Задать вопрос

Как настроить безопасность своего VPS (и нужно ли), если ты — тупой?

В первую очередь отмечу, что я - просто парень, который только начал копать в сторону команд на линуксе и разбираться во всей сетевой теме, без каких-то больших амбиций.

Не так давно завел свой сайт на nginx (и накрутил на VPS еще пару сервисов). Nginx слушает исключительно localhost. Сайт - просто html'ка с парой страниц, никакого криминала внутри. Картинки и текст, никаких чувствительных данных.

Ну и сегодня от скуки решил спросить chatgpt как проверить, кто слушает мой сайт. Из перечисленных им вариантов у меня получилось только чекнуть логи nginx - и тут я просто (здесь должно быть матерное слово). Тысячи (десятки? сотни тысяч?) обращений к моему никому не нужному сайту за 12 часов. И это только по 443 порту, который переадресовывается в localhost для nginx.

Вопроса, собственно, три:
1) Стоит ли вообще переживать по поводу этого?
Повторюсь - никаких чувствительных данных, к которым имеет доступ nginx - нет.

2) Если говорить в целом - стоит ли переживать по поводу сервера и остальных сервисов?
В моем понимании с него ничего украсть/перехватить. SSH у меня не на 22 порту, почти все соединения (кроме SSH и безуспешных попыток поиграть в pi-hole и unbound) настроены на https-подключения. Ну из важного еще - ufw и iptables я не использую.

3) Если все-таки переживать стоит - какие простые базовые вещи вы бы посоветовали?
Я понимаю, что можно установить firewall и запретить все порты, кроме тех, которые реально используются. Но какой в этом смысл? Особенно если в 443 порт так и будут стучаться. Ограничивать 22, 443 и прочее по ip клиентов - такая себе история, учитывая, что у клиентов ip всегда динамические. Пустить сервер через CDN - не мой вариант. Сколько ни пытался его настроить - у меня отваливалось всё напрочь.
  • Вопрос задан
  • 9733 просмотра
Подписаться 8 Простой 1 комментарий
Пригласить эксперта
Ответы на вопрос 6
Noizefan
@Noizefan
1) конкретно за скан переживать не стоит.
айпишников четвертой версии на планете всего 4 с небольшим миллиарда - это очень мало, где-то года с 2018 масскан это стабильная штука для любого ипа, особенно для новых впсок на хостингах, вот тебе пруф, вот чо творится с моими личными доменами, на которых личные штуки с авторизацией:
6765bab43dc59699791673.png
в панельке:
6765bcfe536ec506306473.png
причём сканят уже не только ипы, а еще и звучные домены, т.к. на одной впске у меня на разных доменах были разной мощности сканы.
вот прям такой я епта популярный! это боты, половина моих доменов даже близко не индексятся ПС. я их брал просто чтоб самому вместо айпи запоминать домен.
прогугли и пойми что такое masscan, burpsuite, тамперы итд - ответит на все вопросы. или задавай их тут мне в комменты, так уж вышло что много знаю
2) хттпс к лично твоей безопасности как админа сервера не добавляет ничего. переживать за сервер однозначно стоит.
лучшая минимум практика - на сервере только обновляемый своевременно sshd, а все остальные сервисы в docker-контейнерах, тоже соотв. своевременно обновляемых.
в твоём случае, если только хтмл - за что ты вообще тогда переживаешь? ни базы, ни кода с точки зрения актива финансового, хоть на гитхабе захости и меньше думать будешь, соответственно крепче спать.
3) cdn это для тех, кто понял, что "в моём случае, без CDN - никак". но если твои проекты роста не предполагают - меняй впски на хостинг. и дешевле, и безопасность от самого хостера (ему захочется ли, чтоб его серверы взламывали? а у него в штате специалист по безопасности точно есть, в отличии от твоего соло-штата)
Ответ написан
CityCat4
@CityCat4 Куратор тега Информационная безопасность
Жил да был черный кот за углом...
1) Стоит ли вообще переживать по поводу этого?

Нет Тупые боты тупо сканят наличие веба, другие тупые боты будут искать на нем уязвимости (которых у тебя конепчно же нет :) у тебя же ни cms ни базы )

3) Если все-таки переживать стоит - какие простые базовые вещи вы бы посоветовали?

ssh - c ограниченного набора ip, остальное в сад
без ограничений пропускать только на сайт, все остальные соединения - только с ограниченного набора IP, всех остальных в сад.
Ответ написан
@Drno
да всегда будет ворох обращений.. это ж вебсервер
а так - fail2ban поставить и забить

только возникает вопрос как nginx может слушать localhost, если он у Вас доступен публично?))
Ответ написан
@Redeve
Веб-макаке не хватит и 640гБ
Базовый минимум - поставить ufw, fail2ban и банить всех, кто обращается к нестандартным портам (все равно закрытые, нечего стучаться и искать что-то) чаще х раз в минуту. Отключить доступ по паролю к ssh. А боты как ходили, так и будут ходить к сайту
Ответ написан
Порт неважен, но нужно использовать только ключи.

Через nginx ломанут, а именно через уязвимости во внутренних сервисах.
Ответ написан
Bargamut
@Bargamut
Программист
Погугли ещё Port knocking для SSH - пригодится. )
Ответ написан
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы