opened image

Бұлтты VPS-те қауіпсіздік: серверді шабуылдардан қалай қорғауға болады

Бұлтты VPS пайдалану қауіпсіздік мәселелеріне ерекше назар аударуды талап етеді, себебі бұлттағы серверлер үнемі зиянкестер тарапынан қауіп-қатерге ұшырайды. Серверлерге жасалатын кибершабуылдар деректердің ағып кетуіне, ақпараттың жойылуына, сервердің бұғатталуына және тіпті VPS ресурстарының басқа жүйелерге шабуыл жасау үшін пайдаланылуына әкелуі мүмкін. VPS қауіпсіздігінің қаншалықты маңызды екенін түсіну үшін, кейбір негізгі қауіп түрлерін қарастырайық:

  1. DDoS-шабуылдар (Distributed Denial of Service): Сервер көптеген сұраулармен жүктеледі, бұл оны пайдаланушылар үшін қолжетімсіз етеді және бизнес үшін қаржылық шығындарға әкеледі.

  2. Брутфорс-шабуылдар: Зиянкестер рұқсатсыз қол жеткізу үшін логин мен паролді табуға тырысады, бұл жүйенің толық басып алынуына әкелуі мүмкін.

  3. Зиянды бағдарламалар мен руткиттер: Зиянкестер осалдықтар арқылы серверге кіргеннен кейін, деректерді жинау, спам жіберу, басқа серверлерге шабуыл жасау сияқты жасырын әрекеттерді орындауға мүмкіндік беретін зиянды бағдарламаларды орнатады.

 

 

Бұл қауіптерден аулақ болу үшін, дұрыс конфигурациялау және қауіпсіздікке кешенді көзқарас қажет. Мақалада SSH-ны дұрыс конфигурациялау, брандмауэрді орнату, екі факторлы аутентификацияны жүзеге асыру және қорғау үшін басқа шараларды қолдану жолдарын қарастырамыз.

 

Бұлтты VPS үшін негізгі қауіпсіздік шаралары

 

1. SSH желілік протоколын конфигурациялау

SSH — серверді басқарудың негізгі тәсілі және "Ubuntu 24.04 LTS-те SSH протоколын орнату және пайдалану", бірақ оның стандартты параметрлері серверді шабуылдарға осал етеді. Сервермен байланыс қауіпсіздігін қамтамасыз ету үшін белгілі бір қауіпсіздік шараларын қабылдау қажет.

SSH стандартты портын өзгерту
SSH үшін стандартты Порт 22 жиі зиянкестер тарапынан сканерленеді. Серверге шабуылдардың санын азайту үшін, SSH портын пайдаланудан бас тарту және оны ауыстыру ұсынылады.

SSH портын өзгерту үшін sshd_config файлына қажетті түзетулер енгізіңіз:
sudo nano /etc/ssh/sshd_config

Конфигурациялық құжатта #Port 22 жолын тауып, басқа мәнді, мысалы, 2200 орнатыңыз. Өзгерістерді сақтап, SSH қызметін қайта жүктеңіз:
sudo systemctl restart ssh

 

 

  • Пароль арқылы қол жеткізуді өшіру
    SSH кілттерін енгізу және қолдану, классикалық паролдерді алмастырады, себебі кілттерді брутфорс әдісімен табу қиын. Конфигурациялау үшін келесі әрекеттермен танысыңыз:
    Кілтті қалыптастыру:
    ssh-keygen -t rsa -b 4096
    Серверде кілттің дубликатын жасау:
    ssh-copy-id user@server_ip
    Пароль жүйесін деактивациялау:
    sudo nano /etc/ssh/sshd_config
    PasswordAuthentication мәнін no етіп орнатыңыз, содан кейін желілік протоколды қайта жүктеңіз.

  • Қол жеткізуді шектеу үшін IP-адрестерді пайдалану
    SSH-ға тек белгілі IP-адрестер үшін қол жеткізуді қамтамасыз ету үшін брандмауэр параметрлерін немесе /etc/hosts.allow және /etc/hosts.deny конфигурация файлдарын пайдалану қажет.

 

2. Күрделі паролдерді пайдалану

 

Кемінде 12 символдан, арнайы символдардан және әртүрлі регистрдегі әріптерден тұратын күрделі паролдер брутфорс-шабуылдардан қорғауда маңызды рөл атқарады. Күрделі комбинацияларды есте сақтамау үшін пароль менеджерлерін пайдалану ұсынылады.

 

3. Екі кезеңді аутентификация

 

Қауіпсіздіктің жоғары деңгейін қамтамасыз ету үшін екі кезеңді аутентификацияны (2FA) конфигурациялау қажет. Бұл парольмен қатар, телефондағы қосымша арқылы генерацияланатын бір реттік кодты талап етеді.

Кітапхананы орнатыңыз:
sudo apt install libpam-google-authenticator

 

 

Google Authenticator арқылы аутентификацияны конфигурациялаңыз:
google-authenticator

 

 

QR-кодты қосымша арқылы сканерлеңіз және нұсқауларды орындаңыз. Жоғарыдағы скриншот тестілеу ортасында қалай көрінетінін көрсету үшін жасалған.

 

4. Басқа қауіпсіздік шаралары

Қол жеткізу құқықтарын шектеу: Шектеулі құқықтары бар жеке пайдаланушыларды жасаңыз және sudo-ны тек қажет болғанда пайдаланыңыз.

