodev forhindrer oprettelse af enhedsfiler i midlertidige mapper.
15. Overvåg serverlogfiler
Serverlogfiler registrerer alle systemaktiviteter og giver tidlige advarselstegn om sikkerhedshændelser. Regelmæssig logovervågning hjælper med at identificere usædvanlige mønstre, før de bliver til alvorlige trusler.
Nøglelogs, der skal overvåges:
| Logfil | Formål | Kommando |
| /var/log/auth.log (Debian/Ubuntu)<br>/var/log/secure (CentOS/RHEL) | Login forsøg | sudo tail -f /var/log/auth.log<br>sudo tail -f /var/log/secure |
| /var/log/syslog (Debian/Ubuntu)<br>/var/log/messages (CentOS/RHEL) | Systemmeddelelser | sudo tail -f /var/log/syslog<br>sudo tail -f /var/log/messages |
| /var/log/apache2/access.log (Debian/Ubuntu)<br>/var/log/httpd/access_log (CentOS/RHEL) | Webtrafik | sudo tail -f /var/log/apache2/access.log<br>sudo hale -f /var/log/httpd/access_log |
| /var/log/fail2ban.log | Blokerede IP'er | sudo tail -f /var/log/fail2ban.log |
Kommandoer til hurtig loganalyse:
# Failed login attempts (adjust path for your distribution)
sudo grep "Failed password" /var/log/auth.log | tail -10
# Successful logins
sudo grep "Accepted" /var/log/auth.log | tail -10
# Large file transfers (adjust path for your web server)
sudo awk '{print $10}' /var/log/apache2/access.log | sort -n | tail -10Automatiseret logovervågning:
# Install logwatch for daily summaries
sudo apt install logwatch
sudo logwatch --detail Med --mailto [email protected] --service AllKonfigurer logrotation for at forhindre logfiler i at bruge for meget diskplads.
16. Brug stærke adgangskoder
Stærke adgangskoder modstår brute force-angreb og ordbogsangreb. Svage adgangskoder kan knækkes på få minutter ved hjælp af moderne computerkraft.
Adgangskodekrav:
- Minimum 12 tegn
- Blanding af store bogstaver, små bogstaver, tal og symboler
- Ingen ordbogsord eller personlige oplysninger
- Unikt for hver konto
Brug adgangskodeadministratorer til at generere og gemme komplekse adgangskoder sikkert. Kombineret med andre Linux-sikkerhedsmodeller med diagramprincipper danner stærke adgangskoder flere defensive lag, der beskytter mod uautoriseret adgang.
17. Foretrækker SFTP frem for FTP
Standard FTP transmitterer data og legitimationsoplysninger i almindelig tekst, hvilket gør dem synlige for netværksaflyttere. SFTP krypterer al datatransmission, beskytter følsom information og understøtter sikker filserver Linux-arkitekturer.
Konfigurer kun SFTP-adgang:
sudo nano /etc/ssh/sshd_config
# Add: Subsystem sftp internal-sftpDeaktiver standard FTP-tjenester for at eliminere sikkerhedsrisikoen:
sudo systemctl disable vsftpd
sudo systemctl stop vsftpd18. Aktiver automatiske CMS-opdateringer
Content Management Systemer (WordPress, Drupal, Joomla) udgiver ofte sikkerhedsrettelser. Aktivering af automatiske opdateringer sikrer, at kritiske sårbarheder rettes omgående.
For WordPress skal du tilføje til wp-config.php:
define('WP_AUTO_UPDATE_CORE', true);
add_filter('auto_update_plugin', '__return_true');
add_filter('auto_update_theme', '__return_true');Overvåg opdateringslogfiler for at sikre kompatibilitet og funktionalitet.
19. Deaktiver anonyme FTP-uploads
Anonym FTP giver enhver mulighed for at uploade filer til din server uden godkendelse. Dette kan føre til, at din server hoster ulovligt indhold, malware eller bliver et distributionssted for angreb.
Konfigurer vsftpd til at kræve godkendelse:
sudo nano /etc/vsftpd.conf# Deaktiver anonym adgang
anonymous_enable=NO# Aktiver lokal brugergodkendelse
local_enable=YES
write_enable=YES
local_umask=022# Begræns brugere til deres hjemmemapper
chroot_local_user=YES
allow_writeable_chroot=YES# Sikkerhedsindstillinger
ssl_enable=YES
ssl_tlsv1=YES
ssl_sslv2=NO
ssl_sslv3=NOGenstart FTP-tjenesten:
sudo systemctl restart vsftpd
sudo systemctl enable vsftpdOpret FTP-brugerkonti med begrænsede tilladelser:
sudo adduser ftpuser
sudo usermod -d /var/ftp/uploads ftpuser
sudo chown ftpuser:ftpuser /var/ftp/uploads
sudo chmod 755 /var/ftp/uploadsOvervåg FTP-adgangslogfiler for mistænkelig aktivitet:
sudo tail -f /var/log/vsftpd.log20. Konfigurer Brute Force Protection
Implementer flere lag af brute force-beskyttelse ud over Fail2Ban for at forsvare dig mod sofistikerede automatiserede angreb.
Konfigurer yderligere beskyttelse:
# Limit SSH connection attempts
sudo nano /etc/ssh/sshd_config
# Add: MaxAuthTries 3
# Add: ClientAliveInterval 300
# Add: ClientAliveCountMax 2Brug værktøjer som DenyHosts sammen med Fail2Ban for omfattende beskyttelse.
Konklusion
Sikring af en Linux VPS kræver implementering af flere forsvarslag, fra grundlæggende konfigurationsændringer til avancerede overvågningssystemer. Start med grundlæggende sikkerhedsforanstaltninger (softwareopdateringer, firewall-konfiguration, SSH-hærdning), før du tilføjer sofistikerede værktøjer som indtrængningsdetektion og automatiseret overvågning.
En sikker Linux-server kræver løbende vedligeholdelse, ikke engangskonfiguration. Gennemgå regelmæssigt logfiler, opdater software og juster sikkerhedsforanstaltninger, efterhånden som trusler udvikler sig. Investeringen i korrekt sikkerhedskonfiguration forhindrer dyre databrud og bevarer systemets pålidelighed.
Husk, at disse sikkerhedsforanstaltninger arbejder sammen – ingen enkelt teknik giver fuldstændig beskyttelse. Implementering af alle 20 strategier skaber overlappende sikkerhedslag, der markant reducerer din servers sårbarhed over for almindelige angreb. Uanset om du har brug for sikre Linux-filserverkonfigurationer eller generel sikret VPS-hostingbeskyttelse, giver disse grundlæggende trin væsentlig sikkerhed.
