Безпека виділеного сервера: Перші 30 хвилин після доставки

Як захистити ваш виділений сервер: Перші 30 хвилин після доставки

Ваш виділений сервер від Valebyte пропонує неперевершену продуктивність та ізоляцію для ваших найвимогливіших робочих навантажень, незалежно від того, чи запускаєте ви веб-додатки з високим трафіком, складні бази даних, потужні ігрові сервери, стрімінгові сервіси або критичні CI/CD конвеєри. Однак, з великою потужністю приходить велика відповідальність, особливо щодо безпеки. Початкові моменти після доставки вашого сервера є надзвичайно важливими для впровадження фундаментальних заходів безпеки, які захистять ваші інвестиції від потенційних загроз.

Передумови та вимоги до сервера

Перш ніж зануритися в захист вашого виділеного сервера, переконайтеся, що у вас є наступне:

• SSH-клієнт: Клієнт безпечної оболонки (наприклад, OpenSSH на Linux/macOS, PuTTY або Windows Terminal з OpenSSH на Windows) для віддаленого підключення до вашого сервера.
• Облікові дані root: Початкове ім'я користувача та пароль root, або SSH-ключ, наданий Valebyte для вашого сервера.
• Базові знання командного рядка Linux: Знання фундаментальних команд Linux є обов'язковим.
• Підключення до Інтернету: Ваша локальна машина потребує підключення до Інтернету, а ваш виділений сервер повинен мати мережеве підключення для завантаження оновлень та пакетів.
• Виділений сервер від Valebyte: Готовий і чекає на ваші команди!

Цей посібник передбачає свіжу інсталяцію поширеного дистрибутива Linux, такого як Debian, Ubuntu або CentOS/RHEL. Команди будуть надані для обох, де існують значні відмінності.

Покроковий контрольний список безпеки (протягом 30 хвилин)

Почнемо з негайних дій для зміцнення вашого сервера.

Крок 1: Початковий доступ та перевірка системи (приблизно 3-5 хвилин)

Ваш перший крок – безпечно підключитися до сервера та перевірити його базову конфігурацію.

1.1 Підключення через SSH

Відкрийте свій SSH-клієнт і підключіться до сервера, використовуючи IP-адресу та облікові дані root, надані Valebyte.

ssh root@YOUR_SERVER_IP_ADDRESS

Вам може бути запропоновано прийняти відбиток сервера. Введіть yes і натисніть Enter. Потім введіть свій пароль root.

1.2 Перевірка деталей системи

Після входу в систему, рекомендується швидко перевірити операційну систему та ім'я хоста.

lsb_release -a # Для Debian/Ubuntu
cat /etc/redhat-release # Для CentOS/RHEL
hostnamectl # Загальна інформація про систему
whoami # Перевірте, що ви є root
w # Перевірте, хто ще увійшов (має бути тільки ви)

Це гарантує, що ви перебуваєте на правильному сервері і немає несподіваних користувачів.

Крок 2: Створення нового користувача sudo (приблизно 5 хвилин)

Постійна робота як користувач root є ризиком для безпеки. Найкращою практикою є створення нового, не-root користувача з адміністративними (sudo) привілеями для ваших щоденних завдань.

2.1 Додавання нового користувача

Замініть your_username на бажане ім'я користувача.

adduser your_username
passwd your_username # Встановіть надійний пароль для цього користувача

Дотримуйтесь підказок, щоб встановити надійний пароль та за бажанням заповнити інформацію про користувача (зазвичай це можна пропустити, натиснувши Enter).

2.2 Надання привілеїв Sudo

Додайте нового користувача до групи sudo (або групи wheel для CentOS/RHEL), щоб він міг виконувати команди з привілеями root, коли це необхідно.

Для Debian/Ubuntu:

usermod -aG sudo your_username

Для CentOS/RHEL:

usermod -aG wheel your_username

2.3 Тестування нового користувача

Відкрийте нову SSH-сесію (залиште вашу root-сесію відкритою як запасний варіант) і спробуйте увійти з новим користувачем. Потім перевірте доступ sudo.

ssh your_username@YOUR_SERVER_IP_ADDRESS

Після входу спробуйте команду sudo:

sudo whoami

Вам має бути запропоновано ввести пароль для your_username, а потім ви побачите root як вивід, що підтверджує доступ sudo.

