Redno posodabljanje programske opreme
Potrebno je redno posodabljati tako operacijski sistem kot vse servise in aplikacije, ki jih imate nameščene na strežniku. Na zastareli opremi se hitro pokažejo varnostne težave, ki jih napadalci z veseljem izkoristijo. Napadalci torej najprej poizvejo, katero verzijo programske opreme imate nameščeno na strežniku in nato izkoristijo ranljivosti te različice, da vdrejo v sistem. Z rednim posodabljanjem programske opreme se možnost za zlorabo precej zmanjša.
Poleg tega posodobljena programska oprema pozitivno vpliva na delovanje strežnika, saj optimizira njegove funkcionalnosti.
Odstranitev nerabljenih modulov/paketov
Svetujemo, da pakete, module ali celo servise, ki jih za izvajanje procesov na strežniku ne potrebujete, odstranite, saj tako zmanjšate možnosti za potencialne grožnje. Obenem je učinek viden tudi na performanci strežnika.
Za določanje in odstranjevanje nerabljenih paketov, so vam lahko v pomoč navodila na naslednji povezavi: https://www.ostechnix.com/how-to-find-and-remove-unused-packages-in-linux/.
Pravilo močnega gesla
Pravilo močnega gesla je eno izmed pomembnejših, saj enostavna gesla napadalci brez večjih težav uganejo in tako pridobijo dostop do strežnika. Geslo mora biti sestavljeno iz vsaj 10 znakov, vsebovati mora male/velike črke, številke in posebne znake. Prav tako je pomembno, da imate za vsako storitev oz. spletno mesto drugačno geslo.
Več informacij o varnih geslih lahko najdete na naslednji povezavi: https://safe.si/nasveti/moja-identiteta-in-zasebnost/varna-gesla .
Omejitev root prijave
Privzeto ima vsak Linux strežnik root uporabnika, preko katerega napadalci velikokrat poskušajo izvesti tako imenovan Napad z grobo silo (Brute Force Attack), kjer poskušajo ugotoviti vaše geslo in pridobiti dostop do strežnika. Svetujemo, da prijavo z root uporabniškim imenom onemogočite, kreirate novo uporabniško ime ter uporabite ukaz ‘sudo’ in na ta način izvajate ukaze na nivoju root uporabnika.
Prijava na strežnik s SSH ključi
Na strežnik se lahko prijavite na več načinov, najbolj običajna metoda je sicer avtentikacija z geslom, a ta ni vedno najbolj varna, medtem ko je avtentikacija s SSH ključi je veliko bolj varna metoda. Potrebno je generirati par ključev(zasebni/javni), namestiti javni ključ na strežnik, omogočiti prijavo s SSH ključi ter na koncu še onemogočiti avtentikacijo z geslom.
V pomoč vam je lahko opis postopka na naslednji povezavi: https://www.digitalocean.com/community/tutorials/how-to-configure-ssh-key-based-authentication-on-a-linux-server.
Požarni zid
Požarni zid je sistem zagotavljanja varnosti, ki filtrira promet na strežniku na podlagi prej določenih pravil.
Primer navodil za konfiguriranje požarnega zidu na strežniku:
CentOS 7: https://www.digitalocean.com/community/tutorials/how-to-set-up-a-firewall-using-firewalld-on-centos-7,
Ubuntu 18.04: https://www.digitalocean.com/community/tutorials/how-to-set-up-a-firewall-with-ufw-on-ubuntu-18-04,
Debian 9: https://www.digitalocean.com/community/tutorials/how-to-set-up-a-firewall-with-ufw-on-debian-9.
Menjava SSH porta
Menjava privzetih SSH vrat iz 22 na poljubno številko (do 65536) ni dejansko zaščita, vam pa lahko pomaga pri znižanju poizkusov prijav v dnevnikih s strani avtomatiziranih napadov. Na ta način lahko s sprotnim preverjanjem dnevnikov prijav prej opazite bolj determinirane napadalce in ustrezno ukrepate.
Onemogočanje nerabljenih portov
Nerabljeni omrežni servisi so prav tako lahka tarča za napadalce, zato je priporočljivo, da porte, ki niso v uporabi, zaprete. Z ukazom ‘netstat’ lahko preverimo odprte porte in servise povezane z njimi.
Varnostne kopije
Pomembnosti rednega kreiranja varnostnih kopij ni mogoče dovolj poudariti, saj morate pri storitvi Strežnik po meri za njih poskrbeti sami. Četudi ste pri administriranju strežnika zelo previdni in je strežnik izjemno zaščiten, vedno obstaja možnost, da gre kaj narobe, zato je hramba varnostnih kopij na drugi lokaciji neprecenljiva.
Za shrambo varnostnih kopij na sekundarni lokaciji lahko uporabite tudi našo storitev Arnes Shramba, več o sami storitvi pa si lahko preberete v prispevku Arnes Shramba.