Tudástár

Az első 5 dolog, amit meg kell tenned a frissen telepített VPS szervereden

iranyonline 0

Gratulálunk! Épp most léptél be a saját digitális birodalmadba egy frissen telepített VPS szerverrel. Ez egy izgalmas pillanat, tele lehetőségekkel, legyen szó weboldal hostingról, alkalmazás futtatásáról, játék szerver üzemeltetéséről vagy akár egy komplexebb személyes projekt megvalósításáról. Azonban, ahogy egy új otthonba költözve sem hagyjuk figyelmen kívül az alapvető biztonsági és kényelmi beállításokat, úgy a VPS esetében is elengedhetetlen néhány első lépés, hogy szervered stabil, biztonságos és hatékony legyen a kezdetektől fogva.

Sokan esnek abba a hibába, hogy azonnal elkezdenek szoftvereket telepíteni vagy konfigurálni, megfeledkezve az alapvető biztonsági és rendszerbeállításokról. Ez hosszú távon komoly problémákhoz vezethet, a biztonsági rések kihasználásától kezdve a rendszer instabilitásáig. Ezért állítottuk össze ezt az útmutatót, amely az első 5 legfontosabb dolgot mutatja be, amit meg kell tenned, mielőtt belevetnéd magad a tényleges projektedbe. Készülj fel, hogy megalapozd a sikert!

1. Azonnali Rendszerfrissítés és Alapvető Rendszerbeállítások

Az első és talán legfontosabb lépés minden frissen telepített szerveren a rendszer naprakészen tartása. Gondolj erre úgy, mint egy frissen vásárolt számítógép első bekapcsolására, ahol az operációs rendszer azonnal keresi a legújabb frissítéseket. A szerverek esetében ez még kritikusabb, mivel gyakran a legújabb biztonsági javítások is ezekkel a frissítésekkel érkeznek.

Miért kritikus?

  • Biztonsági rések orvoslása: Az operációs rendszer gyártói folyamatosan fedeznek fel és javítanak biztonsági réseket. Egy friss rendszeren még régebbi szoftververziók is futhatnak, amelyek ismert sebezhetőségeket tartalmaznak. A frissítés azonnal bezárja ezeket a „kapukat” a rosszindulatú támadók előtt.
  • Stabilitás és teljesítmény: A frissítések gyakran tartalmaznak hibajavításokat és teljesítményoptimalizációkat, amelyek hozzájárulnak a szerver stabilabb és hatékonyabb működéséhez.
  • Kompatibilitás: Az újabb szoftverek és alkalmazások gyakran igénylik a legfrissebb rendszerkönyvtárakat és futtatókörnyezeteket.

Hogyan végezd el?

Jelentkezz be a szerveredre root felhasználóként (vagy azzal a felhasználóval, amit a szolgáltatód adott) az SSH segítségével. Ezután futtasd a következő parancsokat, attól függően, hogy milyen operációs rendszert használsz:

  • Ubuntu/Debian alapú rendszereken: 
    sudo apt update

    Ez frissíti a csomaglistákat, de még nem telepít semmit.

    sudo apt upgrade -y

    Ez telepíti az összes elérhető frissítést, és az -y kapcsoló automatikusan jóváhagyja a telepítést, így nem kell minden kérdésre igennel válaszolnod.

  • CentOS/RHEL alapú rendszereken: 
    sudo yum update -y

    Vagy újabb CentOS/RHEL verziókon:

    sudo dnf update -y

Alapvető rendszerbeállítások:

Miután a rendszer friss, érdemes ellenőrizni és beállítani néhány alapvető paramétert:

  • Rendszergazdai jelszó megváltoztatása (ha szükséges): Ha a szolgáltatódtól kaptál egy ideiglenes jelszót, azonnal változtasd meg egy erősre a passwd paranccsal.
  • Hostname beállítása: A hostname segít azonosítani a szerveredet a hálózaton. Ezt általában a sudo hostnamectl set-hostname your-hostname paranccsal teheted meg (rendszerfüggő).
  • Időzóna beállítása: A pontos időzítés kulcsfontosságú a naplózás és a különböző időérzékeny alkalmazások szempontjából. A sudo timedatectl set-timezone Europe/Budapest paranccsal állíthatod be a kívánt időzónát (például Budapestre).

