Чек лист по обеспечению безопасности VPS/VDS сервера.

Практически любая информация, публикуемая в Интернете, может в конечном счете стать достоянием обществненности. Удивительно, но во многих случаях злоумышленникам не нужно придумывать сложные схемы взлома. Зачастую пользователи по незнанию или явной халатности пренебрегают элементарными мерами безопасности. Следовательно, обеспечение безопасности виртуальных выделенных серверов (VDS) должно быть приоритетом еще до рассмотрения вопроса об их аренде.

Исходя из такой проблематики, мы в 3v-Hosting решили составить чек-лист для проведения аудита безопасности виртуальных выделенных серверов, который поможет как специалисту, отвечающему за безопасность в компании, так и обывателю, который намерен арендовать свой первый VDS/VPS сервер.

При этом важно понимать, что стандарты безопасности охватывают широкий спектр мер и простого соблюдения одного или двух действий при упущении остальных будет недостаточно. Крайне важен комплексный подход к обеспечению безопасности серверов. А начать мы рекомендуем со следующих ключевых практик:

1. Программное обеспечение и обновления:

— Убедитесь, что все серверное программное обеспечение и приложения обновлены до последних версий;
— Убедитесь, что обновления получены только из официальных и проверенных источников;
— Убедитесь, что исправления и обновления безопасности применяются своевременно;

2. Контроль доступа:

— Просмотрите учетные записи пользователей и их уровни доступа;
— Отключите или удалите ненужные учетные записи пользователей;
— Обеспечьте надежные и уникальные пароли для всех учетных записей;
— Внедряйте двухфакторную аутентификацию (2FA), где это возможно;
— Регулярно проверяйте и обновляйте права доступа;

3. Брандмауэр и порты:

— Просмотрите и настройте параметры брандмауэра;
— Закройте ненужные порты и службы;
— Ограничьте доступ к важным портам только доверенным IP-адресам;
— Регулярно отслеживайте и регистрируйте активность брандмауэра;

4. Сегрегация данных:

— Убедитесь, что разные типы данных хранятся в отдельных каталогах или разделах;
— Внедрите надлежащий контроль доступа, чтобы ограничить доступ к данным авторизованным пользователям;
— Шифруйте конфиденциальные данные как при хранении, так и при передаче;

5. Резервные копии:

— Обеспечьте регулярное автоматическое резервное копирование;
— Проверьте целостность и доступность резервной копии;
— Периодически проверяйте процесс восстановления;

6. Безопасность SSH:

— Измените порт SSH по умолчанию, чтобы снизить риск автоматических атак;
— Внедрите аутентификацию на основе ключей;
— Ограничьте доступ SSH для определенных пользователей и IP-адресов;

7. Сетевая безопасность:

— Просмотрите конфигурации сети и проверьте наличие неавторизованных устройств;
— Используйте системы обнаружения и предотвращения вторжений (IDS/IPS);
— Внедрите сегментацию сети для изоляции критически важных систем;

8. Защита от вирусов и вредоносных программ:

— Установите и регулярно обновляйте антивирусное программное обеспечение;
— Запланируйте регулярное сканирование системы на предмет обнаружения вредоносного ПО;
— Отслеживайте подозрительное поведение или файлы;

9. Доступ root-пользователя:

— Отключите или ограничьте доступ пользователя root;
— Создайте и используйте пользователя без полномочий root с привилегиями sudo для административных задач;
— Обеспечьте надежные пароли для учетных записей администратора;

10. Файловая система и разрешения:

— Проверьте разрешения файловой системы и ограничьте доступ к конфиденциальным файлам и каталогам;
— Регулярно проверяйте наличие несанкционированных изменений или модификаций;

11. Мониторинг и управление журналами:

— Настройте централизованное ведение журнала для мониторинга активности сервера;
— Регулярно просматривайте журналы на предмет признаков инцидентов безопасности;
— Настройте оповещения о подозрительных или критических записях журнала;

12. Обновления безопасности и управление исправлениями:

— Установите процесс управления исправлениями для своевременного применения обновлений безопасности;
— Тестируйте обновления в промежуточной среде, прежде чем применять их на рабочем сервере;

13. Физическая безопасность:

— Убедитесь, что физический доступ к серверу ограничен и контролируется. Например все серверы 3v-Hosting расположены в самых защищенных датацентрах Украины и Нидерландов;

14. Защита от DDoS:

— Внедрите меры или услуги по смягчению последствий DDoS для защиты от распределенных атак типа «отказ в обслуживании»;

15. Оценки поставщиков и третьих сторон:

— Просмотрите и оцените методы обеспечения безопасности вашего хостинг-провайдера VDS;
— Оцените безопасность сторонних приложений и служб, работающих на сервере;

16. План реагирования на инциденты:

— Разработайте и задокументируйте план реагирования на инциденты;
— Установите процедуры отчетности, расследования и смягчения последствий инцидентов безопасности;

17. Регулярные проверки безопасности:

— Запланируйте периодические проверки безопасности для оценки и улучшения безопасности сервера;
— При необходимости участвуйте в оценке уязвимостей и тестировании на проникновение;

18. Документация:

— Ведите подробные записи конфигураций безопасности, изменений и инцидентов;
— Документируйте политики и процедуры безопасности для справки;

Да, этот перечень, возможно, немного избыточен для рядовых пользователей, но совершенно необходим для корпоративных служб IT-безопасности. Помните, что конкретные требования аудита безопасности VDS могут различаться в зависимости от потребностей вашей организации и требований соответствия нормативным требованиям. Регулярное обновление и пересмотр этого контрольного списка поможет обеспечить безопасность вашей VDS-инфраструктуры с течением времени.
Выделенные серверы OVH
Выделенные серверы Hetzner

4 комментария

gishpanec
а потом гоблин из службы поддержки заходит в твою биллинг панель и в тот же день происходит ротация логов, как у конторы pq.hosting
alice2k
что ты имеешь ввиду?
это плохой отзыв

хороший отзыв это полноценная переписка с команией, со всеми скришотами
alice2k
my.3v-host.com/index.php?rp=/login
у чуваков вообще какой-то WHM
там логи никогда не показывались на сколько мне известно

только в BILLmanager есть журнал посещений доступный для клиента
gishpanec
к этим ребятам вопросов нет.
суть коммента: все это не поможет, если в тех поддержке работает крыса, который дёрнет из BILLmanager пароли от сервера и произойдет ротация логов.

Оставить комментарий