Jak bezpiecznie skonfigurować mój pierwszy serwer VPS?

1. Co to jest server VPS? (Virtual Private Server)

Wirtualny serwer prywatny (VPS) to idealne rozwiązanie dla tych, którzy potrzebują większej kontroli i elastyczności niż w przypadku tradycyjnego hostingu. VPS zapewnia dedykowane zasoby, większe bezpieczeństwo(poprawnie skonfigurowany) i wydajność. To doskonały wybór dla rozwijających się firm, programistów i stron o dużym ruchu. Dzięki VPS możesz łatwo skalować swoje zasoby, zarządzać aplikacjami i cieszyć się niezależnością serwera dedykowanego w przystępnej cenie.

2. Dlaczego wybrać VPS zamiast Hostingu Współdzielonego?

Wybór VPS zamiast hostingu współdzielonego zapewnia większą wydajność, bezpieczeństwo i elastyczność. VPS daje dedykowane zasoby, co eliminuje ryzyko spadku wydajności przez innych użytkowników. Oferuje także pełną kontrolę nad konfiguracją serwera i możliwość dostosowania zasobów do indywidualnych potrzeb. Idealny dla stron o większym ruchu i firm, które potrzebują stabilności oraz lepszej ochrony danych.

Ponad to kiedy korzystamy z usług Hostingu Współdzielonego jestesmy w stanie uruchomić tylko jedną aplikację, przypisaną do danego hostingu. Jesteśmy w ten sposób ograniczeni technologicznie oraz kosztowo. Aktualnie ceny Hostingów Współdzielonych zaczynają się zazwyczaj od 100 zł za rok, natomiast taniego VPS będziemy w stanie dostać już nawet od 260 zł za rok.

Spytacie się, gdzie pojawia się ta oszczędność VPS nad Hostingiem Współdzielonym?Otóż, tak jak wspominałem wcześniej, na Hostingu Współdzielonym jesteśmy w stanie odpalić tylko jedną stronę internetową, natomiast VPS umożliwia nam hostowanie nieograniczonej ilości stron, którą ograniczają tylko nasze zasoby systemowe.

Warto również na sam konieć wspomnieć o bardzo ważnym aspekcie jakimi są ograniczenia technologiczne Hostingów Współdzielonych. Ponad 90% providerów Hostingów Współdzielonych w głównej mierze nastawiona jest na obsługę aplikacji typy Wordpress, przez co może się okazać niemożliwe uruchomienie na takie usłudze aplikacji opartych o technologie typu React, Laravel, Django czy .NET

3. Gdzie zakupić serwer VPS?

Zakup serwera VPS warto rozważyć u renomowanych dostawców, takich jak OVH, Hetzner, Hostinger, Google czy DigitalOcean. Kluczowe kryteria to niezawodność, wydajność oraz wsparcie techniczne. Koniecznie zwróć uwagę na lokalizację serwerów, opcje skalowalności i dostępność dodatkowych usług, takich jak backupy, zewnętrzny firewall i ochrona DDoS. Porównaj oferty i zdecyduj się na rozwiązanie adekwatne do Twoich potrzeb.

Osobiście obsługuję swoich klientów za pomocą rozwiązań firmy Hostinger (artykuł niesponsorowany, niestety...).

Firma ta oferuje oferuje nam VPS w bardzo przystępnych cenach. Do wyboru mamy lokacje serwerów na całym świecie. Dodatkowo mamy dostęp do takich funkcjonalności jak Zewnętrzny Firewall, Tygodniowe Backupy(w cenie), Podstawowy monitoring serwera, czy podstawowego antywirusa.

Zanim zaczniesz działania z VPS

Zanim rozpoczniemy bezpieczną konfigurację naszego serwera VPS musisz mieć z tyłu głowy jedną bardzo ważną kwestię, mianowicie fakt, że Linux jako system oepracyny posiada bardzo wiele różnych dystrybucji, które różnią się nie tylko zastosowaniami, ale również i architekturą. Oznacza to, że w zależności od wybranej dystrybucji może okazać się konieczne wykorzystywanie innych komend w celu wykonania danych operacji.

