Securitatea serverelor reprezintă unul dintre aspectele cheie ale managementului serverelor atât pentru furnizorii de servicii de găzduire web cât și pentru administratorii serverului.
În acest articol vă vom prezenta 10 tehnici cu ajutorul cărora vă puteți îmbunătăți securitatea serverelor, dar vă vor ajuta și să vă monitorizați serverul pentru vulnerabilitățile de securitate.
1. Folosește autentificarea cu cheie publică pentru SSL – Certificare SSL
Revocă accesul necriptat. Nimeni nu ar trebui să mai folosească protocoalele telnet, ftp sau http pentru a administra serverele web. În anul 2020 standardele acceptate sunt SSH, SFTP si https. Pentru o securitate și mai bună scapă de autentificarea cu parolă pe SSH. Folosește în schimb cheile de acces SSH. Fiecare utilizator are o cheie publică și o cheie de acces privată. Cheia de acces privată este păstrată de către utilizator. Cheia publică este păstrată pe server. Atunci când utilizatorul încearcă să se logheze, SSH se asigură de faptul că cheia publică și cheia privată se potrivesc. Din momentul în care logarea cu parole este dezactivată, nu mai există niciun risc de succes al unui atac cu forță brută împotriva unei parole care are o siguranță slabă.
2. Parole puternice
Un server cu o securitate sporită este o provocare pentru infractori, dar veți fi surprinși de numărul mare de administratori de servere care lasă ușa larg deschisă. Oamenii – aici îi includem și pe cei de meserie sau cu cunoștințe în domeniu, care ar trebui să știe mai bine – tind să aleagă parole ușor de ghicit. Anul trecut atacurile de forma forță brută împotriva serverelor cu parole SSH slabe au dus la o atenuare a atacurilor de tip ransomware. Folosiți parole lungi cu caractere random – parolele lungi de tip passphrases sunt mai bune și în cele din urmă restricționează utilizatorii cu acces de tip autentificare.
Cum să-ți securizezi gratuit site-ul web în 2020. 10 metode de prevenire a atacurilor cibernetice
3. Instalează și configurează un firewall de tip CSF – Config Server Firewall
CSF – Config Server Firewall este o facilitate de tip rich, un firewall gratuit care poate proteja un server împotriva unei largi game de atacuri variate. Caracteristicile sale includ inspecția statistică a pachetelor, limitarea ratei de eșec a autentificării, protecția împotriva inundațiilor – flood –, vizionarea directoarelor și utilizarea listelor de blocuri externe. CSF este un instrument fantastic, este mult mai ușor de folosit decât iptables.
4. Instalează și configurează Fail2Ban
Fiecare server de pe web este afectat de boți (bots) aflați în căutarea slăbiciunilor. Fail2Ban aruncă o plasă în logările de pe server pentru a căuta tipare care să indice conexiuni rău intenționate, cum ar fi: prea multe încercări de autentificare eșuate sau prea multe conexiuni de la același IP. Apoi poate bloca conexiunile de la IP-uri suspecte, ulterior notificând un cont de administrator.
5. Instalează software-uri de scanare Malware
În mod ideal se dorește păstrarea persoanelor rău intenționate în afara serverului dumneavoastră, dar dacă acestea reușesc să penetreze securitatea serverului, atunci veți dori să fiți înștiințați despre asta cât mai repede cu putință. ClamAV este o unealtă pentru Linux, folosită în scanarea împotriva softurilor rău intenționate și rkhunter este folositor în depistarea de rootkits. Folosite împreună cele două softuri oferă șanse destul de mari pentru depistarea oricărui malware pe care un haker ar fi putut să-l instaleze pe serverele dumneavoastră.
6. Păstrează software-ul up-to-date
În cazul software-urilor out-of-date, este foarte probabil ca acestea să conțină vulnerabilități de securitate care le sunt cunoscute hackerilor. Dacă te decizi să ignori toate celelalte sfaturi primite în acest articol, lucru pe care nu ar fi înțelept să îl faci, cel puțin verifică dacă ai toate update-urile la zi.
7. Efectuarea backup-urilor cu regularitate
S-ar putea să nu considerați efectuarea back-up-urilor ca fiind o măsură de securitate, însă, până la urmă motivul pentru care efectuăm acțiuni menite să ne păstreze serverele în siguranță este acela de a securiza datele care sunt păstrate pe acel server. Este imposibil de garantat faptul că un server nu va fi compromis niciodată, de aceea ar fi indicată efectuarea acțiunilor de criptare si back-up către o locație offsite. Testarea cu regularitate a recuperării informațiilor stocate pe copiile de rezervă va neutraliza atacurile de tip ransomware.
8. Monitorizarea jurnalelor de activități.
Jurnalele de activități (Logs) sunt o unealtă de securitate foarte importantă. Un server colectează un volum enorm de date despre ceea ce face și despre cine se conectează pe el. Tiparele rezultate din acele date arată de cele mai multe ori comportamentele malițioase sau vulnerabilitățile de securitate. Logwatch este un excelent exemplu de jurnal zilnic care analizează, prezintă sumar și generează rapoarte despre ceea ce se întâmplă pe serverele tale. Logsentry poate fi folosit pentru rapoarte de tip din oră în oră pentru o monitorizare mai activă a intrărilor.
9. Dezactivează serviciile care nu sunt necesare
Orice software care are acces la internet (internet-facing software) care nu este esențial pentru server ar trebui să fie dezactivat. Cu cât sunt mai puține puncte de contact între serverul intern și lumea exterioară, cu atât mai bine. Cele mai multe distribuții Linux – inclusiv CentOS și Ubuntu – includ un tool pentru gestionarea servicilor.
Acest principiu se aplică de asemenea și motorului serverului web în sine, oprește modulele de care nu ai nevoie, șterge modulele de limbi pe care nu le folosești, dezactivează statusul serverului web și depanează (debugging) paginile.
10. Instalează ModSecurity
ModSecurity este o aplicație web firewall – funcționează la un nivel mai ridicat decât firewall-ul CSF și este proiectat pentru a face față amenințărilor împotriva stratului de aplicație. Pe scurt, poate opri multe tipuri de atacuri împotriva aplicațiilor web, inclusiv a sistemelor de gestionare a conținutului (CMS – Content Management systems) precum WordPress și magazine de comerț electronic (eCommerce) precum Magento.
