{"id":4800,"date":"2021-04-13T17:24:18","date_gmt":"2021-04-13T17:24:18","guid":{"rendered":"https:\/\/www.domovanje.com\/podpora\/?post_type=kb&p=4800"},"modified":"2021-04-14T06:14:00","modified_gmt":"2021-04-14T06:14:00","slug":"5-nasvetov-za-varnost-vasega-vpsa","status":"publish","type":"kb","link":"https:\/\/www.domovanje.com\/podpora\/kb\/5-nasvetov-za-varnost-vasega-vpsa\/","title":{"rendered":"5 nasvetov za varnost va\u0161ega VPSa"},"content":{"rendered":"
\n

1. Utrdite SSH dostop<\/h2>\n

Utrjevanje (ang. hardening), je proces, s katerim zmanj\u0161ujemo povr\u0161ino ranljivosti<\/strong> (ang. surface of vulnerability) sistema. Slednja je obi\u010dajno ve\u010dja, \u010de na sistemu (stre\u017eniku) te\u010de ve\u010d servisov hkrati.<\/p>\n

Zelo pomembno je, da kar se da dobro utrdimo<\/strong> procese na stre\u017eniku. Eden izmed procesov, ki te\u010de prakti\u010dno na vsakem stre\u017eniku, je SSH<\/strong>. Ker se ta uporablja za dostop neposredno na stre\u017enik, pogosto kar z root uporabnikom, je zelo pomembno, da je servis dobro zavarovan.<\/strong><\/p>\n

1.1 Onemogo\u010dite dostop z geslom<\/h3>\n

Ker smo ljudje pri izbiri gesel obi\u010dajno precej leni (izbiramo enostavna gesla, ki jih nato uporabljamo na ve\u010dih straneh) je najbolje, da za dostop do stre\u017enika ne uporabljamo avtentikacije z geslom.<\/strong> Precej bolj\u0161e je, da za prijavo uporabljamo SSH klju\u010de.<\/strong><\/p>\n

Preden onemogo\u010dimo prijavo z geslom, moramo nujno omogo\u010diti prijavo z SSH klju\u010dem. To storimo tako, da svoj javni SSH klju\u010d kopiramo na str\u017enik v mapo ~\/.ssh\/<\/code><\/strong>. \u010ce tega ne storimo, bomo izgubili dostop do stre\u017enika.<\/p>\n

Nato preverimo, da imamo v datoteki \/etc\/ssh\/sshd_config<\/code> naslednje:<\/p>\n

PubkeyAuthentication yes\r\nPasswordAuthentication no\r\n<\/code><\/pre>\n
Zgornje omogo\u010di<\/strong> prijavo s SSH kju\u010dem ter onemogo\u010di<\/strong> prijavo z geslom.<\/p>\n
1.2 Onemogo\u010dite prijavo z \u201croot\u201d uporabnikom<\/h3>\n
\u010ce za oddaljeni dostop do svojega stre\u017enika uporabljate root<\/em> uporabnika, to ni najbolj varna izbira.<\/p>\n
Svetuje se, da za prijavo uporabljate navadnega uporabnika, ki ima sudo<\/em> privilegije.<\/p>\n
Najprej preverimo, da imamo name\u0161\u010den paket sudo:<\/strong><\/p>\n
CentOS<\/em><\/p>\n
# yum install -y sudo\r\n<\/code><\/pre>\n
Debian, Ubuntu<\/em><\/p>\n
# apt install -y sudo\r\n<\/code><\/pre>\n
Nato ustvarimo novega uporabnika:<\/strong><\/p>\n
CentOS<\/em><\/p>\n
# useradd -m -G sudo <uporabnisko_ime>\r\n# passwd <uporabnisko_ime>\r\n<\/code><\/pre>\n
Debian, Ubuntu<\/em><\/p>\n
# useradd -m -G wheel <uporabnisko_ime>\r\n# passwd <uporabnisko_ime>\r\n<\/code><\/pre>\n
Preden onemogo\u010dimo prijavo z root uporabnikom, je dobro preveriti, da prijava z novim uporabnikom deluje<\/strong> in da ima novi uporabnik vse ustrezne pravice.<\/strong><\/p>\n
Nato v datoteko \/etc\/ssh\/sshd_config<\/code> dodamo naslednje:<\/p>\n
PermitRootLogin no\r\n<\/code><\/pre>\n
1.3 Spremenite vrata<\/h3>\n
SSH servis privzeto uporablja vrata 22. S tem seveda ni popolnoma ni\u010d narobe. Vseeno pa se svetuje, da se vrata nastavijo na neko drugo vrednost<\/strong>. \u010ce ni\u010d drugega, s tem krepko zmanj\u0161amo \u0161tevilo poskusov vdora.<\/p>\n
Preden zamenjamo SSH vrata, moramo poskrbeti, da bodo le ta dovoljena (odprta) skozi po\u017earni zid.<\/p>\n
Nato v \/etc\/ssh\/sshd_config<\/code> uredimo naslednjo vrednost:<\/p>\n
Port 5467\r\n<\/code><\/pre>\n
1.4 Preverite va\u0161e nastavitve<\/h3>\n
Poleg nastavitev, ki smo jih omenili zgoraj, je \u0161e dosti drugih, s katerimi lahko izbolj\u0161amo varnost SSH servisa.<\/p>\n
Eden izmed najla\u017ejih na\u010dinov, kako preveriti kaj je v redu in kaj ne, je orodje ssh-audit<\/a>.<\/strong><\/p>\n
Orodje, ki ga po\u017eenemo na lokalnem ra\u010dunalniku, bo preverilo SSH konfiguracijo na\u0161ega stre\u017enika in nam svetovalo, kaj bi bilo dobro spremeniti.<\/p>\n
2. Namestite po\u017earni zid<\/h2>\n
Poleg utrjevanja servisov je po\u017earni zid ena izmed najbolj efektivnih metod za\u0161\u010dite<\/strong> stre\u017enika.<\/p>\n
Dober po\u017earni zid nas bo med drugim za\u0161\u010ditil pred:<\/p>\n