Osobiście używam systemu Ubuntu i niniejszy tutorial został napisany z myślą o użytkownikach tego systemu. Jeśli kożystasz z innej dystrybucji Linuxa nic jeszcze nie zostało stracone.

W dalszym ciągu możesz wykrozystać niniejszy materiał jednakże samodzielnie będziesz musiał znaleźć w kilku miejscach adekwatne komendy dla twojej dystrybucji systemu operacyjnego.

Ponadto niniejszy artykuł zakłada, że posiadasz już dokonany deployment swojego Linuxa i jesteś w stanie zalogować się do niego za pomocą SSH.

Jeśli nie wiesz jak samodzielnie dokonać takiej czynności zapraszam Cię do niniejszego artykułu w którym razem, krok po kroku instalujemy naszego Linuxa na serwerach zewnętrznego Dystrybutora Serwerów VPS

1. Jak zalogować się do Linuxa? (SSH)

SSH (Secure Shell) to protokół sieciowy zapewniający bezpieczną komunikację między komputerami. Umożliwia zdalne logowanie, zarządzanie serwerami i przesyłanie plików, chroniąc dane dzięki szyfrowaniu. SSH jest niezastąpiony dla administratorów systemów i programistów, gwarantując prywatność i integralność informacji. Jest standardowym narzędziem w zarządzaniu serwerami, stosowanym w różnych środowiskach IT.

W trakcie pierwszego logowania zostaniesz poproszony o potwierdzenie utworzenia kluczy. Po akceptacji zostaniesz połączony ze swoim serwerem.

2. Jak zaktualizować system Linux? (Ubuntu)

Pierwszym krokiem po zalogowaniu do nowej maszyny powinna być jej aktualizacja. Jeśli poznałeś już podstawy Linuxa poniższe komendy nie powinny być Ci obce.

Zanim zaczniesz działania konfigurację Firewall'a

Zapora sieciowa jest podstawowym narzędziem do kontrolowania ruchu przychodzącego i wychodzącego z Twojego serwera. Jest ona pierwszym elementem całego systemu do którego docierają wszelkie zapytania kierowane na Twój serwer VPS. Poprawnie skonfigurowana zapora sieciowa jest w stanie niemalże całkowicie zabezpieczyć nasz system, ale i również w przypadku zbyt agresywnego jej zaprogramowania możemy zablokować dostęp do naszych aplikacji sieciowych.

Zanim przejdziemy do sedna sprawy, warto abyś wiedział, że wyróżniamy 2 typy firewall-ów:

• Firewall Zewnętrzny (np. ten od dostawcy VPS)
• Firewall Wewnętrzny (aktywny bezpośrednio na naszym Linuxie)

Zapora sieciowa działa jako swego rodzaju filtr przez który przechodzą wszystkie zapytania kierowane na nasz serwer. To od nas zalezy na jaki ruch zezwolimy. Konfiguracja zapory w głównej mierze opiera się na dostepie do poszczególnych Portów naszego systemu.

Gdybyś miał problemy z uruchomieniem jakieś aplikacji na serwerze produkcyjnym upewni się w pierwszej kolejności, że port na któym nadaje dana aplikacja nie jest zablokowany przez jeden z wyżej wymionych Firewall’i

1. Jak skonfigurować zewnętrzny firewall?

Jeśli Twój provider serwera VPS nie posiada w swojej ofercie Zewnętrznego Firewalla możesz bez żadnych przeszkód pominąć ten etap.
Nie jest on konieczny, z uwagi na fakt, że wewnętrzna Linuxowa implementacja Firewall’a powinna być w 100% wystarczalna.

Zewnętrzny Firewall pełni funkcję dodatkowego zabezpieczenia, które ułatwia pracę w głównej mierze za pomocą GUI.

Poniżej znajduje się przykładowa konfiguracja mojego zewnętrznego firewalla u providera Hostinger.

