← Zpět na všechny články blogu

VPS Centrum 2. díl –⁠ Vše o bezpečnosti

Karel Dytrych
David Janík 7. 5. 2018 - 9 min. čtení
Blog

Vítejte v 2. dílu seriálu o našem VPS Centru.

1.díl jsme zasvětili jednoduché správě serveru a domén. A dnes se podíváme a podrobně rozebereme bezpečnost serverů a základní bezpečnostní techniky.

Článek si rozdělíme na 3 části:

  • Bezpečnost na úrovni VPS Centra.
  • Bezpečnost na úrovni samotného serveru.
  • Zálohování a monitoring služeb.

Bezpečnost na úrovni VPS Centra

Automatické aktualizace

Aktualizace jsou v IT důležitou a často opomíjenou součástí. Žádný software není bezchybný, a proto je důležité mít bezpečnostní aktualizace nastavené. Ty bezpečnostní díry rychle opraví, a to dříve, než se začnou jakkoliv zneužívat.

VPS Centrum

Vyzkoušejte zdarma naši aplikaci pro správu serveru a domén. Budete si připadat jako zkušený administrátor.

U serverů se o aktualizace nemusíte starat. Bezpečnostní aktualizace se instalují okamžitě.

Fail2Ban

Ať už jde o vaše opakovaně marné pokusy se přihlásit, anebo to zkouší někdo jiný, Fail2ban je nezbytný bezpečnostní prvek, kterým chráníme váš server, aby ho nikdo cizí nenapadl. Ten skenuje logy (např. /var/log/apache/error_log) a pokud zachytí podezřelou aktivitu z jedné IP adresy, tak ji okamžitě zabanuje. Server zkrátka odmítne komunikaci z podezřelé IP adresy. Ban se automaticky odblokuje po 10 minutách.

Dostal váš server ban? Mrkněte na náš návod, jak postupovat dál.

  • K banu dochází, pokud zadáte třikrát špatné heslo, a to v případě přihlašování:
    • Do VPS Centra.
    • Do e-mailů ➝ u e-mailů nedochází k banování jen pokud zadáváte heslo ručně. Většina e-mailových klientů (těch, které jsou instalované na počítačích, telefonech a dalších zařízeních) se na server snaží připojit automaticky. Pokud jim to nevyjde, zkouší to znovu, dokud nedostanou ban (to je také jedna z nejčastějších příčin jejich nefunkčnosti).
    • Na FTP.
    • Na SSH.

Jak ban odstranit

Hravě.

1.) Bany můžete zrušit a IP adresy odblokovat přímo ze Zákaznického Centra:

Jděte na Seznam serverů>Detail blokovaného serveru>VPS Centrum>Zrušit Bany a blokované IP adresy.

2) Z VPS Centra: Správa serveru>Bezpečnost

2) Nastavit si konkrétní IP adresy na tzv. “Whitelist”. To znamená, nastavit si, aby si filtr vaší konkrétní IP adresy prostě nevšímal. Jak na to popisujeme v následujícím návodu.

4) Pro pokročilejší: Přihlaste se do hlavní MySQL databáze a smažte záznam admin.ban.

Freelo - Nástroj na řízení úkolů a projektů

Přidej se, pozvi svůj tým a klienty, rozděl práci a sleduj, jak se úkoly dají do pohybu.

Pro ostatní služby platí = 3 chybné pokusy např. k webmailu a IP adresa se na 10 minut zablokuje. Musíte chvíli počkat než se budete moct přihlásit znova.

Navýšení bezpečnosti přímo ve VPS Centru

V administraci můžete navíc nastavit tyto vychytávky:

  • Přístup do VPS Centra pouze pro určité IP adresy.
  • Zakázat vzdálené přihlášení k MySQL databázi.
  • Klientům/Zaměstnancům vytvořit přístup jenom k určité službě nebo doméně.
Povolení IP adresy
Povolení IP adresy

E-mailové služby

Každá doména, která u nás využívá e-mailové služby, využívá pro posílání a přijímání zpráv open source řešení Postfix a Dovecot, které jsou vyvíjené s vysokým důrazem na bezpečnost.

