Linux VPS beveiligen

In het digitale tijdperk is het beveiligen van je Linux Virtual Private Server (VPS)
essentieel voor de bescherming van je data en infrastructuur. Deze
uitgebreide handleiding behandelt methoden om je Linux VPS te beschermen tegen
cyber threats.

Houd je systeem bij
Updated

Een van de belangrijkste onderdelen van het beveiligen van je Linux VPS is
zorgen dat je systeem up-to-date is. Verouderde software kan
kwetsbaarheden bevatten die kwaadwillenden kunnen misbruiken. Zo doe je dat:
do it:

Gebruik een pakketbeheerder

De meeste Linux-distributies hebben een pakketbeheerder. Als je bijvoorbeeld
een Debian-gebaseerd systeem gebruikt, voer je de volgende opdrachten uit
om pakketten bij te werken:

sudo apt update
sudo apt upgrade

Op een CentOS-systeem gebruik je yum:

sudo yum update

Set Up Automatic
Updates

Automatische updates instellen met unattended-upgrades op
Debian-gebaseerde systemen:

Op Debian-gebaseerde systemen zoals Ubuntu kun je de
unattended-upgrades-pakket gebruiken om updates te automatiseren.

1. Installeer unattended-upgrades:

sudo apt install unattended-upgrades

2. Stel de automatische update-instellingen in. Bewerk de configuratie
   file:

sudo nano /etc/apt/apt.conf.d/50unattended-upgrades

3. Schakel automatische updates in voor beveiligingsgerelateerde pakketten:

Unattended-Upgrade::Allowed-Origins {
    "${distro_id}:${distro_codename}-security";
    "${distro_id}:${distro_codename}-updates";
    "${distro_id}:${distro_codename}-proposed";
    "${distro_id}:${distro_codename}-backports";
};

4. Schakel de unattended-upgrades-service in en start deze:

sudo dpkg-reconfigure -plow unattended-upgrades

Dit commando vraagt je om de wijzigingen te bevestigen. Kies 'Ja' om
automatische updates inschakelen.

Automatische updates instellen met yum-cron op
CentOS:

Op CentOS kun je yum-cron gebruiken voor automatische updates:

1. Installeer yum-cron:

sudo yum install yum-cron

2. Start en activeer de yum-cron service:

sudo systemctl enable yum-cron
sudo systemctl start yum-cron

Use
Sterke wachtwoorden en SSH-sleutels voor veilige authenticatie

Het beveiligen van je Linux VPS vereist het gebruik van sterke authenticatiemethoden.
Of je nu verbinding maakt vanuit een Linux- of Windows-client, hier lees je hoe je
gebruik sterke wachtwoorden en SSH-sleutels effectief:

Using Strong
Passwords

Zorg er bij het aanmaken van gebruikersaccounts op je VPS voor dat wachtwoorden
complex, met een combinatie van hoofdletters, kleine letters, cijfers en speciale tekens
tekens. Vermijd makkelijk te raden wachtwoorden.

SSH-sleutel gebruiken
Authentication

Voor Linux klant:

1. Om een SSH sleutelpaar aan te maken op je Linux-client, gebruik je ssh-keygen
   command:

ssh-keygen -t rsa -b 2048

De publieke sleutel wordt standaard opgeslagen in ~/.ssh/id_rsa.pub.

2. Kopieer je publieke sleutel naar de VPS:

ssh-copy-id user@your_server_ip

3. Schakel wachtwoordgebaseerde SSH-aanmelding op de VPS in de SSH-server uit
   configuratiebestand (/etc/ssh/sshd_config):

PasswordAuthentication no

Voor Windows Client:

1. Op Windows gebruik je PowerShell voor vergelijkbare functionaliteit:

ssh-keygen

2. Kopieer je publieke sleutel naar de VPS via PowerShell. Vervang
   IP-ADDRESS-OR-FQDN met het IP-adres of de hostnaam van de externe server
   address:

type $env:USERPROFILE\.ssh\id_rsa.pub | ssh root@{IP-ADDRESS-OR-FQDN} "cat >> .ssh/authorized_keys"

