Conheça dicas e ferramentas para ajudar a manter seu VPS seguro evitando problemas e perda de dados importantes dos seus projetos.
Você já sabe o que é VPS, sabe como funciona um servidor VPS e como se dá o processo de virtualização e já sabe como escolher uma hospedagem VPS para seus projetos. Agora, vamos falar sobre segurança para o seu servidor VPS.
A ideia deste conteúdo é trazer informações para simplificar como funciona um servidor VPS com um conteúdo rápido, direto e bastante didático.
Se você quiser saber o que é um VPS temos um conteúdo completo sobre o assunto. Confira aqui.
Segurança VPS: como manter seu servidor VPS seguro
“Com grandes poderes vêm grandes responsabilidades”
Quando falamos de VPS, imediatamente temos a sensação de acesso total (sudo). Contudo, é importante lembrar que parte da segurança/mitigação de ataques automaticamente viram também sua responsabilidade.
Seguem alguns dos tópicos muito importantes e recorrentes que você deve investir tempo para manter seu VPS seguro.
Firewall
Firewalls são geralmente usados para controlar o tráfego que entram no servidor, podem ser usados também para controle do tráfego que sai do servidor.
Um firewall bastante popular e com uma interface simples e intuitiva é o UFW.
O UFW já vem instalado por padrão no Ubuntu.
Se digitando UFW e apertando “enter” no terminal, você recebeu o erro de “comando não encontrado”, instale o UFW executando:
sudo apt install ufw
Logo após podemos checar a instalação com o comando:
sudo ufw status
Somente expor portas que realmente você utiliza
Usando algumas regras de iptables, podemos somente permitir tráfego de IPs que confiamos a conexão. Essa é uma boa prática para manter seu VPS seguro, principalmente, por exemplo, na porta 22 do SSH, muito utilizada para ataques de força bruta, através da utilização do usuário padrão root.
Usaremos essa porta para exemplificar melhor alguns cuidados que recomendamos quantos aos serviços que rodarão no servidor:
Desabilite o login de root
Você deverá editar o arquivo: nano -w /etc/ssh/sshd_config
Procure pelo termo: PermitRootLogin e defina o valor para: no.
Ficando: PermitRootLogin no
Caso não tiver presente, adicione a linha em que você permitirá a conexão de usuários confiáveis à esse serviço:
AllowUsers kinghost7
Autenticação através de chave privada
Além de manter seu VPS seguro, a utilização de chaves de SSH, facilita a automação de tarefas que exigem comunicação com esse serviço, bem como aumenta a dificuldade do atacante para conseguir descobrir sua senha através de ataque de força bruta.
Altere a porta default
Alterar a porta default do SSH já elimina muitos dos responsáveis por invasões: botnets. Elas escaneiam recorrentemente a internet inteira buscando por portas padrões, como no nosso nesse caso em que seu SSH está rodando na porta padrão 22.
Por isso, recomendamos que você altere a execução desse serviço para outra porta, através da edição do arquivo:
/etc/ssh/sshd_config
Você encontrará uma linha “Port”. Altere-a para a porta que deseja que o serviço execute.
Reinicie o serviço com: /etc/init.d/ssh restart
Monitoramento de detecção de atividades suspeitas
IDS é um acrônimo para Intrusion Detection System (Sistema de Detecção de Intrusão).
É muito importante adotar práticas de segurança para prevenir ataques ainda que nós já possuímos um filtro de proteção na borda de nossa rede, contudo isso não garante que o seu servidor não será invadido. Um IDS será encarregado de alertar o administrador e, em alguns casos quando configurado, bloquear o IP que realizou a atividade suspeita.
Alguns entre os mais bem votados e utilizados estão: Snort e Suricata.
Previna ataques de força bruta
O Fail2ban é um software que, utilizando um arquivo de logs para ter essa metrificação como base, trabalha bloqueando IPs de acordo com o número de tentativas erradas de autenticação em um determinado período de tempo, sendo essas duas variáveis podendo ser facilmente configuradas. É utilizado em diversos serviços como SSH, FTP, entre outros.
Seu arquivo default que contém as regras de como ele irá executar, fica presente em:
/etc/fail2ban/jail.conf
Mas nunca deve ser editado. Deve ser feita uma cópia dele caso queria fazer uma customização própria, pois um upgrade no sistema pode sobrescrever esse arquivo:
sudo cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local
Conterá variáveis como “tempo de banimento”, “máximo de tentativas incorretas”, e “tempo para novas checagens”.
Que outras práticas de segurança você utiliza para manter seu VPS seguro? Conta pra gente nos comentários.
O que você achou deste conteúdo?