Miért számít az első 30 perc?

Amikor élesítesz egy friss Linux VPS-t, az alapállapot kényelmes, de nem biztonságos. Root jelszavas belépés, nyitott portok, semmilyen brute-force védelem. A botok perceken belül megtalálják a szervert, és elkezdenek próbálkozni. A jó hír, hogy néhány alaplépéssel a támadási felület töredékére csökken. Ebben a cikkben végigvesszük, mit állíts be közvetlenül a telepítés után, parancsról parancsra.

A példák Ubuntu 22.04 és Debian alapon készültek, de a logika minden disztrón ugyanaz.

1. Lépj be, és hozz létre egy külön felhasználót

Ne rootként dolgozz a napi munkában. Hozz létre egy saját felhasználót, és tedd be a sudo csoportba:

adduser webdev
usermod -aG sudo webdev

Ezután lépj ki, és próbálj belépni az új userrel. Ha működik a sudo, mehetünk tovább.

2. SSH kulcs alapú belépés, és a jelszavas tiltása

A jelszó kitalálható, a kulcs gyakorlatilag nem. A saját gépeden generálj egy kulcspárt, ha még nincs:

ssh-keygen -t ed25519 -C webdev@sajatgep

Másold fel a publikus kulcsot a szerverre:

ssh-copy-id webdev@SZERVER_IP

Ha bejutsz kulccsal, tiltsd le a jelszavas belépést. Nyisd meg a /etc/ssh/sshd_config fájlt, és állítsd be:

PasswordAuthentication no
PermitRootLogin no

Indítsd újra az SSH szolgáltatást:

sudo systemctl restart ssh

Egy dolog nagyon fontos: mielőtt kilépsz, egy másik ablakban ellenőrizd, hogy tényleg be tudsz lépni kulccsal. Ha kizárod magad, már csak a szolgáltató webes konzolja menthet meg.

3. Tűzfal: csak az legyen nyitva, amire szükség van

Az ufw a legegyszerűbb módja, hogy bezárd a felesleges portokat. Engedélyezd az SSH-t és a webes portokat, majd kapcsold be:

sudo ufw allow OpenSSH
sudo ufw allow 80/tcp
sudo ufw allow 443/tcp
sudo ufw enable

Ellenőrzés:

sudo ufw status

Ha adatbázist is futtatsz a szerveren (PostgreSQL, MySQL), azt soha ne nyisd ki a külvilág felé. Maradjon a 127.0.0.1 címen, és csak az alkalmazás érje el helyből.

4. fail2ban a kitartó próbálkozók ellen

A kulcs alapú belépéssel már sokat tettél, de a fail2ban ráadásként automatikusan kitiltja azokat az IP-ket, amelyek sorozatosan hibás belépéssel próbálkoznak. Telepítés:

sudo apt install fail2ban
sudo systemctl enable --now fail2ban

Az alapbeállítás már figyeli az SSH-t. A státuszt így nézheted meg:

sudo fail2ban-client status sshd

5. Automatikus biztonsági frissítések

A legtöbb betörés ismert, már javított hibákon keresztül történik. Ha a szerver magától behúzza a biztonsági frissítéseket, sokkal kisebb az esély a bajra:

sudo apt install unattended-upgrades
sudo dpkg-reconfigure --priority=low unattended-upgrades

Ez nem helyettesíti a rendszeres karbantartást, de a kritikus foltozásokat leveszi a válladról.

6. Lásd, mi történik a szerveren

Nem kell drága rendszer az induláshoz, pár parancs sokat elárul:

• htop a processzekhez és a memóriához
• df -h a lemezhasználathoz
• journalctl -xe a rendszernaplóhoz
• sudo ss -tulpn a nyitott portokhoz és a mögöttük futó szolgáltatásokhoz

Ha hosszabb távra tervezel, érdemes egy könnyű monitoringot (például Netdata) felrakni, ami grafikonon mutatja a terhelést, és riaszt, ha valami elszáll.

Gyors ellenőrzőlista

• Külön, sudo jogú felhasználó, nem root
• Belépés SSH kulccsal, jelszavas belépés tiltva
• ufw bekapcsolva, csak a szükséges portok nyitva
• fail2ban fut
• Automatikus biztonsági frissítések beállítva
• Adatbázis csak a localhoston hallgat

Mi jön ezután?

Ha ez megvan, jöhet a következő réteg: HTTPS Let's Encrypttel, automatikus deploy a Git repódból, és a webszerver finomhangolása. Ezeket a következő cikkekben vesszük végig.

Ha viszont nincs kedved minden frissítéssel, mentéssel és éjszakai riasztással bajlódni, nyugodtan bízd ránk. A Winzol pontosan ezt csinálja: felügyelt VPS, hogy te a fejlesztésre koncentrálhass.