Крок 3: Захист SSH (приблизно 10 хвилин)

SSH є вашим основним шлюзом до сервера. Його посилення є критично важливим.

3.1 Вимкнення входу root

Запобігайте прямим входам root через SSH. Це змушує зловмисників спочатку вгадувати ім'я користувача.

sudo nano /etc/ssh/sshd_config # Або 'vi', якщо ви віддаєте перевагу

Знайдіть рядок PermitRootLogin і змініть його значення на no. Якщо він закоментований (починається з #), розкоментуйте його.

PermitRootLogin no

3.2 Впровадження автентифікації на основі SSH-ключів

Автентифікація за паролем вразлива до атак методом перебору. SSH-ключі набагато безпечніші.

На вашій локальній машині (не на сервері):

Згенеруйте пару SSH-ключів, якщо у вас її немає:

ssh-keygen -t rsa -b 4096 -C "[email protected]"

Дотримуйтесь підказок. Настійно рекомендується використовувати надійну парольну фразу для вашого приватного ключа.

Скопіюйте ваш публічний ключ на сервер:

Найпростіший спосіб – використання ssh-copy-id:

ssh-copy-id your_username@YOUR_SERVER_IP_ADDRESS

Якщо ssh-copy-id недоступний або ви віддаєте перевагу ручним крокам, ви можете зробити це так:

cat ~/.ssh/id_rsa.pub # На вашій локальній машині, скопіюйте вивід

# На сервері, увійшовши як your_username:
mkdir -p ~/.ssh
chmod 700 ~/.ssh
# Використовуйте nano/vi, щоб відкрити або створити authorized_keys
nano ~/.ssh/authorized_keys
# Вставте ваш публічний ключ у цей файл
chmod 600 ~/.ssh/authorized_keys

Тестування входу на основі ключів:

Відкрийте нову SSH-сесію з вашої локальної машини (залиште root-сесію відкритою!).

ssh your_username@YOUR_SERVER_IP_ADDRESS

Тепер ви повинні увійти без пароля (або лише з запитом парольної фрази вашого ключа).

3.3 Вимкнення автентифікації за паролем (після успішного входу за ключем!)

Після того, як ви підтвердили, що вхід за ключем працює, повністю вимкніть автентифікацію за паролем.

sudo nano /etc/ssh/sshd_config

Знайдіть рядок PasswordAuthentication і встановіть його значення на no.

PasswordAuthentication no

3.4 Зміна порту SSH за замовчуванням (необов'язково, але рекомендовано)

Зміна порту SSH за замовчуванням (22) на нестандартний порт (наприклад, 2222, 22022) зменшує спроби автоматичного сканування.

sudo nano /etc/ssh/sshd_config

Знайдіть рядок Port 22, розкоментуйте його за необхідності та змініть 22 на бажаний порт.

Port 2222 # Виберіть будь-який порт > 1024, який не використовується

3.5 Застосування змін SSH

Перезапустіть службу SSH, щоб зміни набули чинності.

Для Debian/Ubuntu:

sudo systemctl restart ssh

Для CentOS/RHEL:

sudo systemctl restart sshd

3.6 Тестування нової конфігурації SSH

Важливо, відкрийте нову SSH-сесію з вашої локальної машини, щоб перевірити новий порт та вхід на основі ключів. НЕ закривайте існуючі SSH-сесії, доки не переконаєтеся, що можете успішно увійти з новою конфігурацією.

ssh -p 2222 your_username@YOUR_SERVER_IP_ADDRESS

Якщо ви можете увійти, ваше посилення SSH успішне. Тепер ви можете закрити стару root-сесію.

Крок 4: Налаштування базового брандмауера (приблизно 5 хвилин)

Брандмауер – це перша лінія захисту вашого сервера, що контролює вхідний та вихідний мережевий трафік.

