Naudojant debesų VPS, reikia ypatingo dėmesio saugumo klausimams, nes debesų serveriai nuolat yra grėsmė iš piktavalių. Kibernetiniai išpuoliai prieš serverius gali sukelti duomenų nutekėjimą, informacijos ištrynimą, serverio užblokavimą ir net jūsų VPS išteklių naudojimą atakoms prieš kitas sistemas. Norint suprasti, kaip svarbus VPS saugumas, apsvarstykime keletą pagrindinių grėsmių tipų:
-
DDoS atakos (Distributed Denial of Service): Serveris perkraunamas daugybe užklausų, dėl ko jis tampa nepasiekiamas vartotojams ir sukelia finansinių nuostolių verslui.
-
Bruteforce atakos: Piktavaliai bando rasti prisijungimo vardą ir slaptažodį, kad gautų nesankcionuotą prieigą, kas gali sukelti visišką sistemos užgrobimą.
-
Žalingas programinis kodas ir rootkitai: Po įsilaužimo į serverį per pažeidžiamumus, piktavaliai įdiegia žalingas programas, kurios gali vykdyti paslėptus veiksmus (duomenų rinkimas, šlamšto siuntimas, atakų vykdymas prieš kitus serverius).
Šių grėsmių galima išvengti tinkamai konfigūruojant ir taikant kompleksinį požiūrį į saugumą. Šiame straipsnyje mes aptarsime, kaip teisingai sukonfigūruoti SSH, ugniasienę, įgyvendinti dviejų faktorių autentifikaciją ir naudoti kitas apsaugos priemones.
Pagrindinės saugumo priemonės debesų VPS
1. Tinklo protokolo SSH konfigūravimas
SSH — pagrindinis serverio valdymo būdas ir "SSH protokolo diegimas ir naudojimas Ubuntu 24.04 LTS", tačiau jo standartinės nustatymos daro serverį pažeidžiamą atakoms. Serverio ryšio apsaugą galima užtikrinti priėmus tam tikras saugumo priemones.
Standartinio SSH prievado keitimas
Standartinis SSH prievadas 22 dažnai yra skenavimo taikinys iš piktavalių. Norint sumažinti serverio atakų skaičių, rekomenduojama atsisakyti SSH prievado naudojimo ir jį pakeisti.
Atlikite reikiamus pakeitimus sshd_config faile, kad pakeistumėte SSH prievadą:
sudo nano /etc/ssh/sshd_config
Konfigūracijos dokumente suraskite eilutę su #Port 22 ir nustatykite kitą reikšmę, pavyzdžiui, 2200. Išsaugokite pakeitimus ir perkraukite SSH paslaugą:
sudo systemctl restart ssh
-
Prieigos per slaptažodį išjungimas
Žymiai pagerina darbo procesą SSH raktų diegimas ir taikymas, kurie pakeičia klasikinius slaptažodžius, nes raktus sunku atspėti bruteforce metodu. Norint sukonfigūruoti, susipažinkite su toliau aprašytais veiksmais:
Rakto generavimas:
ssh-keygen -t rsa -b 4096
Rakto kopijos sukūrimas serveryje:
ssh-copy-id user@server_ip
Slaptažodžių sistemos deaktyvavimas:
sudo nano /etc/ssh/sshd_config
Nustatykite PasswordAuthentication į no, po to perkraukite tinklo protokolą. -
IP adresų naudojimas prieigos ribojimui
Jums reikia naudoti ugniasienės nustatymus arba konfigūracijos failus /etc/hosts.allow ir /etc/hosts.deny, kad pritaikytumėte konfigūracijas, leidžiančias prieigą prie SSH tik konkretiems IP adresams.
2. Tvirtų slaptažodžių naudojimas
Sunkūs slaptažodžiai, turintys bent 12 simbolių, specialių simbolių ir skirtingų raidžių atvejų, padidina atsparumą, vaidindami svarbų vaidmenį apsaugant nuo bruteforce atakų. Rekomenduojama naudoti slaptažodžių tvarkykles, kad išvengtumėte sudėtingų kombinacijų atminties.
3. Dviejų etapų autentifikacija
Norint užtikrinti aukštesnį saugumo lygį, būtina sukonfigūruoti dviejų etapų autentifikaciją (2FA). Tai pridės dar vieną apsaugos lygį, reikalaujant ne tik slaptažodžio, bet ir vienkartinio kodo, generuojamo programėlės jūsų telefone.
Įdiekite biblioteką:
sudo apt install libpam-google-authenticator
Sukonfigūruokite autentifikaciją su Google Authenticator:
google-authenticator
Nuskenuokite QR kodą programėle ir sekite instrukcijas. Aukščiau pateiktas ekrano nuotraukas rodo, kaip tai atrodys ir buvo atlikta testinėje aplinkoje.
4. Kitos saugumo priemonės
Prieigos teisių ribojimas: Kurkite atskirus vartotojus su ribotomis teisėmis ir naudokite sudo tik prireikus.
