Virtualus privatus serveris (VPS) yra populiarus pasirinkimas svetainių, programėlių, duomenų bazių ir asmeninių projektų talpinimui. Jis suteikia daugiau kontrolės nei bendro naudojimo hostingas, tačiau ši kontrolė taip pat reiškia didesnę atsakomybę.
Daugelis VPS savininkų daug dėmesio skiria greitam serverio paruošimui ir pamiršta pagrindinius saugumo žingsnius. Dėl to jų serveriai gali tapti lengvais taikiniais įsilaužėliams, robotams ar kenkėjiškoms programoms.
Žemiau pateikiamos dažniausios VPS saugumo klaidos ir kaip jų galima išvengti.
Slaptažodžių naudojimas prisijungimui per SSH
Daugelis žmonių leidžia prisijungti prie SSH naudojant slaptažodžius. Tai gali būti rizikinga, nes užpuolikai dažnai naudoja automatizuotus įrankius slaptažodžiams atspėti. Silpni slaptažodžiai šią problemą dar labiau paaštrina.
Kaip tai išspręsti:
Naudokite SSH raktus vietoje slaptažodžių;
Išjunkite autentifikaciją slaptažodžiais;
Išjunkite tiesioginį prisijungimą prie root paskyros;
Jei įmanoma, apribokite SSH prieigą tik patikimais IP adresais.
Tai gerokai apsunkina užpuolikams galimybę pasiekti jūsų serverį.
Nuolatinis prisijungimas su root vartotoju
Root paskyra turi visišką serverio kontrolę. Jei kažkas gauna prieigą prie jos, gali padaryti rimtos žalos. Root naudojimas kasdienėms užduotims padidina riziką.
Kaip tai išspręsti:
Sukurkite įprastą vartotojo paskyrą;
Suteikite tam vartotojui
sudoteises;Root teises naudokite tik tada, kai tai būtina.
Tai padeda sumažinti klaidų ar atakų poveikį.
Atnaujinimų ignoravimas
Kai kurie vartotojai sukonfigūruoja VPS severį ir daugiau jo niekada neatnaujina. Pasenusi programinė įranga gali turėti žinomų saugumo spragų, kurias užpuolikai gali išnaudoti.
Kaip tai išspręsti:
Reguliariai atnaujinkite operacinę sistemą;
Įdiekite saugumo pataisas;
Jei įmanoma, įjunkite automatinius atnaujinimus.
Programinės įrangos atnaujinimas uždaro daugelį saugumo spragų.
Palikti atviri prievadai
Atviri prievadai gali suteikti peigą prie tam tirktų servevisų ar programų naudojamų serveryje.
Pavyzdžiui:
Duomenų bazių;
įdiengų programos;
Viso serverio valdymo.
Kaip tai išspręsti:
Naudokite ugniasienę ir palikite atvirus tik būtinus prievadus, tokius kaip:
SSH;
HTTP;
HTTPS.
Visa kita prievadus, kurie nėra naudojami - užblokuokite
Atsarginių kopijų nenaudojimas
Saugumas nėra tik atakų prevencija. Be atsarginių kopijų duomenų praradimas gali tapti negrįžtamas. Kaip tai išspręsti:
Sukonfigūruokie automatinių atsarginių kopijų generavima;
Laikykite atsargines kopijas atskirose vietose;
Reguliariai tikrinkite atsargines kopijas.
Pasenusių turinio valdymo sistemų naudojimas
Senesnės svetainių ir turinio valdymo sistemų versijos gali turėti saugumo silpnybių. Tai dažnai pasitaiko tokiose platformose kaip:
WordPress;
Drupal;
Joomla.
Kaip tai išspręsti:
Reguliariai atnaujinkite programas;
Pašalinkite nenaudojamus papildinius;
Ištrinkite nenaudojamas temas.
Išvada
Dauguma problemų kyla todėl, kad ignoruojamos pagrindinės apsaugos priemonės. Laikydamiesi paprastų saugumo praktikų, tokių kaip programinės įrangos atnaujinimas, prieigos ribojimas, atsarginių kopijų kūrimas ir veiklos stebėjimas, galite gerokai geriau apsaugoti savo serverį.
Saugus VPS prasideda nuo gerų įpročių — o šie įpročiai gali padėti išvengti rimtų problemų ateityje.