Πώς να ασφαλίσετε έναν διακομιστή

Contents

Η ασφαλής διαμόρφωση του διακομιστή σας αποτελεί μία από τις πιο σημαντικές εργασίες για τους διαχειριστές. Αυτό ισχύει όχι μόνο για τους διακομιστές που διαχειρίζεστε οι ίδιοι, αλλά και για τον ενοικιαζόμενο εξοπλισμό. Μέτρα όπως η προστασία με κωδικό πρόσβασης, οι ισχυρές ρυθμίσεις SSH και οι τακτικές ενημερώσεις συνθέτουν ένα ολοκληρωμένο πακέτο ασφάλειας.

Ποιος είναι υπεύθυνος για τη διαμόρφωση της ασφάλειας του διακομιστή;

Η φιλοξενία του δικού σας διακομιστή προσφέρει μέγιστη ελευθερία όσον αφορά τη διαμόρφωση. Μια κατάλληλη εναλλακτική λύση είναι οι διακομιστές root, τους οποίους προσφέρουν πολλοί πάροχοι και παρέχουν πρόσβαση σε λογαριασμό root. Και στις δύο περιπτώσεις, κρίσιμες εργασίες όπως η εγκατάσταση, η διαμόρφωση και η συντήρηση βαρύνουν εξ ολοκλήρου τον ενοικιαστή. Τα λάθη στον τομέα root μπορούν να οδηγήσουν σε σοβαρά προβλήματα. Ωστόσο, η τήρηση των σωστών διαδικασιών μπορεί να δημιουργήσει τα ιδανικά θεμέλια για έναν αξιόπιστο, υψηλής απόδοσης και ασφαλή διακομιστή.

Πώς να ασφαλίσετε τον διακομιστή σας βήμα προς βήμα

Είτε θέλετε να εξασφαλίσετε έναν διακομιστή Windows, Ubuntu ή Debian, υπάρχουν ορισμένα γενικά βήματα που μπορούν να σας βοηθήσουν να δημιουργήσετε μια σταθερή βάση ασφάλειας. Παρακάτω, συνοψίζουμε τα πιο σημαντικά βήματα.

Βήμα 1: Πραγματοποιήστε μια ελάχιστη εγκατάσταση

Ακόμη και πριν αρχίσετε να λαμβάνετε μέτρα προστασίας και να διαμορφώνετε τον διακομιστή σας, μπορείτε να επηρεάσετε τις μελλοντικές δυνατότητες ασφάλειας του έργου σας. Ανεξάρτητα από το αν χρησιμοποιείτε λειτουργικό σύστημα Windows ή Linux, εφαρμόστε αυτή την αρχή κατά την εγκατάσταση: ο διακομιστής σας πρέπει να περιέχει μόνο το λογισμικό που χρειάζεται για την εκτέλεση των εργασιών του.

Ο λόγος είναι ότι κάθε εγκατεστημένη εφαρμογή ενέχει πιθανό κίνδυνο για την ασφάλεια και μπορεί να επηρεάσει αρνητικά την απόδοση. Για να ελαχιστοποιήσετε τα τρωτά σημεία, εγκαταστήστε μόνο τα απαραίτητα στοιχεία του συστήματος και χρησιμοποιείτε αποκλειστικά επαληθευμένο λογισμικό τρίτων κατασκευαστών.

Βήμα 2: Ορίστε έναν ισχυρό κωδικό πρόσβασης

Μετά την εγκατάσταση, το πρώτο πράγμα που πρέπει να κάνετε είναι να ορίσετε έναν ισχυρό κωδικό πρόσβασης διαχειριστή (Windows) ή root (Linux). Από προεπιλογή, δεν έχει οριστεί καμία τιμή, οπότε ο λογαριασμός διαχειριστή παραμένει κλειδωμένος μέχρι να εισαγάγετε έναν κωδικό. Τα περισσότερα λειτουργικά συστήματα σας ζητούν να δημιουργήσετε έναν λογαριασμό με κωδικό πρόσβασης αμέσως μετά την εγκατάσταση, ο οποίος θα λειτουργεί ως κωδικός πρόσβασης διαχειριστή ή root.

