Захистіть Ваш виділений сервер: Перші 30 хвилин загартування

Як захистити ваш виділений сервер за перші 30 хвилин

Отримання нового виділеного сервера – це захопливий момент, що відкриває світ можливостей для ваших застосунків, вебсайтів та сервісів. Однак цей потужний актив також приносить критичну потребу в негайній безпеці. Так само, як ви не залишили б вхідні двері нового будинку незачиненими, ви не повинні залишати ваш виділений сервер вразливим. Цей посібник пропонує практичний, покроковий підхід до захисту вашого виділеного сервера на базі Linux протягом критичних перших 30 хвилин після його отримання.

Виконавши ці важливі кроки, ви значно зменшите поверхню атаки вашого сервера, захистите конфіденційні дані та закладете міцний фундамент для довгострокової операційної безпеки. Цей посібник розроблено для системних адміністраторів, розробників та компаній, що використовують bare-metal хостинг-рішення Valebyte, забезпечуючи захист вашої інфраструктури з першого дня.

Передумови та вимоги до сервера

Перш ніж почати, переконайтеся, що у вас є наступне:

• Облікові дані виділеного сервера: IP-адреса вашого сервера, ім'я користувача root (зазвичай root) та початковий пароль, надані Valebyte.
• SSH-клієнт:
  • Linux/macOS: OpenSSH-клієнт (вбудований через термінал).
  • Windows: PuTTY, MobaXterm або Windows Subsystem for Linux (WSL) з OpenSSH.
• Базове знайомство з командним рядком Linux: Знання навігації по каталогах, виконання команд та редагування текстових файлів.
• Мережеве підключення: Стабільне інтернет-з'єднання для доступу до вашого сервера.
• Операційна система: Цей посібник зосереджений переважно на поширених дистрибутивах Linux, таких як Ubuntu/Debian (використовуючи apt) та CentOS/RHEL (використовуючи yum/dnf).

Перші 30 хвилин: Негайні кроки з посилення безпеки

Ці кроки розроблені для швидкого та ефективного виконання, встановлюючи міцну позицію безпеки одразу після запуску вашого сервера.

Крок 1: Початковий вхід через SSH

Ваша перша взаємодія з сервером буде через SSH (Secure Shell). Цей зашифрований протокол дозволяє віддалено та безпечно виконувати команди.

Відкрийте термінал або SSH-клієнт і підключіться до сервера, використовуючи облікові дані root:

ssh root@your_server_ip_address

Замініть your_server_ip_address на фактичну IP-адресу, надану Valebyte.

При першому підключенні вам буде запропоновано перевірити ключ хоста сервера. Це захід безпеки, щоб переконатися, що ви підключаєтеся до легітимного сервера, а не до самозванця. Введіть yes, щоб прийняти відбиток, і він буде збережений для майбутніх підключень. Потім введіть свій пароль root.

Професійна порада: Завжди двічі перевіряйте IP-адресу перед підключенням. Якщо ви зіткнетеся з попередженням про змінений ключ хоста при наступних підключеннях, негайно розслідуйте це, оскільки це може вказувати на атаку "людина посередині" (MITM).

Крок 2: Оновіть програмне забезпечення вашої системи

Вразливості програмного забезпечення є основним вектором атак. Першою дією на будь-якому новому сервері має бути оновлення всіх встановлених пакетів до їхніх останніх версій, виправлення будь-яких відомих недоліків безпеки.

Для систем на базі Debian/Ubuntu:

sudo apt update && sudo apt upgrade -y

Для систем на базі CentOS/RHEL:

sudo yum update -y

Або для новіших версій CentOS/RHEL:

sudo dnf update -y

Ця команда отримує останні списки пакетів, а потім оновлює всі встановлені пакети без необхідності інтерактивного підтвердження (-y). Залежно від кількості оновлень, це може зайняти кілька хвилин. Це критичний крок для захисту будь-якого виділеного сервера, будь то для вебхостингу, сервера баз даних або високопродуктивного ігрового сервера.

Крок 3: Створіть нового користувача Sudo та вимкніть вхід для Root

Вхід безпосередньо як root є ризиком для безпеки. Користувач root має необмежений доступ, і компрометація цього облікового запису означає повний контроль над вашим сервером. Найкращою практикою є створення нового, непривілейованого користувача для щоденного адміністрування та надання йому привілеїв sudo (superuser do) для виконання команд як root, коли це необхідно.

