Захист Linux VPS

У цифрову епоху захист вашого Linux Virtual Private Server (VPS)
є критично важливим для збереження ваших даних та інфраструктури. Цей
детальний посібник розглядає способи захисту вашого Linux VPS від
cyber threats.

Тримайте вашу систему в безпеці
Updated

Один із найважливіших аспектів захисту Linux VPS —
переконатися, що ваша система оновлена. Застаріле ПЗ може
містити вразливості, які можуть експлуатувати зловмисники. Ось як це зробити:
do it:

Використовуйте менеджер пакетів

Більшість дистрибутивів Linux мають менеджер пакетів. Наприклад, якщо
ви використовуєте систему на основі Debian, можете виконати такі команди
для оновлення пакетів:

sudo apt update
sudo apt upgrade

Якщо ви на системі CentOS, використовуйте yum:

sudo yum update

Set Up Automatic
Updates

Налаштування автоматичних оновлень за допомогою unattended-upgrades на
системах на основі Debian:

На системах на основі Debian, як-от Ubuntu, можете використати
пакет unattended-upgrades для автоматизації процесу оновлення.

1. Встановіть unattended-upgrades:

sudo apt install unattended-upgrades

2. Налаштуйте параметри автоматичного оновлення. Відредагуйте конфігурацію
   file:

sudo nano /etc/apt/apt.conf.d/50unattended-upgrades

3. Увімкніть автоматичні оновлення для пакетів безпеки:

Unattended-Upgrade::Allowed-Origins {
    "${distro_id}:${distro_codename}-security";
    "${distro_id}:${distro_codename}-updates";
    "${distro_id}:${distro_codename}-proposed";
    "${distro_id}:${distro_codename}-backports";
};

4. Увімкніть та запустіть сервіс unattended-upgrades:

sudo dpkg-reconfigure -plow unattended-upgrades

Ця команда попросить вас підтвердити зміни. Виберіть "Так", щоб
увімкнути автоматичні оновлення.

Налаштування автоматичних оновлень за допомогою yum-cron на
CentOS:

На CentOS можете використати yum-cron для автоматичних оновлень:

1. Встановіть yum-cron:

sudo yum install yum-cron

2. Запустіть та увімкніть сервіс yum-cron:

sudo systemctl enable yum-cron
sudo systemctl start yum-cron

Use
Надійні паролі та ключі SSH для безпечної аутентифікації

Захист вашого Linux VPS потребує використання надійних методів аутентифікації.
Незалежно від того, підключаєтесь ви з клієнта Linux або Windows, ось як
ефективно використовувати надійні паролі та ключи SSH:

Using Strong
Passwords

При створенні облікових записів на вашому VPS переконайтеся, що паролі
складні і поєднують прописні та малі літери, цифри та спеціальні
символи. Уникайте легко вгадуваних паролів.

Використання ключа SSH
Authentication

Для клієнта Linux:

1. Щоб створити пару ключів SSH на вашому клієнті Linux, використовуйте ssh-keygen
   command:

ssh-keygen -t rsa -b 2048

За замовчуванням публічний ключ буде збережено в ~/.ssh/id_rsa.pub.

2. Скопіюйте ваш публічний ключ на VPS:

ssh-copy-id user@your_server_ip

3. Відключіть вхід за допомогою пароля SSH на VPS на сервері SSH
   у файлі конфігурації (/etc/ssh/sshd_config):

PasswordAuthentication no

Для клієнта Windows:

1. На Windows використовуйте PowerShell для аналогічних функцій:

ssh-keygen

2. Скопіюйте ваш публічний ключ на VPS за допомогою PowerShell. Замініть
   IP-ADDRESS-OR-FQDN на адресу віддаленого сервера
   address:

type $env:USERPROFILE\.ssh\id_rsa.pub | ssh root@{IP-ADDRESS-OR-FQDN} "cat >> .ssh/authorized_keys"

3. Відключіть вхід за допомогою пароля SSH на VPS на сервері SSH
   у файлі конфігурації (/etc/ssh/sshd_config):

PasswordAuthentication no

Implement a Firewall

Безпека вашого клієнта Linux VPS передбачає налаштування брандмауера для контролю
вхідного та вихідного трафіку. Ось як впровадити брандмауер:
enhance security:

Використовуйте ufw (Uncomplicated Firewall) на Debian/Ubuntu або
firewalld on CentOS:

1. Встановіть інструмент керування брандмауером, якщо його ще не встановлено.

Для ufw на Debian/Ubuntu:

sudo apt install ufw

Для firewalld на CentOS:

sudo yum install firewalld

2. Додайте правила для дозволу SSH перед увімкненням брандмауера, щоб не бути заблокованим
   locked out:

Для ufw на Debian/Ubuntu:

sudo ufw allow OpenSSH

Для firewalld на CentOS:

sudo firewall-cmd --permanent --add-service=ssh

3. Увімкніть брандмауер та встановіть стандартні правила:

Для ufw на Debian/Ubuntu:

sudo ufw enable
sudo ufw default deny incoming
sudo ufw default allow outgoing

Для firewalld на CentOS:

sudo systemctl start firewalld
sudo systemctl enable firewalld

4. Перезавантажте брандмауер, щоб зміни набули чинності.