• Blokuje ona dostępy do wszystkich dostępnych portów TCP oraz UDP
• Otwiera porty 80 i 443 (Aplikacje Webowe)
• Otwiera port 22 dla wskazanego adresu IP (SSH z filtrem IP)

2. Jak skonfigurować firewall Linux? (UFW)

Przyszła pora na to co tygrysy lubią najbardziej, czyli powrót do starego i sprawdzonego Command Line’a.
Poniżej zaimplementujemy dokładnie to samo rozwiązanie co w Zewnętrznym Firewall’u.

W tym celu wykorzystamy uproszczony interfejs zarządzania Firewall’em Linuxa zwany UFW (Uncomplicated Firewall)
Dokonamy następujących czynności:

• Zablokujemy wszystkie połączenia przychodzące
• Odblokujemy wsyzstkie połączenia wychodzące
• Zezwolimy na dostęp do SSH (Port 22)
• Zezwolimy na dostep do portów 80 i 443

Tym sposobem udało nam się skonfigurować nasz wewnętrzny Firewall w bezpieczny sposób. Zablokowalismy dostęp do wszystkich portów i zezwoliliśmy tylko na dostep do SSH (Port 22) oraz portów 80, 443 na których w przyszłości będzie nasłuchiwało nasze Reverse-Proxy w celu Hostowania naszych aplikacji webowych.

1. Jak utworzyć nowego użytkownika sudo Linux?

Użytkownik z uprawnieniami sudo inaczej nazywany jest Superuserem, ze względu na fakt posiadania możliwości wykonywania akcji zarezerwowanych tylko dla Roota. Konto które posiada takie uprawnienia można nazwać mianem konta administracyjnego.

2. Jak utworzyć klucze SSH dla nowego użytkownika Linux?

W następnej sekcji zwiększymy bezpieczeństwo naszego serwera zezwalając na logowanie do niego tylko za pomocą Kluczy SSH.
Na poczatku tego tutoriala wykorzystałeś do zalogowania się do serwera po SSH swojego hasła dla danego użytkownika.

Podejście takie jest o tyle niebezpieczne, że w skrajnych przypadkach, kiedy Twoje hasło zostanie skompromitowane, nieuprawniona osoba otrzyma dostęp do Twojego serwera VPS, dzięki czemu będzie z nim mogła zrobić co tylko jej się spodoba.

Rozwiązaniem tego problemu jest ograniczenie logowania SSH tylko do wykorzystania Kluczy SSH.
W takim przypadku, tak długo jak Twój plik z kluczem będzie bezpiecznie u Ciebie składowany, tak długo nikt nie będzie w stanie zalogować się do Twojego serwera za pomocą SSH.

Niniejszy tutorial zakłada, że nie posiadasz na swoim Lokalnym Komputerze jeszcze żadnych kluczy SSH

Wykorzystanie tej komendy spowoduje utworzenie dwóch plików na Twoim Lokalnym komputerze pod następującą ścieżką C:\Users\user-name\.ssh

• id_rsa - Twój prywatny klucz SSH (Umieść na VPS)
• id_rsa.pub - Publiczny Klucz SSH (Wykorzystaj w celu zalogowania)

3. Jak dodać klucze SSH do nowego użytkownika Linux na VPS?

Kolejnym krokiem jest odpowiednie przygotowanie konta użytkownika Linux, które stworzyłeś w pierwszym podpunkcie ninijeszego etapu.

Do wykonania mamy następujące kroki:

1. Skopiowanie Klucza Publicznego z komputera Lokalnego na nasz Server VPS
2. Dodanie Klucza Publicznego do konta naszego nowego Użytkownika Linux
3. Przetestowanie konfiguracji (Koniecznie)

Zostaniesz poproszony o wprowadzenie hasła dla stworzonego przez Ciebie nowego użytkownika.
Kiedy wszystko przejdzie pomyślnie, powinineś posiadać plik id_rsa.pub w folderze .ssh swojego nowego użytkownika Linux.

