Zanim zaczniemy instalowanie i konfigurowanie wszystkich potrzebnych nam usług, zajmijmy się zabezpieczeniem naszego serwera VPS.
Ponieważ zabezpieczanie systemów unix/linux to “temat rzeka”, w tym artykule zamierzam opisać tylko kilka podstawowych technik zabezpieczenia się przed niepowołanym dostępem. Są to proste sposoby, jednak dające bardzo przyzwoite i, w większości przypadków, wystarczające rezultaty.
Trudne hasła
Podstawowym zaleceniem i to nie tylko dotyczącym serwerów www jest stosowanie trudnych haseł, czyli tzw. “niesłownikowych”. Chodzi o używanie małych i dużych liter, cyfr i znaków specjalnych. Najlepiej żeby hasło było też długości minimum 8 znaków w sumie. Większość osób o tym wie i stostuje się do tej zasady, jednak pomyślałem, że warto o tym wspomnieć jako o generalnej zasadzie bezpieczeństwa.
Logowanie jako root
W przypadku administracji serwerami linux lub unix odradza się logowania na konto root’a. Oczywiście po zakupie serwera VPS otrzymujemy czysty system z jednym tylko kontem (właśnie root), więc pierwsze logowanie będzie odstępstwem od tej reguły. Tak więc logujemy się jako root i kolejną rzeczą jaką należy zrobić jest utworzenie drugiego konta. Wpisujemy:
root@myhost:~# adduser sachem
…gdzie “sachem” to nazwa tworzonego konta. System prosi nas dwukrotnie o hasło dla nowo tworzonego użytkowniki i kilka dodatkowych informacji, które możemy pominąć wciskając kilkakrotnie ENTER.
Zanim zablokujemy zdalne logowanie na konto root’a, zostawmy sobie otwartą sesję ssh dla tego konta i tworząc nowe połączenie, zalogujmy się na konto, które właśnie utworzyliśmy. Po zalogowaniu wpisujemy w konsoli:
root@myhost:~# su
System zapyta nas o hasło roota’a, a po poprawnym jego wpisaniu mamy uprawnienia administratora systemu.
Zanim zaczniemy edytować pliki konfiguracyjne, polecam zainstalować edytor tekstu vim. Oczywiście może to być dowolny inny edytor, jeśli mamy już jakiś ulubiony. Ja korzystam z vim i sobie go chwalę. W systemach Debian i Ubuntu instalujemy go w następujący sposób:
root@myhost:~# apt-get install vim
System zapyta nas jeszcze czy na pewno chcemy zainstalować pakiet, co należy potwierdzić wpisując odpowiednią komendę, o którą system nas poprosi. W przypadku innych dystrybucji linuksa zamiast instalatora apt-get używamy emerge, yum itp.
Kiedy już mamy zainstalowany wygodny edytor, przechodzimy do meritum. Blokujemy możliwość zdalnego logowania na konto root’a. W tym celu edytujemy plik:
root@myhost:~# vim /etc/ssh/sshd_config
W pliku tym edytujemy linijkę:
PermitRootLogin yes
zmieniając “yes” na “no” (jak poniżej):
PermitRootLogin no
Port SSH
Kolejnym ważnym krokiem w zabezpieczeniu naszego systemu jest zmiana domyślnego portu ssh, którym jest port 22 na jakiś inny numer. Zmieniając numer portu na niestandardowy prawdopodobnie udaremniamy 99% ataków na nasz serwer. Robimy to edytując linię:
Port 22
Wpisujemy tam np.:
Port 5555
Gdy te dwie rzeczy mamy załatwione, zapisujemy plik i zamykamy edytor.
Teraz czas na restart usługi ssh i sprawdzenie, czy wszystko działa dobrze. Wpisujemy zatem:
root@myhost:~# /etc/init.d/ssh restart
Po restarcie ssh, otwieramy kolejną sesję i (pamiętając o zmienionym porcie ssh) logujemy się do serwera. Jeśli możemy zalogować się na konto root’a przy pomocy komendy “su” to znaczy, że wszystko przebiegło pomyślnie i pozostałe sesje ssh możemy już spokojnie zamknąć.
Podsumowanie
Tak jak zostało wspomniane na początku, są to tylko podstawowe metody zabezpieczenia systemu, jednak w ogromnym stopniu poprawiające nasze bezpieczeństwo.
