Усиление защиты сервера: защита от атак с помощью Fail2Ban, UFW и Pentest

VPS, который вы открываете для доступа в Интернет, начинает сканироваться в течение первого часа после его создания. Боты автоматически сканируют такие порты, как 22 (SSH), 80 (HTTP), 443 (HTTPS), 3306 (MySQL) и пытаются подключиться с паролями по умолчанию. Если вы посмотрите свой журнал, вы увидите тысячи неудачных попыток входа в систему в первый день.

В этом руководстве мы объясним методы усиления защиты вашего VPS на уровне производственного уровня, какие меры являются критически важными и почему, а также как VDS Panel автоматически устанавливает эти уровни.

Слои защиты

Безопасность — это не отдельный инструмент, а комбинация нескольких уровней:

1. Сетевой уровень, закройте ненужные порты с помощью брандмауэра (UFW).
2. Уровень доступа, только ключ SSH, предотвращение перебора с помощью Fail2Ban
3. Уровень приложения, ограничение скорости, CSP, HSTS, усиление CORS.
4. Уровень аудита, журнал, журнал аудита безопасности, обнаружение аномалий.
5. Уровень пентеста, сканирование уязвимостей, симуляция реальной атаки.

Обход одного уровня не означает полного захвата вашего сервера.

Уровень 1: межсетевой экран UFW

UFW (Несложный межсетевой экран) — это удобная версия iptables. По умолчанию он отклоняет все входящие соединения, открываются только разрешенные вами порты.

Р0

Доступ ко всем остальным портам (MySQL, PostgreSQL, Redis, внутренним службам панели) возможен только с локального хоста. Панель VDS устанавливает эту конфигурацию автоматически.

Уровень 2: усиление безопасности SSH

Настройки SSH по умолчанию слабые. Основные меры предосторожности:

1. 01
   Отключить вход по паролю

   ПарольАутентификация нет. в /etc/ssh/sshd_config. Вход только с ключом SSH. Грубая сила становится невозможной.
2. 02
   Отключить root-вход

   PermitRootЛогин №. Злоумышленнику приходится угадывать имя учетной записи, но у него заканчиваются шансы попробовать «root».
3. 03
   Изменить порт

   Типа 2222 вместо 22. Автоматические боты сканируют 22, пропускают альтернативный порт. Безопасность через неизвестность — слабое, но эффективное средство снижения шума.
4. 04
   Используйте ключ Ed25519.

   Ed25519 вместо RSA 2048. Короче, безопаснее, быстрее. Он генерируется с помощью команды ssh-keygen -t ed25519.
5. 05
   Активировать Fail2Ban

   В случае неудачных попыток входа в систему IP автоматически блокируется. Перейдем к слою 3.

Уровень 3: Fail2Ban

Fail2Ban отслеживает файлы журналов и временно блокирует IP-адрес при обнаружении подозрительных шаблонов:

• P0 → SSH не удалось войти в систему
• P1 → HTTP 401/403/429 повторяется
• Журнал вашего пользовательского приложения → пользовательские определения тюрьмы

Поведение по умолчанию: бан на 10 минут за 3 неудачные попытки входа. Если он будет пытаться чаще, срок бана будет продлен.

П1

Панель VDS автоматически настраивает Fail2Ban с настраиваемыми джейлами: SSH, аутентификация nginx, специальные правила для конечных точек P0, P1.

Уровень 4: безопасность приложений

Защиты на уровне ОС недостаточно; В вашем приложении:

Ограничение скорости

Лимит запросов на конечную точку:

• Конечная точка входа: 10 запросов/15 минут/IP.
• Публичный API: 100 запросов в минуту/IP.
• API администратора: 500 запросов в минуту на пользователя.

В случае превышения возвращается 429 Too Many Requests. Панель применяет двухуровневые ограничения скорости на уровне nginx и серверной части.

Заголовки безопасности

П2

Они отключают распространенные векторы атак, такие как XSS, кликджекинг, перехват MIME. Панель VDS отправляет эти заголовки по умолчанию для каждого домена.

Безопасность JWT

• Строгая проверка подписи от атаки P0
• Срок действия токенов истекает через 24 часа.
• Токен занесен в черный список при выходе из системы
• Принудительный выход с P1

Уровень 5: сканер пентестов

Помимо статического сканирования конфигурации, VDS Panel включает в себя сканер на пентесты с более чем 140 тестами:

Сканер запускается автоматически еженедельно для каждой найденной уязвимости:

• Сбрасывается в журнал событий панели
• генерируется HTML-отчет
• Предупреждение администратору при наличии критической уязвимости.

Журнал аудита безопасности

Панель постоянно протоколирует все важные операции:

• Вход, выход из системы, неудачный вход в систему
• Добавление/удаление администраторов.
• Создание нового проекта
• Обновление SSL-сертификата
• Изменение настроек панели

Каждая запись содержит IP, пользовательский агент, метку времени. Полная цепочка доступна, когда требуется судебно-медицинская экспертиза.

Автоматическое обновление

С пакетом Ubuntu P0 обновления безопасности устанавливаются автоматически:

П3

VDS Panel автоматически активирует это во время установки. Ядро и критические исправления безопасности устанавливаются во время работы панели, при необходимости планируется автоматическая перезагрузка.

Заключение

Безопасность сервера не обеспечивается единой «серебряной пулей». Послойная защита, брандмауэр, усиление защиты SSH, Fail2Ban, ограничение скорости, заголовки безопасности, журнал аудита и периодическое тестирование на проникновение — все работает вместе.

Панель VDS сокращает время, необходимое для ручной установки этих слоев, до минут. Джейлы Fail2Ban, правила UFW, заголовки безопасности nginx, более 140 пентестов; все установлено по умолчанию и постоянно контролируется.

Для получения подробной информации о функциях безопасности вы можете посетить домашнюю страницу или получить консультацию по вашему конкретному сценарию из контактной формы.