2. Biztonságos Felhasználó Létrehozása és Az SSH Hozzáférés Megerősítése

A szerverek alapértelmezésben gyakran engedélyezik a bejelentkezést a „root” felhasználóval, ami a rendszer legmagasabb jogosultságú felhasználója. Bár kényelmesnek tűnhet, a root felhasználó állandó használata rendkívül kockázatos. Egyetlen hiba vagy egy feltört root jelszó teljes hozzáférést adhat a támadónak a szerverhez.

Miért kritikus?

  • Jogosultságok elválasztása: Egy külön, kevésbé jogosultsággal rendelkező felhasználó használata minimalizálja a károkat, ha valaki illetéktelenül hozzáfér a fiókhoz.
  • SSH brutális erővel történő támadások elleni védelem: A „root” felhasználó a leggyakoribb célpont az automatikus támadások számára, amelyek megpróbálnak bejelentkezni különböző jelszavakkal.

Hogyan végezd el?

Új felhasználó létrehozása és sudo jogosultságok:

  1. Hozz létre egy új felhasználót: 
    sudo adduser ujfelhasznalo

    A rendszer kéri majd, hogy adj meg egy jelszót az új felhasználónak és néhány opcionális adatot.

  2. Adj sudo jogosultságokat: Ez lehetővé teszi az új felhasználó számára, hogy rendszergazdai parancsokat futtasson a sudo előtaggal, anélkül, hogy root felhasználóként kellene bejelentkeznie. 
    sudo usermod -aG sudo ujfelhasznalo

    Ezután jelentkezz be az új felhasználóval, és ellenőrizd, hogy a sudo ls /root parancs futtatása kéri-e a jelszót, majd listázza a root könyvtár tartalmát (permission denied-dal, ami helyes).

SSH hozzáférés megerősítése (SSH Hardening):

Az SSH hozzáférés az a kapu, amelyen keresztül távolról kommunikálsz a szerverrel. Ennek védelme kiemelten fontos.

  1. Kulcs alapú hitelesítés beállítása: Ez sokkal biztonságosabb, mint a jelszóval történő bejelentkezés. Hozz létre egy SSH kulcspárt a helyi gépeden (ha még nincs): 
    ssh-keygen -t rsa -b 4096

    Ezután másold fel a publikus kulcsodat a szerverre az új felhasználód fiókjába:

    ssh-copy-id ujfelhasznalo@szerver_ip_címe

    Most már az új felhasználóddal is be tudsz jelentkezni kulccsal.

  2. Root bejelentkezés letiltása SSH-n keresztül: Nyisd meg az SSH démon konfigurációs fájlját: 
    sudo nano /etc/ssh/sshd_config

    Keresd meg a PermitRootLogin sort, és állítsd no-ra. Ha ki van kommentelve (# jellel kezdődik), akkor töröld a kommentet.

    PermitRootLogin no
  3. Jelszóval történő hitelesítés letiltása (miután a kulcsos működik!): Ha sikeresen beállítottad a kulcs alapú hitelesítést, letilthatod a jelszóval történő bejelentkezést a nagyobb biztonság érdekében: 
    PasswordAuthentication no
  4. SSH port megváltoztatása (opcionális): Bár nem növeli drasztikusan a biztonságot, csökkenti a naplófájlokban megjelenő, automata támadások okozta zajt. Változtasd meg a Port 22 sort egy tetszőleges, nem használt portra (pl. Port 2222). Jegyezd meg ezt a portot, mert ezen keresztül fogsz bejelentkezni! 
    Port 2222
  5. Mentsd el a sshd_config fájlt, majd indítsd újra az SSH szolgáltatást: 
    sudo systemctl restart sshd
  6. Telepítsd a Fail2ban-t: A Fail2ban egy nagyszerű eszköz, amely figyeli a naplókat, és ideiglenesen letiltja azokat az IP-címeket, amelyek ismételt sikertelen bejelentkezési kísérleteket hajtanak végre. 
    sudo apt install fail2ban

    Vagy CentOS-en:

    sudo yum install epel-release
    sudo yum install fail2ban

    Alapértelmezésben már a telepítés után elkezdi védeni az SSH-t, de érdemes lehet testre szabni a /etc/fail2ban/jail.local fájlban.