Εάν έχετε νοικιάσει τον διακομιστή Linux σας από έναν πάροχο και σας δόθηκε ένας υπάρχων κωδικός πρόσβασης root, αλλάξτε τον κωδικό πρόσβασης αμέσως. Συνδεθείτε στον διακομιστή σας μέσω SSH και πληκτρολογήστε την ακόλουθη εντολή στο τερματικό:

passwd

bash

Αφού ορίσετε τον ασφαλή κωδικό πρόσβασής σας, θα πρέπει να τον επαληθεύσετε. Φροντίστε να επιλέξετε έναν κωδικό πρόσβασης όσο το δυνατόν μεγαλύτερο, ο οποίος να περιλαμβάνει συνδυασμό γραμμάτων, ειδικών χαρακτήρων και αριθμών. Συνιστάται επίσης να χρησιμοποιήσετε ένα πρόγραμμα διαχείρισης κωδικών πρόσβασης για να αποθηκεύσετε τον κωδικό πρόσβασης με ασφάλεια, ώστε να έχετε εύκολη πρόσβαση σε αυτόν αν χρειαστεί.

Βήμα 3: Αλλαγή της θύρας SSH

Από προεπιλογή, η πρόσβαση μέσω SSH χρησιμοποιεί τη θύρα TCP/UDP 22, η οποία έχει ρυθμιστεί εκ των προτέρων κατά την εγκατάσταση του συστήματος. Οι χάκερ συχνά εστιάζουν τις αυτοματοποιημένες προσπάθειες σύνδεσης σε αυτή τη θύρα. Για να μειώσετε τον κίνδυνο μη εξουσιοδοτημένης πρόσβασης, ορίστε μια διαφορετική θύρα για τις κρυπτογραφημένες απομακρυσμένες συνδέσεις.

Για να το κάνετε αυτό, επεξεργαστείτε το αρχείο ρυθμίσεων SSH sshd_config χρησιμοποιώντας οποιοδήποτε πρόγραμμα επεξεργασίας κειμένου. Για παράδειγμα, για να χρησιμοποιήσετε το πρόγραμμα επεξεργασίας nano, εκτελέστε την ακόλουθη εντολή:

nano /etc/ssh/sshd_config

bash

Αναζητήστε τη γραμμή με την ένδειξη «Port» και αντικαταστήστε τον αριθμό θύρας 22 με τον αριθμό της επιλογής σας. Λάβετε υπόψη ότι υπάρχουν διάφορες άλλες τυπικές θύρες που έχουν δεσμευτεί για διαφορετικές υπηρεσίες (π.χ. η θύρα 80 για το HTTP).

Note

Προτού τεθούν σε ισχύ οι αλλαγές στο αρχείο sshd_config, πρέπει να επανεκκινήσετε την υπηρεσία SSH. Στο Debian, μπορείτε να το κάνετε αυτό χρησιμοποιώντας την εντολή etc/init.d/ssh restart. Οι χρήστες του Ubuntu πρέπει να επανεκκινήσουν την υπηρεσία με service ssh restart.

Βήμα 4: Απενεργοποίηση της σύνδεσης μέσω SSH για τους λογαριασμούς διαχειριστή

Για να ενισχύσετε περαιτέρω την ασφάλεια του διακομιστή σας, συνιστάται να απενεργοποιήσετε τη σύνδεση μέσω SSH για τον λογαριασμό root ή διαχειριστή. Διαφορετικά, αν κάποιος εισβολέας αποκτήσει πρόσβαση στον κωδικό πρόσβασης, θα μπορούσε να χρησιμοποιήσει τον λογαριασμό για απομακρυσμένη πρόσβαση.

Πριν εφαρμόσετε αυτό το μέτρο, βεβαιωθείτε ότι υπάρχει τουλάχιστον ένας άλλος λογαριασμός που μπορεί να συνδεθεί στον διακομιστή, ώστε να αποφύγετε να αποκλειστείτε. Για συστήματα Linux, δημιουργήστε έναν λογαριασμό όπως αυτόν χρησιμοποιώντας την ακόλουθη εντολή:

useradd -g users -d /home/user1 -m -s /bin/bash user1

bash

Αυτό δημιουργεί έναν δείκτη λογαριασμού χρήστη με το όνομα «user1». Στη συνέχεια, ορίστε έναν ασφαλή κωδικό πρόσβασης για τον λογαριασμό:

