Používáním tohoto webu souhlasíte s ukládáním cookies (více informací). Rozumím

← Zpět na všechny články blogu

Seriál: VPS Centrum 2. díl - Bezpečnost

  • David Janík
  • 10. 5. 2018
Seriál: VPS Centrum 2. díl - Bezpečnost

V 2. díle seriálu o našem VPS Centru rozebereme bezpečnost serverů a základní bezpečnostní techniky. V 1.díle jsme řešili jednoduchou správu serveru a domén.

Článek rozdělíme na 3 části:

  • Bezpečnost na úrovni aplikace
  • Bezpečnost na úrovni serveru
  • Zálohy a monitoring služeb

Bezpečnost na úrovni VPS Centra

Automatické aktualizace

Důležitou součástí ve světě IT jsou aktualizace. Žádný software není bez chyb a proto je důležité mít nastavené aktualizace, které chyby rychle opraví a to dříve, než se začnou zneužívat.

Pokud u nás budete mít server, tak se o aktualizace nemusíte starat.

Image

VPS Centrum

Vyzkoušejte zdarma naši aplikaci pro správu serveru a domén. Budete si připadat jako zkušený administrátor.

Fail2Ban

Pro naše služby využíváme open source řešení Fail2ban, které skenuje logy (např. /var/log/apache/error_log) a pokud zachytí podezřelou aktivitu z jedné IP adresy, tak ji zabanuje na úrovni firewallu. Ban se automaticky odblokuje po 10 minutách.

Čtyři chybné pokusy k přihlášení do VPS Centra znamenají BAN IP adresy na 24 hodin. Ten odstraníte po přihlášení do hlavní MySQL databáze a smazáním záznamu admin.ban.

Přihlášení do VPS Centra

Pro ostatní služby platí = 4 chybné pokusy např. k webmailu a  IP adresa se na 10 minut zablokuje a musíte chvíli počkat než se budete moct přihlásit znova.

Odkaz na Fail2ban a projekt na GitHubu

Navýšení bezpečnosti přímo v aplikaci

V administraci můžete navíc nastavit tyto vychytávky:

  • Přístup do VPS Centra pouze pro určité IP adresy
  • Zakázat vzdálené přihlášení k MySQL
  • Klientům/Zaměstnancům vytvořit přístup jenom k určité službě nebo doméně

Povolení IP adresy

Povolení IP adresy

E-mailové služby

Každá doména, která u nás využívá e-mailové služby využívá pro posílání a přijímání zpráv open source řešení Postfix a Dovecot, které jsou vyvíjené s vysokým důrazem na bezpečnost.

Všechny nálety spamu chrání SpamAssasin, který v minulosti vyhrál cenu za “Nejlepší antispamové řešení založené na Linuxu”. Hlavní výhoda je vysoká míra konfigurovatelnosti. Může být nakonfigurován na použití globalních pravidel a uživatelských preferencí zároveň.

Viry v e-mailech pomáhá odhalovat Amavis, který navíc skvěle spolupracuje s postfixem a SpamAssasinem a i díky tomu dokáže snižovat spam skóre na základě předchozí komunikace s daným odesílatelem.

V nedávném updatu VPS Centra, jsme informovali o nové možnosti vygenerování DKIM klíče pro doménu pouze na jeden klik. DKIM pomůže vašim e-mailům projít přes spamové filtry.

Aktivace DKIM záznamu

Bezpečnost na úrovni serveru

Nastavení serveru je jenom část úspěchu stačí chyba v aplikaci a ani zabezpečený a aktualizovaný server problémů nezabrání.

Nejčastější chyby jsou:

  • Lidská chyba - Občas jsme moc důvěřivý a nevědomě poskytneme údaje útočníkovi
  • Server bez aktualizací nebo nastaven amatérem
  • Aplikace na serveru nejsou aktualizované
  • Bezpečnostní chyba přímo v aplikaci

Pro zaručení bezpečnosti u svých služeb, potřebujete zmíněné věci ošetřit.

