Сервери Linux VPS пропонують кращу безпеку, ніж системи Windows, завдяки вбудованій моделі безпеки Linux. Однак жодна система не є куленепробивною. Хакери щодня активно сканують мільйони серверів, шукаючи вразливості для використання конфіденційних даних або використання серверів для масштабних атак.
Щоб навчитися захищати сервер Linux, потрібно продумано налаштувати його. Нові інсталяції VPS постачаються з налаштуваннями за замовчуванням, які надають пріоритет доступності над безпекою. Розуміння того, як захистити впровадження сервера Linux, захищає від нових загроз, зберігаючи функціональність системи. Цей посібник показує вам 20 важливих кроків, щоб захистити інфраструктуру сервера Linux і перетворити вашу вразливу систему на фортецю, яка відбиває типові атаки.
Що таке Linux VPS?
Linux VPS (віртуальний приватний сервер) працює на хмарних платформах із виділеними ресурсами, окремими від інших користувачів. На відміну від спільного хостингу, де один зламаний обліковий запис може вплинути на інші, безпечний хостинг VPS ізолює ваше середовище. Однак зловмисники все ще націлюються на незахищені сервери VPS, щоб викрасти дані, встановити зловмисне програмне забезпечення або здійснити атаки на інші системи.
Коли ви замовляєте купити Linux VPS хостинг, операційна система попередньо встановлена з основними налаштуваннями. У цих конфігураціях за замовчуванням перевага надається простоті використання над безпекою, залишаючи ваш сервер підданим автоматичним атакам, які сканують загальні вразливості. Впровадження хмарних даних безпеки за допомогою серверів VPS вимагає профілактичних заходів, окрім базової інсталяції.
Чому ви повинні захистити свій Linux VPS
Незахищені сервери стають цілями за кілька годин після виходу в Інтернет. Зараз організації стикаються з в середньому 1876 кібератак на тиждень, що на 75% більше, ніж у попередньому році. Розуміння того, як захистити серверну інфраструктуру Linux, захищає від цих постійних загроз, які можуть скомпрометувати вашу систему.
Найнебезпечнішим аспектом є те, що складні атаки часто залишаються непоміченими. Зловмисники можуть отримати доступ до ваших даних, контролювати комунікації або використовувати ресурси вашого сервера без явних ознак вторгнення. Захищений VPS-хостинг вимагає профілактичних заходів, оскільки зловмисники не оголошують про свою присутність – коли ви помітите незвичайну активність, значну шкоду вже може бути завдано.
Модель безпеки Linux (LSM)
Linux містить вбудовані функції безпеки, які забороняють несанкціонований доступ до критичних компонентів системи. Модель безпеки Linux із схемою показує, як елементи керування доступом захищають файли, процеси та взаємодію користувачів. Це створює кілька рівнів безпеки, що ускладнює експлуатацію порівняно з іншими операційними системами.
Однак LSM не можуть запобігти атакам, викликаним поганою конфігурацією, слабкими паролями або застарілим програмним забезпеченням. Вони забезпечують основу для того, як захистити сервер Linux, але вимагають належної реалізації, щоб бути ефективними Ubuntu VPS хостинг та інші дистрибутиви Linux.
20 способів захисту Linux VPS
Ці заходи безпеки переходять від базових змін конфігурації до вдосконалених систем моніторингу. Оволодіння тим, як захистити серверне середовище Linux, вимагає систематичного впровадження цих кроків, щоб побудувати безпечний сервер Linux, який протистоїть поширеним векторам атак.
Кожен метод усуває конкретні вразливості, якими зазвичай користуються зловмисники. Методи варіюються від фундаментальних конфігурацій, необхідних кожному серверу, до складних систем моніторингу для вдосконаленого виявлення загроз. Деякі заходи забезпечують негайний захист, тоді як інші створюють довгострокову стійкість безпеки. Порядок впровадження має значення – основні кроки зміцнення мають передувати розширеним інструментам моніторингу. Разом ці 20 стратегій створюють перекриваючі рівні безпеки, які значно зменшують поверхню для атак вашого сервера.