Ezután jelentkezz ki a root fiókból, és próbálj meg bejelentkezni az új felhasználóval, a megváltoztatott SSH porton és a kulcsoddal. Győződj meg róla, hogy minden működik, mielőtt bezárnád a root SSH munkamenetet!

3. Tűzfal Konfigurációja

A tűzfal az első védelmi vonal a szerver és a külső hálózat között. Lényegében egy őr, amely szabályozza, hogy milyen típusú hálózati forgalom juthat be a szerveredre és hagyhatja el azt. Alapértelmezésben sok VPS szolgáltató nyitott tűzfallal szállítja a szervereket, ami komoly biztonsági kockázatot jelent.

Miért kritikus?

  • Nem kívánt hozzáférés megakadályozása: Csak azok a portok és szolgáltatások legyenek elérhetőek kívülről, amelyekre valóban szükséged van.
  • Támadási felület csökkentése: Minél kevesebb nyitott port van, annál kevesebb támadási felületet kínálsz a rosszindulatú szereplőknek.
  • Védelmet nyújt a DoS/DDoS támadások ellen: Bizonyos szinten segíthet a túlterheléses támadások kivédésében.

Hogyan végezd el?

Az operációs rendszertől függően választhatsz az UFW (Uncomplicated Firewall) vagy a Firewalld között.

Ubuntu/Debian alapú rendszereken (UFW):

Az UFW a legegyszerűbben használható tűzfal kezelő a Debian/Ubuntu rendszereken.

  1. Telepítsd az UFW-t (ha még nincs): 
    sudo apt install ufw
  2. Engedélyezd az SSH-t: Mielőtt engedélyeznéd a tűzfalat, feltétlenül engedélyezned kell az SSH portot (alapértelmezésben 22, vagy a korábban megváltoztatott portod), különben kizárod magad a szerverről! 
    sudo ufw allow 2222/tcp

    (Cseréld a 2222-t a saját SSH portodra.)

  3. Engedélyezd a szükséges szolgáltatásokat: Például weboldalhoz: 
    sudo ufw allow http
    sudo ufw allow https

    Ez automatikusan engedélyezi a 80-as (HTTP) és 443-as (HTTPS) portokat. Más szolgáltatásokhoz (pl. adatbázis) is hasonlóan járj el, de csak azokat engedélyezd, amelyek kívülről is elérhetőknek kell lenniük.

  4. Engedélyezd a tűzfalat: 
    sudo ufw enable

    Meg fog jelenni egy figyelmeztetés, hogy ez megszakíthatja az SSH kapcsolatot, ha nem engedélyezted az SSH portot. Ha megtetted, nyugodtan írj y-t.

  5. Ellenőrizd a tűzfal állapotát: 
    sudo ufw status verbose

    Győződj meg róla, hogy az SSH és a többi engedélyezett szolgáltatás szerepel a listán.

CentOS/RHEL alapú rendszereken (Firewalld):

A Firewalld a CentOS/RHEL rendszerek natív tűzfal kezelője.

  1. Indítsd és engedélyezd a Firewalld szolgáltatást: 
    sudo systemctl start firewalld
    sudo systemctl enable firewalld
  2. Engedélyezd az SSH-t: 
    sudo firewall-cmd --add-port=2222/tcp --permanent

    (Cseréld a 2222-t a saját SSH portodra.) Ha az alapértelmezett 22-es porton keresztül csatlakozol, használhatod a szolgáltatás nevét is:

    sudo firewall-cmd --add-service=ssh --permanent
  3. Engedélyezd a szükséges szolgáltatásokat: Például weboldalhoz: 
    sudo firewall-cmd --add-service=http --permanent
    sudo firewall-cmd --add-service=https --permanent
  4. Újratöltés a változtatások alkalmazásához: 
    sudo firewall-cmd --reload
  5. Ellenőrizd a tűzfal állapotát: 
    sudo firewall-cmd --list-all

    Győződj meg róla, hogy az SSH és a többi engedélyezett szolgáltatás szerepel a listán.

4. Automatikus Rendszer- és Biztonsági Frissítések Beállítása

Az első lépésben manuálisan frissítettük a rendszert, de a biztonságos és stabil működéshez elengedhetetlen a folyamatos frissítés. Bár a manuális frissítés bizonyos helyzetekben javasolt, az automata rendszerfrissítések beállítása jelentősen csökkenti a kézi beavatkozás szükségességét, különösen a kritikus biztonsági javítások esetében.

