Bagaimana cara mencadangkan dan mengeraskan VM cloud (Ubuntu &CentOS)?

Mengamankan sistem operasi sama pentingnya dengan situs web, aplikasi web, dan bisnis online Anda.

Anda dapat mengeluarkan plugin keamanan, keamanan berbasis WAFCloud untuk melindungi situs Anda (Layer 7) tanpa sistem operasi yang tetap berbahaya.

Web bergerak dari shared hosting ke cloud untuk mencapai banyak manfaat. Waktu respons yang lebih cepat karena sumber daya tidak dibagikan oleh pengguna lain Kontrol penuh atas tumpukan teknologi Kontrol penuh atas sistem operasi Murah

"Dengan kekuatan besar datang tanggung jawab besar"

Namun, Anda mendapatkan lebih banyak kontrol Saat menghosting situs web Anda di VM cloud, beberapa pengetahuan administrator sistem diperlukan untuk mengelola VM Anda.

Catatan: Jika Anda tidak mau menginvestasikan waktu Anda di dalamnya, Anda dapat memilih Cloudways AWS, Google Cloud, Digital Ocean Manage, Linode, Vultr &Kyup VM.

Mari kita sampai ke panduan praktis untuk mencadangkan Ubuntu dan CentOS VM. Mengubah Port Default SSH

Secara default, daemon SSH mendengarkan port nomor 22. Artinya, jika seseorang menemukan IP Anda, mereka dapat mencoba terhubung ke server Anda.

Anda mungkin tidak dapat mengakses server jika Anda telah mengamankannya dengan kata sandi yang kompleks. Namun, Anda dapat meluncurkan serangan brute force untuk mengganggu operasi server.

Yang terbaik adalah mengubah port SSH menjadi sesuatu yang lain, bahkan jika seseorang tahu IP tidak dapat mencoba terhubung menggunakan port SSH default.

Mengubah port SSH di Ubuntu / CentOS sangat mudah. Masuk ke VM Anda dengan hak istimewa root Buat salinan cadangan sshd_config (/etc/ssh/sshd_config). Buka file dengan editor VI vi /etc/ssh/sshd_config

Cari baris yang memiliki port 22 (biasanya di awal file) # Port, IP, dan protokol apa yang kami dengarkan UntukPort 22 Ubah 22 ke nomor yang berbeda (pastikan Anda ingat bagaimana Anda membutuhkannya untuk terhubung). Katakanlah 5000 Pelabuhan 5000 menyimpan file dan memulai ulang daemon ssh layanan sshd restart

Sekarang, Anda atau seseorang tidak dapat terhubung ke server Anda menggunakan port SSH default. Sebagai gantinya, Anda dapat menggunakan port baru untuk terhubung.

Jika Anda menggunakan klien atau terminal SSH di MAC, Anda dapat menggunakan -p untuk menentukan port kustom. ssh -p 5000 [email protected]

Bukankah itu sederhana? Melindungi dari Serangan Brute Force

Salah satu mekanisme umum seorang hacker untuk mengendalikan bisnis online Anda, Anda perlu memulai serangan brute force pada server dan platform web WordPress, Joomla, dll.

Ini bisa berbahaya jika tidak dianggap serius. Ada dua program populer yang dapat Anda gunakan untuk melindungi Linux dari brute force. Penjaga SSH

SSH Guard memantau layanan yang berjalan terhadap file log sistem dan memblokir upaya masuk yang gagal berulang.

Awalnya, itu dimaksudkan untuk perlindungan login SSH, tetapi sekarang mendukung banyak lainnya. FTP-only, PRO FTP, VS FTP, FreeBSD FTP Exim Sendmail Dovecot Labu UWimap

Anda dapat menginstal SSHGuard dengan perintah berikut.

Ubuntu: apt-get install SSHGuard

Centos: wget ftp://ftp.pbone.net/mirror/ftp5.gwdg.de/pub/opensuse/repositories/home:/hornos:/centos/CentOS_CentOS-6/x86_64/sshguard-1.5-7.1.x86_64.rpmrpm -ivh sshguard-1.5-7.1.x86_64.rpm Gagal2Ban

Fail2Ban adalah program populer lainnya untuk melindungi SSH. Fail2Ban secara otomatis memperbarui aturan iptables ketika upaya login yang gagal mencapai ambang batas yang ditentukan.

Untuk menginstal Fail2Ban di Ubuntu: apt-get install fail2ban

dan untuk menginstal di CentOS: yum install epel-releaseyum install fail2ban

SSH Guard dan Fail2Ban harus cukup untuk melindungi login SSH. Namun, jika Anda perlu menjelajahi lebih lanjut, Anda dapat merujuk ke yang berikut. Nonaktifkan Autentikasi Berbasis Kata Sandi

Jika Anda masuk ke server Anda dari satu atau dua komputer, Anda dapat menggunakan autentikasi berbasis kunci SSH.

