VPS после покупки — нужна ли какая «защита»?

Question

[Северное Сияние]

Купил чистый VPS. Поставил apache2, php7.3, mysql. Устанавливал всё тупо копипастом со статей в интернете.
В администрировании я не бум-бум, поэтому вопрос такой - на что обратить внимание в плане конфигурации? Что может быть дырой? Или из коробки все нормально должно работать?

Comments

[jeruthadam]

В администрировании я не бум-бум

Простите, позвольте поинтересоватся а в чем вы бум-бум? Помню ваше мнение о дизайне, думал сам из админов, бекендеров, они обычно фыркают на дизайн. А оказывается ноль в этом тоже. Кто ж тогда?

[Северное Сияние]

jeruthadam,

Помню ваше мнение о дизайне,

У тебя какие-то комплексы возникли вместе с моей репликой? Или ты поговорить о ненужности дизайна хочешь?

Answer 1

[Aborigen1020]

если доступны извне какие-либо сервисы (ssh, mysql, phpmyadmin), установите для них ограниченный доступ - ip white list, доступ по ключам (в случае ssh), установите и настройте fail2ban. А лучше проинспектируйте выходящие наружу сервисы, и проанализируйте возмжоность отключения доступа к ним напрямую из Интернет.

Answer 2

[Анатолий]

1. Для начала настройте файрвол, закройте все порты, которые не используете
2. Для доступа к vps настройте ssh желательно с приватным ключом
3. Настройте безопасность в php, nginx, apache,..

4. Далее настройте файрвол полностью (заблокируйте хождение и количество пакетов, которое не используются на сервере)
5. Настройте бекап сайтов для сохранения на другом сервере
6. Настройте мониторинг, чтобы отслеживать потребление ресурсов, попытки доступа на сервер и другие перебои в работе сервисов.

Теперь защита готова процентов так на 50% )

Comments

[Северное Сияние]

а где про все это почитать, желательно в виде пошаговой инструкции? а то на линукс освоение у меня нет второй жизни))

[Роман Пантюхин]

Василий Берестов, лучше найдите систадмина и поставьте ему задачу сделать это.

[Анатолий]

Василий Берестов, не знаю даже. В книгах пишут теоретическую часть что и как работает, и какие параметры за это отвечают. Но я не встречал инструкции по кейсам, где конкретно все настраивают от начала и до конца. Попробуйте разбить вопрос на части и получите более конкретные вопросы.
Например:
Как установить файрвол (он там по умолчанию установлен) в дебиан, как закрыть все порты кроме...
Как сменить ssh порт и сгенерировать приватный ключ...

Answer 3

[Dimonchik]

что-то никто порт SSH сменить не посоветовал

+ у норм хостера и на 22й то пускает только с IP , с которого заходишь в админпанель хостера

Comments

[Северное Сияние]

сменил, спасибо

[Alex Wells]

+ у норм хостера и на 22й то пускает только с IP , с которого заходишь в админпанель хостера

Что за бред? У ovh такого нет, у digital'а тоже. А если сервак на заказчике, как зайти? Заказчика запрягать что-то там менять что ли? Полная бредятина.

И зачем менять порт? Если кому то всрется твой сервер, то порт найдут за 5 минут.

[Dimonchik]

Заказчика запрягать что-то там менять что ли?

у OVH есть вполне себе файррволл в топовом секторе (не SYS/Kimsufi)
в админке правится файрволл, и все

Если кому то всрется твой сервер, то порт найдут за 5 минут.