Tym sposobem poprawnie dodałeś swój Klucz SSH do Autoryzowanych kluczy na serwerze.
W kolejnych etapach poradnika dowiesz się jak aktywować możliwość logowania za pomocą Kluczy SSH

1. Jak zmienić domyślny port SSH?

SSH (Secure Shell) to protokół używany do zdalnego zarządzania serwerem. Domyślne ustawienia SSH mogą być potencjalnie niebezpieczne, dlatego warto je odpowiednio skonfigurować.

Domyślny port SSH (22) jest często celem ataków. Zmiana portu na inny może utrudnić potencjalnym hakerom dostęp do serwera.

Zapisz zmiany

2. Jak wyłączyć logowanie do root'a Linux?

Logowanie się jako root bezpośrednio przez SSH jest niebezpieczne. Lepszym rozwiązaniem jest użycie konta użytkownika z uprawnieniami sudo.

3. Jak włączyć logowanie za pomocą kluczy SSH w Linuxie?

Dlaczego powinnismy stosować klucze SSH zostało wyjaśnione w poprzednim rozdziale. Jednakże nadal nie wiemy jak pozwolić na ich wykorzystanie.

4. Jak zrestartować serwis SSH w Linuxie?

W celu wprowadzenia dokonanych przez nas zmian konieczny będzie restart serwisu SSH

5. Jak wykorzystać klucz SSH do zalogowania się do Linuxa?

Zanim przejdziemy dalej upewnij się, że Twoje klucze SSH zostały pomyślnie skonfigurowane.

Kiedy jesteś już w 100% pewny że Twoje klucze SSH działają poprawnie możesz przejść do kolejnego podpunktu.

6. Jak zablokować logowanie SSH do Linuxa z wykorzystaniem hasła?

Niniejsza operacja jest opcjonalna, jednakże jej implementacja w znaczny sposób podwyższa bezpieczeństwo Twojego serwera VPS.

Ponownie otwórz plik sshd_config i sprawdź jaki katalog zawiera w pierwszej linijce.
W moim przypadku jest to /etc/ssh/sshd_config.d

Przejdz do powyższego katalogu i sprawdź jakie pliki zawiera

W moim przypadku otrzymałem następujące rezulataty

Wskazane pliki są dodatkowymi plikami konfiguracyjnymi SSH utworzonymi zazwyczaj przez Twojego dostawcę serwerów VPS.
Sprawdź jakie informacje zawierają Twoje pliki.
W moim przypadku plik który wymaga zmiany wygląda w sposób następujący

Edytuj każdy z plików, który zawiera powyższą linijkę tekstu zmieniając opcję “yes” na “no”

W tym momencie powinniśmy wylogować się już z powłoki roota i zacząć korzystać z naszego nowo utworzonego konta Administratora.

1. Co to jest Fail2Ban?

Fail2Ban to narzędzie zabezpieczające serwery przed nieautoryzowanym dostępem. Monitoruje logi systemowe, wykrywając podejrzane aktywności, takie jak wielokrotne nieudane próby logowania. W przypadku wykrycia takiego zachowania, Fail2Ban blokuje adres IP źródła na określony czas, zmniejszając ryzyko ataków brute-force. Działa z różnymi usługami, jak SSH, Apache, czy Postfix, zapewniając elastyczną i skuteczną ochronę.

W poniższej części tego kursu poznasz podstaswy konfiguracji oraz wykrozystania niniejszego narzędzia.

2. Jak zainstalować Fail2Ban?

3. Jak skonfigurować Fail2Ban?

Usługa Fail2Ban przechowuje swoje dane konfiguracyjne w pliku jail.conf, który można znaleźć w katalogu /etc/fail2ban.
Zanim przejdziemy dalej sprawdźmy co kryje się w pierwszych 20 linijkach tego pliku.

Łatwo zauważyć, że na poczatku pliku wszystkie pola oznaczone są jako komentarze, o czym świadczy znak # na początku każdej lini.
Dane te służą jak wstępna instrukcja obsługi narzędzia Fail2Ban.