3. Schakel wachtwoordgebaseerde SSH-aanmelding op de VPS in de SSH-server uit
   configuratiebestand (/etc/ssh/sshd_config):

PasswordAuthentication no

Implement a Firewall

Het beveiligen van je Linux VPS houdt in dat je een firewall instelt om
inkomend en uitgaand verkeer te beheren. Zo stel je een firewall in om
enhance security:

Gebruik ufw (Uncomplicated Firewall) op Debian/Ubuntu of
firewalld on CentOS:

1. Installeer het firewall-beheerprogramma als dat nog niet is geïnstalleerd.

Voor ufw op Debian/Ubuntu:

sudo apt install ufw

Voor firewalld op CentOS:

sudo yum install firewalld

2. Voeg regels toe om SSH toe te staan voordat je de firewall inschakelt, zodat je geen
   locked out:

Voor ufw op Debian/Ubuntu:

sudo ufw allow OpenSSH

Voor firewalld op CentOS:

sudo firewall-cmd --permanent --add-service=ssh

3. Schakel de firewall in en stel standaardregels in:

Voor ufw op Debian/Ubuntu:

sudo ufw enable
sudo ufw default deny incoming
sudo ufw default allow outgoing

Voor firewalld op CentOS:

sudo systemctl start firewalld
sudo systemctl enable firewalld

4. Herlaad de firewall om de wijzigingen door te voeren.

Voor ufw op Debian/Ubuntu:

sudo ufw reload

Voor firewalld op CentOS:

sudo systemctl reload firewalld

Schakel root-login uit

Het beveiligen van je Linux VPS houdt in dat je root-toegang beperkt. Zo
schakel je root-login uit voor betere beveiliging:

1. Maak een nieuwe gebruiker aan: log in op je VPS als root. Maak vervolgens
   een nieuw gebruikersaccount aan met sudo-rechten. Vervang newuser door je
   desired username:

adduser newuser
usermod -aG sudo newuser

2. Maak de map .ssh, het bestand authorized_keys aan en stel de rechten in voor
   de nieuwe gebruiker:

mkdir -p /home/newuser/.ssh
touch /home/newuser/.ssh/authorized_keys
chmod 600 /home/newuser/.ssh/authorized_keys
chown -R newuser:newuser /home/newuser/.ssh

3. Zorg dat je de publieke sleutel genereert en kopieert naar je
   VPS.

4. Log in als de nieuwe gebruiker.

5. Verbreek de verbinding met de VPS (als je bent ingelogd als root) en log
   opnieuw in met het nieuwe gebruikersaccount. Zo kun je
   beheertaken uitvoeren via sudo.

6. Bewerk de SSH-configuratie:

Open het configuratiebestand van de SSH-server op je VPS. Dit bestand bevindt zich op
meestal te vinden op /etc/ssh/sshd_config:

sudo nano /etc/ssh/sshd_config

Zoek de regel met PermitRootLogin en stel deze in op no:

PermitRootLogin no

Sla het bestand op en sluit de teksteditor.

7. Herstart SSH Service:

Na deze wijziging moet je de SSH-service opnieuw starten zodat de
nieuwe instellingen van kracht worden:

On Debian/Ubuntu:

sudo systemctl restart ssh

On CentOS:

sudo systemctl restart sshd

Harden SSH
Configuration

Het beveiligen van je Linux VPS vereist verdere versterking van de SSH-
configuratie voor extra beveiliging en het up-to-date houden van de UFW-regels.
Zo versnel je de beveiliging van je SSH-instellingen en werk je de UFW bij:
rules:

1. Sta de nieuwe SSH-poort toe in UFW:

Als je UFW (Uncomplicated Firewall) gebruikt, sta dan eerst de nieuwe SSH-
poort toe voordat je wijzigingen aanbrengt aan de standaardpoort:

# Allow the new SSH port (e.g., 2222)
sudo ufw allow 2222/tcp

2. Verwijder OpenSSH uit de UFW-regels:

Na het wijzigen van de SSH-poort moet je de oude OpenSSH-
service (standaardpoort 22) uit de UFW-regels verwijderen, zodat alleen de nieuwe
SSH-poort wordt toegestaan:

# Remove the old OpenSSH service (default port 22)
sudo ufw delete allow OpenSSH

3. Wijzig de SSH-poort:

Standaard gebruikt SSH poort 22. Het wijzigen van de standaardpoort voegt een
extra beveiligingslaag toe doordat het voor geautomatiseerde bots moeilijker wordt om
je SSH-server te vinden.