Firewall

server má defaultně zapnutý Firewall a má povolené porty pouze na služby, které na něm běží. Firewall můžete v administraci samozřejmě vypnout, ale nedoporučujeme to.

Defaultně jsou otevřené tyto porty:

  1. 21 pro FTP
  2. 22 pro SSH
  3. 80 pro HTTP
  4. 443 pro HTTPS
  5. Pro e-maily 25,465,587 SMTP
  6. Pro IMAP 143, 993 a pro POP3 110, 995

Webserver

U webserveru Apache i Nginx jsme se snažili vychytat naše konfigurace. Nastavujeme řádně limity na všech možných úrovních. Izolujeme jednotlivé domény a v neposlední řadě zakazujeme spouštět třeba PHP funkce, které nejsou potřeba a mohou znamenat ohrožení pro běh domény nebo serveru.

Root nebo-li Super-Uživatel

Kromě vlastní administrace a “pomocné ruky” administrátora, dostanete k serveru i root přístup. To v praxi znamená, že si můžete aplikace a limity na serveru nastavit podle svých zkušeností nebo potřeb. Bez problému si na server nainstalujete libovolný software. Často si naši zákazníci instalují např. privatní cloud Nextcloud.

Pokud ovšem se správou serveru nemáte zkušenosti a potřebujete změnit něco ohledně bezpečnosti, tak nám raději napište a nejdříve to probereme.

Všechny servery máme uložené v datacentru, které splňuje požadavky kategorie TIER III.

Zálohy

Pokud se s námi nedomluvíte jinak, tak se o zálohy zákazník stará sám. V administraci najdete jednoduchou tabulku, kde vyplníte FTP údaje a zaškrtnete kdy se mají zálohy provádět. Doporučujeme zálohy ukládat na jiný server než na kterém zálohy vytváříte. Můžete zálohovat i e-maily.

Formulář pro zálohy na FTP server

U domén naleznete i tlačítko “Zálohovat”, které vytvoří okamžitou zálohu FTP + DB a pošle celou zálohu v .ZIP na e-mail.

Vytvoření okamžité zálohy celé domény

Pokud se nechcete o zálohy starat vůbec, můžete nám napsat - co a jak si přejete zálohovat a my zálohy budeme ukládat do jiné serverovny za pár korun měsíčně.

Monitoring serverů

Bez monitoringu to nejde, a kdo tvrdí opak, nemá zodpovědnost za větší nebo kriticky důležitý projekt. Určitě nechcete, aby vás na problém upozornil zákazník.

Na serveru máte předinstalovaný nástroj jménem Munin, který dokáže monitorovat real-time zátěž serveru nebo i rychlost zapisování dat a dokonce i síťové prvky. V budoucnu si tento nástroj rozebereme detailněji.

Co je Hlídam.to?

Jedná se o webovou aplikaci, kde nastavíte URL adresu webové stránky/aplikace nebo IP adresu serveru a naše služba se bude v nastavený interval dotazovat, jestli je služba dostupná.

Dokáže hlídat webové stránky, celé servery vč. e-mailů a v případě výpadku pošle e-mail, SMS nebo skrze API. Dokáže výpadek i analyzovat.

Co u serverů hlídáme?

Pro všechny

Jakmile u nás budete mít zřízený server, tak automaticky monitorujeme jeho dostupnost. Monitorujeme dostupnost serveru přes SSH a nikoliv aplikace nebo webové stránky běžící na serveru. Pro hlídání webových stránek doporučujeme právě službu Hlidam.to.

Po domluvě

Není problém se s námi domluvit na kompletním monitoringu služeb.

Hlídáme různé webové aplikace, e-shopy a taky např. využití CPU a RAM, abychom server nepřehřály a s předstihem mohly parametry navýšit. Hlídáme i obsazení disku.

Hledáte něco?

Volejte +420 776 133 789 nebo pište

© 2018 Váš Hosting s.r.o.