1. Підтримуйте програмне забезпечення в актуальному стані
Застаріле програмне забезпечення містить відомі вразливості системи безпеки, якими користуються зловмисники. Розробники програмного забезпечення регулярно випускають патчі, які усувають ці вразливості, роблячи оновлення вашою першою лінією захисту для захисту серверних систем Linux.
Налаштуйте автоматичні оновлення для критичних патчів безпеки:
# Ubuntu/Debian
sudo apt update && sudo apt upgrade -y
# CentOS/RHEL
sudo yum update -yНалаштуйте сповіщення електронною поштою про доступні оновлення, щоб бути в курсі патчів безпеки, які потребують перегляду вручну.
2. Вимкніть root-вхід
Кожен сервер Linux містить обліковий запис «кореневого» користувача з необмеженим доступом до системи. Оскільки хакери знають, що цей обліковий запис завжди існує, вони атакують його атаки грубою силою вгадувати паролі та отримати повний контроль над сервером.
Створіть нового користувача-адміністратора, перш ніж вимкнути root-доступ:
# Create new user
sudo adduser adminuser
sudo usermod -aG sudo adminuser
# Disable root login in SSH configuration
sudo nano /etc/ssh/sshd_config
# Change: PermitRootLogin no
sudo systemctl restart sshdЦе змушує зловмисників вгадувати ім’я користувача та пароль, що значно підвищує безпеку.
3. Створіть пару ключів SSH
Вхід на основі пароля, особливо якщо пароль слабкий, може бути вразливим. Аутентифікація ключа SSH пропонує більш безпечну альтернативу. Використовуючи криптографічні ключі замість паролів, ви гарантуєте більш надійний і складний для злому метод автентифікації.
Цей захід безпеки є особливо критичним з огляду на це викрадені облікові дані служать початковим вектором атаки в 24% витоків даних згідно з дослідженням безпеки. Для виявлення та стримування цих атак потрібно більше часу, ніж для будь-якого іншого методу, тому профілактика за допомогою ключів SSH є важливою.
Згенеруйте пари ключів SSH для безпечної автентифікації:
ssh-keygen -t rsa -b 4096
ssh-copy-id username@server-ipКлючі SSH можуть мати довжину до 4096 біт, що робить їх експоненціально більш безпечними, ніж навіть складні паролі.
4. Увімкніть двофакторну автентифікацію
Двофакторна автентифікація додає другий етап перевірки крім паролів. Навіть якщо зловмисники отримають ваш пароль, вони не зможуть отримати доступ до вашого сервера без другого фактора автентифікації.
Встановити та налаштувати двофакторну аутентифікацію:
sudo apt install libpam-google-authenticator
google-authenticatorНалаштуйте мобільну програму автентифікації для генерації часових кодів для доступу до сервера.
5. Змініть порт SSH
Стандартний порт SSH (22) отримує постійні спроби атак від автоматизованих інструментів сканування. Зміна на спеціальний порт зменшує ризик цих автоматичних атак. Враховуючи, що Середня глобальна вартість витоку даних сягнула 4,88 мільйона доларів у 2024 році навіть такі прості заходи безпеки, як зміна портів, забезпечать цінний захист від автоматизованих загроз.
Для більшості дистрибутивів Linux:
sudo nano /etc/ssh/sshd_config
# Find: #Port 22
# Change to: Port 2222 (choose a port between 1024-65535)
sudo systemctl restart sshdДля Ubuntu 23.04 і новіших версій:
sudo nano /lib/systemd/system/ssh.socket
# Update ListenStream=2222
sudo systemctl daemon-reload
sudo systemctl restart ssh.serviceВажливо: Перевірте новий порт перед закриттям поточного сеансу:
# Test connection in a new terminal
ssh username@server-ip -p 2222Оновіть правила брандмауера, щоб дозволити новий порт:
sudo ufw allow 2222
sudo ufw delete allow 22 # Remove old rule after testingНе забудьте вказати новий порт під час підключення: ssh ім’я користувача@ip-сервера -p 2222
6. Вимкніть невикористані мережеві порти та IPv6
Відкриті мережеві порти забезпечують точки входу для зловмисників. Кожна запущена служба створює потенційні вразливості, тому вимкніть непотрібні служби та пов’язані з ними порти.
