Помощь: Хостинг: Безопасность хостинга

Помощь: Хостинг: Безопасность хостинга Хостинг
Содержание
  1. Что делать при взломе vps на windowslinux?
  2. ▍что предлагает хостинг-провайдер?
  3. 6 основных способов защиты сервера
  4. ▍ghost
  5. ▍базы данных
  6. ▍безопасность
  7. ▍выбор системы управления контентом
  8. ▍емкость для хранения данных и полоса пропускания сети
  9. ▍какой объем данных предполагается хранить и обслуживать?
  10. ▍какой у вас бюджет на хостинг?
  11. ▍резервное копирование
  12. ▍сайты электронной коммерции
  13. ▍управляемый хостинг
  14. ▍электронная почта
  15. Активация брандмауэра
  16. Бэкапы сайта и базы данных
  17. Восстановление работоспособности
  18. Изменение имени администратора и создание нескольких аккаунтов
  19. Как безопасно размещать сайты на хостинге
  20. Локальная и групповая политика безопасности
  21. Настройка firewall
  22. Обновляйте движок и компоненты сайта
  23. Общий доступ с паролем
  24. Ограничение прав учетной записи
  25. Ограничьте возможность входа в админку
  26. Отключение входа для суперпользователя
  27. Патчи безопасности и системы контроля доступа
  28. Перенос портов
  29. Политика безопасности пользователей и привилегии
  30. Порядок действий при взломе
  31. Признаки взлома сервера
  32. Применение fail2ban
  33. Проверенное по
  34. Проверка сервера
  35. Протокол ssh
  36. Работа с паролями
  37. Регулярное обновление по
  38. Резервное копирование
  39. Удаленные рабочие столы
  40. Уровень вашей технической подготовки
  41. Уровень-1 защита датацентра
  42. Уровень-2 защита сети
  43. Уровень-3 хост-защита
  44. Уровень-4 защита программного обеспечения
  45. Уровень-5 защита приложений
  46. Уровень-6 безопасность персонала
  47. Уровень-7 контрольные проверки

Что делать при взломе vps на windowslinux?

Если взломали сервер, это станет заметно сразу. Причиной может оказаться как банальная невнимательность пользователей, так и методичный подбор паролей злоумышленниками. В таком случае необходимо обратить внимание на возможные признаки взлома, устроить проверку безопасности сервера и определиться, что делать на основании источника проблемы.

▍что предлагает хостинг-провайдер?

Большинство хостинг-провайдеров приводят полный список своих предложений и указывают, что именно входит в конкретный тарифный план. Иногда дается таблица для сравнения пакетов и опций.

Linux или Windows? Виртуальные серверы позволяют использовать обе платформы.

6 основных способов защиты сервера

  1. SSH-ключи (Linux) — это пара криптографических ключей, которая, как говорилось выше, используется для проверки подлинности и является альтернативой паролям. Их использование делает аутентификацию полностью зашифрованной.
  2. Фаерволы (WindowsLinux) — с помощью брандмауэра можно обеспечить дополнительную защиту серверу даже при наличии встроенного защитного функционала у ПО. Он позволяет уменьшить количество уязвимостей и заблокировать доступ к чему угодно.
  3. VPN (WindowsLinux) — защищенное соединение между удаленными ПК и соединением. Обеспечивает приватность сети, позволяя сделать ее видимой для выбранных пользователей.
  4. PKI и SSL/TLS шифрование (WindowsLinux). Центры сертификации позволяют шифровать трафик и производить проверку идентичности для разных пользователей.
  5. Аудит (WindowsLinux) — изучение рабочих процессов серверной инфраструктуры. Процедура показывает, какие процессы запущены и что они делают. Помимо этого можно провести аудит файлов, чтобы сравнить два варианта системы — текущий и характеристики при нормальной работе. Это позволяет выявить происходящие процессы, для которых требуется аутентификация, а также защитить сервер от DDOS-атак.
  6. Изолированная среда выполнения предусматривает запуск системных компонентов в выделенном пространстве. По факту, для каждого процесса появляется свой изолированный «отсек», который при атаке ограничивает взломщику доступ к другим компонентам ОС.

Следует помнить, что даже при работе с выделенным сервером с защитой, необходимо соблюдать меры предосторожности, включая регулярное обновление ПО и ограничение доступа для ряда IP-адресов. Применение комплексных мер позволяет избежать утечки важных данных, дает возможность защитить сервер от взлома методом подбора паролей.

Если меры предосторожности не помогли, не стоит расстраиваться. Восстановить работоспособность сервера вполне возможно, как и устранить выявленные уязвимости с помощью представленных способов. Не стоит забывать и о содержимом сервера. Вовремя сделанный резервный образ поможет быстро восстановить бережно настроенные сервисные службы и ценные базы данных.

Главное в случае с безопасностью — это постоянство. Сервер и систему стоит периодически проверять, что касается и надежности IP-адресов с высоким уровнем доступа.

Виртуальные сервера Eternalhost — сочетание высокой производительности и отличной защищенности от внешних угроз. Гарантия технической поддержки в режиме 24/7 и многоступенчатая фильтрация DDoS-атак.