Najważniejszą informacją jest fakt, aby bezpośrednio NIE zmieniać pliku jail.conf, a wszelkich zmian dokonywać za pomocą pliku jail.local

Kiedy podstawy mamy już za sobą, pora dowiedzieć się jak skonfigurować fail2ban.

Przeglądając plik jail.local możemy zauważyć, że w lini 41 znajduje się początek podstawowej konfiguracji Fail2Ban.

Jeśli zejdziemy nieconiżej możemy dowiedzieć się, że:

• Maksymalna próba niudanych prób logowania może wyniesc max 5 (Linia 108)
• Okno czasowe wykrywania nieudanych prób logowania wynosi 10m (Linia 105)
• Czas banowania IP wynosi 10m (Linia 101)

Powyższe parametry mówią nam, że jeżeli klient wykona 5 niepoprawnych prób logowania w przeciągu 10 minut to jego IP zostanie zbanowane na 10 minut. Po tym czasie jego adres IP zostanie ponownie odblokowany.

4. Jak odczytać logi Fail2Ban?

Fail2Ban posiada również własny system logów który jest zkorelowany z innymi najwazniejszymi logami systemowymi.
Za jego pomocą możemy sprawdzić wszystkie najwazniejsze zdzarzenia jakie zostały zarejestrowane przez nasz system.

Poświęć 15 minut na samodzielną analize powyższych logów aby dogłębnie zrozumieć ich naturę.
Pamiętaj, że nawięcej wiedzy zdobywasz poprzez samodzielną naukę oraz zaparte zgłębianie tematów Twoich zaineresowań.
Najwazniejsze jest umiejętne zadawanie sobie samemu pytań: Jak?, Czemu?, Po Co? Kiedy?

Przykładowe pytania:

• Jak sprawdzić adres IP osóby która ostatnio podjęła próbę logowania SSH na mój VPS?
• W jaki sposób dana osoba dokonała autoryzacji z moim Serwerem VPS?
• Czy dany adres IP został poprawnie zbanowany przez Fail2Ban?

5. Jak zweryfikować, czy Fail2Ban działa poprawnie?

Do tej pory udało już nam się posiąść naprawdę duzy i wartościowy kawałek wiedzy. Jednakże wiedza teorytyczna a wiedza praktyczna, zwłaszcza w dziedzinach IT bardzo lubi mijać się z prawdą. Po każdym zaimplementowaniu nowego rozwiązania na swoim serwerze powinieneś być w stanie przetestować, czy dane rozwiązanie działa prawidłowo. Sama umiejętność zainstalowania danego serwisu nie jest niczym trudnym. Najważniejsza jest odpowiednia konfiguracja danego rozwiązania oraz jego stałe testowanie i ulepszanie adekwatnie do wykorzystywanych przez nas technologii.

W celu dokonania podstawowych testów Fail2Ban wykonamy kilka prób logowania do naszego Servera VPS za pomocą SSH.
W tym celu otwórz nowy terminal, takbyś jednocześnie miał dostep do terminalu w którym jesteś połączony ze swoim VPS, oraz pustego nowego okna.

Jeśli wybrałeś drugą metodę zakłądającą malformację klucza id_rsa powinieneś w tym momencie zostać poproszony o hasło.
Wprowadź maksymalnie 3 razy niepoprawne hasło.

W logach powinnia widnieć informacja o Twoim adresie IP oraz nieudanych próbach zalogowania.
Przeczytaj te logi i upewni się, że rozumiesz ich przekaz.

W tym momencie jeśli wszystko poprawnie działa Twój adres IP powinien zostać zablokowany na 10 minut. Niestety, jeśli nie dysponujesz drugim adresem IP musisz odczekać ten czas, dopiero wtedy będziesz w stanie ponownie zalogować się do swojego serwera VPS. Pamiętaj tylko aby tym razem przywrócić kopię swojego pliku id_rsa.

6. Podsumowanie Fail2Ban

W niniejszym rozdziale nauczyliśmy się minimalnej i podstawowej konfiguracji oraz działania serwisu Fail2Ban. Z faktu iż ten pordanik ma na celu wprowadzenie Ciebie do świata samodzielnej konfiguracji VPS nie jestem w stanie opisać tutaj szczegółów tego narzędzia.

