tips mengamankan vps

Berikut ini adalah panduan sederhana dan mudah untuk meningkatkan keamanan VPS.

ubah port ssh

Salah satu titik serangan yang paling umum adalah port 22. Mengubah ini membuat banyak dari mereka putus asa dan juga skrip diatur untuk memeriksa port itu. Untuk mengubah port lakukan hal berikut:

nano /etc/ssh/sshd_config

Anda harus menemukan garis yang terlihat seperti:

#Port 22

Un-comment this line and change the port number. A port number above 1024 is recommended.
This section of your sshd_conf should now look like:

Hapus komentar pada baris ini dan ubah nomor port. Disarankan nomor port di atas 1024.
Bagian sshd_conf Anda sekarang akan terlihat seperti:

Port 2222
#AddressFamily any
#ListenAddress 0.0.0.0
#ListenAddress ::

Anda sekarang dapat menyimpan dan keluar dari nano (Ctrl x) dan memulai kembali layanan SSHD dengan mengeluarkan perintah berikut:

service sshd restart

PENTING: Pastikan Anda dapat terhubung ke SSH menggunakan port baru. Biarkan sesi SSH Anda saat ini terbuka dan buka sesi baru menggunakan port baru yang Anda atur di atas. Jika Anda dapat terhubung ke sesi SSH baru di port baru, semuanya baik-baik saja. Jika Anda tidak bisa, maka Anda perlu mencari tahu alasannya. Inilah sebabnya mengapa Anda membiarkan sesi SSH asli terbuka, jika tidak, Anda akan dikunci dari server Anda.

Anda mungkin perlu menambahkan port baru di IPTables Anda.

Pertama, buka aturan IPtables Anda:

nano /etc/sysconfig/iptables

Selanjutnya cari baris COMMIT dan tambahkan berikut ini di atasnya pastikan untuk mengubah #### ke port yang Anda tetapkan untuk SSH:

iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport #### -j ACCEPT

YAnda sekarang dapat menyimpan dan keluar dari nano (Ctrl x) dan memulai kembali layanan IPtables:

service iptables restart

Anda sekarang harus mencoba terhubung ke SSH lagi. Jika Anda masih tidak dapat terhubung, sebaiknya atur port SSH Anda kembali ke 22 dan hubungi penyedia layanan Anda untuk mendapatkan bantuan.

Use strong passwords for everything

Salah satu penyebab paling umum dari pelanggaran sistem adalah kata sandi yang lemah. Untuk kata sandi yang kuat, ikuti beberapa pedoman sederhana:

• Panjang kata sandi minimum harus 10 karakter
• Selalu gunakan campuran angka, huruf, huruf besar, huruf kecil, dan simbol (jika diizinkan)
• Contoh Kata Sandi Kuat – T = ep @ Uy * ST

Jika Anda perlu mengubah kata sandi root Anda, keluarkan perintah berikut dan ikuti petunjuknya:

passwd

Disable Root User

Ini adalah risiko keamanan untuk tetap mengaktifkan pengguna root. Sebagian besar operasi dan pemasangan tidak boleh dilakukan dengan menggunakan root. Sebagai gantinya, buat pengguna biasa dan jika Anda membutuhkan hak akses root, gunakan perintah su.

To add a user, do the following replacing “namehere” with your desired username:

useradd namehere
passwd namehere

Sekarang, nonaktifkan login root ke SSH dengan mengedit file sshd_config Anda:

nano /etc/ssh/sshd_config PermitRootLogin no (make sure you remove the #)

Sekarang simpan dan keluar dari Nano (Ctrl x) dan mulai ulang SSHd:

service sshd restart

Restrict SSH access by IP using IPtables

Ini menambahkan sejumlah besar keamanan tetapi pastikan Anda memiliki IP statis.

Pertama buka aturan IPtables Anda:

nano /etc/sysconfig/iptables

temukan baris COMMIT dan tambahkan berikut ini di atasnya pastikan untuk mengubah #### ke port yang Anda tetapkan untuk SSH dan 192.168.0.1 ke alamat ip Anda:

iptables -A -INPUT -p tcp -s 192.168.0.1 –dport #### -j ACCEPT

YSetiap server memerlukan sesuatu untuk mengakses rootkit, backdoors, hash MD5 (file perubahan), file tersembunyi dll .. dll .. dan RKHunter rumit dalam hal ini.

service iptables restart

Install RkHunter

Setiap server memerlukan sesuatu untuk memeriksa rootkit, backdoors, hash MD5 (perubahan file), file tersembunyi dll .. dll .. dan RKHunter hebat dalam hal ini.

Untuk menginstal RKHunter, keluarkan perintah berikut:

cd /usr/local/src
wget http://sourceforge.net/projects/rkhunter/files/rkhunter/1.4.0/rkhunter-1.4.0.tar.gz/download 
tar -zxvf rkhunter-1.4.0.tar.gz
cd rkhunter-1.4.0
./installer.sh --layout default --install/usr/local/bin/rkhunter --update/usr/local/bin/rkhunter --propupd
rm -rf /usr/local/src/rkhunter*

Anda perlu mengatur cron harian sehingga rkhunter akan memeriksa versinya dan memperbarui jika diperlukan serta menjalankan pemindaian. Kami juga akan mengaturnya sehingga akan mengirimi Anda laporan harian melalui email.