▍ghost

несколько отличается от вышеперечисленных систем. В серверной части она использует

на базе JavaScript. Лучшие варианты для

— это хостинг вашего сайта с управляемым вами самостоятельно сервисом Ghost(Pro) или хостинг и управление с помощью такого сервиса как дроплет Digital Ocean.

Первый вариант оптимален, если у вас ограниченный опыт работы с командной строкой и управления сервером, а второй можно рассмотреть, если вы уже умеете управлять собственным серверами или хотите этому научиться.

▍базы данных

При создании нескольких сайтов, скорее всего, вам также понадобится несколько баз данных. Как и в случае с доменами, для тарифного плана начального уровня обычно разрешена только одна база данных. Убедитесь, что ваш тарифный план предусматривает достаточное количество баз данных, но при необходимости позже можно будет перейти на другой тарифный план.

, PostgreSQL или SQlite. Определитесь с нужным вам типом базы данных и убедитесь, что хостинг-провайдер ее поддерживает.

▍безопасность


Вероятно, вам потребуется собственные меры безопасности, такие как использование плагинов безопасности в системе управления контентом. Но важно также, чтобы хостинг-провайдер использовал сильные средства и функции безопасности со своей стороны.

Нужно знать, какие меры безопасности хостинг-провайдер предпринимает для защиты своих серверов.

Обратите внимание на межсетевые экраны, средства обнаружения вредоносных программ,

, осуществляется ли мониторинг серверов на предмет необычной активности и пр.

Сертификаты SSL нужны практически во всех случаях, когда развертывается сайт электронной коммерции. Нужно убедиться, что вы можете получить сертификат SSL при использовании пакета хостинга, который покупаете.

Некоторые провайдеры предлагают средство IP Deny. Оно позволяет вам запретить доступ к своему сайту с конкретных IP. Это очень удобный инструмент против хакеров и спамеров.

▍выбор системы управления контентом

Существует множество вариантов выбора CMS, однако в большинстве случаев их требования аналогичны требованиям WordPress. Чаще всего нужен PHP, а также база данных MySQL, хотя иногда возникает необходимость в дополнительных типах баз данных, таких как PostgreSQL или SQlite.

▍емкость для хранения данных и полоса пропускания сети

Естественно, эти требования зависят от объема хранимых данных и ожидаемого трафика. У текстового сайта проблем с объемом данных обычно не возникает. Другое дело – фото и видео.  

К примеру, у вас галерея из 10 изображений по 200 Кбайт каждое, общим объемом 2 Мбайта. Если эту галерею просматривают 100 человек, то по сети передается 200 Мбайт. Если 1000 человек, то 2 Гбайта. Вообще говоря, большинство сайтов будет отлично работать с пропускной способностью типичного хостинга.

Однако, если у вас особенно большое количество данных, и вы знаете, что будет большой трафик, то нужно точно выяснить, какую полосу пропускания вам выделили, и не превысите ли вы ее, и как перейти на другой тарифный план в случае роста трафика и объема данных без простоя сайта.

▍какой объем данных предполагается хранить и обслуживать?

Емкость вашего виртуального сервера – это вопрос не только трафика, но и размера/количества файлов. Чем больше размер файлов, тем большая требуется емкость хранения и пропускная способность сети. Например, если на сайте хранятся изображения высокого качества или видео, то эти требования у него высокие.

▍какой у вас бюджет на хостинг?


Если он весьма ограничен, то от некоторых прибамбасов придется отказаться. И наоборот, при гибком финансировании можно извлечь преимущества из дополнительных средств и функций.

Самый дешевый VPS на Linux сегодня стоит всего 65 руб. в месяц.

▍резервное копирование

Иногда, даже несмотря на лучшие предосторожности и защиты, ваш сайт может пострадать от действий хакеров или других непредсказуемых событий. Именно поэтому важно выбрать хостинг, который предусматривает регулярное резервное копирование, что позволит вам восстановить свой сайт.

Нужно убедиться не только в самом факте резервного копирования, но и узнать, с какой регулярностью оно выполняется. В идеале – раз в сутки.

▍сайты электронной коммерции

Если создается сайт электронной коммерции, то обычно такой сайт может быть двух видов: автономный сайт электронной коммерции или сайт на основе плагинов. Например, можно создать сайт электронной коммерции с помощью такой системы как Prestashop, или использовать плагины вроде

По сути, автономная система электронной коммерции — это просто еще один тип системы управления контентом. Разница в том, что пользовательский интерфейс и средства безопасности оптимизированы для создания сайта типа интернет-магазина. Технические требования такие же, как и в случае обычной CMS. В большинстве систем нужны PHP и MySQL.

В числе популярных автономных систем электронной коммерции — Magento, Prestashop, Opencart, Shopify, ZenCart.

Если вы применяете плагины или расширения, то нужно убедиться, что система управления контентом поддерживается вашим хостинг-провайдером, и посмотреть какие требование предъявляет данный плагин или расширение. Независимо от того, используете вы автономный сайт электронной коммерции или сайт на основе плагинов, в большинстве случаев хостинг-провайдер должен предусматривать дополнительные меры безопасности, такие как сертификаты SSL.

▍управляемый хостинг

О видах хостинга мы

, поэтому подробно на них останавливаться не будем. Отметим лишь, что при самостоятельном управлении сайтом WordPress или сайтом электронной коммерции на вас лежит ответственность за инсталляцию сайта и его обновление, защиту сайта от хакеров и вредоносных программ, создание резервных копий, блокирование спама и атак, создание CDN (Content Delivery Network), если она используется, а также за регистрацию пользователей и защиту их персональных данных, обработку и защиту данных банковских карт и пр.

