Conheça dicas e ferramentas para ajudar a manter seu VPS seguro evitando problemas e perda de dados importantes dos seus projetos.
Gerenciar a segurança de um VPS pode parecer uma tarefa difícil. No entanto, proteger seu servidor não precisa ser complicado. Com algumas ações estratégicas e as dicas certas, você pode fortalecer significativamente a segurança do seu VPS.
Este artigo foi elaborado para te guiar através de passos práticos e eficazes para manter seu VPS seguro. Vamos discutir as melhores práticas para proteger seu VPS e evitar que você se torne mais uma vítima das crescentes ameaças digitais.
Leia também: Como montar servidor VPS? Entenda agora o que é necessário
Segurança VPS: como manter seu servidor VPS seguro
“Com grandes poderes vêm grandes responsabilidades”
Quando falamos de VPS, imediatamente temos a sensação de acesso total (sudo). Contudo, é importante lembrar que parte da segurança/mitigação de ataques automaticamente viram também sua responsabilidade.
Proteger um VPS contra ameaças cibernéticas é essencial para evitar interrupções e proteger dados sensíveis. Por isso, seguem alguns tópicos muito importantes e recorrentes para manter seu VPS seguro.
Utilize Firewalls
Firewalls são geralmente usados para controlar o tráfego que entram no servidor, podem ser usados também para controle do tráfego que sai do servidor.
Um firewall bastante popular e com uma interface simples e intuitiva é o UFW. O UFW já vem instalado por padrão no Ubuntu.
Para utilizá-lo, basta digitar UFW e apertar “enter” no terminal. Caso você receba o erro de “comando não encontrado”, instale o UFW executando:
sudo apt install ufw
Logo após podemos checar a instalação com o comando:
sudo ufw status
Leia também: Script para servidor VPS: entenda agora como executar
Exponha somente portas que você realmente utiliza
Usando algumas regras de iptables, podemos somente permitir tráfego de IPs que confiamos a conexão. Essa é uma boa prática para manter seu VPS seguro, por exemplo, na porta 22 do SSH, muito visada para ataques de força bruta, através da utilização do usuário padrão root.
Desabilite o login de root
Você deverá editar o arquivo: nano -w /etc/ssh/sshd_config
Procure pelo termo: PermitRootLogin e defina o valor para: no.
Ficando: PermitRootLogin no
Caso não tiver presente, adicione a linha em que você permitirá a conexão de usuários confiáveis à esse serviço:
AllowUsers kinghost7
Autenticação através de chave privada
Além de manter seu VPS seguro, a utilização de chaves de SSH facilita a automação de tarefas que exigem comunicação com esse serviço. Isso aumenta a dificuldade do atacante para conseguir descobrir sua senha através de ataque de força bruta.
Altere a porta default
Alterar a porta default do SSH já elimina muitos dos responsáveis por invasões: botnets. Isso porque, elas escaneiam recorrentemente a internet inteira buscando por portas padrões, como no nosso nesse caso em que seu SSH está rodando na porta padrão 22.
Por isso, recomendamos que você altere a execução desse serviço para outra porta, através da edição do arquivo:
/etc/ssh/sshd_config
Você encontrará uma linha “Port”. Altere-a para a porta que deseja que o serviço execute.
Reinicie o serviço com: /etc/init.d/ssh restart
Leia também: Aprenda como instalar NGINX em uma VPS KingHost em poucos passos!
Monitoramento de detecção de atividades suspeitas
IDS é um acrônimo para Intrusion Detection System (Sistema de Detecção de Intrusão).
É muito importante adotar práticas de segurança para prevenir ataques, apesar de na KingHost possuirmos um filtro de proteção na borda de nossa rede.
Apesar de todo cuidado, isso não garante que o seu servidor não será invadido. Um IDS será encarregado de alertar o administrador e, em alguns casos quando configurado, bloquear o IP que realizou a atividade suspeita.
Alguns entre os mais bem votados e utilizados estão: Snort e Suricata.
Previna ataques de força bruta
O Fail2ban é um software que, utilizando um arquivo de logs para ter essa metrificação como base, trabalha bloqueando IPs de acordo com o número de tentativas erradas de autenticação em um determinado período de tempo, sendo essas duas variáveis podendo ser facilmente configuradas. É utilizado em diversos serviços como SSH, FTP, entre outros.
Seu arquivo default que contém as regras de como ele irá executar, fica presente em:
/etc/fail2ban/jail.conf
Mas nunca deve ser editado. Deve ser feita uma cópia dele caso queria fazer uma customização própria, pois um upgrade no sistema pode sobrescrever esse arquivo:
sudo cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local
Conterá variáveis como “tempo de banimento”, “máximo de tentativas incorretas”, e “tempo para novas checagens”.
Gostou dessas dicas? Então, aproveite a segurança e qualidade dos servidores VPS da KingHost. Para conferir nossos planos, é só clicar no banner abaixo!