passwd user1

bash

Ελέγξτε αν λειτουργεί η σύνδεση με τον λογαριασμό χρήστη που δημιουργήσατε. Εάν η διαδικασία είναι επιτυχής, προχωρήστε στην κύρια εργασία: την απενεργοποίηση του λογαριασμού root. Ανοίξτε ξανά το αρχείο διαμόρφωσης SSH sshd_config χρησιμοποιώντας τον επεξεργαστή κειμένου της προτίμησής σας. Εντοπίστε την καταχώριση PermitRootLogin yes και αντικαταστήστε την με PermitRootLogin no. Μετά την επανεκκίνηση της υπηρεσίας SSH, η απομακρυσμένη πρόσβαση για τον λογαριασμό root δεν θα είναι πλέον δυνατή.

Χρησιμοποιώντας την καταχώριση AllowGroups στο αρχείο ρυθμίσεων, μπορείτε επίσης να καθορίσετε ποιοι χρήστες έχουν το δικαίωμα να συνδεθούν μέσω SSH. Για να το κάνετε αυτό, απλώς δημιουργήστε μια ομάδα (addgroup) και προσθέστε σε αυτήν τους επιθυμητούς χρήστες (adduser). Στη συνέχεια, συμπεριλάβετε το όνομα της επιλεγμένης ομάδας στην καταχώριση sshd_config (π.χ., AllowGroups ssh_users).

Βήμα 5: Ρύθμιση ειδοποιήσεων μέσω email για συνδέσεις SSH

Ανεξάρτητα από τα συγκεκριμένα μέτρα που λαμβάνετε για την ασφάλεια της πρόσβασης μέσω SSH, θα πρέπει να παρακολουθείτε συνεχώς όλες τις απομακρυσμένες δραστηριότητες στη συνέχεια. Έτσι, μπορείτε να βεβαιωθείτε ότι η υπηρεσία SSH στον διακομιστή σας είναι σωστά προστατευμένη και να εντοπίζετε έγκαιρα τις απόπειρες μη εξουσιοδοτημένης πρόσβασης, ώστε να αντιδράτε κατάλληλα. Ένα απλό σενάριο shell μπορεί να στέλνει αυτόματα ένα email ειδοποίησης στη διεύθυνσή σας μετά από κάθε επιτυχημένη απομακρυσμένη σύνδεση στον διακομιστή σας.

Ακολουθεί ένα παράδειγμα σενάριου /opt/shell-login.sh για Linux, το οποίο μπορείτε να δημιουργήσετε εύκολα μόνοι σας:

#!/bin/bash
echo "Login on $(hostname) on $(date +%Y-%m-%d) at $(date +%H:%M)"
echo "User: $USER"
echo
finger

txt

Στη συνέχεια, προσθέστε την ακόλουθη γραμμή στο αρχείο /etc/profile:

/opt/shell-login.sh | mailx -s "SSH login on the server" youremail@example.com

txt

Αυτή η ρύθμιση διασφαλίζει ότι το σενάριο εκτελείται και αποστέλλει ένα email ειδοποίησης στη συγκεκριμένη διεύθυνση κάθε φορά που πραγματοποιείται σύνδεση μέσω SSH. Για να επιτευχθεί αυτό, στο σενάριο πρέπει να αποδοθεί το δικαίωμα 755 (δικαιώματα ανάγνωσης και εκτέλεσης για όλους τους χρήστες και δικαιώματα εγγραφής για τον ιδιοκτήτη). Μπορείτε να ορίσετε αυτό το δικαίωμα με την ακόλουθη εντολή:

chmod 755 /opt/shell-login.sh

bash

Βήμα 6: Αποκλεισμός των θυρών που δεν χρησιμοποιούνται

Οι ανοιχτές θύρες γενικά δεν αποτελούν σημαντικό κίνδυνο για την ασφάλεια, καθώς είναι απαραίτητες για την επικοινωνία με διάφορες υπηρεσίες και εφαρμογές. Για παράδειγμα, οι θύρες 80 και 443 είναι απαραίτητες για τις συνδέσεις HTTP και HTTPS, όπως και η θύρα SSH που έχετε επιλέξει. Ωστόσο, αυτές οι διεπαφές μπορούν να μετατραπούν σε ευπάθειες αν τα σχετικά προγράμματα παρουσιάζουν κενά ασφαλείας, τα οποία μπορούν να εκμεταλλευτούν οι εισβολείς.