Виды хостинга: виртуальный хостинг, выделенный, виртуальный сервер, облачный и управляемый хостинг.

Управляемый хостинг обычно предлагается для сайтов конкретного типа (WordPress, Ghost и др.). В этом случае большинство перечисленных задач выполняет провайдер. Данное предложение особенно ценно в случае обработки персональных и финансовых данных. Он же отвечает за оптимизацию скорости и производительности VPS. Однако такой хостинг обходится дороже и обычно допускает создание меньшего числа сайтов.

В дополнение к сказанному отметим некоторые другие моменты, на которые стоит обратить внимание при выборе хостинг-провайдера:

▍электронная почта

Если вы хотите, чтобы ваш хостинг-провайдер обрабатывал адреса электронной почты, то необходимо сначала проверить, что поддержка электронной почты включена в его тарифный план. Если это так, то нужно выяснить, сколько можно завести учетных записей электронной почты, достаточно ли это для того, что вам нужно.

Активация брандмауэра

Для Linux существует несколько вариантов:

  • UFW — простой брандмауэр, с которым может справиться и новичок;
  • IPTables — используется для управления NetFilter, который входит в ядро Linux;
  • NFTables — брандмауэр, использующий более простой синтаксис и объединяющий поддержку IPv4 и IPv6 в один инструмент.

Это основные инструменты, отвечающие за безопасность системы и, следовательно, подключенных к ней VPS. Настроив их параметры, можно сильно снизить риск взлома.

Бэкапы сайта и базы данных

Какой бы надёжная Ваша защита ни была, всегда есть вероятность взлома, и единственный способ обезопасить данные – это ежедневное резервное копирование файлов и базы данных. Это можно делать собственными силами, например, с помощью скриптов или плагинов, но лучше положиться на систему резервного копирования хостинга. Это важная характеристика, определяющая надёжность компании. На хорошем хостинге каждую ночь делается бэкап.

Есть некоторые нюансы, на которые важно обратить внимание:

  • Резервная копия должна находится НА ДРУГОМ сервере, а не там же, где и сайт. В обратном случае, при взломе сайта, могут быть повреждены все бекапы;
  • Размер резервных копий не отнимается от выделенного дискового пространства по тарифу;
  • Удобная работа с резервными копиями.

Восстановление работоспособности

Многие специалисты рекомендует при выявлении взлома переустанавливать систему, но это требуется не всегда. Если точно известна причина и она уже была устранена, можно выполнить действия по данному ниже алгоритму.

  1. Ограничить права доступа к панели отдельным IP.
  2. Закрыть ненужные порты в Firewall.
  3. Обновить пароли и SSH-ключи.
  4. Провести комплексное обновление ПО.
  5. Очистить сервер от чужеродных скриптов — бэкдоры и шеллы.

Изменение имени администратора и создание нескольких аккаунтов

После смены имени получить несанкционированный доступ будет сложнее. Для этого:

  1. Переходим по «Редактор локальной политики безопасности» — «Локальные политики» — «Параметры безопасности» — «Учетные записи» — «Переименование учетной записи администратора».
  2. Устанавливаем имя, которое известно только вам.

Если сервер администрирует несколько человек, для каждого нужно создать отдельную учетную запись. Это позволит отслеживать чужие действия через системный журнал. Для систем Unix специалисты рекомендуют вообще не использовать учетную запись root.

Как безопасно размещать сайты на хостинге

Небольшая заметка о том, почему опасно размещать несколько сайтов на одном аккаунте хостинга и как справиться со взломом нескольких сайтов на аккаунте.
Помощь: Хостинг: Безопасность хостинга

Виртуальный (он же “шаред”/shared) хостинг можно представить в виде коммунальной квартиры или общежития, где живут несколько сайтов в одном общем виртуальном пространстве. У большинства хостинг-компаний на аккаунтах shared-хостинга (это те тарифы, где можно размещать 2, 3, 10, 50 сайтов) ресурсы не изолированы друг от друга: у всех сайтов один общий владелец, а скрипты сайта выполняются с правами того единственного владельца аккаунта или с правами пользователя веб-сервера www-data (к счастью, последнее встречается все реже). Фактически это означает, что скриптам одного сайта разрешено создавать, удалять, редактировать файлы любого другого сайта на том же аккаунте, а также скрипты одного сайта могут получить доступ к базе данных другого сайта. Поэтому хакеру

достаточно взломать один сайт, чтобы получить контроль над всеми сайтами хостинг-площадки

. Например, заразить их вирусами, получить доступ к чувствительным/конфиденциальным данным или полностью уничтожить.

