Как настроить безопасность своего VPS (и нужно ли), если ты — тупой?

Question

[12345egor]

В первую очередь отмечу, что я - просто парень, который только начал копать в сторону команд на линуксе и разбираться во всей сетевой теме, без каких-то больших амбиций.

Не так давно завел свой сайт на nginx (и накрутил на VPS еще пару сервисов). Nginx слушает исключительно localhost. Сайт - просто html'ка с парой страниц, никакого криминала внутри. Картинки и текст, никаких чувствительных данных.

Ну и сегодня от скуки решил спросить chatgpt как проверить, кто слушает мой сайт. Из перечисленных им вариантов у меня получилось только чекнуть логи nginx - и тут я просто (здесь должно быть матерное слово). Тысячи (десятки? сотни тысяч?) обращений к моему никому не нужному сайту за 12 часов. И это только по 443 порту, который переадресовывается в localhost для nginx.

Вопроса, собственно, три:
1) Стоит ли вообще переживать по поводу этого?
Повторюсь - никаких чувствительных данных, к которым имеет доступ nginx - нет.

2) Если говорить в целом - стоит ли переживать по поводу сервера и остальных сервисов?
В моем понимании с него ничего украсть/перехватить. SSH у меня не на 22 порту, почти все соединения (кроме SSH и безуспешных попыток поиграть в pi-hole и unbound) настроены на https-подключения. Ну из важного еще - ufw и iptables я не использую.

3) Если все-таки переживать стоит - какие простые базовые вещи вы бы посоветовали?
Я понимаю, что можно установить firewall и запретить все порты, кроме тех, которые реально используются. Но какой в этом смысл? Особенно если в 443 порт так и будут стучаться. Ограничивать 22, 443 и прочее по ip клиентов - такая себе история, учитывая, что у клиентов ip всегда динамические. Пустить сервер через CDN - не мой вариант. Сколько ни пытался его настроить - у меня отваливалось всё напрочь.

Comments

[Aragorn]

если ты — тупой

тире между местоимением-подлежащим и сказуемым не ставится)

Answer 1

[Uno]

1) конкретно за скан переживать не стоит.
айпишников четвертой версии на планете всего 4 с небольшим миллиарда - это очень мало, где-то года с 2018 масскан это стабильная штука для любого ипа, особенно для новых впсок на хостингах, вот тебе пруф, вот чо творится с моими личными доменами, на которых личные штуки с авторизацией:

в панельке:

причём сканят уже не только ипы, а еще и звучные домены, т.к. на одной впске у меня на разных доменах были разной мощности сканы.
вот прям такой я епта популярный! это боты, половина моих доменов даже близко не индексятся ПС. я их брал просто чтоб самому вместо айпи запоминать домен.
прогугли и пойми что такое masscan, burpsuite, тамперы итд - ответит на все вопросы. или задавай их тут мне в комменты, так уж вышло что много знаю
2) хттпс к лично твоей безопасности как админа сервера не добавляет ничего. переживать за сервер однозначно стоит.
лучшая минимум практика - на сервере только обновляемый своевременно sshd, а все остальные сервисы в docker-контейнерах, тоже соотв. своевременно обновляемых.
в твоём случае, если только хтмл - за что ты вообще тогда переживаешь? ни базы, ни кода с точки зрения актива финансового, хоть на гитхабе захости и меньше думать будешь, соответственно крепче спать.
3) cdn это для тех, кто понял, что "в моём случае, без CDN - никак". но если твои проекты роста не предполагают - меняй впски на хостинг. и дешевле, и безопасность от самого хостера (ему захочется ли, чтоб его серверы взламывали? а у него в штате специалист по безопасности точно есть, в отличии от твоего соло-штата)

Comments

[Uno]

вот еще что тебе добавлю.
вместо нгинкса на линухе используй панельки. скрипт, который сам ставит нгинкс, мускул, пхп, сам условно управляет линуксом, фиксит кое какие проблемы
называются "менеджер VPS", очень грубо говоря. на скрине у меня aapanel.com.
очень важно выбрать адекватную, т.к. в среднем это просто админка на пхп для всей оси. лучше платная

Answer 2

[CityCat4]

1) Стоит ли вообще переживать по поводу этого?

