← Tilbake til dokumentasjon

Sikre din VPS

Essensielle sikkerhetskonfigurasjoner og beste praksis for å beskytte din VPS-server

sikkerhetvpssshbrannmurhardening

Introduksjon

Å sikre din VPS er avgjørende for å beskytte dataene dine og tjenester mot uautorisert tilgang og angrep. Denne guiden dekker essensielle sikkerhetstiltak du bør implementere på serveren din.

Forutsetninger

Steg 1: Deaktiver root-pålogging

Å kjøre tjenester som root er en sikkerhetsrisiko. La oss deaktivere direkte root-pålogging via SSH.

Rediger SSH-konfigurasjon

sudo nano /etc/ssh/sshd_config

Finn og modifiser disse linjene:

PermitRootLogin no
PasswordAuthentication no
PubkeyAuthentication yes

Start SSH-tjenesten på nytt

sudo systemctl restart sshd

Advarsel: Sørg for at du har SSH-nøkkelautentisering satt opp for din vanlige bruker før du deaktiverer root-pålogging. Ellers kan du låse deg ute!

Steg 2: Konfigurer avanserte brannmurregler

Utover grunnleggende UFW-oppsett, la oss legge til hastighetsbegrensning for å forhindre brute-force-angrep.

Aktiver hastighetsbegrensning for SSH

sudo ufw limit ssh

Dette begrenser tilkoblingsforsøk til 6 per 30 sekunder fra en enkelt IP.

Konfigurer applikasjonsspesifikke regler

For en webserver:

sudo ufw allow 80/tcp
sudo ufw allow 443/tcp

Vis alle regler

sudo ufw status numbered

Slett en regel

sudo ufw delete [nummer]

Steg 3: Installer og konfigurer Fail2Ban

Fail2Ban overvåker loggfiler og banner IPer som viser ondsinnede atferd.

Installer Fail2Ban

sudo apt install fail2ban -y

Opprett lokal konfigurasjon

sudo cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local
sudo nano /etc/fail2ban/jail.local

Konfigurer SSH-beskyttelse

Finn [sshd]-seksjonen og modifiser:

[sshd]
enabled = true
port = ssh
filter = sshd
logpath = /var/log/auth.log
maxretry = 3
bantime = 3600
findtime = 600

Denne konfigurasjonen:

  • Banner IPer etter 3 mislykkede påloggingsforsøk
  • Ban varer i 1 time (3600 sekunder)
  • Overvåker forsøk innen 10 minutter (600 sekunder)

Start Fail2Ban

sudo systemctl enable fail2ban
sudo systemctl start fail2ban

Sjekk Fail2Ban-status

sudo fail2ban-client status
sudo fail2ban-client status sshd

Fjern ban på en IP

Hvis du ved et uhell banner deg selv:

sudo fail2ban-client set sshd unbanip DIN_IP_ADRESSE

Steg 4: Aktiver automatiske sikkerhetsoppdateringer

Hold systemet ditt oppdatert automatisk for sikkerhetsoppdateringer.

Installer Unattended Upgrades

sudo apt install unattended-upgrades -y

Konfigurer automatiske oppdateringer

sudo dpkg-reconfigure -plow unattended-upgrades

Velg “Ja” når du blir spurt.

Tilpass oppdateringsinnstillinger

Rediger konfigurasjonen:

sudo nano /etc/apt/apt.conf.d/50unattended-upgrades

Sørg for at disse linjene ikke er kommentert ut:

Unattended-Upgrade::Allowed-Origins {
    "${distro_id}:${distro_codename}-security";
};

Unattended-Upgrade::Automatic-Reboot "false";
Unattended-Upgrade::AutoFixInterruptedDpkg "true";
Unattended-Upgrade::Remove-Unused-Dependencies "true";

Trenger du hjelp?

Sikkerhetsspørsmål eller bekymringer?

Husk: Sikkerhet er en kontinuerlig prosess, ikke et engangsoppsett. Hold deg årvåken og hold systemene dine oppdatert!

Relatert dokumentasjon

Komme i gang med din VPS

En omfattende guide til å sette opp og konfigurere din nye VPS-server

Installere og konfigurere NGINX

Steg-for-steg guide for å installere og konfigurere NGINX webserver på din VPS