Бағдарламалық қамтамасыз етуді жаңарту: Ескі бағдарламалық қамтамасыз ету нұсқалары зиянкестердің серверді бұзуы үшін пайдалануы мүмкін осалдықтарды қамтуы мүмкін. Барлық пакеттерді тұрақты түрде жаңарту мұндай қауіптерді азайтады:
sudo apt update && sudo apt upgrade

Логтарды бақылау: Логтар сервердегі күдікті әрекеттер туралы маңызды ақпаратты қамтиды. Күдікті әрекеттер туралы автоматты түрде мониторинг және хабарлау үшін fail2ban және logwatch утилиталарын пайдаланыңыз.

 

Межсетевой экранды конфигурациялау

 

Брандмауэр, яғни межсетевой экран, серверіңізге заңсыз кіруді болдырмаудың бірінші желісі болып табылады. Оны конфигурациялау және басқарудағы қарапайымдылығымен ерекшеленетін ufw (Uncomplicated Firewall) утилитасын пайдалануға болады.

 

1. Утилитаны орнату және іске қосу

Орнатылған нұсқасы жоқ болса, ufw-ны орнатып, іске қосыңыз:

sudo apt install ufw


 

sudo ufw enable

 

2. SSH арқылы қол жеткізуді ашу

Сервермен байланыс жоғалту үшін SSH-ға қол жеткізуді таңдаулы портқа беріңіз:

sudo ufw allow 2200/tcp  # Сіздің стандартты емес портыңызды көрсетіңіз

 

3. Қол жеткізу ережелерін конфигурациялау

SSH конфигурацияланғаннан кейін, HTTP және HTTPS сияқты басқа қызметтерге қол жеткізуді рұқсат етуге болады:

sudo ufw allow 80/tcp

sudo ufw allow 443/tcp

 

4. Басқа барлық қосылымдарды блоктау

Қорғанысты күшейту үшін, рұқсат берілгендерден басқа, кіріс қосылымдарды толық блоктаңыз:

sudo ufw default deny incoming

sudo ufw default allow outgoing

 

5. Нормаларды талдау және бағалау

Фаерволдың белсенді ережелерімен танысу және барлық конфигурациялардың дұрыс жұмыс істеп тұрғанын растау үшін ufw status командасын пайдаланыңыз:

sudo ufw status


 

Қауіпсіздік шараларын бақылау және бағалау

Қауіпсіздікті тексеру және бақылау үнемі инциденттерді болдырмауға көмектеседі, зиян келтіруді алдын алады.

 

fail2ban-мен жұмыс істеу
fail2ban утилитасы күдікті әрекеттерді жүзеге асыратын IP-адрестердің қол жеткізуін автоматты түрде шектейді, мысалы, бірнеше рет сәтсіз жүйеге кіру. Утилитаны орнатыңыз:
sudo apt install fail2ban


 

Конфигурация файлын дайындап, блоктау параметрлерін орнатыңыз:


sudo nano /etc/fail2ban/jail.local

SSH, HTTP және басқа қызметтер үшін қажетті параметрлерді орнатыңыз.

 

logwatch арқылы логтарды бақылау


logwatch — сервердегі күдікті әрекеттер туралы есептер алуға мүмкіндік беретін утилита. logwatch-ты орнатыңыз:
sudo apt install logwatch


 

 

 

  1. Серверде болып жатқан әрекеттерді бақылау үшін, күнделікті есептерді email-ге конфигурациялауыңыз қажет.

  2. Деректерді резервтік көшіру
    Кибершабуылдардан немесе әкімшінің қателіктерінен файлдарыңызды қорғау үшін, барлық қажетті деректерді жүйелі түрде резервтік көшіру өте пайдалы. Автоматты резервтік көшіруді конфигурациялау үшін rsync, cron және бұлтты сақтау қызметтеріне жүгінуге болады.

 

 

Қорытынды

Қарастырылған әдістерді пайдалана отырып, VPS қорғауды едәуір күшейтуге және қауіптерді азайтуға болады. Негізгі, бірақ толық емес қауіпсіздік шаралары екі факторлы аутентификацияны орнату, күрделі паролдерді қолдану және SSH конфигурациясын жасау болып табылады. Фаервол конфигурациясы тек қажетті порттарға қол жеткізуді шектейді, рұқсатсыз қосылуды болдырмайды, ал fail2ban және logwatch сияқты құралдар күдікті әрекеттерді уақтылы анықтауға және шабуыл жасау әрекеттерін болдырмауға көмектеседі.

Деректерді жүйелі түрде резервтік көшіруді ұмытпаңыз. Сіздің жүйеңіз қаншалықты сенімді қорғалғанына қарамастан, сервер шабуылға ұшырау мүмкіндігі әрқашан бар. Мұндай жағдайларда резервтік көшірмелер жүйені тез қалпына келтіруге және зиянды азайтуға көмектеседі. Қазіргі қауіптерге сәйкес қауіпсіздік параметрлеріңізді жүйелі түрде қайта қарап, жаңартып отыруды ұмытпаңыз. Заманауи кибершабуылдар барған сайын күрделене түсуде, және қауіпсіздікке тұрақты назар аудару сіздің VPS және онда сақталған деректеріңізді қорғауға мүмкіндік береді.

Қорғанысыңызды күшейту үшін, жаңа осалдықтар мен киберқауіпсіздік тенденцияларынан хабардар болуға тырысыңыз. Бұл ұсыныстарды кешенді түрде пайдалану қуатты қорғау стратегиясын құрып, серверіңіздің тұрақты және қауіпсіз жұмысын қамтамасыз етеді, сіз оны қандай мақсатта пайдалансаңыз да.