Для ufw на Debian/Ubuntu:

sudo ufw reload

Для firewalld на CentOS:

sudo systemctl reload firewalld

Вимкнути вхід root

Безпека вашого клієнта Linux VPS передбачає обмеження доступу root. Ось як
відключити вхід від root для підвищеної безпеки:

1. Створіть нового користувача: увійдіть на ваш VPS як користувач root. Потім створіть
   новий обліковий запис користувача з привілеями sudo. Замініть newuser на ваше
   desired username:

adduser newuser
usermod -aG sudo newuser

2. Створіть каталог .ssh, authorized_keys та встановіть дозволи для
   нового користувача:

mkdir -p /home/newuser/.ssh
touch /home/newuser/.ssh/authorized_keys
chmod 600 /home/newuser/.ssh/authorized_keys
chown -R newuser:newuser /home/newuser/.ssh

3. Обов'язково згенеруйте та скопіюйте публічний ключ на свій
   VPS.

4. Увійдіть як новий користувач.

5. Відключіться від VPS (якщо ви підключені як root) та увійдіть
   знову, використовуючи новий обліковий запис. Це дозволить вам виконувати
   адміністративні завдання через sudo.

6. Відредагуйте конфігурацію SSH:

Відкрийте файл конфігурації сервера SSH на вашому VPS. Цей файл зазвичай
розташований за адресою /etc/ssh/sshd_config:

sudo nano /etc/ssh/sshd_config

Знайдіть рядок PermitRootLogin та встановіть його значення на no:

PermitRootLogin no

Збережіть файл і вийдіть з текстового редактора.

7. Перезапустіть сервіс SSH:

Після цієї зміни перезапустіть сервіс SSH, щоб нові налаштування
набули чинності:

On Debian/Ubuntu:

sudo systemctl restart ssh

On CentOS:

sudo systemctl restart sshd

Harden SSH
Configuration

Захист вашого VPS на Linux передбачає подальше посилення конфігурації SSH
для більшої безпеки та перевірку того, що правила UFW актуальні.
Ось як посилити параметри SSH і оновити UFW:
rules:

1. Дозвольте новий порт SSH у UFW:

Якщо ви використовуєте UFW (Uncomplicated Firewall), спочатку дозвольте новий порт SSH
перш ніж змінювати порт за замовчуванням:

# Allow the new SSH port (e.g., 2222)
sudo ufw allow 2222/tcp

2. Видаліть OpenSSH з правил UFW:

Після зміни порту SSH видаліть старий сервіс OpenSSH
(порт за замовчуванням 22) з правил UFW, щоб дозволити тільки новий
порт SSH:

# Remove the old OpenSSH service (default port 22)
sudo ufw delete allow OpenSSH

3. Змініть порт SSH:

За замовчуванням SSH використовує порт 22. Зміна порту за замовчуванням може додати
додатковий рівень захисту, що ускладнює автоматизованим ботам знаходження
вашого серверу SSH.

Відкрийте файл конфігурації серверу SSH:

sudo nano /etc/ssh/sshd_config

Знайдіть рядок Port 22 і змініть номер порту на
інший, невикористовуваний порт, наприклад 2222:

Port 2222

4. Увімкніть повторну аутентифікацію ключа:

Ви можете встановити часовий ліміт для повторної аутентифікації ключа, щоб ще більше захистити
вашу сесію SSH. Це означає, що якщо ви залишите сесію SSH
без нагляду, вона автоматично закінчиться через певний час.

Додайте або змініть наступні рядки у файлі конфігурації серверу SSH,
потім збережіть його:

ClientAliveInterval 300
ClientAliveCountMax 2

5. Перезавантажте правила UFW та сервіс SSH:

sudo ufw reload
sudo systemctl restart ssh

6. Після внесення необхідних змін ви можете встановити нове з'єднання SSH
   за допомогою наступної команди:

ssh -p <new_port> user@your_server_ip

Implement Fail2Ban

Захист вашого сервера Linux VPS передбачає захист від атак перебору паролів
та інших типів шкідливої діяльності. Fail2Ban є корисним
інструментом для цієї мети. Ось як впровадити Fail2Ban:

1. Install Fail2Ban:

Почніть з оновлення списку пакетів, щоб переконатися, що у вас є найновішої версії
available packages:

Для систем на основі Debian (наприклад, Ubuntu):

sudo apt update

For CentOS:

sudo yum update

Install Fail2Ban:

Для систем на основі Debian:

sudo apt install fail2ban

For CentOS:

sudo yum install fail2ban

2. Configure Fail2Ban:

Основний файл конфігурації Fail2Ban розташований за адресою
/etc/fail2ban/jail.conf. Ви можете створити перевизначення
file at /etc/fail2ban/jail.local to customize settings
без змін стандартної конфігурації. Відкрийте цей файл:

sudo nano /etc/fail2ban/jail.local

Додайте наступну конфігурацію, щоб блокувати IP-адреси на 10 хвилин
(600 секунд) після шести невдалих спроб входу. Налаштуйте параметри як
needed:

[sshd]
enabled = true
maxretry = 6
findtime = 600
bantime = 600

Збережіть файл і вийдіть з текстового редактора.

3. Запустіть і увімкніть Fail2Ban:

Запустіть Fail2Ban та дозвольте йому запускатися при завантаженні системи:

sudo systemctl start fail2ban
sudo systemctl enable fail2ban

4. Check Fail2Ban Status:

Ви можете перевірити статус Fail2Ban, щоб переконатися, що він працює як
expected:

sudo fail2ban-client status

Ви повинні побачити, що він моніторить сервіс SSH.

6 основних методів, розглянутих тут, забезпечують надійний захист
від потенційних вразливостей. Якщо постійно оновлювати систему,
використання надійної аутентифікації, налаштування брандмауерів, посилення SSH,
та впровадження Fail2Ban, ви захищаєте свій VPS і зберігаєте спокій
думки в постійно пов'язаному світі. Якщо у вас виникнуть питання, не
не вагайтесь звертатися до нашої команди підтримки submitting a
ticket.