Переглянути поточні відкриті порти:
sudo netstat -tulpn
# Alternative command
sudo ss -tulpnвикористання iptables керувати правилами брандмауера та закривати непотрібні порти.
Вимкніть IPv6, якщо він не потрібен:
sudo nano /etc/sysctl.conf
# Add these lines:
net.ipv6.conf.all.disable_ipv6 = 1
net.ipv6.conf.default.disable_ipv6 = 1
net.ipv6.conf.lo.disable_ipv6 = 1
# Apply changes
sudo sysctl -p
# Verify IPv6 is disabled
cat /proc/sys/net/ipv6/conf/all/disable_ipv6
# Should return 1Оновіть конфігурацію мережі (знайдіть фактичний файл netplan):
# Find netplan configuration files
ls /etc/netplan/
# Edit your specific configuration file
sudo nano /etc/netplan/[your-config-file].yaml
# Comment out IPv6 configuration lines
sudo netplan apply7. Налаштуйте брандмауер
Брандмауери контролюють, який мережевий трафік може досягти вашого сервера. Вони блокують неавторизовані підключення, дозволяючи законний трафік через вказані порти.
Швидке налаштування UFW:
sudo ufw default deny incoming
sudo ufw default allow outgoing
sudo ufw allow ssh
sudo ufw enableОсновні правила брандмауера:
| призначення | Команда | Результат |
| Дозволити HTTP | sudo ufw allow 80 | Веб-трафік дозволений |
| Дозволити HTTPS | sudo ufw allow 443 | Безпечний веб-трафік |
| Дозволити спеціальний порт SSH | sudo ufw allow 2222 | SSH на спеціальному порту |
| Блокувати певний IP | sudo ufw deny з 192.168.1.100 | IP повністю заблокований |
Перевірити стан брандмауера:
sudo ufw status verboseЦя конфігурація блокує весь вхідний трафік, крім з’єднань SSH.
8. Встановіть програми захисту від зловмисних програм і вірусів
Системи Linux можуть бути заражені зловмисним програмним забезпеченням, яке викрадає дані, видобуває криптовалюту або надає зловмисникам бекдор-доступ. Програмне забезпечення для захисту від зловмисного програмного забезпечення виявляє та видаляє ці загрози, перш ніж вони скомпрометують вашу систему.
Встановіть ClamAV для комплексного сканування на віруси:
sudo apt install clamav clamav-daemon clamav-freshclam
sudo freshclam
sudo systemctl enable clamav-freshclam
sudo systemctl start clamav-freshclamЗапустіть ручне сканування критичних каталогів:
sudo clamscan -r /home --infected --remove --bell
sudo clamscan -r /var/www --infected --removeДля покращеного захисту встановіть Maldet разом із ClamAV:
# Verify URL availability before downloading
wget http://www.rfxn.com/downloads/maldetect-current.tar.gz
tar -xzf maldetect-current.tar.gz
cd maldetect-*
sudo ./install.sh
# Note: Always verify download URLs from official sources before useЗаплануйте щоденне автоматизоване сканування за допомогою cron:
# Add to crontab: Daily scan at 2 AM
0 2 * * * /usr/bin/clamscan -r /home --quiet --infected --remove9. Встановіть сканер руткітів
Руткіти — це шкідливі програми, які ховаються глибоко всередині операційної системи, часто залишаючись непоміченими стандартним антивірусним програмним забезпеченням. Вони можуть надати зловмисникам постійний доступ до вашої системи, залишаючись невидимими для звичайних методів виявлення.