Programinės įrangos atnaujinimas: Senos programinės įrangos versijos gali turėti pažeidžiamumų, kuriuos piktavaliai gali pasinaudoti norėdami įsilaužti į serverį. Reguliarus visų paketų atnaujinimas sumažina tokius rizikos veiksnius:
sudo apt update && sudo apt upgrade
Žurnalų stebėjimas: Žurnalai turi svarbios informacijos apie įtartiną veiklą serveryje. Naudokite fail2ban ir logwatch įrankius automatiškai stebėti ir pranešti apie įtartiną veiklą.
Ugniasienės konfigūracija
Ugniasienė, dar vadinama tinklo ugniasiene, yra pirmoji apsaugos linija, užkertanti kelią neteisėtam įsilaužimui į jūsų serverį. Galite naudoti ufw (Uncomplicated Firewall) įrankį, kurį galima taikyti kaip ugniasienę. Jis išsiskiria paprastumu konfigūruojant ir valdant.
1. Įrankio diegimas ir paleidimas
Jei versija nėra įdiegta, įdiekite ir aktyvuokite ufw:
sudo apt install ufw
sudo ufw enable
2. Prieigos atidarymas per SSH
Leiskite prieigą prie SSH pasirinktam prievadui, kad išvengtumėte ryšio praradimo su serveriu:
sudo ufw allow 2200/tcp # Nurodykite savo nestandartinį prievadą
3. Prieigos taisyklių nustatymas
Po SSH konfigūravimo galite leisti prieigą prie kitų paslaugų, pavyzdžiui, HTTP ir HTTPS:
sudo ufw allow 80/tcp
sudo ufw allow 443/tcp
4. Visų kitų prisijungimų blokavimas
Norint sustiprinti apsaugą, visiškai užblokuokite įeinančius prisijungimus, išskyrus tuos, kuriems aiškiai suteikėte leidimą:
sudo ufw default deny incoming
sudo ufw default allow outgoing
5. Normų analizė ir vertinimas
Galimybė susipažinti su galiojančiomis ugniasienės taisyklėmis ir patvirtinti, kad visos konfigūracijos veikia teisingai, suteikia komanda ufw status:
sudo ufw status
Stebėjimas ir saugumo priemonių vertinimas
Nuolatinis saugumo patikrinimas ir stebėjimas padeda išvengti incidentų, užkertant kelią žalos padarymui.
Kaip dirbti su fail2ban
Fail2ban įrankis automatiškai riboja IP adresų prieigą, kurie vykdo įtartinus veiksmus, tokius kaip daugybiniai nesėkmingi prisijungimai. Įdiekite įrankį:
sudo apt install fail2ban
Paruoškite konfigūracijos failą ir nustatykite blokavimo parametrus:
sudo nano /etc/fail2ban/jail.local
Nustatykite reikiamus nustatymus SSH, HTTP ir kitoms paslaugoms.
Žurnalų stebėjimas naudojant logwatch
logwatch — įrankis, leidžiantis gauti ataskaitas apie įtartiną veiklą serveryje. Įdiekite logwatch:
sudo apt install logwatch
-
Norint stebėti veiklą, vykstančią serveryje, turėtumėte sukonfigūruoti kasdienes ataskaitas el. paštu.
-
Duomenų atsarginė kopija
Norint apsaugoti savo failus nuo kibernetinių atakų ar administratoriaus klaidų, labai naudinga sistemingai daryti visų reikalingų duomenų atsargines kopijas. Automatinės atsarginės kopijos nustatymui galite pasinaudoti rsync, cron, taip pat debesų saugojimo paslaugomis.
Išvada
Naudojant aptartas priemones, galima žymiai sustiprinti VPS apsaugą ir sumažinti riziką. Pagrindinės, bet toli gražu ne išsamios saugumo užtikrinimo priemonės bus dviejų faktorių autentifikacijos įdiegimas, sudėtingų slaptažodžių taikymas ir SSH konfigūravimas. Ugniasienės konfigūracija riboja prieigą tik prie reikalingų prievadų, užkertant kelią nesankcionuotam prisijungimui, o tokie įrankiai kaip fail2ban ir logwatch padės laiku aptikti įtartinus veiksmus ir užkirsti kelią įsilaužimo bandymams.
Taip pat verta prisiminti apie sistemingą duomenų atsarginę kopiją. Nepriklausomai nuo to, kaip patikimai jūsų sistema apsaugota, visada yra tikimybė, kad serveris susidurs su ataka. Tokiais atvejais atsarginės kopijos suteiks neįkainojamą pagalbą greitai atkuriant sistemą ir sumažinant nuostolius. Nepamirškite periodiškai peržiūrėti ir atnaujinti savo saugumo nustatymus pagal dabartines grėsmes. Šiuolaikinės kibernetinės atakos tampa vis sudėtingesnės, ir tik nuolatinis dėmesys saugumui leis apsaugoti jūsų VPS ir duomenis jame.
Norint sustiprinti jūsų apsaugą, stenkitės būti informuoti apie naujas pažeidžiamybes ir tendencijas kibernetinio saugumo srityje. Šių rekomendacijų naudojimas komplekse sukuria galingą apsaugos strategiją ir užtikrina stabilų bei saugų jūsų serverio veikimą, nepriklausomai nuo to, kokiems uždaviniams jį naudojate.