Leden 13, 2026Návody
Jak zabezpečit Linuxový server (Hardening)
Základní kroky k zabezpečení Linuxového serveru před neoprávněným přístupem a útoky.
Zabezpečení je prvořadé při provozování serveru na internetu. Tento návod se zabývá základními kroky k 'otužení' (hardening) vašeho Linuxového serveru a jeho ochraně před běžnými hrozbami.
1. Udržujte svůj systém aktualizovaný
bash
# Pro Ubuntu/Debian
sudo apt update && sudo apt upgrade -y
# Pro RHEL / CentOS / Alma / Rocky
sudo yum update -y2. Zabezpečte přístup přes SSH
Zakažte ověřování heslem a přihlášení uživatele root, abyste zabránili útokům hrubou silou. Upravte /etc/ssh/sshd_config:
KRITICKÉ: Před zakázáním ověřování heslem se ujistěte, že jste na server úspěšně přidali svůj veřejný klíč SSH (obvykle v ~/.ssh/authorized_keys) a otestovali, že se můžete přihlásit bez hesla. Jinak budete zablokováni!
bash
PermitRootLogin no
PasswordAuthentication no
PubkeyAuthentication yes
# Změňte port pro extra zabezpečení
Port 22223. Nakonfigurujte firewall
Povolte pouze nezbytné porty. Pokud jste změnili port SSH, nezapomeňte jej povolit!
bash
sudo ufw allow 2222/tcp
sudo ufw allow 80/tcp
sudo ufw allow 443/tcp
sudo ufw enable4. Nainstalujte Fail2Ban
Fail2Ban chrání před útoky hrubou silou tím, že zakazuje IP adresy, které vykazují známky škodlivého chování.
bash
sudo apt install fail2ban -y
# Výchozí konfigurace obvykle postačuje5. Používejte uživatele bez oprávnění root
Nepoužívejte uživatele root pro každodenní úkoly. Vytvořte nového uživatele s oprávněními sudo:
bash
sudo adduser uzivatelskejmeno
sudo usermod -aG sudo uzivatelskejmenoKontrolní seznam zabezpečení
- Místo hesel používejte SSH klíče
- Povolte automatické bezpečnostní aktualizace
- Pravidelně kontrolujte otevřené porty (netstat -tulpn)
- Pro všechny účty používejte silná, jedinečná hesla
- Sledujte systémové protokoly (/var/log/auth.log)
- Zakažte nepoužívané služby a odstraňte nepotřebný software