Встановіть і налаштуйте Chkrootkit для виявлення руткітів:
sudo apt install chkrootkit
sudo chkrootkit | grep INFECTEDВстановіть RKHunter для додаткового захисту від руткітів:
sudo apt install rkhunter
sudo rkhunter --update
sudo rkhunter --propupd
sudo rkhunter --checkСтворіть автоматичне щотижневе сканування руткітів:
# Add to crontab: Weekly rootkit scan every Sunday at 3 AM
0 3 * * 0 /usr/bin/rkhunter --cronjob --update --quiet
0 4 * * 0 /usr/bin/chkrootkit | grep INFECTED > /var/log/chkrootkit.logЯкщо виявлено руткіти, негайно ізолюйте сервер і подумайте про повну перевстановлення ОС, оскільки руткіти може бути надзвичайно важко повністю видалити, зберігаючи цілісність системи.
10. Використовуйте Fail2Ban для запобігання вторгненням
Fail2Ban відстежує спроби входу та автоматично блокує IP-адреси, які демонструють зловмисну поведінку, наприклад повторні невдалі спроби входу.
Швидка установка:
sudo apt install fail2ban
sudo cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local
sudo nano /etc/fail2ban/jail.localОсновні параметри захисту SSH:
[sshd]
enabled = true
port = ssh
maxretry = 3
bantime = 3600
findtime = 600Ключові значення конфігурації:
| Налаштування | Значення | Значення |
| maxretry | 3 | Невдалі спроби до бану |
| бантайм | 3600 | Тривалість заборони (1 година) |
| findtime | 600 | Часове вікно (10 хвилин) |
Запустіть і ввімкніть:
sudo systemctl start fail2ban
sudo systemctl enable fail2banПеревірте заборонені IP-адреси:
sudo fail2ban-client status sshd11. Увімкніть SELinux
Security-Enhanced Linux (SELinux) забезпечує обов’язковий контроль доступу, який обмежує дії програм, навіть якщо їх зламано. Це створює додатковий рівень безпеки, крім стандартних дозволів Linux.
Перевірте та ввімкніть SELinux:
sestatus
sudo setenforce enforcingПолітики SELinux запобігають доступу скомпрометованих програм до неавторизованих системних ресурсів. Дотримуйтесь цих короткі інструкції, щоб отримати максимальну віддачу від SELinux для оптимальної конфігурації.
12. Захистіть файли, каталоги та електронні листи
Шифруйте конфіденційні файли, щоб захистити їх від несанкціонованого доступу, навіть якщо зловмисники отримають доступ до системи. Це важливо для безпечних конфігурацій файлового сервера Linux, які обробляють конфіденційні дані.
Використовуйте GPG для шифрування файлів:
gpg --cipher-algo AES256 --compress-algo 1 --s2k-mode 3 --s2k-digest-algo SHA512 --s2k-count 65536 --symmetric filenameВстановіть відповідні дозволи для файлів, щоб обмежити доступ:
chmod 600 sensitive-file # Owner read/write only
chmod 700 private-directory # Owner access only13. Регулярно створюйте резервні копії
Регулярне резервне копіювання гарантує, що ви зможете відновитися після інцидентів безпеки, збоїв обладнання або випадкової втрати даних. Автоматичне резервне копіювання зменшує ризик людської помилки та є критично важливим компонентом безпечних стратегій хостингу VPS.
Створіть автоматичні сценарії резервного копіювання:
#!/bin/bash
tar -czf /backup/$(date +%Y%m%d)-system.tar.gz /home /etc /var/logЗберігайте резервні копії в кількох місцях, включаючи зовнішнє сховище, дотримуючись правила резервного копіювання 3-2-1.