Buat dan buka di nano skrip tugas / shell cron baru dengan mengeluarkan perintah di bawah ini:

nano -w /etc/cron.daily/rkhunter.sh

Sekarang tambahkan yang berikut memastikan untuk mengganti “PutYourServerNameHere” dengan nama host server Anda dan “your@email.here” dengan alamat email Anda:

#!/bin/sh(/usr/local/bin/rkhunter --versioncheck/usr/local/bin/rkhunter --update/usr/local/bin/rkhunter --cronjob --report-warnings-only)
/bin/mail -s 'rkhunter Daily Run (PutYourServerNameHere)' your@email.here

Jika Anda tidak tahu nama host server Anda, Anda dapat menemukannya dengan mengetikkan nama host di jendela ssh Anda. Anda harus keluar (Ctrl x) nano terlebih dahulu atau membuka sesi lain.

Anda juga perlu mengamankan skrip agar hanya dapat digunakan oleh root. Untuk melakukan ini, keluarkan perintah berikut:

chmod 700 /etc/cron.daily/rkhunter.sh

Sekarang coba dan pastikan itu berjalan ok. Untuk menjalankan rkhunter secara manual, keluarkan perintah berikut:

rkhunter -c -sk

Itu dia. Anda selesai dan server Anda menjadi jauh lebih aman!

Install CSF (Config Server Firewall)

CSF mencakup berbagai jenis perlindungan dan jauh lebih ramah pengguna daripada menggunakan IPTables secara langsung.

Jika Anda tidak yakin apakah Anda memasang Perl, jalankan perintah berikut:

perl -v

Jika perl diinstal, itu akan mengembalikan versi mana. Jika tidak diinstal, jalankan perintah berikut untuk menginstalnya:

yum install perl perl-libwww-perl perl-Time-HiRes -y

Sekarang Anda dapat menginstal CSF dengan perintah di bawah ini:

rm -fv csf.tgz
wget http://www.configserver.com/free/csf.tgz
tar -xzf csf.tgz
cd csf
sh install.sh

Pastikan Anda memiliki modul iptable yang diperlukan dengan mengeluarkan perintah berikut:

perl /etc/csf/csftest.pl

Ada kemungkinan bahwa Anda akan kehilangan beberapa modul, tetapi selama tes tidak mengembalikan kesalahan fatal, Anda harus baik-baik saja. Anda mungkin kehilangan beberapa fungsionalitas CSF dengan modul yang hilang tetapi itu akan berfungsi.

Ketika Anda menginstal CSF, itu secara otomatis memasukkan daftar putih IP Anda. Itu juga dimulai dalam mode uji yang berarti itu membersihkan aturan setelah setiap 5 menit. Pastikan Anda membiarkannya dalam mode uji sampai Anda yakin konfigurasi Anda berfungsi dengan baik. Jika Anda benar-benar mengunci diri, tunggu selama 5 menit dan Anda akan dapat masuk lagi. Konfigurasi stok baik untuk sebagian besar server meskipun beberapa perubahan harus dilakukan.

IJika Anda mengubah port SSH Anda di atas, Anda harus memastikan untuk menambahkannya ke konfigurasi CSF Anda. Untuk mengedit konfigurasi csf, keluarkan perintah berikut:

nano /etc/csf/csf.conf

Hal pertama yang diedit adalah port TCP. Anda dapat menghapus port 22 pada inbound dan outbound karena SSH menggunakan port baru Anda yang seharusnya sudah ditambahkan ke akhir baris inbound, jika tidak maka tambahkanlah. Anda juga perlu menambahkannya ke TCP keluar:

# Allow incoming TCP portsTCP_IN = "20,21,25,53,80,110,143,443,465,587,993,995,####"
# Allow outgoing TCP portsTCP_OUT = "20,21,22,25,53,80,110,113,443,####"

Lokasi berikutnya CONNLIMIT = “”
Anda harus membatasi jumlah koneksi konkuren per IP pada port yang paling umum diserang yaitu 21 (FTP), 80 (HTTP), dan port SSH baru Anda. Pengaturan ini hanya untuk TCP.

CONNLIMIT = "21;5,####;5,80;20"

Selanjutnya, konfigurasikan perlindungan banjir port yang terletak langsung di bawah CONNLIMIT. Sekali lagi, Anda harus menambahkan port yang paling sering diserang. Pengaturan ini membatasi jumlah koneksi yang diizinkan pada satu waktu pada port yang ditentukan.

PORTFLOOD = "21;tcp;5;300,80;tcp;20;5,####;tcp;5;300"

Untuk mengatur e-mail yang akan dikirimi laporan oleh CSF, cari X_ARF_TO = “” dan tambahkan alamat email Anda:

X_ARF_TO = "your@email.here"

Itu semua perubahan konfigurasi yang akan kita bahas dalam panduan ini.

Save dan keluar dari editor Anda (Ctrl x) dan mulai CSF dengan mengeluarkan perintah berikut:

csf -h (shows a list of csf commands) or csf -s (starts csf)

Anda perlu membuka sesi SSH lain dan mencoba terhubung ke server Anda. Jika Anda dapat terhubung tanpa kesalahan konfigurasi Anda baik!

kita bisa menonaktifkan mode pengujian sehingga lfd (daemon kegagalan login) akan dapat dimulai.

Untuk melakukan ini, kembali ke csf.conf /etc/csf/csf.conf Anda dan temukan TESTING = “1 ″ dan ubah ke“ 0 ″ lalu simpan dan keluar (Ctrl x). Mulai ulang CSF dengan perintah berikut:

csf -r

Sekarang Anda harus menghapus arsip instal dengan mengeluarkan perintah berikut:

cd ../rm -fv csf.tgz

That’s it! Now your server is more secure.