3.1. Створіть нового користувача:

Замініть your_username на бажане ім'я користувача.

adduser your_username

Вам буде запропоновано встановити надійний пароль для цього нового користувача. Виберіть складний пароль, який поєднує великі та малі літери, цифри та символи. Ви можете пропустити додаткові запити на інформацію про користувача, натиснувши Enter.

3.2. Надайте привілеї Sudo:

Цей крок дозволяє вашому новому користувачеві запускати команди з привілеями root, додаючи до них sudo.

Для Debian/Ubuntu:

usermod -aG sudo your_username

Для CentOS/RHEL:

usermod -aG wheel your_username

Група wheel на CentOS/RHEL зазвичай має доступ sudo, налаштований за замовчуванням.

3.3. Перевірте вхід нового користувача:

Важливо: відкрийте нове вікно або вкладку терміналу та спробуйте увійти з вашим новим користувачем, перш ніж продовжувати:

ssh your_username@your_server_ip_address

Введіть пароль, який ви встановили для your_username. Після входу перевірте доступ sudo:

sudo apt update

або

sudo yum update

Вам буде запропоновано ввести пароль your_username. Якщо це працює, ви готові.

3.4. Вимкніть вхід Root через SSH:

Тепер, коли ваш новий користувач має привілеї sudo, ви можете вимкнути прямий вхід root через SSH.

Відкрийте файл конфігурації демона SSH:

sudo nano /etc/ssh/sshd_config

Знайдіть рядок PermitRootLogin і змініть його значення на no. Якщо він закоментований (починається з #), спочатку розкоментуйте його.

# /etc/ssh/sshd_config snippet
PermitRootLogin no

Збережіть та вийдіть з файлу (Ctrl+X, Y, Enter в nano).

Крок 4: Налаштуйте SSH для посиленої безпеки (автентифікація на основі ключів та зміна порту)

Додатково посильте SSH, використовуючи автентифікацію за відкритим ключем та змінивши стандартний порт SSH.

4.1. Згенеруйте пару SSH-ключів (на вашій локальній машині):

Якщо у вас ще немає, згенеруйте пару SSH-ключів на вашій локальній машині:

ssh-keygen -t rsa -b 4096

Дотримуйтесь підказок. Настійно рекомендується використовувати надійну парольну фразу для вашого приватного ключа.

4.2. Скопіюйте відкритий ключ на сервер:

Скопіюйте ваш відкритий ключ до файлу authorized_keys нового користувача на сервері. Замініть your_username та your_server_ip_address.

ssh-copy-id your_username@your_server_ip_address

Якщо ssh-copy-id недоступний або ви віддаєте перевагу робити це вручну:

cat ~/.ssh/id_rsa.pub | ssh your_username@your_server_ip_address "mkdir -p ~/.ssh && chmod 700 ~/.ssh && cat >> ~/.ssh/authorized_keys && chmod 600 ~/.ssh/authorized_keys"

Перевірте вхід за допомогою нового користувача, використовуючи SSH-ключ. Вам не повинно бути запропоновано ввести пароль (лише парольну фразу вашого ключа, якщо ви її встановили).

4.3. Вимкніть автентифікацію за паролем та змініть порт SSH:

Після того, як автентифікація на основі ключів працює, ви можете вимкнути автентифікацію за паролем та змінити стандартний порт SSH (22) на нестандартний, високонумерований порт (наприклад, 2222, 22022). Це допомагає запобігти автоматизованим атакам методом грубої сили.

Знову відкрийте файл sshd_config:

sudo nano /etc/ssh/sshd_config

Знайдіть та змініть ці рядки:

# /etc/ssh/sshd_config snippet
Port 2222  # Виберіть будь-який високонумерований порт, наприклад, 22022
PasswordAuthentication no
ChallengeResponseAuthentication no
UsePAM no # Часто рекомендується при вимкненні автентифікації за паролем

Ви також можете додати директиву AllowUsers, щоб явно дозволити лише вашого нового користувача:

AllowUsers your_username

Збережіть та вийдіть з файлу.