Нет Тупые боты тупо сканят наличие веба, другие тупые боты будут искать на нем уязвимости (которых у тебя конепчно же нет :) у тебя же ни cms ни базы )

3) Если все-таки переживать стоит - какие простые базовые вещи вы бы посоветовали?

ssh - c ограниченного набора ip, остальное в сад
без ограничений пропускать только на сайт, все остальные соединения - только с ограниченного набора IP, всех остальных в сад.

Comments

[12345egor]

Мне ближе вариант с ключами, но я его никак не могу побороть, не работает почему-то. Платить за статичный айпишник я не хочу. А мои "клиенты" - тем более.

[CityCat4]

12345egor, Хм. есть одна очень простая фраза - "кроилово ведет к попадалову"

Answer 3

[Drno]

да всегда будет ворох обращений.. это ж вебсервер
а так - fail2ban поставить и забить

только возникает вопрос как nginx может слушать localhost, если он у Вас доступен публично?))

Comments

[12345egor]

да всегда будет ворох обращений.. это ж вебсервер

Для меня (как обычного смертного) это все равно шок)

а так - fail2ban поставить и забить

Edit: погуглю, спасибо. А можно просто тупо поставить какой-то timout подключений для одного IP в настройках nginx? Чтобы меня битый час не пробивал один и тот же айпишник в поисках 100500 уязвимостей?)

только возникает вопрос как nginx может слушать localhost, если он у Вас доступен публично?))

Просто 99% трафика на 443 передается другим сервисом на порт в localhost, который слушает nginx. Хотя не исключаю, что это я неправильно понимаю принцип работы nginx (если условно сам сервис nginx доступен и извне, а по localhost слушает только для выдачи конкретного сайта). Но насколько я понимаю - сами сервисы и их файлы доступны же только по SSH, верно?

[Aetae]

12345egor,

А можно просто тупо поставить какой-то timout подключений для одного IP в настройках nginx?

fail2ban это и сделает, как и много чего ещё. Эта штука буквально "поставил и забыл", ничего настраивать не надо, само работает из коробки. Как раз идеально "для тупого".:)
Настроек конечно там тонна, но они вам не нужны.

Ещё из простого для защиты могу только посоветовать периодически делать apt-get update && apt-get upgrade, чтоб библиотеки свежие-не дырявые были.:)

[Петровский]

fail2ban для ssh не нужен.

для nginx вы его не настроите

Answer 4

[User]

Базовый минимум - поставить ufw, fail2ban и банить всех, кто обращается к нестандартным портам (все равно закрытые, нечего стучаться и искать что-то) чаще х раз в минуту. Отключить доступ по паролю к ssh. А боты как ходили, так и будут ходить к сайту

Comments

[12345egor]

Ну вот в том-то у меня и вопрос - смысл блочить через ufw порты, которые не слушает даже мой сервер? Ufw ставить боюсь, и без него гемора с настройками хватает.

[Drno]

12345egor, нет смысла.. разве что IP ботов заблочишь, не более

[Петровский]

> смысл блочить через ufw порты, которые не слушает даже мой сервер?

нет смысла, вредная рекомендация

[User]

12345egor,

смысл блочить через ufw порты, которые не слушает даже мой сервер

блочить надо не порты; Политика по умолчанию в ufw и так настроена на отклонение всего, и разрешать только те которые открыты ручками. под банить имелось ввиду тех, кто обращается к заведомо закрытым портам - портсканнерам

Answer 5

[Петровский]

Порт неважен, но нужно использовать только ключи.

Через nginx ломанут, а именно через уязвимости во внутренних сервисах.

Comments

[12345egor]

На nginx перебрасывает другой сервис, он слушает только локалхост. Так что, может быть, все еще хуже)

Answer 6

[Paul Petrov]

Погугли ещё Port knocking для SSH - пригодится. )