Best practice: Beskyt din nye Linux server hos Cloudservers.dk



Når du køber en Linux-server med Ubuntu Linux fra Cloudservers.dk har vi foretaget en række justeringer for at øge sikkerheden på din server, men da vi ikke ønsker at ændre på standard-opsætningen for Ubuntu, for at imødekomme størst kompatibilitet med guides og automation-systemer, er der nogle ting, vi ikke ændre ved. Derfor har vi udarbejdet denne guide, der indeholder en række punkter, som kan hjælpe dig med at øge sikkerheden på din nye Linux Server.

Guiden er udarbejdet til Ubuntu Linux. Denne guide kan også bruges med andre Linux-distribitioner, men enkelte kommandoerne og syntax kan være anderledes. Vi henviser derfor til producenter officielle dokumentation.

I denne guide vil jeg gennemgå:

Opdateringer
Brugeradgange og SSH
Skift port på SSH
Firewall
Andre tips

Opdateringer

En god idé som det første, når du er logget ind, er at indlæse det nyeste opdateringer til din Linux-installation. Dette gøres med to kommandoer.

Opdater systemet
apt-kataloget er en lokal journal der indeholder en indholdsfortegnelse over alle pakker der kan installeres på din Ubuntu server. For at ajourføre denne fortegnelse med de nyeste opdateringer og -pakker køres kommandoen:

sudo apt update



Når denne process er færdigkørt, kan du hente og installere alle opdateringer til dit system med kommandoen:

sudo apt dist-upgrade



Efterfølgende genstartes serveren med kommandoen:

sudo reboot

Opdater kun applikationspakker
Ovenstående 3 kommandoer opdaterer både applikationer og selve systemet. Det kræver derfor også typisk en reboot efter installationen, hvis der installeres nye system-opdateringer som f.eks. en opdateret Linux-kernel.

Hvis du ikke ønsker at opdatere system-pakkerne, men kun applikations pakkerne, kan du “dist-upgrade” udskiftet med “upgrade”, således:

sudo apt update
sudo apt upgrade


Skal jeg genstarte?

Når en opdatering er færdig, kan du se, om det er nødvendigt at genstarte ved at logge af- og på igen. Her vil teksten “*** System restart required *” vises, såfremt der anbefales en reboot.



Du kan også tjekke selvsamme, ved at se I filen /var/run/reboot-required med følgende kommando:

$ cat /var/run/reboot-required
*** System restart required ***


Hvis filen eksisterer og indeholder en tekst som her, skal serveren genstartes efter opdateringer.

Brugeradgange og SSH

Deaktiver root-login
Vi har leveret serveren med en bruger-adgang, der er døbt user00000 hvor tallet repræsentere dit kundenummer. Denne bruger er medlem er “sudoers”-gruppen, hvilket betyder at den opgradere sig til root vha. “sudo”-kommandoen.

Vi har ikke deaktiveret root-adgang via SSH, men det kan nemt gøres med følgende kommando:

sudo sed -i "/^[^#]*PermitRootLogin[[:space:]]yes/c\PermitRootLogin no" /etc/ssh/sshd_config

Nu kan du kun logge på SSH med andre brugere end root.

Tip: Husk at genstarte serveren (eller sshd-servicen) efter ændringer

Brug SSH-keys
I stedet for passwords anbefaler vi stærkt at du opsætter en SSH-nøgle til authentication.

Dette gøres ved at indsætte din pubkey i filen: ~/.ssh/authorized_keys og efterfølgende deaktiverer password-login i SSH-opsætningen med følgende kommando:

sudo sed -i "/^[^#]*PasswordAuthentication[[:space:]]yes/c\PasswordAuthentication no" /etc/ssh/sshd_config

Læs mere om SSH-nøgler i vores artikel herom: Linux: Sådan kommer du i gang med SSH nøgler på din Mac

Tip: Husk at genstarte serveren (eller sshd-servicen) efter ændringer.

Skift SSH-porten
Rigtig mange bots, hackers mm. scanner internettet igennem ugentligt for alle IP-adresser der lytter på de gængse porte som f.eks. port 22 for SSH.

For at blive ekskluderet af dise scan-lister, og for at undgå utallige bots der hamre imod din server, kan du enten lukke helt ned for port 22 til at udvalg af IP-adresser, eller du kan ændre port 22 til noget andet.

Hvis du ikke har mulighed for at lukke ned til et udvalg af IP-adresser, hvis du f.eks. ikke har en statisk fast IP-adresse på din egen Internet-forbindelse, kan det med fordel anbefales af ændre SSH-port nummeret. Dette kan gøres med følgende kommando.

I eksemplet her ændre vi default SSH-port fra 22 til 49303. Vælg evt. en anden port:

sed -i "/^[^#]*#Port[[:space:]]22/c\Port 49303" /etc/ssh/sshd_config

Tip: Husk at genstarte serveren (eller sshd-servicen) efter ændringer

Det betyder også at når du logger ind fremover, skal du huske at angive port-nummeret, f.eks.

ssh user00000@srv.cloudip.dk -p 49303

Opsæt firewall
På din Cloudserver kan du tilkøbe en Hardware Cloud-Firewall. Der er mange fordele ved at vælge en managed Hardware Cloud-Firewall løsning fremfor en software-firewall, men den vigtigste årsag ligger i, at pakker filteres fra inden de overhoved rammer din server. Dette ikke kun øger sikkerheden væsenligt, men er også med at mindske loadet på din server. Kontakt kundeservice for priser og mere information om Hardware Cloud-firewall.

Hvis du ikke har en Hardware Cloud-Firewall, anbefaler vi at du opsætter en software-firewall på din server.

Software firewall
Inden du aktivere en software-firewall, skal du være sikker på, at du ikke lukker sig selv ude.

Har du en fast offentlig IP-adresse, kan du starte med at whiteliste denne, så din IP altid har fuld adgang til serveren. Hvis du ikke har en fast IP, er det vigtigt du får åbnet op for din SSH-port, inden du aktiverer firewallen

Åbn for specifikke IP-adresser

Når du arbejder med UFW, kan du angive IP-adresser som du vil tillade forbindelser fra. Det betyder at den angivne IP-adresse får fuld adgang til alle porte på serveren. Det kan f.eks. være en arbejds- eller hjemme-IP-adresse. I eksemplet her åbnet vi for IP-adresse 87.51.7.3

sudo ufw allow from 87.51.7.3

Åbn for en specifik port

Du kan åbne for de porte der skal have adgang til serveren. Hvis du f.eks. har en webserver kørende, skal du åbne for port 80 og 443.

sudo ufw allow 80
sudo ufw allow 443


Hvis ud ikke har åbnet for din IP-adresse iht. eksemplet herover, skal du åbne for SSH-porten.
Hvis du konfigurerede din SSH-daemon til at bruge en anden port end port 22, skal du naturligvis angive den korrekte port. For eksempel, hvis din SSH-server lytter til port 49303, kan du bruge denne kommando til at tillade forbindelser på den port:

sudo ufw allow 49303

Aktiver firewall

Du kan nu aktivere din firewall

sudo ufw enable
Hjalp denne artikel dig?
Annuller
Tak!