Подвергнуться хакерской атаке может любая ИТ-инфраструктура — вне зависимости от ее масштаба, используемого ПО и ценности данных, которыми она оперирует. Разумеется, чем крупнее и известнее компания, тем выше риск, что ее системы будут атакованы, но это никак не отменяет угрозу взлома для молодых и маленьких проектов. Злоумышленники не всегда взламывают сервера, чтобы украсть важную информацию или нанести репутационный/финансовый ущерб — гораздо чаще они атакуют чужой server в целях его дальнейшей эксплуатации в преступных целях. Каждый вебмастер должен помнить об этом и обеспечивать безопасность заранее. В статье рассказываем, как защитить сервер от взлома десятью простыми способами.
Как защитить сервер от несанкционированного доступа: 10 способов
- Физическая защита сервера.
- Регулярно устанавливайте последние обновления.
- Включите Firewall и антивирус.
- Не храните все файлы в одном месте.
- Используйте шифрование SSL/TLS.
- Удалите ненужные приложения и дополнения для CMS.
- Чаще делайте резервные копии.
- Смените порт SSH.
- Отключите доступ к директории /boot.
- Пользуйтесь услугами проверенных хостингов.
Защита сервера от взлома — это не разовая процедура, а непрерывный процесс, во время которого применяется целый комплекс мер по устранению уязвимостей. Сложный пароль — только вершина айсберга. Защитить сервер можно, используя различные методы в совокупности. Мы перечислили и ниже подробнее разберем базовые практики по обеспечению безопасности — то, что необходимо делать даже при администрировании небольшого интернет-ресурса.
Физическая защита сервера
В первую очередь система нуждается в физической защищенности от несанкционированного доступа. Любые программные средства будут бесполезны, если попасть в серверную и взаимодействовать с «железом» может любой желающий. Если вы самостоятельно обслуживаете свои сервера, разместите их в отдельном помещении и ограничьте круг сотрудников, которым разрешен туда вход. Желательно — с помощью устройств контроля доступа.
Если вы пользуетесь услугами хостинг-провайдера или напрямую сотрудничаете с дата-центром, убедитесь, что ЦОД, в котором стоят ваши машины, обеспечивает должный уровень безопасности. Круглосуточная охрана, видеонаблюдение, четкое разграничение прав у персонала и возможность установки дополнительной защиты для стойки — все это обязательно должно присутствовать в хорошем ДЦ.
Регулярно устанавливайте последние обновления
Разработчики обновляют свои программные продукты не только ради внедрения новых функций или изменения дизайна — это делается и в целях защиты от взлома. Обновленные версии ПО содержат меньше ошибок, в них устранены слабые места, найденные в предыдущих редакциях. Чтобы злоумышленники не успели воспользоваться уязвимостью программы, которая работает на вашем сервере, всегда вовремя обновляйте ОС, гипервизор, панель управления, подключенные модули, CMS и другие компоненты системы. Зачастую, чем актуальнее программное обеспечение, тем сложнее его взломать.
Включите Firewall и антивирус
Фаервол (или брандмауэр) нужен, чтобы фильтровать входящий и исходящий трафик. Его также называют межсетевым экраном, поскольку он служит «щитом» между сервером и внешней сетью. С помощью фаервола вы можете закрыть неиспользуемые порты и тем самым запретить интернет-пользователям к ним обращаться — это в разы уменьшит количество вероятных уязвимых для взлома мест.
Нельзя пренебрегать и антивирусной защитой. Установите на сервер ПО, которое будет блокировать файлы и другие данные, содержащие вредоносный код.
Не храните все файлы в одном месте
Важную роль в защите сервера играет то, как организована внутренняя связь между разными типами данных. Чтобы взлом одной части проекта не повлек за собой сбои в других, их необходимо разграничить — хотя бы на базовом уровне. Для этого создайте несколько разделов: например, для системных файлов, пользовательских, временных и сторонних, загруженных извне. Храните их отдельно друг от друга.
Кроме того, если есть возможность и навыки, рекомендуется организовать изолированную среду выполнения для крупных компонентов системы, т. е. запускать их на отдельных машинах (виртуальных или физических). Так, к примеру, можно изолировать сайт игры, базу данных и сам игровой сервер.
Используйте шифрование SSL/TLS
Нельзя не сказать важности подключения протокола TLS, который обеспечивает защиту на транспортном уровне. Благодаря инфраструктуре открытых ключей перед установкой соединения ресурс должен будет подтвердить свою подлинность (предъявить SSL-сертификат).
Удалите ненужные приложения и дополнения для CMS
Чем больше программ и модулей установлено на сервере, тем выше и число возможных точек для атаки. Если какое-то ПО долго не используется, удалите его из системы, чтобы не создавать риск. Особенно это касается плагинов и шаблонов для популярных систем управления контентом. Они постоянно подвергаются взломам, потому что зачастую имеют открытый исходный код и содержат немало уязвимостей. Проведите аудит программного обеспечения и оставьте только минимум приложений, необходимых для работы.
Чаще делайте резервные копии
Резервное копирование еще никому не навредило, а вот его отсутствие загубило уже не один ИТ-проект. Настройте регулярный бэкап всей системы и отдельно — важных элементов, чтобы в случае взлома можно было быстро вернуться к рабочей версии. Иногда обнаружить факт несанкционированного доступа к серверу удается только спустя продолжительное время: например, когда ПО заражено вирусом. В таком случае защита уже не поможет, но вовремя сделанная копия способна спасти проект.
Смените порт SSH
По умолчанию для доступа по протоколу SSH (удаленное управление сервером) установлен порт 22. Все вебмастера и тем более взломщики об этом знают. Поэтому если вы смените номер порта для принятия запросов по этому протоколу, у ботов, которые нацелены на его взлом, будет гораздо меньше шансов на успех. Изменить настройку можно в файле etc/ssh/sshd_config. Это не обеспечит полную защиту для SSH-соединений, но отсеет примитивных роботов и неопытных хакеров.
Отключите доступ к директории /boot
В этом каталоге содержатся данные, относящиеся к ядру операционной системы (в семействе Linux). В стандартных настройках для пользователя предусмотрена возможность просматривать эти файлы и вносить изменения. Такие полномочия не хотелось бы передавать в руки злоумышленника, поэтому разумнее всего будет отключить право редактирования. В случае, если остальная защита не сработает, это может уберечь основные настройки системы от стороннего вмешательства.
Пользуйтесь услугами проверенных хостингов
От качества услуг хостинг-провайдера зависит многое — в том числе защита сервера. Если хостер не обеспечивает необходимый уровень безопасности, то ваши данные всегда будут в «группе повышенного риска», ведь взломать даже защищенный узел незащищенной сети куда проще. Выбирайте провайдера тщательно: изучайте отзывы, общайтесь с техподдержкой, не стесняйтесь спрашивать, как именно обеспечивается «оборона».
Выводы
Сервер будет меньше подвержен риску взлома, если применять защитные меры комплексно. Используете вы Windows Server или Linux-дистрибутивы, продумайте систему безопасности таким образом, чтобы в ней было несколько уровней. Тогда, пробившись через один, хакер столкнется со следующим, что существенно замедлит проникновение и даст вам больше времени на обнаружение и устранение угрозы.