14. Створіть розділи диска
Розбиття диска на розділи відокремлює системні файли від даних користувача, обмежуючи пошкодження, якщо один розділ стає скомпрометованим. Це також запобігає вичерпанню дискового простору в одній області від впливу на всю систему.
Рекомендована схема перегородки:
/boot – 500MB (завантажувальні файли)
/ – 20 ГБ (системні файли)
/ додому – 50 ГБ (дані користувача)
/ вар – 10 ГБ (журнали та бази даних)
/tmp – 2 ГБ (тимчасові файли)
своп – 2 ГБ (віртуальна пам’ять)
Монтувати тимчасові розділи з обмеженнями безпеки:
# Add to /etc/fstab for permanent mounting
echo "tmpfs /tmp tmpfs defaults,noexec,nosuid,nodev,size=2G 0 0" >> /etc/fstab
echo "tmpfs /var/tmp tmpfs defaults,noexec,nosuid,nodev,size=1G 0 0" >> /etc/fstab# Подай заявку негайно
sudo mount -aПеревірте безпеку розділу:
mount | grep -E "(noexec|nosuid|nodev)"
df -h # Check disk usage by partitionThe noexec опція запобігає запуску шкідливих виконуваних файлів, nosuid вимикає біти set-user-ID і nodev запобігає створенню файлів пристрою у тимчасових каталогах.
15. Моніторинг журналів сервера
Журнали сервера реєструють усі системні дії, надаючи ранні попереджувальні ознаки інцидентів безпеки. Регулярний моніторинг журналів допомагає виявити незвичайні шаблони до того, як вони стануть серйозною загрозою.
Ключові журнали для моніторингу:
| Файл журналу | призначення | Команда |
| /var/log/auth.log (Debian/Ubuntu)<br>/var/log/secure (CentOS/RHEL) | Спроби входу | sudo tail -f /var/log/auth.log<br>sudo tail -f /var/log/secure |
| /var/log/syslog (Debian/Ubuntu)<br>/var/log/messages (CentOS/RHEL) | Системні повідомлення | sudo tail -f /var/log/syslog<br>sudo tail -f /var/log/messages |
| /var/log/apache2/access.log (Debian/Ubuntu)<br>/var/log/httpd/access_log (CentOS/RHEL) | Веб-трафік | sudo tail -f /var/log/apache2/access.log<br>sudo tail -f /var/log/httpd/access_log |
| /var/log/fail2ban.log | Заблоковані IP-адреси | sudo tail -f /var/log/fail2ban.log |
Команди швидкого аналізу журналу:
# Failed login attempts (adjust path for your distribution)
sudo grep "Failed password" /var/log/auth.log | tail -10
# Successful logins
sudo grep "Accepted" /var/log/auth.log | tail -10
# Large file transfers (adjust path for your web server)
sudo awk '{print $10}' /var/log/apache2/access.log | sort -n | tail -10Автоматизований моніторинг журналів:
# Install logwatch for daily summaries
sudo apt install logwatch
sudo logwatch --detail Med --mailto [email protected] --service AllНалаштуйте ротацію журналу, щоб файли журналу не займали надто багато місця на диску.
16. Використовуйте надійні паролі
Надійні паролі протистоять атакам грубої сили та атакам за словником. Слабкі паролі можна зламати за лічені хвилини за допомогою сучасних обчислювальних потужностей.
Вимоги до пароля:
- Мінімум 12 символів
- Поєднання великих і малих літер, цифр і символів
- Немає словникових слів чи особистої інформації
- Унікальний для кожного облікового запису
Використовуйте менеджери паролів для створення та безпечного зберігання складних паролів. У поєднанні з іншою моделлю безпеки Linux із принципами діаграми надійні паролі утворюють кілька захисних рівнів, які захищають від несанкціонованого доступу.
17. Віддавайте перевагу SFTP над FTP
Стандартний FTP передає дані та облікові дані у вигляді звичайного тексту, роблячи їх видимими для мережевих перехоплювачів. SFTP шифрує всю передачу даних, захищаючи конфіденційну інформацію та підтримуючи безпечні архітектури файлових серверів Linux.