Zachęcam Ciebie do samodzielnej eksploracji. Pamiętaj, że dzięki Google i Chat-GPT będziesz w stanie samodzielnie zgłebić wszelkie tajniki tego narzędzia. Wiedza którą pozyskasz w ten sposób utrwali się w zdecydowanie lepszy sposób, gdyż samemu krok po kroku będziesz musiał poznawać kolejne etapy działania danego rozwiązania.

Nie zapomnij również stale sprawdzać mojej strony, prawdopodobnie w przyszłości pojawi się tutaj bardziej obszerny i kompleksowy artykuł na temat zaawansowanej konfiguracji usługi Fail2Ban

1. Co to jest ClamAV?

ClamAV, czyli Clam AntiVirus, to jedno z najpopularniejszych i najbardziej wszechstronnych narzędzi do wykrywania wirusów w systemach Linux. Jego otwartoźródłowy charakter, regularne aktualizacje i możliwość integracji z różnorodnymi systemami sprawiają, że jest on idealnym wyborem dla administratorów dbających o bezpieczeństwo swoich serwerów.

ClamAV zostało pierwotnie zaprojektowane głównie z myślą o systemach Linux, choć dostępne jest również na inne platformy, takie jak Windows i macOS. Oferuje ono szereg funkcji, które pomagają w wykrywaniu i usuwaniu złośliwego oprogramowania, w tym wirusów, trojanów, malware i innych zagrożeń. Składa się z 3 podstawowych elementów:

• ClamD: Daemon, który odpowiada za skanowanie w tle.
• ClamScan: Narzędzie wiersza poleceń, które umożliwia ręczne skanowanie plików.
• FreshClam: Usługa odpowiedzialna za automatyczne aktualizacje bazy danych wirusów.

2. Jak zainstalować ClamAV?

3. Jak skonfigurować ClamAV?

Domyślna konfiguracja ClamAV powinna być odpowiednia dla większości użytkowników.
Mimo wszystko edytować plik konfiguracyjny ClamAV, aby dostosować ustawienia do swoich potrzeb.

4. Jak przeskanować system Linux za pomocą ClamAV?

Kilka słów na zakończenie

Na samym poczatku chciałbym podziękować Ci za cierpliwość i pogratulować wytrwałości. Mam nadzięję, że niniejszy artykuł był dla Ciebie zrozumiały. W razie gdybyś miał jakieś problemy zawsze możesz odezwać się do mnie prywatnie w celu otrzymania pomocy.

Jak sam widzisz, bezpieczna konfiguracja Twojego nowego serwera VPS wcale nie jest taka trudna jakby się to wydawało. Działanie to tak na prawdę, w głównej mierze opiera się na pewnych powielanych schamatach, które wraz z upływem czasu są aktualizowane o bezpieczniejsze rozwiązania. Serwer który dzisiaj przygotowaliśmy możesz wykorzystać do hostowania swoich pierwszych aplikacji. Jest on bezpiecznie skonfigurowany i nie powinien pozwolić na włam.

Niniejszy artykuł jest pierwszym z serii kursu "Od zera do DevOps'era". Pamiętaj że jest to dopiero pierwszy etap, w którym wspólnie przygotowaliśmy podłoże pod postawienie naszej aplikacji webowej. Skupiliśmy się przede wszystkich na podstawach, czyli na tym aby nasza infrastruktura serwerowa była bezpieczna już od pierwszego jej uruchomienia.

W kolejnych cześćiach kursu poznamy kolejne kroki mające na celu kompletny deployment aplikacji webowej za pomocą technologii Docker. Poznamy podstawy bezpiecznego Tworzenia obrazów Dockera, poznamy szczegóły komendy Docker Compose oraz finalnie udostepnimy naszą aplikację światu za pomocą narzędzia jakim jest Traefik. Przed nami masa dobrej zabawy. Nie zapomnij obserwować mojej strony aby być na bieżąco z najnowszymi kursami.