Как обезопасить неуправляемый сервер

В этой статье описывается несколько шагов, которые можно предпринять, чтобы защитить неуправляемый сервер.

Информация в этой статье относится только к продуктам, перечисленным на боковой панели «Сведения о статье». У вас должен быть root-доступ к серверу, чтобы следовать процедурам, описанным ниже.

Неуправляемый сервер обеспечивает полную гибкость. Поскольку у вас есть root-доступ к серверу, вы можете установить все, что хотите, настроить его, как хотите, и запускать, как хотите.

Вместе с этой свободой возникают и дополнительные административные задачи, и одной из самых важных из них является безопасность. Если вы не предпримете шагов для защиты своего сервера, вы оставите его открытым для атак злоумышленников. Незначительная атака может просто вызвать раздражение, в то время как крупная атака может привести к потере всей конфигурации и данных вашего сервера.

Поэтому очень важно максимально обезопасить свой сервер. Следующие рекомендации помогут вам в этом

Слабые пароли могут подорвать работу самого тщательно настроенного сервера. Надлежащая практика безопасности начинается с использования надежных паролей. Информацию о том, как выбирать надежные пароли, см. в этой статье.

Учетная запись root является всемогущей, поэтому первое, что вы должны сделать на новом неуправляемом сервере, — это создать обычную учетную запись пользователя и отключить доступ root по SSH. Информацию о том, как это сделать, см. в этой статье.

Хостинг A2 использует порт SSH (7822), отличный от порта по умолчанию (22), что помогает уменьшить количество ботов, пытающихся просканировать ваш сервер и получить доступ к нему. Тем не менее, это очень хорошая идея — отключить root-доступ по SSH.

Уязвимости безопасности постоянно обнаруживаются и исправляются. (Одним из широко разрекламированных примеров является «Heartbleed» уязвимость OpenSSL, которая была раскрыта в апреле 2014 года.) Поддержание актуального сервера с последними исправлениями и исправлениями имеет решающее значение для поддержания более безопасный сервер

Информацию о том, как устанавливать обновления на неуправляемый сервер, см. в этой статье.

Брандмауэр позволяет контролировать входящие и исходящие сетевые пакеты. Например, вы можете указать правила, которые блокируют все входящие пакеты на порт 25 или все исходящие пакеты на определенный порт или хост.

⢠Информацию о том, как настроить брандмауэр с помощью iptables, см. в этой статье.

⢠Информацию о том, как настроить брандмауэр с помощью Advanced Policy Firewall, см. в этой статье.
Программа fail2ban помогает защитить ваш сервер от попыток несанкционированного доступа, отслеживая файлы журналов на наличие подозрительной активности. После заданного количества неудачных попыток доступа с IP-адреса fail2ban автоматически блокирует его.

Информацию о том, как настроить fail2ban на вашем сервере, см. в этой статье.