V 2. díle seriálu o našem VPS Centru rozebereme bezpečnost serverů a základní bezpečnostní techniky. V 1.díle jsme řešili jednoduchou správu serveru a domén.
Článek rozdělíme na 3 části:
Důležitou součástí ve světě IT jsou aktualizace. Žádný software není bez chyb a proto je důležité mít nastavené aktualizace, které chyby rychle opraví a to dříve, než se začnou zneužívat.
Pokud u nás budete mít server, tak se o aktualizace nemusíte starat.
VPS Centrum
Vyzkoušejte zdarma naši aplikaci pro správu serveru a domén. Budete si připadat jako zkušený administrátor.
Pro naše služby využíváme open source řešení Fail2ban, které skenuje logy (např. /var/log/apache/error_log) a pokud zachytí podezřelou aktivitu z jedné IP adresy, tak ji zabanuje na úrovni firewallu. Ban se automaticky odblokuje po 10 minutách.
Čtyři chybné pokusy k přihlášení do VPS Centra znamenají BAN IP adresy na 24 hodin. Ten odstraníte po přihlášení do hlavní MySQL databáze a smazáním záznamu admin.ban.
Pro ostatní služby platí = 4 chybné pokusy např. k webmailu a IP adresa se na 10 minut zablokuje a musíte chvíli počkat než se budete moct přihlásit znova.
Odkaz na Fail2ban a projekt na GitHubu
V administraci můžete navíc nastavit tyto vychytávky:
Každá doména, která u nás využívá e-mailové služby využívá pro posílání a přijímání zpráv open source řešení Postfix a Dovecot, které jsou vyvíjené s vysokým důrazem na bezpečnost.
Freelo - Nástroj na řízení úkolů a projektů
Přidej se, pozvi svůj tým a klienty, rozděl práci a sleduj, jak se úkoly dají do pohybu.
Všechny nálety spamu chrání SpamAssasin, který v minulosti vyhrál cenu za “Nejlepší antispamové řešení založené na Linuxu”. Hlavní výhoda je vysoká míra konfigurovatelnosti. Může být nakonfigurován na použití globalních pravidel a uživatelských preferencí zároveň.
Viry v e-mailech pomáhá odhalovat Amavis, který navíc skvěle spolupracuje s postfixem a SpamAssasinem a i díky tomu dokáže snižovat spam skóre na základě předchozí komunikace s daným odesílatelem.
V nedávném updatu VPS Centra, jsme informovali o nové možnosti vygenerování DKIM klíče pro doménu pouze na jeden klik. DKIM pomůže vašim e-mailům projít přes spamové filtry.
Nastavení serveru je jenom část úspěchu stačí chyba v aplikaci a ani zabezpečený a aktualizovaný server problémů nezabrání.
Nejčastější chyby jsou:
Pro zaručení bezpečnosti u svých služeb, potřebujete zmíněné věci ošetřit.
server má defaultně zapnutý Firewall a má povolené porty pouze na služby, které na něm běží. Firewall můžete v administraci samozřejmě vypnout, ale nedoporučujeme to.
Defaultně jsou otevřené tyto porty:
U webserveru Apache i Nginx jsme se snažili vychytat naše konfigurace. Nastavujeme řádně limity na všech možných úrovních. Izolujeme jednotlivé domény a v neposlední řadě zakazujeme spouštět třeba PHP funkce, které nejsou potřeba a mohou znamenat ohrožení pro běh domény nebo serveru.
Kromě vlastní administrace a “pomocné ruky” administrátora, dostanete k serveru i root přístup. To v praxi znamená, že si můžete aplikace a limity na serveru nastavit podle svých zkušeností nebo potřeb. Bez problému si na server nainstalujete libovolný software. Často si naši zákazníci instalují např. privatní cloud Nextcloud.
Pokud ovšem se správou serveru nemáte zkušenosti a potřebujete změnit něco ohledně bezpečnosti, tak nám raději napište a nejdříve to probereme.
Všechny servery máme uložené v datacentru, které splňuje požadavky kategorie TIER III.
Pokud se s námi nedomluvíte jinak, tak se o zálohy zákazník stará sám. V administraci najdete jednoduchou tabulku, kde vyplníte FTP údaje a zaškrtnete kdy se mají zálohy provádět. Doporučujeme zálohy ukládat na jiný server než na kterém zálohy vytváříte. Můžete zálohovat i e-maily.
U domén naleznete i tlačítko “Zálohovat”, které vytvoří okamžitou zálohu FTP + DB a pošle celou zálohu v .ZIP na e-mail.
Pokud se nechcete o zálohy starat vůbec, můžete nám napsat - co a jak si přejete zálohovat a my zálohy budeme ukládat do jiné serverovny za pár korun měsíčně.
Bez monitoringu to nejde, a kdo tvrdí opak, nemá zodpovědnost za větší nebo kriticky důležitý projekt. Určitě nechcete, aby vás na problém upozornil zákazník.
Na serveru máte předinstalovaný nástroj jménem Munin, který dokáže monitorovat real-time zátěž serveru nebo i rychlost zapisování dat a dokonce i síťové prvky. V budoucnu si tento nástroj rozebereme detailněji.
Jedná se o webovou aplikaci, kde nastavíte URL adresu webové stránky/aplikace nebo IP adresu serveru a naše služba se bude v nastavený interval dotazovat, jestli je služba dostupná.
Dokáže hlídat webové stránky, celé servery vč. e-mailů a v případě výpadku pošle e-mail, SMS nebo skrze API. Dokáže výpadek i analyzovat.
Jakmile u nás budete mít zřízený server, tak automaticky monitorujeme jeho dostupnost. Monitorujeme dostupnost serveru přes SSH a nikoliv aplikace nebo webové stránky běžící na serveru. Pro hlídání webových stránek doporučujeme právě službu Hlidam.to.
Není problém se s námi domluvit na kompletním monitoringu služeb.
Hlídáme různé webové aplikace, e-shopy a taky např. využití CPU a RAM, abychom server nepřehřály a s předstihem mohly parametry navýšit. Hlídáme i obsazení disku.
Volejte +420 776 200 137 nebo pište info@vas-hosting.cz