Open het configuratiebestand van de SSH-server:

sudo nano /etc/ssh/sshd_config

Zoek de regel met Port 22 en verander het poortnummer naar een
andere, ongebruikte poort, bijvoorbeeld 2222:

Port 2222

4. Schakel hernieuwde sleutelauthenticatie in:

Je kunt een tijdslimiet instellen voor hernieuwde sleutelauthenticatie om de beveiliging verder te versterken
je SSH-sessie. Dit betekent dat als je je SSH-sessie
onbeheerd achterlaat, deze na een bepaalde tijd automatisch verloopt.

Voeg de volgende regels toe aan het SSH-serverconfiguratie-
bestand of pas ze aan, en sla het vervolgens op:

ClientAliveInterval 300
ClientAliveCountMax 2

5. Herlaad de UFW-regels en de SSH-service:

sudo ufw reload
sudo systemctl restart ssh

6. Zodra je de nodige wijzigingen hebt aangebracht, kun je een nieuwe SSH-
   verbinding tot stand brengen met het volgende commando:

ssh -p <new_port> user@your_server_ip

Implement Fail2Ban

Je Linux VPS beveiligen betekent bescherming bieden tegen brute-force-aanmeldingspogingen
en andere vormen van kwaadaardige activiteit. Fail2Ban is een handig
hulpmiddel hiervoor. Zo implementeer je Fail2Ban:

1. Install Fail2Ban:

Begin met het bijwerken van je pakketlijst om zeker te zijn dat je de nieuwste versie hebt
available packages:

Voor op Debian gebaseerde systemen (bijv. Ubuntu):

sudo apt update

For CentOS:

sudo yum update

Install Fail2Ban:

Voor op Debian gebaseerde systemen:

sudo apt install fail2ban

For CentOS:

sudo yum install fail2ban

2. Configure Fail2Ban:

Het hoofdconfiguratiebestand van Fail2Ban bevindt zich op
/etc/fail2ban/jail.conf. Je kunt een overschrijving aanmaken
file at /etc/fail2ban/jail.local to customize settings
zonder de standaardconfiguratie te wijzigen. Open dit bestand:

sudo nano /etc/fail2ban/jail.local

Voeg de volgende configuratie toe om IP-adressen 10 minuten te blokkeren
(600 seconden) na zes mislukte aanmeldingspogingen. Pas de parameters naar wens aan
needed:

[sshd]
enabled = true
maxretry = 6
findtime = 600
bantime = 600

Sla het bestand op en sluit de teksteditor.

3. Fail2Ban starten en inschakelen:

Start Fail2Ban en stel het in om automatisch op te starten bij het opstarten:

sudo systemctl start fail2ban
sudo systemctl enable fail2ban

4. Check Fail2Ban Status:

Je kunt de status van Fail2Ban controleren om te bevestigen dat het correct werkt
expected:

sudo fail2ban-client status

Je zou moeten zien dat het de SSH-service monitort.

De 6 essentiële methoden die hier worden besproken, bieden een stevige verdediging
tegen mogelijke kwetsbaarheden. Door je systeem up-to-date te houden,
door sterke authenticatie te gebruiken, firewalls te configureren, SSH te hardenen,
en Fail2Ban te implementeren, beveiligt u uw VPS en houdt u
gemoedsrust in een altijd verbonden wereld. Heeft u vragen, aarzel dan niet
om contact op te nemen met ons supportteam via submitting a
ticket.