4.4. Перезапустіть службу SSH:

Застосуйте зміни, перезапустивши службу SSH:

Для систем на базі Systemd (Ubuntu 15+, CentOS 7+):

sudo systemctl restart sshd

Для старих систем (Ubuntu 14-, CentOS 6-):

sudo service sshd restart

ВАЖЛИВО: Перш ніж закривати поточну SSH-сесію, відкрийте НОВЕ вікно/вкладку терміналу та спробуйте увійти, використовуючи вашого нового користувача, новий порт та SSH-ключ.

ssh -p 2222 your_username@your_server_ip_address

Якщо ви можете успішно увійти, ваші зміни працюють. Якщо ні, усуньте несправності, використовуючи стару сесію, скасуйте зміни та спробуйте знову. Цей запобіжний захід запобігає блокуванню доступу до сервера.

Крок 5: Встановіть та налаштуйте брандмауер

Брандмауер – це перша лінія захисту вашого сервера, що контролює, який мережевий трафік дозволено входити та виходити. Він має вирішальне значення для будь-якого виділеного сервера, незалежно від того, чи розміщує він критичну базу даних, потоковий сервіс або кілька вебзастосунків.

5.1. Для Ubuntu/Debian (UFW - Uncomplicated Firewall):

UFW є зручним та високоефективним.

sudo apt install ufw -y

Встановіть політики за замовчуванням (заборонити вхідні, дозволити вихідні):

sudo ufw default deny incoming
sudo ufw default allow outgoing

Дозвольте ваш новий порт SSH (наприклад, 2222/tcp):

sudo ufw allow 2222/tcp

Якщо ви плануєте негайно запустити вебсервер, також дозвольте HTTP (порт 80) та HTTPS (порт 443):

sudo ufw allow http
sudo ufw allow https

Увімкніть брандмауер:

sudo ufw enable

Ви отримаєте попередження про можливі відключення SSH; введіть y та натисніть Enter. Перевірте його статус:

sudo ufw status verbose

5.2. Для CentOS/RHEL (firewalld):

firewalld – це стандартний динамічний інструмент керування брандмауером.

sudo systemctl start firewalld
sudo systemctl enable firewalld

Дозвольте ваш новий порт SSH (наприклад, 2222/tcp) у публічній зоні:

sudo firewall-cmd --permanent --add-port=2222/tcp

Якщо ви плануєте негайно запустити вебсервер, також дозвольте служби HTTP та HTTPS:

sudo firewall-cmd --permanent --add-service=http
sudo firewall-cmd --permanent --add-service=https

Перезавантажте firewalld, щоб застосувати зміни:

sudo firewall-cmd --reload

Перевірте його статус та правила:

sudo firewall-cmd --list-all

Крок 6: Видаліть непотрібне програмне забезпечення та служби

Кожен фрагмент програмного забезпечення, встановлений на вашому сервері, представляє потенційний вектор атаки. Мінімізація встановленого сліду зменшує вашу поверхню атаки.

Перегляньте список встановлених пакетів та видаліть ті, які не є основними для передбачуваної мети вашого сервера. Використовуйте функцію автоматичного видалення вашого менеджера пакетів, щоб очистити залежності, які більше не потрібні.

Для Debian/Ubuntu:

sudo apt autoremove -y

Для CentOS/RHEL:

sudo yum autoremove -y

Будьте обережні при видаленні пакетів. Якщо ви не впевнені, дослідіть пакет, перш ніж видаляти його. Наприклад, якщо ваш виділений сервер призначений виключно для ігрового сервера, вам може не знадобитися запущений демон поштового сервера (наприклад, Postfix або Sendmail).

Крок 7: Базовий моніторинг журналів (швидка перевірка)

Хоча комплексний моніторинг є довгостроковим завданням, швидка перевірка журналів автентифікації може дати вам негайне уявлення про активність.

Перегляньте останні спроби автентифікації:

Для Debian/Ubuntu:

tail -f /var/log/auth.log

Для CentOS/RHEL:

tail -f /var/log/secure

Шукайте будь-які підозрілі спроби входу або помилки, які не відповідають вашим власним діям. Натисніть Ctrl+C, щоб вийти з tail -f.

Тестування вашої конфігурації безпеки

Після впровадження змін надзвичайно важливо їх протестувати, щоб переконатися, що вони працюють належним чином і ви випадково не заблокували собі доступ:

• Вхід нового користувача: Спробуйте увійти за допомогою нового користувача та SSH-ключа на новому SSH-порті. Це має бути успішним.
• Спроба входу Root: Спробуйте увійти через SSH як root. Це має завершитися помилкою "Permission denied" (Дозвіл відхилено).
• Спроба старого SSH-порту: Спробуйте увійти через SSH на порт 22. Це має завершитися невдачею.
• Перевірка брандмауера: З зовнішньої машини спробуйте підключитися до порту, який ви явно НЕ відкривали (наприклад, випадковий високий порт). З'єднання має завершитися тайм-аутом або бути відхиленим, що вказує на активність брандмауера.
• Доступ Sudo: Перевірте, чи може ваш новий користувач виконувати команди за допомогою sudo.

