Как защитить VPS-сервер?

Виртуальные серверы, как и персональные компьютеры, надо защищать. Причем желательно множеством методик и специализированных программ, так как они частенько подвергаются атакам (автоматизированным и не только).

Поговорим о том, как защитить VPS-сервер и почему нужно правильно подбирать хостинг-провайдера.

Откажитесь от прав суперпользователя

Суперпользователь (или root) имеет неограниченное количество прав и может вносить в операционную систему любые изменения. Поэтому взломщики любят перебором или другими методами получать контроль над «главной» учетной записью и творить на сервере то, что заблагорассудится. Поэтому root несет угрозу.

Чтобы защитить свой VPS, стоит создать нового пользователя с достаточным уровнем прав для повседневной жизни. А получить root-права всегда можно с помощью sudo в начале любой команды.

А root вовсе стоит отключить, открыв файл /etc/ssh/sshd_config и сменив параметр yes напротив строки PermitRootLogin на no. Только важно сделать это после создания нового пользователя.

Как защитить VPS-сервер?

Используйте сложный пароль

Крайне очевидно, но столь и важно. По умолчанию хостинг-провайдер создает пароль за вас, и он может быть недостаточно сложным. Короткие пароли без вариативного регистра и цифр попросту легче подбирать.

Используйте сложные пароли. Даже условный ТикТок требует для регистрации внятный пароль. Что уж говорить о вашем VPS, который точно будет ценнее.

Придумываем что-нибудь повычурнее. Можно использовать генератор паролей в духе 1Password.

Производительные VDS с минимальным steal time – 15 дней бесплатно

Дарим 15 дней на тарифе Scarlett! Закажи VDS, внеси платеж от 50 рублей и активируй промокод hosting2go15.

Заказать
Условия использования

Смените SSH-порт

Взломать SSH сложнее, если не можешь его разыскать. По крайне мере, сложнее для автоматизированных скриптов-взломщиков, которые автоматически подключаются к базовому 22 порту.

Поменять порт можно там же, где отключается root-доступ, в файле /etc/ssh/sshd_config.

  1. Открываем его.
  2. Ищем строчку с портом для подключения по SSH.
  3. Меняем на другой доступный порт.
  4. Сохраняем внесенные изменения.
  5. Радуемся, что добавили еще один «слой безопасности».

Как защитить VPS-сервер?

Держите ПО в актуальном состоянии

Тоже не особо новый совет. Какой бы ни была безопасной операционная система и модули, подключенные к ней, «дырам» место всегда найдется. Хорошо, что их регулярно исправляют.

Доверьтесь разработчикам, если те говорят, что устранили опасную уязвимость. Скачайте последнюю версию ОС, CMS, дополнительных компонентов, панелей управления и прочих элементов сервера. Это поможет защитить VPS.

Закройте незадействованные порты

Открытые и неиспользуемые порты могут стать для взломщиков легким способом подобраться к VPS.

Чтобы уберечь себя от этого, стоит отключить ненужные сервисы и закрыть «лишние» порты:

  1. Устанавливаем net-tools командой apt install net-tools (в других дистрибутивах используйте подходящий менеджер пакетов вместо apt).
  2. Запускаем утилиту netstat.
  3. Смотрим, какие из портов открыты и какими сервисами они используются.
  4. Затем открываем iptables и закрываем неиспользуемые порты.
  5. Потом включаем chkconfig и блокируем ненужные сервисы.

Как защитить VPS-сервер?

Те же изменения можно внести в VPS, используя какой-нибудь Firewall на ваш вкус.

Удалите все ненужные или подозрительные модули

Иногда в базовой комплектации VPS, которую предлагает хостинг, может быть внушительное количество «мусора». Ненужные модули, пакеты, сервисы. Они мало того что будут занимать место, так еще могут стать очередной лазейкой для злоумышленников. Поэтому, чтобы защитить VPS, надо вырубить все лишнее.

Советую соблюдать строгий минимализм, чтобы не захламлять систему. Это касается не только пакетов на уровне ОС, но и мини-приложений для условного WordPress или другой CMS.

Отключите IPv6

Вряд ли вы вообще используете этот протокол. Он хорош, но практически никому не нужен. Из простых людей. А вот взломщики его любят. Нередко отправляют через IPv6 разного рода «вредный» трафик.

Если IPv6 никак не используется, то лучше его отключить:

  1. Открываем файл /etc/sysconfig/network.
  2. Заменяем директиву NETWORKING_IPV6=yes и директиву IPV6INI=no на NETWORKING_IPV6=no и IPV6INIT=no соответственно.
  3. Сохраняем внесенные изменения.

Настройте шифрование

Получить доступ к данным с сервера можно по ходу их передачи по сети. Чтобы подобного не происходило, есть такая замечательная сущность как «шифрование». Передаваемую информацию можно защитить при помощи паролей, ключей и сертификатов. Причем все это несложно настроить через утилиту вроде GnuPG.