Как все это проецируется на реальную жизнь?
К нам обращается владелец сайтов, размещенных на shared-хостинге, с жалобой на какой-то определенный сайт (с него может идти спам или доступ к нему блокирует антивирус), но после экспресс-проверки сайтов аккаунта оказывается, что на остальных также загружены хакерские скрипты или внедрен вирусный код.   То есть взломан и заражен весь аккаунт. Вместо одного сайта нужно лечить все пять (десять, двадцать, пятьдесят,…) Клиент в печали.
Часто в целях финансовой экономии владелец shared-аккаунта просит вылечить только один сайт, а остальные не трогать (или вылечить их позже). Это плохая практика, так как уже через несколько дней вредоносный код с соседнего зараженного сайта может снова попасть на вылеченный и он окажется повторно инфицирован. Поэтому при взломе / заражении сайтов на виртуальной площадке, где размещено больше одного сайта, необходимо обязательно проводить работы с каждым сайтом (сканировать на вирусы и хакерские скрипты, лечить, если сайт заражен, и ставить защиту от взлома). В противном случае гарантированного избавления от взломов и заражения не будет, а сам процесс лечения будет напоминать вычерпывание воды из дырявой лодки. То есть бесконечный процесс: пока один чистили от вирусов, второй уже заразился.

У владельца зараженного аккаунта есть только три возможных варианта эффективного решения данной проблемы:

  1. изолировать сайты на отдельных аккаунтах: каждому сайту купить отдельный аккаунт на shared-хостинге и перенести сайты на них, после чего постепенно вылечить сайты
  2. удалить или заблокировать сайты, которые не представляют особой ценности, а остальные в течение суток вылечить и защитить от взлома
  3. вылечить и защитить от взлома все сайты на виртуальной площадке в течение суток (или быстрее)

Важно понимать, что

  1. сайты должны быть изолированы друг от друга, то есть размещены в разных пользовательских аккаунтах виртуального хостинга (или размещены на виртуальном хостинге, где данная изоляция уже заложена в архитектуру хостинга, но таких очень мало)
  2. сканирование, лечение и защита должны быть выполнены для всех активных сайтов виртуальной площадки, причем в сжатый временной интервал (например, в течение суток или быстрее).

Большинство владельцев аккаунтов виртуального хостинга неправильно понимают термин “изоляция сайтов”, кроме того, они не знакомы с динамикой распространения вредносного кода и механизмом заражения сайтов на хостинг-площадке, что порождает несколько типичных заблуждений.

  1. Заблуждение №1 : Если создать для каждого сайта свой FTP аккаунт, то сайты будут изолированы.

    Увы, это не так. В данном случае сайты будут изолированы только по FTP, но через веб-скрипты по-прежнему возможен доступ к любому файлу любого сайта или базы данных в рамках виртуальной площадки.
    Настоящая изоляция возможна только при размещении на разных аккаунтах виртуального хостинга или если если ее специальным образом обеспечивает хостинг (виртуализацией, настройками операционной системы, на уровне ядра и т.п.). Стоит сразу отметить, что php опция open_basedir в данном случае не спасает.

  2. Заблуждение №2 : Сейчас можно вылечить один сайт, а через некоторое время – остальные.

    К сожалению, нельзя. К тому времени, как будет вылечен последний сайт, первый снова будет заражен от “больных” соседей. И процедуру придется выполнять бесконечно.

А что, если

сайты хостятся на VPS/VDS/ выделенном сервере ?

Для выделенного сервера справедливы те же правила: сайты опасно размещать внутри одного аккаунта пользователя. Для каждого сайта нужно

создать отдельного пользователя

операционной системы и разместить сайт в каталоге этого пользователя. Часто делается обратное: 50 сайтов лежат в директории /var/www/admin/. Причем все 50 оказываются в одночасье заражены.

Если у вас VDS сервер или виртуальный аккаунт, на котором уже размещено больше трех сайтов внутри одного пользовательского каталога, рекомендуем потратить немного время и изолировать сайты друг от друга. В перспективе это сэкономит вам время, деньги и нервы.

Чем еще полезна изоляция сайтов ?

Плюсов масса:

  1. к каждому сайту можно сделать отдельный SFTP аккаунт (и перестать пользоваться старым и небезопасным FTP)
  2. для каждого сайта можно прописать оптимальные настройки, повысив безопасность и производительность, и быть уверенным, что они не сломают другие сайты на площадке
  3. seo-специалистам, фрилансерам-программистам можно предоставлять доступы только к одному сайту (по FTP/SSH) и не бояться, что они сломают соседние сайты
  4. лечение и защиту сайов в случае массового взлома можно выполнять постепенно, по одному

Надеемся, что данная информация поможет вам избежать проблем массового взлома сайтов или, если он уже случился, наиболее эффективно с ним справиться.

Если у вас остались вопросы или вам нужна помощь специалистов,

.

другие статьи.

Локальная и групповая политика безопасности

При использовании групповых политик (например, в Active Directory) понадобится периодически проводить проверки и повторную конфигурацию. Это один из самых эффективных инструментов, гарантирующих обеспечение безопасности ОС.

Локальная политика безопасности затрагивает локальные аккаунты, поэтому ее тоже необходимо использовать, чтобы обезопасить сервер.

Настройка firewall

Онлайн-серверы Windows не имеют дополнительных шлюзов безопасности. За это отвечает только брандмауэр, обеспечивающий защиту подключений. С его помощью можно отключить неиспользуемые порты.

Самому обычному VPS потребуются только порты 80 и 443. А для неиспользуемых портов необходимо ограничить источники подключений, установив пользовательский список IP, для которых оно возможно. Для этого настраиваются правила входящих подключений.