Усунення поширених проблем

Навіть при ретельних кроках можуть виникнути проблеми. Ось деякі поширені проблеми та їх вирішення:

1. Заблоковано доступ до SSH

Це найкритичніша проблема. Якщо ви не можете увійти через SSH:

• Перевірте брандмауер: Чи відкрили ви новий SSH-порт у вашому брандмауері? Якщо ні, брандмауер блокує ваше з'єднання.
• Перевірте sshd_config: Синтаксична помилка у файлі /etc/ssh/sshd_config може перешкодити запуску служби SSH.
• Система відновлення Valebyte / KVM over IP: Як клієнт Valebyte, ви маєте доступ до таких інструментів, як система відновлення або KVM over IP. Вони дозволяють вам отримати прямий доступ до консолі вашого сервера (навіть якщо SSH не працює) для діагностики та виправлення файлів конфігурації. Використовуйте їх як останній засіб для скасування проблемних змін або відкриття правил брандмауера.

2. Новий користувач не може використовувати Sudo

• Членство в групі: Перевірте, чи ваш користувач належить до правильної групи sudo (sudo для Debian/Ubuntu, wheel для CentOS/RHEL) за допомогою команди groups your_username.
• Конфігурація /etc/sudoers: Переконайтеся, що група sudo має дозволи у файлі /etc/sudoers (зазвичай налаштовано за замовчуванням). Уникайте прямого редагування цього файлу; використовуйте sudo visudo.

3. Автентифікація за SSH-ключем не працює

• Дозволи: Переконайтеся, що каталог ~/.ssh має дозволи 700, а файл ~/.ssh/authorized_keys має дозволи 600 на сервері.
• Вміст ключа: Перевірте, чи відкритий ключ у файлі authorized_keys правильний і знаходиться в одному рядку.
• Пересилання агента: Переконайтеся, що ваш локальний SSH-агент запущений і має завантажений ваш приватний ключ (ssh-add).

4. Брандмауер блокує легітимний трафік

• Перегляд правил: Використовуйте sudo ufw status verbose або sudo firewall-cmd --list-all для перегляду активних правил.
• Тимчасове вимкнення: Для тестування ви можете тимчасово вимкнути брандмауер (sudo ufw disable або sudo systemctl stop firewalld). Якщо трафік тоді проходить, винуватцем є брандмауер. Негайно увімкніть його з виправленими правилами.

За межами перших 30 хвилин: Постійна безпека

Хоча ці початкові кроки забезпечують міцний фундамент, безпека сервера є безперервним процесом. Розгляньте наступні кроки для постійного захисту:

• Встановіть Fail2Ban: Автоматично блокує IP-адреси, які виявляють шкідливі ознаки (наприклад, занадто багато невдалих спроб входу через SSH).
• Регулярні резервні копії: Впровадьте надійну стратегію резервного копіювання ваших даних. Valebyte пропонує рішення, які допоможуть захистити вашу критичну інформацію.
• Інструменти аудиту безпеки: Використовуйте такі інструменти, як Lynis або OpenVAS, для регулярних аудитів безпеки.
• Оновлення ядра та програмного забезпечення: Будьте пильними щодо оновлень системи.
• SELinux/AppArmor: Дослідіть ці системи примусового контролю доступу для посиленої безпеки.
• Моніторинг: Налаштуйте моніторинг системи та застосунків для виявлення незвичайної активності.
• Надійні політики паролів: Забезпечте використання надійних паролів для всіх користувачів та служб.
• Вимкніть невикористовувані служби: Постійно переглядайте та вимикайте будь-які служби, які ви активно не використовуєте.
• Сертифікати SSL/TLS: Захистіть весь вебтрафік за допомогою дійсних сертифікатів SSL/TLS.

Розглядаючи безпеку вашого виділеного сервера як постійне зобов'язання, ви забезпечуєте довговічність, надійність та цілісність вашого хостинг-середовища. Незалежно від того, чи керуєте ви високотрафіковим сайтом електронної комерції, складним конвеєром CI/CD, надійним поштовим сервером або вимогливим ігровим сервером, ці фундаментальні практики безпеки є обов'язковими.