Εάν έχετε πραγματοποιήσει μια ελάχιστη εγκατάσταση συστήματος και έχετε εγκαταστήσει μόνο έναν περιορισμένο αριθμό εφαρμογών τρίτων κατασκευαστών, ο αριθμός των επιπλέον απαιτούμενων θυρών θα πρέπει να είναι μικρός. Για να προστατεύσετε τον διακομιστή σας από επιθέσεις, θα πρέπει να αποκλείσετε όλες τις περιττές ανοιχτές θύρες στις ρυθμίσεις του τείχους προστασίας σας. Τα περισσότερα μεγάλα λειτουργικά συστήματα περιλαμβάνουν εξ ορισμού λογισμικό φιλτραρίσματος πακέτων, όπως το iptables. Αυτό το εργαλείο σας επιτρέπει να ορίσετε κανόνες για τη ρύθμιση της κυκλοφορίας δεδομένων, συμπεριλαμβανομένου του καθορισμού των επιτρεπόμενων και των αποκλεισμένων θυρών.

Βήμα 7: Ενημερώνετε τακτικά το λογισμικό

Τα γνωστά κενά ασφαλείας στις εφαρμογές αντιμετωπίζονται συνήθως γρήγορα μέσω ενημερώσεων. Ενημερώνοντας τον εαυτό σας για τις ενημερώσεις του λειτουργικού σας συστήματος και των εγκατεστημένων εφαρμογών και εφαρμόζοντάς τις άμεσα, εξασφαλίζετε τη βέλτιστη προστασία για τον διακομιστή σας. Τα περισσότερα συστήματα διακομιστών προσφέρουν επίσης λειτουργίες για την αυτόματη λήψη και εγκατάσταση κρίσιμων ενημερώσεων ασφαλείας στο παρασκήνιο.

Για παράδειγμα, αν ασφαλίζετε έναν διακομιστή Windows, η ενότητα «Windows Update» σας επιτρέπει να ρυθμίσετε συγκεκριμένες πολιτικές για τις αυτόματες ενημερώσεις. Αυτό περιλαμβάνει τον καθορισμό του πότε και πόσο συχνά θα ελέγχονται οι ενημερώσεις, αν θα πρέπει να εγκαθίστανται αμέσως και πότε θα πρέπει να γίνεται επανεκκίνηση του συστήματος. Τα συστήματα Linux προσφέρουν εργαλεία όπως το σενάριο shell apt-listchanges ή apticron για να σας ειδοποιούν καθημερινά για νέα διαθέσιμα πακέτα λογισμικού και να τα κατεβάζουν. Πρόσθετα σενάρια όπως unattended-upgrades μπορούν να χειριστούν την αυτόματη εγκατάσταση.

Note

Ακόμη και όταν χρησιμοποιείτε μια αυτοματοποιημένη διαδικασία ενημέρωσης, φροντίστε να παρακολουθείτε τις ενημερώσεις που έχουν ολοκληρωθεί. Αυτό βοηθά στον εντοπισμό και την επίλυση τυχόν σφαλμάτων που ενδέχεται να προκύψουν κατά τη διάρκεια της διαδικασίας ενημέρωσης.

Βήμα 8: Προστατέψτε τους διακομιστές Windows και Linux από επιθέσεις brute force

Μία από τις πιο απλές και συνηθισμένες μεθόδους επίθεσης είναι η επίθεση brute-force. Σε αυτόν τον τύπο επίθεσης, οι χάκερ χρησιμοποιούν εργαλεία για να δοκιμάζουν επανειλημμένα πιθανές τιμές κωδικών πρόσβασης. Εφαρμόζοντας αποτελεσματικές πρακτικές διαχείρισης κωδικών πρόσβασης, μπορείτε να μειώσετε σημαντικά την πιθανότητα επιτυχίας αυτής της μεθόδου.