Следующие порты должны быть доступны пользователям, чей IP-адрес надежен:

  • 3389 — стандартный порт RDP;
  • 1433-1434 — стандартные порты SQL;
  • 53 — DNS;
  • 80, 443 — веб-сервер;
  • 990 — FTPS.

Обновляйте движок и компоненты сайта

Системы управления контентом (CMS) очень популярны благодаря удобству, но за это приходится платить безопасностью. Чем больше людей пользуется одним движком или плагином, тем он более подвержен хакерским атакам. Каждый месяц выходят обновления безопасности, поэтому CMS и плагины нужно обновлять.

Такие страхи небезпочвенны, т.к. на примере CMS WordPress не раз были случаи, когда после апдейта появлялись новые «фичи», существенно повлиявшие на поисковую оптимизацию или скорость загрузки сайта. То же касается и плагинов, которые могут даже сломать сайт. Для решения этой проблемы предлагается сделать следующее:

  1. Выключить автоматические обновления;
  2. Сохранить исходный код нескольких важных страниц, например: главная, категория, пост или карточка товара, страница;
  3. Обновить CMS и плагины и снова сохранить исходный код этих же URL;
  4. Сравнить с помощью инструмента сравнения файлов Total Commander старый и новый код страниц.

Total Commander сравнивает построчно файлы и показывает изменения. Если расхождений нет, то обновления никак не повлияют на работу сайта. Обычно, есть мелкие изменения в исходном коде, не влияющие на скорость загрузки или SEO. Но дыры в безопасности при этом всё равно будут устранены, исходный код на это не влияет.

Общий доступ с паролем

Защита терминального сервера основывается на установке паролей для папок с общим доступом. Это обезопасит систему, так как даже через файлы, которые не представляют собой никакой ценности, можно получить к ней лазейку.

Следует ограничить права пользователей без полного доступа. Такая защита сервера намного проще, чем следить за безопасностью всех учетных записей.

Ограничение прав учетной записи

По возможности все операции, которые не требуют прав администратора, должны выполняться с другой учетной записи. Это повышает безопасность, когда речь идет о случайном запуске зараженной вирусом программы.

Например, защита почтового сервера часто включает в себя мониторинг спама, которым нередко пользуются взломщики. В таком случае вредоносное ПО не сможет навредить системе, так как у учетной записи ограничены права.

Ограничьте возможность входа в админку

Одним из самых действенных способов защиты сайта от взлома является установка ограничения на вход в административную панель по IP-адресу. Это касается сайтов, у которых есть админка, коих сегодня большинство. Не имеет значение размер сайта и название движка. Для большинства случаев нужно в папке админ-панели создать файл «.htaccess». Если файл уже есть, то оставляем старый.

В начало файла добавляются строчки:

 
   order deny,allow
   allow from «IP_адрес»
   deny from all

Следом добавляется секция:

Вместо «IP_адрес» нужно подставить IP Вашего компьютера. Узнать свой IP-адрес вы можете на одном из специализированных сервисах, которых в интернете очень много. Первые три строчки запрещают доступ к папке, а соответственно и вход в админку, с любого компьютера, кроме вашего. Секция <Files> отвечает за безопасность самого файла «.htaccess», полностью запрещая доступ к нему из интернета. Возможность редактировать файл из панели управления хостингом и по FTP – останется.

У этого метода есть недостаток: Ваш IP-адрес должен быть статическим. Иначе, если Вы захотите войти в панель сайта с другого адреса, то ничего не выйдет, либо придётся редактировать файл «.htaccess», добавляя новый айпишник. К слову, строчек allow from «IP_адрес» может быть сколько угодно.

Первый вариант: если у Вас меняются только последние цифры IP-адреса, то запишите его так:

   
   allow from 111.111.111.

Т.е., если не написать после точки последние цифры, то будут приниматься любые, как если бы на конце стояло «*».

Второй вариант подходит, если у Вас есть VPN со статическим IP. Тогда добавьте и его в белый список, так Вы сможете заходить в админку из разных локаций, подключившись через VPN-канал.

Для обеспечения безопасности панели хостинга тоже можно установить ограничения на IP-адрес, но стоит быть особенно осторожным, т.к. если ваш IP сменится, то Вы никак не сможете попасть на хостинг и добавить новый IP в белый список. Придётся писать в техподдержку и ждать.

Отключение входа для суперпользователя

Один из самых надежных способов обезопасить сервер Linux — совсем не использовать вход с root-правами. Полномочия суперпользователя, требуемые для запуска ряда программ, лучше получать с помощью команды sudo. Этот способ позволит сохранить анонимность пароля администратора, а также реализовать требования политики безопасности и наладить мониторинг действий.

Патчи безопасности и системы контроля доступа

В различные ОС на основе Linux встроены патчи, помогающие обеспечить безопасность системы. Например, не допустить потенциально уязвимую конфигурацию системы или срабатывание опасных программ.

Наряду с интегрированными решениями, для повышения безопасности ОС широко применяют системы контроля доступа, называемые также контейнерами или «песочницами» (от англ. sandbox). Они существенно ограничивают доступ к ядру системы, путём реализации правил политики безопасности (фильтрации вызовов), а также создания изолированных сред, где запускаются потенциально вредоносные приложения.