Namun, jika Anda memiliki banyak pengguna dan sering masuk dari beberapa komputer umum, mungkin sulit untuk menukar kunci setiap kali.

Tergantung pada situasinya, Anda dapat menonaktifkan autentikasi berbasis kata sandi sebagai berikut.

Catatan: Ini mengasumsikan bahwa Anda telah menyiapkan pertukaran kunci SSH. Ubah /etc/ssh/sshd_config menggunakan vi Publisher menambahkan atau mengomentari baris berikut jika ada PasswordAuthentication No. Muat ulang daemon SSHMelindungi dari Serangan DDoS

DDoS (Distributed Denial of Service) dapat terjadi di lapisan mana pun, dan ini adalah hal terakhir yang Anda inginkan sebagai pemilik bisnis.

Menemukan IP asal dimungkinkan, dan sebagai praktik terbaik, Anda tidak boleh mengungkapkan IP server Anda ke Internet publik. Ada beberapa cara untuk menggunakan "IP asal" untuk mencegah DDoS di server cloud / VPS Anda.

Gunakan load balancer (LB) - Menerapkan load balancer yang menghadap ke Internet sehingga IP server tidak terkena Internet. Ada banyak penyeimbang beban yang dapat Anda pilih – Google Cloud LB, AWS ELB, Linode Nodebalancer, DO LB, dll.

Gunakan Jaringan Pengiriman Konten (CDN). CDN adalah salah satu cara hebat untuk meningkatkan kinerja dan keamanan situs web.

Jika Anda menerapkan CDN, konfigurasikan catatan DNS A dengan alamat IP anycast yang ditentukan oleh penyedia CDN. Dengan cara ini, Anda mempromosikan IP penyedia CDN untuk domain Anda dan asal tidak terungkap.

Ada banyak penyedia CDN yang mempercepat kinerja situs web, perlindungan DDoS, WAF, dan banyak fitur lainnya.

Jadi pilih penyedia CDN yang menawarkan kinerja dan keamanan.

Sesuaikan pengaturan kernel dan iptable - Anda dapat menggunakan iptable untuk memblokir permintaan yang mencurigakan, non-SYN, bendera TCP yang salah, subnet pribadi, dan banyak lagi.

Selain iptables, Anda juga dapat mengonfigurasi pengaturan kernel. Javapipe menjelaskannya dengan baik dengan instruksi jadi saya tidak menduplikasinya di sini.

Gunakan firewall – Jika Anda mampu membeli firewall berbasis perangkat keras, ini sangat bagus, jika tidak, Anda mungkin ingin menggunakan firewall berbasis perangkat lunak yang menggunakan iptables untuk melindungi koneksi jaringan masuk ke VM.

Ada banyak, tetapi salah satu yang paling populer adalah UFW (Uncomplicated Firewall) untuk Ubuntu dan FirewallD untuk CentOS. Pencadangan Reguler

Backup adalah teman Anda! Jika tidak ada yang berhasil, cadangan akan menyelamatkan Anda.

Hal-hal bisa salah, tetapi bagaimana jika Anda tidak memiliki cadangan yang diperlukan untuk dipulihkan? Sebagian besar penyedia cloud atau VPS menawarkan cadangan dengan biaya tambahan kecil, dan Anda harus selalu mengingat hal ini.

Periksa dengan penyedia VPS Anda untuk mempelajari cara mengaktifkan layanan cadangan. Saya tahu bahwa Linode dan DO mengenakan biaya 20% dari harga tetesan untuk cadangan.

Jika Anda menggunakan Google Compute Engine atau AWS, jadwalkan snapshot harian.

Dengan cadangan, Anda dapat dengan cepat memulihkan seluruh VM, sehingga Anda kembali dalam bisnis. Atau dengan bantuan snapshot Anda dapat mengkloning VM. Pembaruan Reguler

Memperbarui sistem operasi VM Anda adalah salah satu tugas penting untuk memastikan bahwa server Anda tidak terkena kerentanan terbaru.

Di Ubuntu, Anda dapat apt-get update untuk memastikan bahwa paket terbaru diinstal.

Di CentOS Anda dapat menggunakan pembaruan yum Jangan tinggalkan port yang terbuka

Dengan kata lain, izinkan hanya port yang Anda butuhkan.

Simpan port terbuka yang tidak diinginkan seperti penyerang yang mengundang mengambil keuntungan. Jika Anda hanya meng-host situs web Anda di VM Anda, kemungkinan besar Anda akan memerlukan port 80 (HTTP) atau 443 (HTTPS).

Jika Anda diaktifkan AWS, Anda kemudian dapat membuat grup keamanan untuk hanya mengizinkan port yang diperlukan dan mengaitkannya dengan VM.

Jika Anda berada di Google Cloud, tinggalkan port yang diperlukan dengan "aturan firewall"