Захист сервера Linux: Практичні кроки

Забезпечення безпеки сервера Linux є важливим етапом для будь-якої ІТ-інфраструктури. Навіть невелика вразливість може привести до великих проблем. У цій статті розглянемо основні кроки, які допоможуть захистити сервер Linux, щоб знизити ризик несанкціонованого доступу та атак.

1. Оновлення системи

• Опис: Вчасне оновлення є критично важливим для закриття відомих вразливостей.
• Команда:

sudo apt update && sudo apt upgrade -y   # Для дистрибутивів на базі Debian/Ubuntu
sudo yum update -y                        # Для дистрибутивів на базі CentOS/RHEL

2. Встановлення та налаштування брандмауера

• Опис: Брандмауер обмежує доступ до відкритих портів сервера.
• Рекомендовані інструменти: ufw для Ubuntu та firewalld для CentOS/RHEL.
• Приклад (ufw):

sudo ufw allow 22/tcp        # Дозволити SSH
sudo ufw allow 80/tcp        # HTTP
sudo ufw allow 443/tcp       # HTTPS
sudo ufw enable

3. Налаштування SSH

• Опис: SSH є основним способом доступу до сервера, і його налаштування є ключовим для безпеки.
• Дії:

Змінити порт SSH (наприклад, з 22 на інший):

sudo nano /etc/ssh/sshd_config 

Знайти #Port 22 і змінити на інший порт, наприклад Port 2222.

Заборонити вхід по SSH для root:

PermitRootLogin no

4. Встановлення Fail2Ban

• Опис: Fail2Ban захищає сервер від атак перебором паролів шляхом блокування IP-адрес, що надсилають підозрілі запити.
• Команди встановлення та налаштування:

sudo apt install fail2ban -y   # Для Ubuntu/Debian
sudo yum install fail2ban -y   # Для CentOS/RHEL

Додайте налаштування для захисту SSH:

[sshd]
enabled = true
port = 2222
maxretry = 5
bantime = 600

5. Забезпечення безпеки системних логів

• Опис: Логи можуть містити конфіденційну інформацію, яку можуть використати зловмисники.
• Рекомендації:
  • Встановити права доступу для логів:

sudo chmod -R go-rwx /var/log

6. Захист від атак через мережу

• Опис: Інструменти, такі як iptables або nftables, допомагають фільтрувати мережевий трафік.
• Приклад: Обмеження підключень за IP-адресою для запобігання DDoS-атакам.

sudo iptables -A INPUT -p tcp --syn -m connlimit --connlimit-above 10 -j REJECT

7. Моніторинг системи

• Опис: Регулярний моніторинг допомагає виявити підозрілі дії.
• Рекомендовані інструменти:
  • top, htop для перегляду процесів
  • netstat, ss для моніторингу мережевого трафіку
  • auditd для аудиту подій в системі
  • Команди:

sudo apt install auditd -y
sudo auditctl -w /etc/passwd -p wa -k passwd_changes

8. Автоматичне резервне копіювання

• Опис: Створення регулярних резервних копій дозволяє швидко відновити сервер у разі атаки.
• Інструменти: rsync, tar, scp для ручного бекапу або налаштування через cron.

9. Захист конфіденційної інформації

• Опис: Закриття доступу до конфіденційних файлів, таких як ключі SSH або файли налаштувань.
• Команда:

chmod 600 ~/.ssh/id_rsa

Регулярний моніторинг, оновлення та налаштування політик безпеки допомагають захистити сервер Linux від більшості відомих загроз.