Обычно системы контроля доступа встроены в большинство популярных ОС на Linux. Но по умолчанию там установлена лишь базовая комплектация, которую по возможности нужно обновлять до полной версии и производить детальную настройку.

Перенос портов

Изменение стандартного SSH дает возможность повысить уровень защиты. Чтобы выполнить такой перенос, необходимо:

1. В настройках SSH прописать:

sudo nano /etc/ssh/sshd_config

2. Сохранить изменения и перезапустить:

sudo service ssh restart

3. Чтобы совершить вход, понадобится указать новый порт (в примере — 49681):

Политика безопасности пользователей и привилегии

Нужно отключить те учетные записи, которые больше не должны иметь доступ к системе. Рекомендуется для каждого пользователя создавать уникальную учетную запись, чтобы защитить большее число служб от несанкционированного доступа.

Привилегии для файлов, которые доступны через интернет, должны быть минимальными. Права доступа к ним могут быть только у ограниченного круга пользователей. Это повысит безопасность ОС.

Порядок действий при взломе

  1. Проверка сайта на наличие вирусов и уязвимостей. Необходимо регулярно обновлять пакеты и скрипты сайты, следить за производительностью и логом файлов сервера. Выявить вирусы можно с помощью скрипта Al-bolit и любого другого.
  2. Последние измененные файлы. Проверка файлов, которые изменялись за последние 10 дней, проводится с помощью команды:

Признаки взлома сервера

  • Нестабильная работа и блокировка VPS.
  • Отсутствие доступа к root и другим правам пользователя.
  • Заметный рост трафика на сервере.
  • Странная сетевая активность (рассылка почты в отсутствие пользователя, передача файлов через SSH и т.д.).
  • Рассылка спама с VPS.

Обнаружение любого из упомянутых признаков требует тщательной проверки сервера и системы. В некоторых случаях сбои в работе могут не иметь отношения ко взлому, например, являясь следствием технических или программных проблем, прерывающегося интернет-соединения.

Применение fail2ban

Этот способ включает в себя применение утилиты, которая не входит в стандартную комплектацию системы. Для ее установки воспользуйтесь командой

sudo apt-get install fail2ban

Перед внесением любых изменений в настройки, необходимо создать резервную копию их файла, чтобы не потерять установки по умолчанию. Изначально утилита располагает несколькими фильтрами для сервера Apache. При ее установке рекомендуется создавать свои на основе требований к безопасности используемого веб-сервера.

Утилита может отслеживать журнал входов, благодаря чему можно пометить те IP-адреса, с которых осуществлялось большое количество неудачных авторизаций. Предположительно, в это время с таких IP пытаются подобрать нужную комбинацию для входа. FAIL2BAN автоматически создает правило брандмауэра, которое временно блокирует их.

Проверенное по

В сети достаточно open-source продуктов, которые далеко не всегда отвечают нормам безопасности. Перед установкой необходимо обязательно убедиться в надежности разработчиков и ресурса.

Скачивать такое ПО можно только из официальных источников, поскольку любые сторонние сайты могут содержать вредоносные скрипты. Это касается даже ресурсов с первых страниц поисковой выдачи.

Проверка сервера

  • Определения времени входа в систему. Если он осуществлялся в отсутствие пользователя, необходимо уточнить, кто еще имел доступ в этот период.
  • История команд. Не лишним будет знать, какие команды вводились в системесервере, какие операции к ним привязаны. Сопоставление даты их активации с временем входа поможет определить источник проблем.
  • Проверка IP-адресов. Если в списке есть незнакомые адреса, которым точно никто не давал доступ, сервером пользуются несанкционированно.
  • Подозрительные процессы. Такими могут быть многие фоновые операции, неожиданно появившиеся в списке и забирающие большое количество ресурсов. Обычно они заметны сразу.

Протокол ssh

Это стандартный и достаточно безопасный способ подключения к веб-серверу Linux. Протокол предусматривает сквозное шифрование, передачу незащищенного трафика по надежному соединению, применение x-forwarding и др. Изменив его конфигурацию, возможно защитить сервер от шифровальщиков за счет применения SSH-ключей.

Вход через пароль — это самый распространенный вариант, но он менее безопасен, так как нужную комбинацию относительно легко подобрать с помощью современных инструментов.

Работа с паролями

Убедитесь, что вход для пользователей защищен надежным паролем. Сильным с точки зрения безопасности считается пароль, содержащий минимум 8 числовых и буквенных символов, часть из которых обязательно должна писаться в разном регистре. Настроить политику работы с паролями в Linux можно c помощью модуля pam_cracklib.so, встроенного в конфигурационный файл набора библиотек Pluggable Authentication Modules (PAM).

Аудит пользовательских паролей на соответствие данным параметрам безопасности можно проводить с помощью специальных сервисов для автоподбора (например, John the Ripper или Ophcrack). Выявленные легкие пароли рекомендуется заменить на более сложные.

Не забывайте своевременно обновлять пароли. Рекомендуется запрограммировать «срок годности» паролей с помощью команды change или выставить параметры вручную в файле /etc/shadow. После установленного срока система вышлет пользователю уведомление с просьбой сменить пароль.

Регулярное обновление по

Своевременное обновление, согласно системным требованиям, устраняет уязвимости, которые выявлены разработчиками, но еще неизвестны хакерам.

