Mākoņu VPS izmantošana prasa īpašu uzmanību drošības jautājumiem, jo serveri mākoņos ir pastāvīgā apdraudējumā no ļaunprātīgām personām. Kiberuzbrukumi serveriem var novest pie datu noplūdes, informācijas dzēšanas, servera bloķēšanas un pat jūsu VPS resursu izmantošanas uzbrukumu veikšanai pret citām sistēmām. Lai saprastu, cik svarīga ir VPS drošība, aplūkosim dažus galvenos apdraudējumu veidus:
DDoS uzbrukumi (Distributed Denial of Service): Serveris tiek pārslogots ar daudziem pieprasījumiem, kas noved pie tā nepieejamības lietotājiem un finansiāliem zaudējumiem uzņēmumam.
Bruteforce uzbrukumi: Ļaunprātīgas personas mēģina uzminēt lietotājvārdu un paroli, lai iegūtu nesankcionētu piekļuvi, kas var novest pie pilnīgas sistēmas pārņemšanas.
Vīrusi un rootkiti: Pēc iekļūšanas serverī caur ievainojamībām ļaunprātīgas personas instalē ļaunprātīgas programmas, kas var veikt slēptas darbības (datu vākšana, surogātpasta sūtīšana, uzbrukumu uzsākšana pret citiem serveriem).
Izvairīties no šiem apdraudējumiem var, izmantojot pareizu konfigurāciju un kompleksu pieeju drošībai. Šajā rakstā mēs aplūkosim, kā pareizi konfigurēt SSH, ugunsmūri, ieviest divu faktoru autentifikāciju un izmantot citus pasākumus aizsardzībai.
Galvenie drošības pasākumi mākoņu VPS
1. Tīkla protokola SSH konfigurācija
SSH — galvenais veids, kā pārvaldīt serveri un "SSH protokola uzstādīšana un izmantošana Ubuntu 24.04 LTS", taču tā standarta iestatījumi padara serveri ievainojamu uzbrukumiem. Savienojuma ar serveri aizsardzību var nodrošināt, pieņemot noteiktus drošības pasākumus.
Standarta SSH porta maiņa
Standarta SSH ports 22 bieži tiek skenēts no ļaunprātīgām personām. Lai samazinātu servera uzbrukumu skaitu, ieteicams atteikties no SSH porta izmantošanas un aizstāt to.
Veiciet nepieciešamās izmaiņas failā sshd_config, lai mainītu SSH portu:
sudo nano /etc/ssh/sshd_config
Konfigurācijas dokumentā jāatrod rinda ar #Port 22 un jāiestata cita vērtība, piemēram, 2200. Saglabājiet izmaiņas un veiciet SSH pakalpojuma restartēšanu:
sudo systemctl restart ssh
Piekļuves atslēgu izmantošana
Izmantojot un ieviešot SSH atslēgas, kas aizstāj klasiskās paroles, ievērojami uzlabojas darba process, jo atslēgas ir grūti uzminēt ar bruteforce metodi. Lai konfigurētu, iepazīstieties ar tālāk norādītajām darbībām:
Atslēgas ģenerēšana:
ssh-keygen -t rsa -b 4096
Atslēgas dublikāta izveide serverī:
ssh-copy-id user@server_ip
Paroļu sistēmas deaktivizācija:
sudo nano /etc/ssh/sshd_config
Iestatiet PasswordAuthentication uz nē, pēc tam restartējiet tīkla protokolu.IP adresu izmantošana piekļuves ierobežošanai
Jums jāizmanto ugunsmūra iestatījumi vai konfigurācijas faili /etc/hosts.allow un /etc/hosts.deny lai piemērotu konfigurācijas, kas atļaus piekļuvi SSH tikai konkrētām IP adresēm.
2. Izturīgu paroli izmantošana
Sarežģītas paroles, kas satur vismaz 12 simbolus, speciālos simbolus un burtus dažādās reģistros, palielina izturību, spēlējot galveno lomu aizsardzībā pret bruteforce uzbrukumiem. Ieteicams izmantot paroļu pārvaldniekus, lai izvairītos no sarežģītu kombināciju atcerēšanās.
3. Divu faktoru autentifikācija
Lai nodrošinātu augstāku drošības līmeni, nepieciešams iestatīt divu faktoru autentifikāciju (2FA). Tas pievienos vēl vienu aizsardzības līmeni, prasot ne tikai paroli, bet arī vienreizēju kodu, ko ģenerē lietotne jūsu telefonā.
Instalējiet bibliotēku:
sudo apt install libpam-google-authenticator
Konfigurējiet autentifikāciju, izmantojot Google Authenticator:
google-authenticator
Nolasiet QR kodu ar lietotni un sekojiet norādījumiem. Augstāk redzamais ekrānuzņēmums ir paredzēts, lai parādītu, kā tas izskatīsies un tika veikts testēšanas vidē.
4. Citi drošības pasākumi
Piekļuves tiesību ierobežošana: Izveidojiet atsevišķus lietotājus ar ierobežotām tiesībām un izmantojiet sudo tikai nepieciešamības gadījumā.
