Setul minim de măsuri pentru securizarea unui server Linux: actualizări, chei SSH, firewall, fail2ban, schimbarea portului SSH.
Se aplică la:
✔ VPS
✔ Servere dedicate
✔ Linux
apt update && apt upgrade -y
Configurați actualizările automate de securitate:
apt install unattended-upgrades -y
dpkg-reconfigure -plow unattended-upgrades
Generați o cheie pe calculatorul local:
ssh-keygen -t ed25519
Copiați pe server:
ssh-copy-id root@IP_SERVER
Asigurați-vă că autentificarea cu cheie funcționează. Apoi dezactivați autentificarea cu parolă în /etc/ssh/sshd_config:
PasswordAuthentication no
PermitRootLogin prohibit-password
systemctl restart sshd
În /etc/ssh/sshd_config:
Port 2222
Deschideți noul port în firewall înainte de repornire:
ufw allow 2222/tcp
systemctl restart sshd
Conectare:
ssh -p 2222 root@IP_SERVER
ufw default deny incoming
ufw default allow outgoing
ufw allow 2222/tcp
ufw allow 80/tcp
ufw allow 443/tcp
ufw enable
Verificați regulile:
ufw status
apt install fail2ban -y
Creați /etc/fail2ban/jail.local:
[sshd]
enabled = true
port = 2222
maxretry = 3
bantime = 3600
systemctl enable fail2ban
systemctl start fail2ban
Listați serviciile active:
systemctl list-units --type=service --state=running
Dezactivați pe cele inutile:
systemctl disable --now NUME_SERVICIU
adduser admin
usermod -aG sudo admin
Lucrați sub acest utilizator, folosind sudo pentru operațiuni privilegiate.
ufw status
fail2ban-client status sshd
ss -tlnp
Asigurați-vă că sunt deschise doar porturile necesare.
Dacă pierdeți accesul la server după configurarea firewall-ului, conectați-vă prin consola VNC/IPMI și corectați regulile. Dacă este necesar, contactați suportul tehnic.