Если
заказами поиска за Cloudflare не занимаетесь?
за 5 минут knock-knock возьметесь? )

да и на OVH свет не сошелся, хотя для старта и не только хостер не плох

[jeruthadam]

Никто не советовал потому что это бред, а не совет

[Dimonchik]

бред
но логи говорят что лучше сменить )
и подтверждают сразу же после смены

[Volodimir Babeshko]

dimonchik2013, ну чем же Ваш совет поможет? Ведь реально кому надо, тот найдет, тот пример что за клаудфлер нельзя поискать - это Вы типа на их access намекаете, тогда да, но это платная защита уровня "настроить у нас, для тех кто не может настроить у себя", если нет - тогда как бы Вы не хвалились, но смысла нет в совете. Условные китайцы сканят по айпи, а не по сайту, плюс наверное Вы помните, что ранее можно было подсмотреть айпи за клаудфлер, по крайней мере на бесплатном тарифе. А то что можно настроить простукивание портов, что оно в принципе даст кроме уменьшения попыток подбора пароля, при условии что выше советовали ключ и какой смысл в совете после этого, особенно после файл2бана. Я прекрасно понимаю, что это тоже не самый плохой совет и имеет право на жизнь, как бы то ни было секьюрити бай обскурити работает как ни крути, почти 100% защита от тех самых китайцев, но вот от уровня опасности выше это уже решето и для собственного спокойствия, но тогда можно просто поставить пароли в 20+ символов со спецзнаками, цифрами, разным регистром букв и вообще не заморачиваться, ибо Неуловимый Джо.

[Dimonchik]

Konstantin Abaiev, ну смотрите

я открываю nano
меняю порт

и СРАЗУ в system,log уменьшается количество звписей
вот просто СРАЗУ

а все файлтубаны, ибаны, кноки, - для скучающих админов на зарплате

клаудфлар я имею в виду - неважно
попробуйте любого варезника определить ИП, потои поговорим ))

Answer 4

[20ivs]

теперь желательно поднять VPN и подружить его со своим роутером (или ПК на крайняк), чтобы доступ извне был только через VPN. ssh и все остальные сервисы должны отвечать только в вашу сеть с VPN.

Comments

[Сергей Соколов]

чем VPN лучше простого подключения только-по-SSH ?

Answer 5

[xmoonlight]

Кроме настроек доступа (firewall/iptables), нужно запретить все неожидаемые запросы к веб-серверу:
Как защитить сайты от взлома?

Answer 6

[DangerD512]

Проще поставить сразу что-то типа vestacp или centos webpanel (рекомендую) либо любую другую бесплатную, ставиться одной командой и ставит вместе с собой все что надо для хостинга включая апачи базы пыхи мыло фтп и т.д.
Ну и управлять этим всем удобно потом.

Ну а на счёт защиты - нормальный пароль, порт ssh можно заморочится сменить, для особых параноиков White list сделать. А так то все из коробки норм. Хотя в той же vesta в прошлом году дыру нашли, так что если параноик, то все ручками)

Comments

[Adamos]

ставиться одной командой и ставит вместе с собой все что надо для

... взлома
https://www.opennet.ru/search.shtml?words=vestacp

[DangerD512]

Adamos, ну да, vestacp в этом плане самая нашумевшая)
Сейчас centos webpanel юзаю, есть почти все что можно придумать

[jeruthadam]

А для кого эти панели вообще? Для тех кто печатать в консоли не умеет и писать баш?

[DangerD512]

jeruthadam, ну вот автор делал всё копипастом со статей с интернета. А вообще чтобы сделать элементарное действие надо ломися через ssh, особенно удобно когда ты в дороге с телефона...
Панели для удобства скажем там ВСЕГО:

Вот кстати сама панель и предлагает порт ssh сменить...
В баше ебашить умею, но зачем если через панель в разы быстрее.

[Северное Сияние]

jeruthadam,

А для кого эти панели вообще? Для тех кто печатать в консоли не умеет и писать баш?

ты такой восхитительный эксперт в системном администрировании, что тебе панель не нужна и ты все через консоль делаешь?

[jeruthadam]

Василий Берестов, конечно не нужна.

Answer 7

[Александр Бабошин]

Настройки того софта что Вы установили достаточно надёжны по умолчанию, будете их менять - тогда уже смотрите. Закрывать неоткрытые порты файрволом - это как поставить на ручник машину без колес. VPN сам по себе безопасности не добавляет, это просто ещё 1 сетевой интерфейс.

Answer 8

[Vitaly Musin]

Можно за 2 минуты настроить фаерволл с помощью ufw