Как защитить VPS-сервер?

Это программа для шифрования, использующая систему ключей, доступ к которым есть только у пользователя, получающего файл или информацию. При этом вмешаться со стороны без ключа невозможно.

Настройте Firewall

Для Linux и Windows хватает всяческих брандмауэров. В ядро первой вообще по умолчанию встроен NetFilter. Базовый, но эффективный Firewall. Справляется с блокировкой нежелательных подключений на ура. А больше нам ничего не нужно. Этого хватит, чтобы заблокировать DDoS-атаки.

Есть решение посложнее — TCPWrapper. Оно хорошо тем, что позволяет настроить доступ к сети для отдельных приложений. А еще в нем есть защита от спуфинга (то есть маскировки вирусов под безопасные сервисы).

Поделите файловую систему на части

Речь идет конкретно о диске. Надо поделить его на несколько разделов. Мотивация такая же, как во фразе «не стоит хранить все яйца в одной корзине». Принцип простой: системные файлы храним отдельно, пользовательские отдельно, временные файлы тоже, ну и сторонние приложения в еще одном разделе.

Как защитить VPS-сервер?

Не панацея, конечно, но в какой-то мере защитит, если «поломают» один из разделов. Другие будут целее.

Запретите вносить изменения в директорию /boot

В /boot лежат все файлы, связанные с ядром Linux. По умолчанию для этой директории действуют права чтения и записи. То есть можно как просматривать хранящиеся внутри данные, так и изменять их.

Второе нам, как владельцам VPS, совсем не нравится. Ведь что-то поменять в /boot можем не только мы, но и какой-нибудь злоумышленник. Поэтому хорошей идеей будет заменить права только на чтение:

  1. Открываем файл /etc/fstab.
  2. Добавляем в конец строку LABEL=/boot /boot ext2 defaults, ro 1 2.
  3. Сохраняем внесенные изменения.

Используйте SFTP вместо FTP

Стандартный протокол FTP устарел и перешел в разряд небезопасных. Такие винтажные технологии даже с надстройками в духе FTPS не могут гарантировать безопасность VPS. Увы.

Файлы, передаваемые по названному протоколу, не шифруются. Даже TLS не помогает. Поэтому хакерам не составляет труда стащить пакет, пока он находится в стадии перемещения по сети.

А вот SFTP шифрует все. И пользовательские данные, и передаваемые файлы.

Установите какую-нибудь антивирусную защиту

Даже при наличии всех остальных, описанных в этой статье, степеней защиты, пригодился бы антивирус. Неизвестно, что и когда проникнет в VPS и начнет там орудовать. Лучше заранее делегировать программе задачу отслеживать незваных гостей и блокировать их при первом же подозрении.

Как защитить VPS-сервер?

Для Linux есть как минимум два бесплатных антивируса: ClamAV и Maldet. У них открытый исходный код и они частенько используются хостинг-провайдерами для дополнительной защиты своих VDS.

Запретите анонимные подключения к FTP

В некоторых панелях управления такое поведение задается по умолчанию, но не везде. Нельзя разрешать загружать файлы на свой FTP-сервер без авторизации. Разного рода скам попадет туда слишком скоро.

Установите защиту от rootkit’a

Это суперопасный вирус. Настолько опасный, что в качестве оберега от него была разработана отдельная утилита, сканирующая систему на наличие этой угрозы. Программа называется chrootkit. У нее открытый исходный код, распространяется бесплатно, много кушать не просит, поэтому нет поводов ее игнорировать. Обязательно ставим.

Регулярно делайте резервные копии данных

Еще немного банальщины, о которой забывают новички. Забывают, а потом страдают, теряя кучу файлов. Стоит всегда хранить копии всех важных данных на отдельном носителе, ресурсе или где бы то ни было.

Как защитить VPS-сервер?

Может быть лениво это делать, но надо превратить это в полезную привычку. Когда резервная копия понадобится, будете тысячу раз благодарны себе и не окажетесь в западне.

Используйте надежный хостинг

От провайдера тоже многое зависит. Стоит выбрать того, который смог зарекомендовать себя и не оказывался в скандалах с исчезновением пользовательских данных. Это неплохой показатель надежности.

Я отчасти по такому принципу выбирал себе хостинг для VPS. В какой-то момент оказался на Timeweb. Так как не довелось найти хоть сколько-то дурной славы о нем в сети, решил попробовать.

Так и пользуюсь до сих пор. Ни одного сбоя, ни одного инцидента, который мог бы скомпрометировать хостинг. Не первый год радует стабильность и, думаю, еще будет радовать.

К тому же обходится мне недорого. У меня есть два VPS с базовыми тарифами по 350 рублей в месяц. Неплохие машины с мощными процессорами, 2 Гбайтами оперативной памяти и NVMe-дисками.

Вкупе с надежностью становится совсем красиво. Дальше искать уже ничего не хочется.

Hosting2go.ru