Поддержание безопасности вашего Linux-сервера чрезвычайно важно, особенно если вы используете свой Linux-сервер для производственной работы в вашем бизнесе. Эти меры должны быть правильно настроены, чтобы систему было трудно взломать и предотвратить кражу любой информации. Когда дело доходит до безопасности, операционные системы на базе Linux имеют преимущество перед другими операционными системами, такими как Windows или macOS. Существует множество отличных инструментов и функций, которые помогут вам обезопасить ваш сервер от нежелательных злоумышленников. Давайте рассмотрим некоторые из лучших способов защитить ваш Linux-сервер от атак и взломов.
Пренебрежение безопасностью вашего сервера может привести к потенциальной катастрофе для вашего сервера. В Интернете существует бесчисленное множество автоматизированных машин, которые сканируют все IP-адреса и пытаются найти любой способ получить доступ к вашему серверу. Как только одна из этих машин получает доступ (либо с помощью грубой силы, либо благодаря тому, что она заранее что-то знает о вашем сервере), могут произойти всевозможные неприятности.
Ваши данные могут быть загружены на сервер постороннего человека и, например, потребовать выкуп. Ресурсами вашего сервера могут злоупотреблять. Если у вас есть конфиденциальная информация, это может даже привести к нарушению данных вашего клиента и безопасности.
После новой установки операционной системы Linux рекомендуется установить пароль root, состоящий не менее чем из 12 символов, включая алфавитные, цифровые и даже специальные символы. Не рекомендуется использовать обычные слова, такие как название вашей страны или ваше имя или фамилия. Лучше всего использовать генераторы случайных паролей, чтобы вы всегда могли быть уверены, что ваш пароль root достаточно надежен.
Если вы знакомы с любым дистрибутивом Linux, возможно, вы уже знаете, что SSH-порт по умолчанию на сервере Linux после новой установки – это порт 22. Большинство атак и попыток входа в систему сосредоточены на этом порту, поскольку он предоставляет злоумышленнику полный доступ к вашему серверу. Если у вас ненадежный пароль, вас могут легко взломать. Вот почему мы рекомендуем сменить порт. Например, вы можете использовать номера портов 522, 6085, 9924 и т.д. Просто убедитесь, что не используете порт, который может использоваться другой службой на вашем сервере, например, 3306 для вашей базы данных или 80 и 443 для вашего веб-браузера.
Использование права суперпользователя “root” может быть опасным, поскольку оно обеспечивает полный неограниченный доступ ко всему на вашем сервере. Если на сервере установлен слабый пароль root, ресурсы и данные вашего сервера могут быть легко украдены, а ресурсами вашего сервера можно злоупотреблять. Мы рекомендуем вам создать нового пользователя sudo с неправильным именем и предоставить этому пользователю разрешения “sudo”. После этого вход в систему с использованием пользователя “root” может быть отключен. Вы можете сделать это следующим образом:
Откройте файл конфигурации вашего SSH daemon с помощью текстового редактора по вашему выбору. Мы будем использовать Nano:
sudo nano /etc/ssh/sshd_config
Затем измените строку, содержащую слово PermitRootLogin, на no. Ваша строка должна выглядеть следующим образом:
PermitRootLogin no
Затем перезапустите ваш SSH-сервер:
sudo systemctl restart sshd
Теперь, когда вы пытаетесь войти в систему от имени root, это всегда будет отображаться как неправильный логин, даже если он правильный.
Включение брандмауэра на Linux-сервере – одна из наиболее распространенных и важных задач, которую вам необходимо выполнить после новой установки ОС. Брандмауэры Linux обеспечивают надежность и широкие возможности настройки. Кроме того, они экономически эффективны, поскольку все имеют открытый исходный код. Использование брандмауэра может обеспечить безопасную DNS, блокировку IP, фильтрацию и многое другое. Мы рекомендуем вам изучить некоторые из распространенных правил и команд брандмауэра, которые помогут защитить ваш сервер.
Надежное и хорошо обслуживаемое программное обеспечение также является ключом к обеспечению надежной защиты вашего сервера Linux. Как мы все знаем, наиболее важным вариантом использования сервера является размещение веб-сайтов или приложений. Для правильной работы на вашем сервере должно быть программное обеспечение из надежных ресурсов с обновлениями безопасности и патчами. Вы всегда должны стараться обновлять свое программное обеспечение в Linux до последних версий, когда это возможно. Все остальное программное обеспечение, которое является EOL или не может быть обновлено, должно быть заменено как можно скорее, чтобы устранить любые векторы атак.
Ограничение доступа к серверу – отличный способ повысить безопасность вашего Linux-сервера. Например, с помощью брандмауэра мы можем ограничить доступ к определенному порту только для нескольких IP-адресов или некоторых конкретных стран и т.д. Кроме того, мы можем изменить порты, используемые вашими приложениями, и закрыть порт по умолчанию для этого приложения. Таким образом, злоумышленник не будет знать, какой порт проверять для ваших служб.
Кроме того, в зависимости от используемых вами приложений вы можете ограничить доступ к определенным IP-адресам или определенным пользователям в используемом вами программном обеспечении.
При обеспечении безопасности вашего сервера все файлы, используемые программным обеспечением, ни в коем случае не должны принадлежать ”root”. Аналогично, вы никогда не должны запускать сторонние службы от имени пользователя “root” без крайней необходимости. Например, если вы запускаете веб-сервер от имени пользователя root, вы потенциально предоставляете доступ ко всем файлам вашего сервера в Интернете.
Вам также следует выработать привычку сохранять права доступа ко всем папкам и файлам равными 755 и 644 соответственно. Назначение этих разрешений помогает предотвратить кражу данных и загрузку вредоносных скриптов на сервер. Установленные вами разрешения определяют, кто может читать, записывать или изменять файлы.
CDN (или сеть доставки контента) обеспечивает защиту от широкого спектра атак, таких как DDoS-атаки. Кроме того, использование CDN помогает предотвратить взлом или рассылку спама в блог или форму комментариев на вашем веб-сайте. Хороший CDN останавливает вредоносный трафик до того, как он достигнет вашего исходного веб-сервера.
Дополнительным преимуществом использования CDN является то, что ваш веб-сайт должен загружаться быстрее, особенно для посетителей, которые живут далеко от вашего сервера. Это повышает скорость просмотра страниц вашего веб-сайта и даже может улучшить ваш рейтинг в поиске.
Мы надеемся, что это всеобъемлющая статья по защите вашего Linux-сервера оказалось для вас полезным. Если у вас есть какие-либо другие советы и идеи, не стесняйтесь оставлять их в комментарии! Как всегда, мы всегда рядом с вами на случай, если у вас возникнут какие-либо вопросы. Спасибо.