Všechny nálety spamu nyní chrání SpamAssasin, který v minulosti vyhrál cenu za “Nejlepší antispamové řešení založené na Linuxu”. Hlavní výhoda je vysoká míra konfigurovatelnosti. Může být nakonfigurován na použití globalních pravidel a uživatelských preferencí zároveň.

Viry v e-mailech pomáhá odhalovat Amavis, který navíc skvěle spolupracuje s postfixem a SpamAssasinem a i díky tomu dokáže snižovat spam skóre na základě předchozí komunikace s daným odesílatelem.

U novějších serverů (Debian 12 a více) používáme jako ochranu proti spamu technologii Rspamd. Ta podporuje téměř všechny funkce implementované ve SpamAssassinu a má řadu funkcí, které jí umožňují filtrovat e-maily v průměru 10krát rychleji než SpamAssassin, a také poskytuje kvalitnější filtrování (spamové e-maily dovoluje i prohlížet a přiřazovat jim pravidla pro kategorizaci do konkrétních složek).

Zároveň sleduje, jaké e-maily si uživatel přesunul ze spamu do doručené pošty, aby stejné nebo jim podobné příště zařadila do doručené pošty automaticky. My jsme ji otestovali v RoundCube, kde funguje skvěle.

V nedávném updatu VPS Centra, jsme informovali o nové možnosti vygenerování DKIM klíče pro doménu pouze na jeden klik. DKIM pomůže vašim e-mailům projít přes spamové filtry.

Aktivace DKIM záznamu

Bezpečnost na úrovni serveru

Nastavení serveru je jenom část úspěchu, stačí chyba v aplikaci a ani zabezpečený a aktualizovaný server problémů nezabrání.

Co může být nejčastější chybou:

  • Lidský faktor – Občas jsme moc důvěřivý a může se stát, že nevědomě poskytneme údaje útočníkovi.
  • Server je neaktualizovaný nebo je nastavený amatérem.
  • Aplikace (samotné VPS Centrum nebo jiná) je na serveru neaktualizovaná.
  • Bezpečnostní chyba přímo v aplikaci.

Pro zaručení bezpečnosti u svých služeb, potřebujete zmíněné věci ošetřit.

Jak pečujeme o servery

  • Používáme pouze kvalitní a ověřený hardware.
  • Disková pole jsou zrcadlena v RAID poli, takže případná havárie disku nenaruší provoz a neznamená ztrátu dat.
  • Zálohy provádíme každou noc do geograficky odděleného datacentra.
  • Anti DDoS ochrana od Cisco blokuje velké útoky na L3/L4.
  • Náhradní díly máme vždy ve skladu, připravené v případě potřeby k rychlé výměně.
  • Zaručujeme, že se k serverům dostanou jen povolaní administrátoři.
  • V serverovně máme volné servery neustále zapojené, skladem a připravené k okamžitému provozu.

Každé naše VPS nebo dedikovaný server s VPS Centrem navíc chrání

  • Striktní firewall – Povolené jsou jen nejnutnější porty, které server opravdu potřebuje k provozu.
  • Geolokační ochrana – Některé služby, jako databáze a SSH jsou defaultně povolené jen z CZ/SK IP adres.
  • Bezpečná hesla – Generujeme a vynucujeme pouze složitá hesla. Následně je šifrujeme pomocí funkce Bcrypt.

Pokud chcete vědět víc, mrkněte na naše video:

Firewall

server má defaultně zapnutý Firewall a má povolené porty pouze na služby, které na něm běží. Firewall můžete v administraci samozřejmě vypnout, ale nedoporučujeme to.

Defaultně jsou otevřené tyto porty:

  1. 21 pro FTP
  2. 22 pro SSH
  3. 80 pro HTTP
  4. 443 pro HTTPS
  5. Pro e-maily 25,465,587 SMTP
  6. Pro IMAP 143, 993 a pro POP3 110, 995

Webserver

U webserveru Apache i Nginx jsme se snažili vychytat naše konfigurace. Nastavujeme řádně limity na všech možných úrovních. Izolujeme jednotlivé domény a v neposlední řadě zakazujeme spouštět třeba PHP funkce, které nejsou potřeba a mohou znamenat ohrožení pro běh domény nebo serveru.