Miért kritikus?

  • Folyamatos biztonság: Az automatikus frissítések garantálják, hogy a szerver mindig a legfrissebb biztonsági javításokkal fusson, minimalizálva a sebezhetőségeket.
  • Időmegtakarítás: Nincs szükség a frissítések manuális ellenőrzésére és telepítésére.
  • Stabilitás: A kisebb, gyakori frissítések általában kevesebb problémát okoznak, mint a ritka, nagyméretű frissítések.

Hogyan végezd el?

Ubuntu/Debian alapú rendszereken (unattended-upgrades):

Ez egy rendkívül hasznos csomag, amely automatikusan letölti és telepíti a biztonsági frissítéseket a háttérben.

  1. Telepítsd az unattended-upgrades csomagot: 
    sudo apt install unattended-upgrades
  2. Konfiguráld: 
    sudo dpkg-reconfigure --priority=low unattended-upgrades

    A felugró ablakban válaszd az „Igen” opciót az automatikus frissítések engedélyezéséhez.

    A részletesebb konfigurációért szerkesztheted a /etc/apt/apt.conf.d/50unattended-upgrades fájlt. Itt megadhatod, hogy mely forrásokból (pl. security, stable) fogadjon el frissítéseket, és beállíthatod az e-mail értesítést is a frissítések státuszáról.

  3. Engedélyezd a konfigurációt: 
    sudo nano /etc/apt/apt.conf.d/20auto-upgrades

    Győződj meg róla, hogy a következő sorok szerepelnek és be vannak állítva:

    APT::Periodic::Update-Package-Lists "1";
    APT::Periodic::Unattended-Upgrade "1";

    Ez azt jelenti, hogy naponta frissíti a csomaglistákat és futtatja az unattended-upgrades-t.

CentOS/RHEL alapú rendszereken:

A CentOS rendszerek is kínálnak automatikus frissítési lehetőségeket, bár kicsit másképp működnek.

  1. Telepítsd a yum-cron (vagy dnf-automatic) csomagot: 
    sudo yum install yum-cron

    Vagy újabb rendszereken:

    sudo dnf install dnf-automatic
  2. Konfiguráld: Szerkeszd a /etc/yum/yum-cron.conf (vagy /etc/dnf/automatic.conf) fájlt. Itt beállíthatod, hogy csak letöltse a frissítéseket, vagy automatikusan telepítse is. 
    apply_updates = yes

    Állítsd be az e-mail értesítési lehetőségeket, ha szeretnél értesítést kapni.

  3. Engedélyezd és indítsd a szolgáltatást: 
    sudo systemctl enable yum-cron
    sudo systemctl start yum-cron

    Vagy:

    sudo systemctl enable dnf-automatic.timer
    sudo systemctl start dnf-automatic.timer

Fontos megjegyezni, hogy az automatikus frissítések néha problémákat okozhatnak, ha a frissítések kompatibilitási hibákat tartalmaznak egy adott alkalmazással. Ezért érdemes továbbra is rendszeresen ellenőrizni a szerver állapotát, és bizonyos kritikus alkalmazások esetén fontolóra venni a manuális frissítést tesztkörnyezetben.

5. Mentési Stratégia és Alapvető Monitorozás

A legapróbb hiba, egy rossz parancs, egy hardverhiba vagy akár egy sikeres támadás is tönkreteheti a szerveredet és az azon lévő adatokat. Ezért elengedhetetlen egy megbízható mentési stratégia kidolgozása. Emellett a szerver folyamatos monitorozása segít azonosítani a problémákat, mielőtt azok komolyabbá válnának.

Miért kritikus?

  • Adatvesztés megelőzése: A mentések garantálják, hogy bármilyen váratlan esemény esetén visszaállíthatóak legyenek az adatok.
  • Rendszer-visszaállítás: Egy teljes rendszermentés (snapshot) lehetővé teszi a szerver gyors visszaállítását egy korábbi, működő állapotba.
  • Problémaazonosítás: A monitorozás révén időben felismerhetők a teljesítményproblémák, biztonsági incidensek vagy a rendszerhibák.
  • Teljesítményoptimalizálás: A monitorozási adatok segítenek megérteni, hogyan működik a szerver, és hol lehet optimalizálni a teljesítményt.

