Безопасность выделенного виртуального сервера (VPS)
Virtual Private Server или Virtual Dedicated Server – это относительно новая услуга хостинг-компаний, предоставляющих выделенный виртуальный сервер. Отличие от обычного виртуального хостинга (shared-hosting) в том, что он является почти физически выделенным сервером. Купить vps сейчас можно почти на любом хостинге. Вы сможете управлять почти всем: ip-адресами, корневым доступом, таблицами маршрутизации и прочим. На самом деле это всего лишь эмуляция настоящего физического сервера. По стоимости услуга чуть выше виртуального хостинга и чуть ниже выделенного сервера. В связи с вышеперечисленным возникает вопрос, как обеспечить систему безопасности vps? Когда у вас фиртуальный хостинг вы можете не беспокоиться о защите, за вас все сделают администраторы хостинга. В случае с VPS (VDS) дело обстоит так.
Защита SSH
Сперва следует уделить внимание SSH-соединению, так как VDS управляется удаленно и многие захотят заполучить к нему доступ. Для этого злоумышленники используют атаки полного перебора (brute force or dictionary force) на систему аутентификации, нагружая сервер постоянными соединениями.
Fail2ban
Защититься от этого довольно просто. Для этого необходимо на сервере установить и настроить пакет fail2ban. Для этого пропишем следующую команду:
$ sudo apt-get install fail2banУстановили. Теперь нужно настроить этот пакет. Файл конфигурации находиться по адресу /etc/fail2ban/jail.conf. По умолчанию используется защита только SSH-соединений. По идее этого достаточно, однако вы можете подключить защиту дополнительных соединений, например sftp. Для этого значение параметра enabled следует изменить с false на true. После изменений конфигурации необходимо перезапустить сервис fail2ban:
$ sudo service fail2ban restart
Сервис блокирует IP-адрес, с которого поступает более 6 запросов подряд, что позволяет успешно избегать атаки полного перебора. Для проверки его работы можно воспользоваться командой:
$ zcat /var/log/auth.log* | grep 'Failed password' | grep sshd | awk '{print $1,$2}' | sort -k 1,1M -k 2n | uniq -c
Настройка iptables
Мы организовали успешную защиту от проникновения, но необходимо также защитить запущенные сервисы. Для этого необходимо настроить iptables с помощью утилиты UFW, которая включена в пакет UNIX-систем по умолчанию. Все что необходимо - это включить ее, указать необходимые правила и активировать фаервол.
UFW
UFW - это надстройка над iptables, которая позволяет на очень простом языке управлять правилами netfilter ядра операционной системы. По умолчанию блокируются все входящие и проходящие соединения и разрешены только исходящие.Для проверки состояния фаервола введите команду:
$ sudo ufw status
Для разрешения входящих соединений можно указать используемый протокол доступа, например 80/tcp.
$ sudo ufw allow 80/tcp
Также нужно разрешить SSH-соединения:
$ sudo ufw allow OpenSSH
И активировать фаервол:
$ sudo ufw enable
Вот и все. Теперь можно расслабиться. Ваш VPS защищен!