Programmatūras atjaunināšana: Vecas programmatūras versijas var saturēt ievainojamības, kuras ļaunprātīgas personas var izmantot, lai uzlauztu serveri. Regulāra visu pakotņu atjaunināšana samazina šādus riskus:
sudo apt update && sudo apt upgrade
Žurnālu uzraudzība: Žurnāli satur svarīgu informāciju par aizdomīgu aktivitāti serverī. Izmantojiet rīkus fail2ban un logwatch automātiskai uzraudzībai un paziņošanai par aizdomīgu aktivitāti.
Ugunsmūra konfigurācija
Ugunsmūris, kas pazīstams arī kā starpniekserveris, ir pirmā aizsardzības līnija, kas novērš nesankcionētu iekļūšanu jūsu serverī. Varat izmantot rīku ufw (Uncomplicated Firewall), ko var izmantot kā ugunsmūri. Tas izceļas ar savu vienkāršību konfigurācijā un pārvaldībā.
1. Rīka instalēšana un palaišana
Ja nav instalētas versijas, instalējiet un aktivizējiet ufw:
sudo apt install ufw
sudo ufw enable
2. Piekļuves atvēršana caur SSH
Nodrošiniet piekļuvi SSH izvēlētajam portam, lai izvairītos no savienojuma zuduma ar serveri:
sudo ufw allow 2200/tcp # Norādiet savu nestandarta portu
3. Piekļuves noteikumu konfigurācija
Pēc SSH konfigurācijas varat atļaut piekļuvi citām pakalpojumu, piemēram, HTTP un HTTPS:
sudo ufw allow 80/tcp
sudo ufw allow 443/tcp
4. Visu pārējo savienojumu bloķēšana
Lai pastiprinātu aizsardzību, veiciet pilnīgu ienākošo savienojumu bloķēšanu, izņemot tos, kuriem jūs skaidri esat piešķīris atļauju:
sudo ufw default deny incoming
sudo ufw default allow outgoing
5. Normu analīze un novērtēšana
Iespēja iepazīties ar spēkā esošajiem ugunsmūra noteikumiem un apstiprināt, ka visas konfigurācijas darbojas pareizi, tiek nodrošināta ar komandu ufw status:
sudo ufw status
Drošības pasākumu uzraudzība un novērtēšana
Pastāvīga pārbaude un drošības uzraudzība palīdz izvairīties no incidentiem, novēršot kaitējumu.
Kā strādāt ar fail2ban
Rīks fail2ban automātiski ierobežo IP adresu piekļuvi, kas veic aizdomīgas darbības, piemēram, atkārtotus neizdevušos pieteikšanās mēģinājumus. Instalējiet rīku:
sudo apt install fail2ban
Sagatavojiet konfigurācijas failu un iestatiet bloķēšanas parametrus:
sudo nano /etc/fail2ban/jail.local
Iestatiet nepieciešamos iestatījumus SSH, HTTP un citiem pakalpojumiem.
Žurnālu uzraudzība ar logwatch
logwatch — rīks, kas ļauj saņemt ziņojumus par aizdomīgu aktivitāti serverī. Instalējiet logwatch:
sudo apt install logwatch
Lai uzraudzītu aktivitāti, kas notiek serverī, jums vajadzētu iestatīt ikdienas ziņojumus uz e-pastu.
Datu dublēšana
Lai aizsargātu savus failus no kiberuzbrukumiem vai administratora kļūdām, ir ļoti noderīgi veikt sistemātisku visu nepieciešamo datu dublēšanu. Automātiskās dublēšanas iestatīšanai varat izmantot rsync, cron, kā arī mākoņu glabāšanas pakalpojumus.
Secinājums
Izmantojot aplūkotās metodes, var ievērojami nostiprināt VPS aizsardzību un samazināt riskus. Pamata, bet ne izsmeļoši drošības pasākumi ir divu faktoru autentifikācijas uzstādīšana, sarežģītu paroli izmantošana un SSH konfigurācija. Ugunsmūra konfigurācija ierobežo piekļuvi tikai nepieciešamajiem portiem, novēršot nesankcionētu piekļuvi, un tādi rīki kā fail2ban un logwatch palīdzēs savlaicīgi atklāt aizdomīgas darbības un novērst uzbrukumu mēģinājumus.
Tāpat ir vērts atcerēties par sistemātisku datu dublēšanu. Neatkarīgi no tā, cik droša ir jūsu sistēma, vienmēr pastāv iespēja, ka serveris saskarsies ar uzbrukumu. Šādos gadījumos dublējumi sniegs nenovērtējamu palīdzību ātrai sistēmas atjaunošanai un kaitējuma samazināšanai. Neaizmirstiet periodiski pārskatīt un atjaunināt savus drošības iestatījumus atbilstoši pašreizējiem apdraudējumiem. Mūsdienu kiberuzbrukumi kļūst arvien izsmalcinātāki, un tikai pastāvīga uzmanība drošībai ļaus aizsargāt jūsu VPS un datus tajā.
Lai pastiprinātu savu aizsardzību, cenšaties būt informēti par jaunām ievainojamībām un tendencēm kiberdrošībā. Šo ieteikumu izmantošana kopumā veido spēcīgu aizsardzības stratēģiju un nodrošina stabilu un drošu jūsu servera darbību, neatkarīgi no tā, kādiem uzdevumiem to izmantojat.