  • В случае с Linux для систем CentOS можно использовать пакет yum-cron, автоматически скачивающий и устанавливающий обновления. ОС на Ubuntu обновляются через unattended-upgrades.
  • Для любой версии Windows рекомендуется настроить автоматическое обновление в «Центре обновления» системы.
  • Для систем FreeBSD можно настроить регулярную проверку и скачивание патчей безопасности через freebsd-update (параметр — cron). Команда проверяет и скачивает нужные обновления, но не устанавливает их. После загрузки на почту пользователя придет уведомление. Он сможет просмотреть список загрузок и установить нужное с помощью freebsd-update install.

Перед установкой обновлений в рабочей среде их необходимо проверять на тестовом сервере. Это позволит отследить влияние скачанных пакетов на поведение некоторых программ, которое может быть нарушено.

Резервное копирование

Для виртуальной машины должно быть включено резервное копирование. После того, как сервер взломан, восстановить копию в безопасной среде без интернет-подключения достаточно легко. При этом сохранятся все данные и можно будет устранить уязвимость самостоятельно.

Удаленные рабочие столы

Доступ к ним осуществляется через протокол RDP, который считается безопасным. Но есть возможность усилить защиту. Для этого существуют:

  1. Блокировка подключения для учетных записей с пустым паролем. Она осуществляется через «Локальные политики безопасности» и параметр «Учетные записи: Разрешить использование пустых паролей только при консольном входе».
  2. Изменение стандартного порта RDP. С этой целью в реестре изменяется параметр HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/Terminal Server/WinStations/RDP-Tcp Port Number. После необходимо добавить для него правило в брандмауэре и перезагрузить сервер. Чтобы подключить затем к порту через этот сервер, понадобится добавить его вручную в «Подключение к удаленному рабочему столу».

Уровень вашей технической подготовки

Для создания сайтов практически любого типа глубоких знаний не нужно, но отдельные задачи управления требуют определенной подготовки. Если вы чувствуете себя уверенно, то можете самостоятельно заняться администрированием сайта. Если не очень, то воспользуйтесь управляемым хостингом. За вас все будет делать хостинг-провайдер. Ну, или почти все.

Создание сайта не должно быть слишком дорогостоящим, сложным или трудоемким.

Рассмотрим вышеперечисленное подробнее и дадим некоторые советы.

Уровень-1 защита датацентра

Наше партнерство с датацентрами по всему миру — это результат тщательного отбора лучших из лучших. Безопасность и стабильность — главные критерии отбора. Все датацентры оборудованы камерами наблюдения, биометрическими замками, доступом только для авторизованных лиц, охранным персоналом и схожим с нашим стандартным оборудованием и процессами для поддержания безопасности.

Что отличает нас от всех остальных, так это то, что мы обращаем особое внимание на проактивность датацентров относительно обеспечения безопасности. Мы анализируем прошлые практики, диспуты с клиентами, количество времени, которое датацентр тратит на исследования и разработки в сфере безопасности.

Уровень-2 защита сети

Наша инфраструктура по всему миру включает оборудование против DDOS атак, системы по опознаванию вторжений, сетевые экраны на двух уровнях. Наши серверы переживают частые попытки хакерских и DDOS атак (иногда по 3 раза в день) без каких-либо потерь.

Сетевой экран
Наши сетевые экраны защищают периметр и являются отличной первой линией обороны. Они используют гибкие и современные технологии фильтрации, чтобы обеспечить безопасность Вашего вебсайта, email и веб приложений, блокируя попытки доступа неавторизованных пользователей. Сетевые экраны обеспечивают контроль соединения между севрером с Вашей информацией и интернет с помощью применения политики безопасности, разработанной ведущими экспертами.

Система опознавания вторжений
Наша система по опознаванию и предотвращению вторжений обеспечивает быструю и комплексную защиту против направленных атак, аномалий трафика, «неизвестных» червей, шпионских и рекламных программ, сетевых вирусов, вредоносных приложений и др. Она использует ультрасовременный процессор, который проводит тысячи проверок на всех поступающих пакетах информации одновременно, не увеличивая время ожидания. Когда пакеты проходят через нашу системы, они тщательно исследуются на наличие вредоносных элементов. Данный метод немедленной защиты — это самый эффективный механизм остановки атак.

Защита от Distributed Denial-of-Service (DDoS) атак
DoS — на данный момент самый крупный источник финансовых потерь в связи с киберпреступностью. Цель таких атак — прервать деятельность вебсайта, прервав его функционирование или функционирование email или веб приложений. Это достигается посредством атак на серверы и сеть, где располагаются сервисы, и перегрузки таких ключевых ресурсов как трафик, центральный процессор и память. Мотивами таких атак могут быть вымогательство, желание покрасоваться, политические требования, конкуренция и др. Любая организация, подключенная к интернет, может стать жертвой таких атак. Влияние крупных DoS атак на бизнес колоссально, они приводят к потери прибыли, недовольству клиентов, спаду продуктивности и др. благодаря недоступности или ухудшению сервисов. В большинстве случаев DoS атака также огромный счет за превышение установленного использования трафика.

