Глобальная пандемия вынудила многих людей остаться дома и дала им достаточно свободного времени для запуска проектов, о которых они так долго думали.
Поскольку виртуальные частные серверы (VPS) предлагают лучшую среду между доступным общим планом и мощным выделенным сервером, многие новые владельцы веб-сайтов логически считают их отличным вариантом для начала.
Управление виртуальным сервером включает в себя более практический подход со стороны пользователя, и одной из важных задач является настройка брандмауэра VPS. Давайте проясним некоторую путаницу, которая окружает этот вопрос.
Table of Contents
ToggleВолна начинающих администраторов сайтов — хорошая новость для хакеров. Доступен широкий выбор новых целей, и многие из них не готовы к любым угрозам, которые им бросает современный ландшафт.
Стимул для атак на эти новые веб-сайты тоже довольно хороший. Многие перспективные проекты вращаются вокруг бизнес-модели электронной коммерции, поэтому успешная атака может предоставить хакерам несанкционированный доступ к конфиденциальным (и ценным) данным.
Даже если это не так, скомпрометированный виртуальный сервер представляет собой стартовую площадку для дальнейших атак. Многие пользователи VPS знают, что брандмауэр является одним из основных и важных механизмов защиты.
Но знают ли они, как это работает? И могут ли они его настроить без профессиональной помощи?
Брандмауэр — это система сетевой безопасности, которая использует заранее определенные правила для фильтрации входящего и исходящего трафика. Он проверяет запросы, которыми обменивается ваш VPS с внешним миром, и блокирует те, которые выглядят подозрительно.
В контексте серверов веб-хостинга брандмауэр — это самый простой способ остановить атаки, такие как грубая сила, DDoS, сканирование портов и различные другие угрозы, которые могут привести к перебоям в обслуживании или захвату сервера.
Но брандмауэр полезен только в том случае, если вы правильно его настроите.
Например, всего существует 65 535 сетевых портов TCP и UDP. Ваш сервер использует только несколько из них. Правильно настроенный брандмауэр блокирует все подключения к портам, которые не используются никакими законными службами.
Брандмауэр VPS также будет иметь строгие правила использования сервисов.
Например, предположим, что он видит, что один IP-адрес генерирует необычный объем трафика. Правильно настроенный firewal l заблокирует IP до того, как он начнет загружать ресурсы сервера и поставить под угрозу его производительность.
Эта технология существует с 1980-х годов, и сегодня большинство компьютеров и серверов защищены брандмауэром. Существуют бесплатные и премиальные решения для любой мыслимой установки. Некоторые из них интегрированы с самой операционной системой, а другие поставляются как сторонние продукты.
Большинство решений VPS для веб-хостинга работают на Linux, поэтому сегодняшнее руководство будет посвящено основам операционной системы с открытым исходным кодом.
Вот некоторые из самых популярных межсетевых экранов Linux:
Iptables интегрирован в большинство дистрибутивов Linux. Он существует некоторое время и зарекомендовал себя как легкое, но мощное решение для фильтрации трафика в системах Linux.
За прошедшие годы Iptables претерпела значительные изменения. Сначала он мог применять политики только к входящим пакетам, но его модульная архитектура позволяла разработчикам значительно расширять его функциональность с годами.
На данный момент iptables считается одним из самых гибких межсетевых экранов.
В немалой степени это связано с такими функциями, как возможность работы на разных уровнях и поддержка резервного копирования и восстановления. Единственным недостатком является то, что iptables можно настроить только через интерфейс командной строки, что многим пользователям сложно понять.
Nftables объявлен преемником iptables. Он создан той же командой и поставляется с готовой поддержкой IPv4 и IPv6. Как и iptables, настраивается только через терминал. К счастью, он предоставляет пользователям более читаемый синтаксис.
Это означает, что владельцам серверов, которые хотят использовать встроенный брандмауэр операционной системы, будет проще все настроить.
Хотя в таких дистрибутивах, как CentOS 8, nftables уже реализован, он все еще далеко не так распространен, как iptables. Тем не менее ожидается, что в конечном итоге он станет брандмауэром Linux по умолчанию, поэтому вы можете начать знакомиться с ним раньше, чем позже.