4.1 Встановлення та налаштування UFW (Ubuntu/Debian) або Firewalld (CentOS/RHEL)

Для Ubuntu/Debian (використання UFW - Uncomplicated Firewall):

sudo apt update
sudo apt install ufw -y

Дозвольте необхідні порти. Пам'ятайте про ваш новий порт SSH!

sudo ufw allow 2222/tcp # Ваш новий порт SSH
sudo ufw allow http # Порт 80 для веб-серверів
sudo ufw allow https # Порт 443 для веб-серверів
sudo ufw default deny incoming
sudo ufw default allow outgoing

Увімкніть UFW (будьте обережні!):

sudo ufw enable

Ви отримаєте попередження про порушення існуючих SSH-з'єднань. Введіть y і натисніть Enter.

Перевірте статус UFW:

sudo ufw status verbose

Для CentOS/RHEL (використання Firewalld):

sudo yum update # Або 'dnf update'
sudo yum install firewalld -y # Або 'dnf install firewalld'
sudo systemctl start firewalld
sudo systemctl enable firewalld

Дозвольте необхідні служби/порти:

sudo firewall-cmd --permanent --add-port=2222/tcp # Ваш новий порт SSH
sudo firewall-cmd --permanent --add-service=http
sudo firewall-cmd --permanent --add-service=https

Перезавантажте firewalld, щоб застосувати зміни:

sudo firewall-cmd --reload

Перевірте статус Firewalld:

sudo firewall-cmd --list-all

Це базове налаштування брандмауера гарантує, що лише основні служби доступні в Інтернеті. Для конкретних випадків використання, таких як ігрові сервери, поштові сервери або бази даних, вам потрібно буде відкрити додаткові порти за потреби (наприклад, MySQL на 3306, PostgreSQL на 5432, специфічні порти ігрових серверів).

Крок 5: Оновлення системи (приблизно 2-3 хвилини для початкової команди)

Підтримка операційної системи та всіх встановлених пакетів в актуальному стані є фундаментальною. Оновлення часто включають виправлення безпеки для відомих вразливостей.

Для Debian/Ubuntu:

sudo apt update && sudo apt upgrade -y

Для CentOS/RHEL:

sudo yum update -y # Або 'dnf update -y'

Хоча повний процес оновлення може зайняти більше 30 хвилин, його негайне ініціювання гарантує, що ваш сервер почне виправляти вразливості без затримки. Ви можете дозволити цьому працювати у фоновому режимі або у вашій активній сесії.

Крок 6: Встановлення Fail2Ban (необов'язково, але настійно рекомендовано на 30 хвилин)

Fail2Ban – це фреймворк для запобігання вторгненням, який сканує файли журналів (наприклад, /var/log/auth.log, /var/log/apache/error.log) на наявність шкідливої активності, такої як спроби перебору, і блокує IP-адреси порушників за допомогою правил брандмауера.

6.1 Встановлення Fail2Ban

Для Debian/Ubuntu:

sudo apt install fail2ban -y

Для CentOS/RHEL:

sudo yum install epel-release -y # Спочатку встановіть репозиторій EPEL
sudo yum install fail2ban fail2ban-systemd -y

6.2 Увімкнення та запуск Fail2Ban

Fail2Ban зазвичай запускається автоматично після встановлення, але варто переконатися, що він увімкнений.

sudo systemctl enable fail2ban
sudo systemctl start fail2ban

6.3 Базова конфігурація (необов'язково, для швидких результатів)

Для негайного захисту стандартної конфігурації часто достатньо. Однак ви можете швидко створити локальний файл конфігурації, щоб перевизначити значення за замовчуванням без зміни основного конфігураційного файлу:

sudo cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local
sudo nano /etc/fail2ban/jail.local

У файлі jail.local ви можете налаштувати такі параметри, як bantime (як довго IP-адреса блокується), findtime (часове вікно для спроб) та maxretry (кількість спроб). Наприклад, переконайтеся, що [sshd] увімкнено (enabled = true) і розгляньте можливість збільшення bantime до вищого значення, наприклад 1h (1 година) або 1d (1 день).

