Как да защитите вашия Linux сървър (Hardening)

Сигурността е от първостепенно значение при стартиране на сървър в интернет. Това ръководство обхваща основните стъпки за "закаляване" на вашия Linux сървър и защитата му от общи заплахи.

1. Поддържайте системата си актуализирана

# За Ubuntu/Debian
sudo apt update && sudo apt upgrade -y

# За RHEL / CentOS / Alma / Rocky
sudo yum update -y

2. Осигурете SSH достъп

Деактивирайте паролната автентификация и влизането като root, за да предотвратите атаки с груба сила. Редактирайте /etc/ssh/sshd_config:

PermitRootLogin no
PasswordAuthentication no
PubkeyAuthentication yes
# Промяна на порта за допълнителна сигурност
Port 2222

3. Конфигурирайте защитна стена

Разрешавайте само необходимите портове. Ако сте променили SSH порта, не забравяйте да го разрешите!

sudo ufw allow 2222/tcp
sudo ufw allow 80/tcp
sudo ufw allow 443/tcp
sudo ufw enable

4. Инсталирайте Fail2Ban

Fail2Ban предпазва от атаки с груба сила, като блокира IP адреси, които показват признаци на злонамереност.

sudo apt install fail2ban -y
# Конфигурацията по подразбиране обикновено е достатъчна

5. Използвайте потребител, който не е root

Избягвайте използването на root потребителя за ежедневни задачи. Създайте нов потребител със sudo привилегии:

sudo adduser username
sudo usermod -aG sudo username

Контролен списък за сигурност

• Използвайте SSH ключове вместо пароли
• Активирайте автоматичните актуализации за сигурност
• Редовно проверявайте отворените портове (netstat -tulpn)
• Използвайте силни, уникални пароли за всички акаунти
• Следете системните регистрационни файлове (/var/log/auth.log)
• Деактивирайте неизползваните услуги и премахнете ненужния софтуер