Еще одно решение брандмауэра, которое пытается облегчить жизнь пользователям, — это несложный брандмауэр ( или UFW ). Это решение интегрировано в современные версии Ubuntu, и хотя оно доступно не во всех репозиториях программного обеспечения, его также можно установить в других дистрибутивах Linux.
Вы можете найти службы, которые позволяют настраивать UFW через графический интерфейс пользователя ( GUI ). Более простое управление — не единственное преимущество UFW. Он также предоставляет пользователям такие функции, как поддержка IPv6, возможность блокировать диапазон IP-адресов и возможность ограничивать доступ к определенным портам.
ConfigServer Firewall или CSF — одно из самых популярных решений межсетевого экрана для серверов Linux. Он бесплатный и использует iptables в качестве фреймворка, что означает, что его настройка в большинстве дистрибутивов Linux довольно проста.
Этот брандмауэр также довольно многофункциональный.
CSF имеет механизмы, специально разработанные для обеспечения эффективной защиты от SYN-лавин и сканирования портов. Особого внимания заслуживает демон сбоя входа в систему — функция, которая периодически проверяет наличие попыток перебора и блокирует IP-адрес злоумышленника, если обнаруживает доказательства потенциальной атаки.
Несмотря на то, что впечатляющий набор функций отличает его от многих других брандмауэров, для большинства основным преимуществом CSF является его бесшовная интеграция с популярными панелями управления веб-хостингом. Пользователям cPanel / WHM, Webmin и DirectAdmin не нужно использовать интерфейс командной строки для настройки CSF.
Вместо этого они могут управлять правилами брандмауэра из своих панелей управления. В дополнение ко всему этому, подключаемые модули графического интерфейса CSF также позволяют им просматривать подробную статистику и делать выводы о потенциальных шаблонах атак.
PfSense — это мощная платформа маршрутизации, которая работает как межсетевой экран, маршрутизатор, DHCP и DNS-сервер.
В качестве межсетевого экрана его функции pfSense включают:
Stateful Packet инспектор принимает более глубокий взгляд на каждый пакет, прежде чем дать его до конца. Кроме того, предустановленные профили правил и индивидуальная конфигурация интерфейса обеспечивают большую гибкость pfSense.
Shorewall — еще один брандмауэр с открытым исходным кодом для Linux. Он использует Netfilter, фреймворк, встроенный в ядро Linux, для отслеживания соединений и фильтрации пакетов. Решение поддерживает ряд приложений для маршрутизаторов, межсетевых экранов и шлюзов.
Среди функций Shorewall вы найдете:
Пользователи, которым нужен брандмауэр с графическим интерфейсом, должны знать, что Shorewall хорошо интегрируется в панель управления Webmin.
Для установки и настройки брандмауэра часто требуется root-доступ к серверу и неизбежно требуется некоторая работа из командной строки, к которой многие люди не привыкли.
Тем не менее, как покажут вам шаги по установке CSF на Linux VPS, в этом нет ничего слишком сложного или сложного.
Вот что вам нужно сделать:
Вам нужно использовать следующие команды:
cd / usr / src /
wget https://download.configserver.com/csf.tgz
Ваш VPS автоматически загрузит последнюю версию CSF с официального сайта и поместит ее в каталог / usr / src /.
Следующая команда извлечет все файлы из архива csf.tgz:
tar xzf csf.tgz
Вам нужно использовать следующие команды:
cd csf
sh install.sh
Запустив это, вы запустите установщик CSF. Перед установкой приложения он сначала проверит наличие всех необходимых условий. Если возникнет критическая ошибка, вам может потребоваться установить Perl и libwww, прежде чем продолжить.
По умолчанию они должны быть доступны во всех поддерживаемых дистрибутивах Linux, но если их нет — вам нужно будет использовать следующие команды:
yum install perl-libwww-perl — для дистрибутивов на основе RHEL
apt install libwww-perl — для дистрибутивов на основе Debian.
Если на вашем компьютере запущены какие-либо другие утилиты брандмауэра, вам может потребоваться отключить их с помощью команды systemctl. Конфигурация CSF находится в /etc/csf/csf.conf, и если вы используете одну из поддерживаемых панелей управления веб-хостингом, вы можете включить брандмауэр и управлять им оттуда.
К счастью, CSF, как и многие другие популярные межсетевые экраны Linux, поставляется с обширной документацией. Выяснить, какие настройки нужно применить для настройки брандмауэра в соответствии с вашими точными характеристиками, совсем не сложно.