Ωστόσο, εάν ο διακομιστής σας παρέχει υπηρεσίες που απαιτούν σύνδεση χρηστών, δεν μπορείτε να θεωρήσετε δεδομένο ότι όλοι οι χρήστες ακολουθούν πρακτικές ασφαλούς δημιουργίας κωδικών πρόσβασης. Τα εργαλεία ανάλυσης μπορούν να συμβάλουν στη μείωση αυτού του κινδύνου: Λύσεις όπως το Fail2ban (συστήματα Linux/POSIX) ή το RdpGuard (Windows) παρακολουθούν τα αρχεία καταγραφής του διακομιστή, εντοπίζουν ασυνήθιστη συμπεριφορά και αποκλείουν ύποπτες διευθύνσεις IP. Μπορείτε να ρυθμίσετε τον αριθμό των αποτυχημένων προσπαθειών που επιτρέπονται πριν από τον αποκλεισμό, καθώς και τη διάρκεια του αποκλεισμού.

Βήμα 9: Χρησιμοποιήστε εργαλεία παρακολούθησης

Για τη διατήρηση της ασφάλειας του διακομιστή, είναι ζωτικής σημασίας να διασφαλίζεται ότι οι αλληλεπιδράσεις μεταξύ υλικού και λογισμικού λειτουργούν όπως προβλέπεται. Δεν πρόκειται για μια εφάπαξ εργασία, αλλά για μια διαρκή ευθύνη που απαιτεί συνεχή προσοχή. Λόγω του μεγάλου αριθμού διαφορετικών διαδικασιών του συστήματος, συνιστάται η χρήση εργαλείων παρακολούθησης από την αρχή. Τα εργαλεία αυτά παρακολουθούν όλες τις δραστηριότητες του διακομιστή και σας ειδοποιούν σε περίπτωση ανωμαλιών.

Ένα απλό και εύκολο στη ρύθμιση πρόγραμμα για αυτόν τον σκοπό είναι το Monit, το οποίο μπορεί να εγκατασταθεί μέσω του διαχειριστή πακέτων σε πολλές διανομές Linux. Αυτή η εφαρμογή ανοιχτού κώδικα (άδεια GNU-AGPL) μπορεί να παρακολουθεί διεργασίες, αρχεία, υπηρεσίες cloud, κεντρικούς υπολογιστές, προγράμματα ή σενάρια, καθώς και πόρους του συστήματος όπως τη χρήση της CPU και της μνήμης. Για πιο ολοκληρωμένη παρακολούθηση, εξετάστε το Nagios, ένα εργαλείο ανοιχτού κώδικα διαθέσιμο για Linux και Windows. Το Nagios μπορεί επίσης να επεκταθεί με προσθήκες Nagios.

Βήμα 10: Ρύθμιση αντιγράφων ασφαλείας

Τα προτεινόμενα βήματα διαμόρφωσης ενισχύουν σημαντικά την ασφάλεια του διακομιστή σας. Ωστόσο, ακόμη και οι καλύτερες διαμορφώσεις και η επιμελής συντήρηση δεν μπορούν να εγγυηθούν 100% προστασία. Μια ολοκληρωμένη στρατηγική δημιουργίας αντιγράφων ασφαλείας αποτελεί κρίσιμο στοιχείο του συστήματος ασφαλείας σας, καθώς σας επιτρέπει να επαναφέρετε αρχεία σε περίπτωση απώλειας δεδομένων.

Υπάρχουν πολλά αξιόπιστα εργαλεία που σας βοηθούν να δημιουργείτε και να επαναφέρετε αντίγραφα ασφαλείας. Μια δωρεάν επιλογή είναι το εργαλείο συγχρονισμού ανοιχτού κώδικα rsync, το οποίο είναι συμβατό με τις περισσότερες μεγάλες πλατφόρμες (macOS, Windows, Linux). Αυτό το εργαλείο διατηρεί το αντίγραφο ασφαλείας σας ενημερωμένο σε πραγματικό χρόνο, αντιγράφοντας όλες τις αλλαγές που γίνονται στα αρχικά δεδομένα.

Εκτός από τη δημιουργία γενικού αντιγράφου ασφαλείας του διακομιστή, φροντίστε να δημιουργήσετε αντίγραφα ασφαλείας και για τις βάσεις δεδομένων σας.

Note

Για μέγιστη ασφάλεια των αντιγράφων ασφαλείας, αποθηκεύστε τα σε εξωτερικές συσκευές αποθήκευσης (π.χ. φορητούς σκληρούς δίσκους, επιπλέον διακομιστές) και όχι στον ίδιο τον διακομιστή που προστατεύεται.