Налаштувати доступ лише через SFTP:
sudo nano /etc/ssh/sshd_config
# Add: Subsystem sftp internal-sftpВимкніть стандартні служби FTP, щоб усунути загрозу безпеці:
sudo systemctl disable vsftpd
sudo systemctl stop vsftpd18. Увімкніть автоматичне оновлення CMS
Системи керування вмістом (WordPress, Drupal, Joomla) часто випускають патчі безпеки. Увімкнення автоматичних оновлень забезпечує швидке усунення критичних уразливостей.
Для WordPress додайте до wp-config.php:
define('WP_AUTO_UPDATE_CORE', true);
add_filter('auto_update_plugin', '__return_true');
add_filter('auto_update_theme', '__return_true');Відстежуйте журнали оновлень, щоб забезпечити сумісність і функціональність.
19. Вимкніть анонімне завантаження на FTP
Анонімний FTP дозволяє будь-кому завантажувати файли на ваш сервер без автентифікації. Це може призвести до розміщення на вашому сервері незаконного вмісту, зловмисного програмного забезпечення або стати точкою розповсюдження для атак.
Налаштуйте vsftpd на вимогу автентифікації:
sudo nano /etc/vsftpd.conf# Вимкнути анонімний доступ
anonymous_enable=NO# Увімкнути локальну автентифікацію користувача
local_enable=YES
write_enable=YES
local_umask=022# Обмежити користувачів їхніми домашніми каталогами
chroot_local_user=YES
allow_writeable_chroot=YES# Налаштування безпеки
ssl_enable=YES
ssl_tlsv1=YES
ssl_sslv2=NO
ssl_sslv3=NOПерезапустіть службу FTP:
sudo systemctl restart vsftpd
sudo systemctl enable vsftpdСтворіть облікові записи користувачів FTP з обмеженими дозволами:
sudo adduser ftpuser
sudo usermod -d /var/ftp/uploads ftpuser
sudo chown ftpuser:ftpuser /var/ftp/uploads
sudo chmod 755 /var/ftp/uploadsКонтролюйте журнали доступу до FTP на наявність підозрілої активності:
sudo tail -f /var/log/vsftpd.log20. Налаштуйте захист від грубої сили
Застосуйте кілька рівнів захисту від грубої сили, крім Fail2Ban, щоб захиститися від складних автоматизованих атак.
Налаштувати додаткові засоби захисту:
# Limit SSH connection attempts
sudo nano /etc/ssh/sshd_config
# Add: MaxAuthTries 3
# Add: ClientAliveInterval 300
# Add: ClientAliveCountMax 2Використовуйте такі інструменти, як DenyHosts разом із Fail2Ban для всебічного захисту.
Висновок
Захист Linux VPS вимагає впровадження кількох рівнів захисту, від базових змін конфігурації до вдосконалених систем моніторингу. Почніть із фундаментальних заходів безпеки (оновлення програмного забезпечення, конфігурація брандмауера, захист SSH), перш ніж додавати такі складні інструменти, як виявлення вторгнень і автоматичний моніторинг.
Захищений сервер Linux вимагає постійного обслуговування, а не одноразового налаштування. Регулярно переглядайте журнали, оновлюйте програмне забезпечення та коригуйте заходи безпеки в міру розвитку загроз. Інвестиції в належну конфігурацію безпеки запобігають дорогим витокам даних і зберігають надійність системи.
Пам’ятайте, що ці заходи безпеки працюють разом – жодна окрема техніка не забезпечує повного захисту. Реалізація всіх 20 стратегій створює перекриваючі рівні безпеки, що значно знижує вразливість вашого сервера до типових атак. Незалежно від того, чи потрібна вам безпечна конфігурація файлового сервера Linux чи загальний захищений захист хостингу VPS, ці базові кроки забезпечують необхідну безпеку.