[DEFAULT]
bantime = 1d
findtime = 10m
maxretry = 5

[sshd]
enabled = true
port = 2222 # Ваш власний порт SSH

Перезапустіть Fail2Ban після будь-яких змін:

sudo systemctl restart fail2ban

Перевірте його статус:

sudo systemctl status fail2ban

Що далі? (За межами перших 30 хвилин)

Хоча ці кроки забезпечують міцну негайну основу безпеки, безпека сервера – це безперервний процес. Розгляньте наступні кроки для вашого виділеного сервера Valebyte:

• Регулярні оновлення: Автоматизуйте оновлення безпеки, де це доречно, або плануйте регулярні ручні перевірки.
• Моніторинг та журналювання: Впровадьте надійні рішення для журналювання та моніторингу. Такі інструменти, як стек ELK (Elasticsearch, Logstash, Kibana) або Prometheus/Grafana, можуть надати глибокі відомості.
• Стратегія резервного копіювання: Розробіть та протестуйте комплексний план резервного копіювання та відновлення після аварій для ваших даних.
• Системи виявлення вторгнень (IDS): Дослідіть такі інструменти, як OSSEC або Suricata, для глибшого виявлення вторгнень.
• Сканери руткітів: Періодично запускайте інструменти виявлення руткітів, такі як rkhunter або chkrootkit.
• Безпечні служби: Якщо ви запускаєте веб-сервери (Apache, Nginx), бази даних (MySQL, PostgreSQL) або поштові сервери, переконайтеся, що вони налаштовані безпечно з належними дозволами, SSL/TLS та надійними паролями.
• SELinux/AppArmor: Зрозумійте та налаштуйте ці системи обов'язкового контролю доступу для підвищення безпеки (особливо SELinux на CentOS/RHEL).
• Регулярні аудити безпеки: Періодично переглядайте конфігурації безпеки вашого сервера.

Вирішення поширених проблем

Навіть при ретельних кроках можуть виникнути проблеми. Ось деякі поширені проблеми та їх вирішення:

Проблеми з підключенням SSH

• Відмовлено в дозволі (publickey):
  • Причина: Неправильні дозволи на ~/.ssh/authorized_keys на сервері (має бути 600) або на вашому локальному приватному ключі (має бути 600 або 400).
  • Рішення: На сервері: chmod 600 ~/.ssh/authorized_keys; локально: chmod 600 ~/.ssh/id_rsa.
  • Причина: Неправильний публічний ключ скопійовано на сервер.
  • Рішення: Перевірте, чи публічний ключ у ~/.ssh/authorized_keys відповідає вашому локальному id_rsa.pub.
• Відмова в підключенні / Тайм-аут:
  • Причина: Служба SSH не запущена, неправильний порт або брандмауер блокує підключення.
  • Рішення: Перевірте статус служби SSH (sudo systemctl status sshd). Перевірте правила брандмауера (sudo ufw status або sudo firewall-cmd --list-all) і переконайтеся, що ваш новий порт SSH дозволено. Спробуйте підключитися за допомогою ssh -vvv your_username@YOUR_SERVER_IP_ADDRESS -p YOUR_SSH_PORT для детального виводу.
• Втрата доступу після вимкнення входу root / автентифікації за паролем:
  • Причина: Ви вимкнули це до підтвердження входу на основі ключів для вашого нового користувача.
  • Рішення: Ось чому ви тримаєте root-сесію відкритою! Якщо ви її закрили, вам може знадобитися використовувати консоль віддаленого керування Valebyte (якщо доступна) або звернутися до служби підтримки за рятувальною системою або доступом KVM, щоб скасувати зміни в /etc/ssh/sshd_config.

Проблеми з дозволами Sudo

• "your_username is not in the sudoers file. This incident will be reported."
  • Причина: Ваш користувач не був правильно доданий до групи sudo (Debian/Ubuntu) або wheel (CentOS/RHEL).
  • Рішення: Увійдіть як root (якщо можливо) або використовуйте користувача з привілеями sudo та виконайте usermod -aG sudo your_username (або wheel). Потім вийдіть і знову увійдіть з your_username.

Блокування брандмауером

• Втрата SSH-з'єднання після увімкнення брандмауера:
  • Причина: Ви увімкнули брандмауер, не дозволивши спочатку ваш порт SSH.
  • Рішення: Якщо ви заблоковані, вам потрібно буде використовувати консоль віддаленого керування Valebyte або доступ KVM, щоб вимкнути брандмауер або додати правильне правило SSH. Для UFW: sudo ufw disable; Для Firewalld: sudo systemctl stop firewalld. Потім ретельно переналаштуйте.