Root nebo-li Super-Uživatel

Kromě vlastní administrace a “pomocné ruky” administrátora, dostanete k serveru i root přístup. To v praxi znamená, že si můžete aplikace a limity na serveru nastavit podle svých zkušeností nebo potřeb. Bez problému si na server nainstalujete libovolný software. Často si naši zákazníci instalují např. privátní cloud Nextcloud.

Pokud ovšem se správou serveru nemáte zkušenosti a potřebujete změnit něco ohledně bezpečnosti, tak nám raději napište a nejdříve to probereme.

Všechny servery máme uložené v datacentru, které splňuje požadavky kategorie TIER III.

Zálohy

Zálohování na VPS a dedikovaných serverech je v rukou každého zákazníka. V administraci najdete jednoduchou tabulku, kde vyplníte FTP údaje a zaškrtnete, kdy se mají zálohy provádět. Doporučujeme zálohy ukládat na jiný server, než na kterém zálohy vytváříte. Můžete zálohovat i e-maily.

Naše servery automaticky vytváří zálohy databází se 7denní historií. Administrace VPS Centrum také umožňuje zálohovat na FTP a Dropbox.

Případně mrkněte na celý článek, jak přistupujeme k zálohování u nás.

O zálohy se můžeme také kompletně postarat.

Zálohování serveru od nás

Zálohy provádíme v nočních hodinách do geograficky odděleného datacentra. Stačí si je objednat přímo ze Zákaznického Centra.

Detaily serveru>Zálohy

1x denně – 14 záloh až 14 dní zpětně: 10 Kč/GB/měsíc/bez DPH.

1x týdně – 5 záloh až měsíc zpětně: 6 Kč/GB/měsíc/bez DPH.

Zálohy pro webhosting a e-mail hosting

V ceně klasického webhostingu zálohujeme na denní bázi. Zálohy jsou dostupné až 14 dní nazpět. Zajímá vás více informací?

Formulář pro zálohy na FTP server

U domén naleznete i tlačítko “Zálohovat”, které vytvoří okamžitou zálohu FTP + DB a pošle celou zálohu v .ZIP na e-mail.

Vytvoření okamžité zálohy celé domény

Pokud se nechcete o zálohy starat vůbec, můžete nám napsat – co a jak si přejete zálohovat a my zálohy budeme ukládat do jiné serverovny za pár korun měsíčně.

Monitoring serverů

Bez monitoringu to nejde, a kdo tvrdí opak, nemá zodpovědnost za větší nebo kriticky důležitý projekt. Určitě nechcete, aby vás na problém upozornil zákazník.

Na serveru máte předinstalovaný nástroj jménem Munin, který dokáže monitorovat real-time zátěž serveru nebo i rychlost zapisování dat a dokonce i síťové prvky. V budoucnu si tento nástroj rozebereme detailněji.

Co je Hlídam.to?

Jedná se o webovou aplikaci, kde nastavíte URL adresu webové stránky/aplikace nebo IP adresu serveru a naše služba se bude v nastavený interval dotazovat, jestli je služba dostupná.

Dokáže hlídat webové stránky, celé servery vč. e-mailů a v případě výpadku pošle e-mail, SMS nebo skrze API. Dokáže výpadek i analyzovat.

Vyzkoušejte hlídám.to zdarma

Co u serverů hlídáme?

Pro všechny

Dostupnost hlídáme u serverů klientům automaticky. Monitorujeme dostupnost samotného serveru přes SSH. Aplikace nebo webové stránky běžící na serveru bohužel nemonitorujeme. Pro hlídání webových stránek doporučujeme právě službu Hlidam.to.

Po domluvě

Není problém se s námi domluvit na kompletním monitoringu služeb.

Hlídáme různé webové aplikace, e-shopy a taky např. využití CPU a RAM, abychom server nepřehřály a s předstihem mohli parametry navýšit. Hlídáme i obsazenost disku.

Zůstaňte s námi v kontaktu

Jednou za měsíc posíláme souhrn novinek. Nemusíte se bát, spam neposíláme a odhlásit se můžete kdykoliv...

Karel Dytrych
Tým Váš Hosting
Vyzkoušejte náš trial na týden zdarma

Garance 14denní záruky vrácení peněz

Vyzkoušejte server na týden zdarma

Vyzkoušet server