Вам потребуются немного другие команды, если вы выберете брандмауэр, отличный от CSF. Тем не менее, этот процесс относительно прост, если у вас есть самоуправляемый VPS с корневым доступом.
Тем не менее, многие владельцы сайтов могут не захотеть выполнять всю работу сами, что понятно, особенно если они не привыкли работать с терминалом.
Для них управляемый план — идеальное решение.
С управляемым VPS у вас все еще есть собственный виртуальный сервер. Вы можете свободно использовать все аппаратные ресурсы и устанавливать приложения, которые считаете нужными.
Разница в том, что вам не нужно выполнять какую-либо работу сисадмина. Вместо этого ваш хостинг-провайдер использует свой опыт, чтобы убедиться, что ваш VPS правильно настроен и постоянно работает.
Это включает в себя установку и настройку брандмауэра VPS.
Это предпочтительная установка, если ваш опыт ограничен и вам неудобно настраивать все самостоятельно. Однако избегайте жестких настроек по умолчанию, которые могут соответствовать, а могут и не соответствовать требованиям вашего проекта.
Если вам нужно использовать приложение, требующее определенного набора правил брандмауэра, служба поддержки вашего хоста должна иметь возможность быстро проверить, возможно ли изменение настроек. Если это так — они применит новую конфигурацию за вас. Если нет — они должны быть в состоянии указать вам на правильный план самостоятельного управления и, в идеале, предоставить вам информацию о подходящих решениях межсетевого экрана.
В ScalaHosting мы считаем, что ConfigServer Firewall является лучшим решением для брандмауэра Linux для большинства случаев использования, поэтому мы используем его в наших управляемых планах cPanel и SPanel VPS. Это проверенное и проверенное решение, основанное на iptables — проверенной платформе, которая годами обеспечивала безопасность систем Linux.
В то же время гибкость CSF позволяет нам создать настройку, которая соответствует потребностям неиссякаемого круга проектов и пользователей. Если вы считаете, что это не полностью соответствует вашим требованиям — вы всегда можете связаться с нашими специалистами технической поддержки, которые доступны 24/7.
Правильно настроенный брандмауэр CSF защищает наших клиентов от множества атак, но это не полное решение проблемы безопасности.
Мы работаем в этом бизнесе более десяти лет и видели множество систем безопасности, которые обещают обеспечить безопасность пользователей. Однако некоторое время назад мы поняли, что индивидуализированное решение не имеет альтернативы, когда речь идет о защите веб-сайтов и их посетителей.
Это современная собственная система мониторинга, которая использует искусственный интеллект для блокирования почти всех известных веб-атак. SShield, доступный во всех наших общих и управляемых планах VPS, постоянно следит за вашей учетной записью. Если он обнаруживает подозрительное поведение — он сразу же предупреждает вас.
SShield был специально разработан для клиентов Gohost, и мы продолжаем вкладывать в него время и усилия, чтобы обеспечить его готовность к защите от новейших угроз.
Некоторым людям задача настройки брандмауэра может показаться сложной, особенно если их опыт администрирования сервера ограничен. По правде говоря, существует так много полезных руководств и ресурсов, что, если вы готовы потратить время и усилия, вы вряд ли ошибетесь.
Тем не менее, если вы все еще не чувствуете себя комфортно заниматься этой проблемой самостоятельно, вы можете выбрать на управляемый план VPS и оставить тяжелую работу экспертов.
Да, безусловно, имеет. Linux может быть не так уязвим, как Windows, когда дело касается атак вредоносных программ, но сервер веб-хостинга должен защищаться от гораздо более широкого спектра угроз, включая DDoS, атаки методом грубой силы и сканирование портов. Часто брандмауэр — единственный способ отразить их.
На виртуальных частных серверах обычно размещаются веб-сайты. Атакуя сервер, хакеры могут получить несанкционированный доступ к пользовательским данным. Успешный компромисс также дает им возможность использовать VPS в качестве платформы для будущих атак.
Различные решения межсетевого экрана предлагают разные интерфейсы. Большинство из них управляются через интерфейс командной строки, но синтаксис редко бывает одинаковым. К счастью, для самых популярных межсетевых экранов Linux широко доступны полезные руководства и учебные пособия.