Наша система защиты от DDoS обеспечивает несравненный уровень безопасности Ваших вебсайтов, email и важных веб приложений, используя сложные ультрасовременные технологии, которые автоматически срабатывают при обнаружени атаки. Система фильтрации блокирует почти весь вредоносный трафик и обеспечивает нормальную скорость поступления легитимного трафика. Данная система в прошлом предотвратила сбой в работе нескольких вебсайтов, вызванный одновременными атаками величиной 300 МБ/с и продолжает успешно обеспечивать безопасность Ваших бизнесов.

Уровень-3 хост-защита

Система обнаружения вторжений —
С появлением технологий, позволяющих обойти сетевые экраны, стало необходимо использовать систему обнаружения вторжений на главном компьютере (HIDS), который следит и анализирует процессы внутри системы.

Наша система обнаружения вторжений отмечает изменения в системе и конфигурации файлов — случайные или вредоносные, связанные со вторжением — используя специальные сканнеры, информацию из журналов, и отслеживая деятельность системы. Быстрое обнаружение изменений снижает риск потенциального ущерба, а также уменьшает время поиска и восстановления файлов, что улучшает защиту и функционирование системы.

Стандартизация оборудования-
Мы покупаем оборудование только у тех поставщиков, которые предоставляют высокие стандарты безопасности и качественную поддержку. Большая часть нашего оборудования изготовлена Cisco, Juniper, HP, Dell и т.д.

Уровень-4 защита программного обеспечения

Наши приложения работают на миллионах систем с огромным количеством программного обеспечения. Операционные системы включают разные версии Linux, BSD, Windows. Программное обеспечение серверов включает разные версии Apache, IIS, Resin, Tomcat, Postgres, MySQL, MSSQL, Qmail, Sendmail, Proftpd и др. Мы обеспечиваем безопасность, несмотря на использование огромного количества разного программного обеспечения, благодаря подходу, опирающемуся на конкретный процесс.

Своевременное обновление, исправление ошибок и проверка безопасности
Все серверы подписаны на автоматическое обновление, чтобы они всегда были оборудованы последней версией системы безопасности и все ошибки исправлялись своевременно. Большее число вторжений являются результатом слабых мест системы, ошибок конфигурации, вирусных атак, для которых уже ЕСТЬ защитные программы. Согласно CERT, системы и сети подвергаются таким атакам, потому что они «нерегулярно» устанавливают обновления систем безопасности.

Мы понимаем необходимость успешных процессов установки обновлений. По мере того как операционные системы или программное обеспечение серверов становится сложнее, каждая новая версия полна несовершенств с точки зрения безопасности. Информация и обновления о новых угрозах безопасности выпускаются практически каждый день. Мы построили надежные повторяющиеся процессы и систему проверок и отчетов, которая гарантирует своевременную установку обновлений.

Периодические сканирования
Проводятся частые проверки, чтобы определить, существуют ли слабые места на серверах. Серверы сканируются согласно последним обновлениям баз данных по уязвимым местам серверов. Таким образом мы можем проактивно защитить наши серверы от атак и обеспечить нормальное ведение бизнеса.

Процессы тестирования перед обновлением
Обновления программного обеспечения регулярно выпускаются разарботчиками. Все разработчики тестируют программное обеспечение перед выпуском, однако они не могут протестировать, как оно будет взаимодействовать с другим программным обеспечением. Например, новая база данных протестирована разработчиком перед выпуском. Однако взаимодействие данной версии с системой, на которой работают различное другое программное обеспечение для FTP, Mail, веб сервера, нельзя определить заранее. Наша команда системных администраторов анализирует обновления программного обеспечения,и если какое-либо программное обеспечение выглядит рисковым, они сперва тестируют его в лабораториях.

Уровень-5 защита приложений

Все приложения, которые используются на нашей платформе, выпущены нами. Мы сами занимаемся разработками. Любые сторонние продукты и компоненты проходят сложное тестирование, во время которого они разбиваются на элементы и зучается их архитектура и применение.

Каждое приложение разбивается на компоненты, такие как интерфейс пользователя, Core API, Backend базы данных и т.д. Каждый слой проходит свою проверку. Вся важная информация хранится в зашифрованном виде. Наша команда разработчиков гарантирует высочайший уровень безопасности всего программного обеспечения.

Уровень-6 безопасность персонала

Самое слабое звено в процессах безопасности — это всегда люди. Персонал, разработчики, поставщики, в общем, все, кто имеет доступ к Вашей системе. Наш комплексный подход к безопасности пытается минимизировать риски, связанные с «человеческим фактором».

Каждый работник, имеющий права администратора для какого-либо сервера, проходит через сложный процесс проверки. Компании, которые не проводят подобные проверки, ставят под угрозу безопасность информации своих клиентов, т.к. не важно, сколько денег было потрачено на современное оборудование, один неверно нанятый человек — имеющий достаточно доступа — может принести больший ущерб, чем любая сторонняя атака.

Уровень-7 контрольные проверки

Когда серверы расположены по всему миру, контрольные проверки необходимы, чтобы поддерживать резервное копирование и дисциплину. Все ли серверы регулярно обновляются? Работают ли бэкап скрипты 24*7? Выполняется ли необходимая проверка персонала? Рассылает ли оборудование своевременные уведомления?

Эти и многие другие вопросы выясняются с помощью внешних процессов, включающих расследования, ложные хакерские атаки, интервью и др. Наши контрольные проверки находят все недостатки до того, как о них станет известно внешним пользователям.

Оцените статью
Хостинги