Как правильно настроить безопасность своего VPS, даже если у вас нет специальных знаний в этой области? Нужно ли это делать?

Question

Микула

информационная-безопасность

Как правильно настроить безопасность своего VPS, даже если у вас нет специальных знаний в этой области? Нужно ли это делать?

В первую очередь, я хотел бы уточнить, что я - новичок в использовании команд Linux и изучении сетевых технологий, без особых амбиций. 

Недавно я создал свой сайт на nginx и развернул на VPS несколько дополнительных сервисов. Nginx настроен на прослушивание лишь localhost. Сайт представляет собой простую html-страницу с несколькими страницами, без чувствительных данных, состоящей только из текстов и изображений. 

Сегодня, чтобы развлечься, я решил спросить chatgpt, как проверить, кто обращается к моему сайту. Из предложенных вариантов мне удалось только просмотреть логи nginx, и я был поражён: за 12 часов я получил тысячи обращений к своему сайту, и это только по 443-му порту, который перенаправляется на localhost для работы nginx. 

У меня есть три вопроса:

1) Должен ли я вообще беспокоиться по этому поводу? Подчеркиваю, на сайте нет чувствительных данных, доступных через nginx.
  
2) В целом, стоит ли опасаться за безопасность сервера и его сервисов? Я считаю, что с него нельзя ничего украсть или перехватить, так как SSH не используется на стандартном 22-м порту, а большинство соединений (кроме SSH и неудачных попыток настройки pi-hole и unbound) настроены на https. Однако я не использую ufw и iptables. 

3) Если переживания всё же оправданы, что вы могли бы порекомендовать в качестве основных шагов для повышения безопасности? Я понимаю, что можно установить firewall и ограничить доступ к неприменяемым портам, но в таком случае какие меры следует предпринять, учитывая, что попытки подключения к 443-му порту будут продолжаться? Ограничение доступа к 22, 443 и другим портам по IP клиентов кажется неэффективным, особенно с постоянно изменяющимися IP.

20 декабря 2024 г. 13:53

Ответы на вопрос 2

Похожие вопросы

Answer 1

Вопросы безопасности VPS – это важная тема, и вы правильно делаете, что задаете подобные вопросы. Давайте разберем ваши вопросы по порядку.

### 1) Должен ли я вообще беспокоиться по этому поводу?

Хотя ваш сайт может не содержать чувствительных данных, это не означает, что вам не нужно беспокоиться о безопасности. Незащищенный VPS может стать жертвой атак, даже если он не содержит критически важной информации. Злоумышленники могут использовать ваш сервер для запуска вредоносного ПО, спама, или других незаконных действий. В общем, беспокоиться стоит, даже если у вас простой сайт на Nginx.

### 2) Стоит ли опасаться за безопасность сервера и его сервисов?

Да, стоит. Ваша текущая настройка, хотя и не содержит критических уязвимостей, по-прежнему открывает ваш сервер для потенциальных атак. Чем меньше вы заботитесь о безопасности, тем больше шансов, что ваш сервер станет целью. Учитывая, что вы меняете порт SSH и используете HTTPS, вы уже делаете шаги в правильном направлении, но все равно стоит продолжить улучшать защиту.

### 3) Рекомендации по повышению безопасности:

Вот несколько основных шагов, которые вы можете предпринять для повышения безопасности вашего VPS:

#### 1. **Настройка брандмауэра (firewall)**:
- Установите и настройте `ufw` или `iptables` для ограничения доступа к необходимым портам. Например, разрешите доступ только к 80 (HTTP) и 443 (HTTPS) и к порту SSH (по умолчанию 22 или любому другому, который вы используете).
- Пример настройки `ufw`:
```bash
sudo ufw allow 80/tcp
sudo ufw allow 443/tcp
sudo ufw allow 22/tcp # Замените 22 на ваш SSH-порт
sudo ufw enable
```

#### 2. **Доступ по SSH**:
- Измените стандартный порт SSH на нестандартный, если еще не сделали этого.
- Настройте аутентификацию по ключу для доступа по SSH и отключите использование паролей.
- Установите `fail2ban`, чтобы автоматически блокировать IP-адреса с множественными неудачными попытками входа.

#### 3. **Обновления системы**:
- Регулярно обновляйте операционную систему и установленные пакеты, чтобы закрыть уязвимости.

#### 4. **Мониторинг**:
- Рассмотрите возможность установки программ для мониторинга, таких как `htop` или `glances`, чтобы следить за активностью сервера.
- Следите за логами, чтобы быть в курсе любых подозрительных действий.

#### 5. **Резервное копирование**:
- Настройте регулярное резервное копирование данных, чтобы восстанавливать их в случае взлома или других проблем.

#### 6. **Минимизация установленных сервисов**:
- Убедитесь, что на вашем сервере запущены только те сервисы, которые вам действительно нужны. Это уменьшит поверхность атаки.

Ваш сервер, даже если на нем нет критически важной информации, становится более безопасным, если вы внедрите вышеупомянутые меры. Каждая из них поможет сделать ваш VPS более устойчивым к потенциальным угрозам. Начните с малого и постепенно внедряйте эти изменения, чтобы чувствовать себя комфортно с подходом к безопасности вашего сервера.

Answer 2

да всегда будет ворох обращений.. это ж вебсервер 
 а так  - fail2ban поставить и забить 
 
 только возникает вопрос как nginx может слушать localhost, если он у Вас доступен публично?))