Mentési stratégia kidolgozása:

Nincs „egyetlen” tökéletes mentési stratégia, de van néhány alapelv, amit érdemes figyelembe venni:

  1. VPS szolgáltató által nyújtott snapshotok: Sok szolgáltató kínál szerver-snapshot lehetőséget, ami a teljes szerver (operációs rendszerrel és adatokkal együtt) pillanatfelvételét jelenti. Ezek gyorsan visszaállíthatók. Használd őket rendszeresen, különösen a nagyobb változtatások előtt!
  2. Adat alapú mentések: A weboldalak fájljai (/var/www/html), adatbázisok (MySQL/PostgreSQL), konfigurációs fájlok (/etc) rendszeres mentése elengedhetetlen.
    • Fájlokhoz: Használhatsz rsync-et egy távoli tárhelyre, vagy automatizált scripteket a cron segítségével.
    • Adatbázisokhoz: mysqldump vagy pg_dump parancsokat futtass rendszeresen, és mentsd el a kimenetet.
  3. Távoli mentés: Soha ne tárold a mentéseket ugyanazon a szerveren, mint az eredeti adatokat! Használj külső tárhelyet, felhő alapú szolgáltatást (S3-kompatibilis tárhelyek) vagy egy másik szervert.
  4. 3-2-1 szabály: Ez egy bevált mentési stratégia: tarts legalább 3 másolatot az adataidról, 2 különböző adathordozón, és legalább 1 másolatot távoli helyen (off-site).
  5. Rendszeres tesztelés: A mentési stratégia csak akkor ér valamit, ha működik. Rendszeresen teszteld a mentések visszaállítását egy tesztkörnyezetben!

Alapvető monitorozás:

A szerverek monitorozása segíthet azonosítani a problémákat, mielőtt azok komolyabbá válnának. Kezdetben elegendőek az alábbi egyszerű eszközök:

  1. Rendszer erőforrások:
    • CPU és memória: A htop parancs egy interaktív, színes felületen mutatja a CPU, memória és folyamatok használatát. 
      sudo apt install htop
      htop
    • Lemezhasználat: A df -h megmutatja a lemezpartíciók szabad és foglalt helyét. 
      df -h
    • Memóriahasználat: A free -m kilistázza a memória használatát (MB-ban). 
      free -m
    • Uptime: Az uptime parancs megmutatja, mióta fut a szerver, hány felhasználó van bejelentkezve, és a terhelési átlagokat. 
      uptime
  2. Naplófájlok ellenőrzése: A rendszernaplók (log files) értékes információkat tartalmaznak a szerver működéséről, hibákról és biztonsági eseményekről.
    • Általános rendszernapló: 
      tail -f /var/log/syslog

      (Ubuntu/Debian) vagy journalctl -f (systemd alapú rendszereken).

    • Webszerver naplók: Ha van telepített webszervered (pl. Apache, Nginx), ellenőrizd a hozzáférési és hibaelhárítási naplókat.
  3. Alapvető hálózati ellenőrzés:
    • ping google.com: ellenőrzi az internetkapcsolatot.
    • netstat -tulnp: kilistázza a nyitott portokat és az azokon futó folyamatokat.

Később, ahogy nő a szerver terhelése és bonyolultsága, érdemes lehet professzionálisabb monitorozó eszközöket (pl. Prometheus, Grafana, Zabbix) is bevezetni.

Záró gondolatok

Egy frissen telepített VPS szerver az alapozás szakasza egy hosszútávú projektnek. Az itt leírt első lépések nem csupán javaslatok, hanem alapvető követelmények a szerver biztonságos és stabil működéséhez. Az idő, amit most ezekre a beállításokra fordítasz, megtérül a jövőben, megelőzve a biztonsági incidenseket, adatvesztést és a rendszer instabilitásából adódó fejfájást.

Ne feledd, a digitális világ folyamatosan változik, és a biztonsági fenyegetések is ezzel együtt fejlődnek. Ezért a VPS szervered karbantartása egy soha véget nem érő folyamat. Maradj tájékozott, kövesd a legjobb gyakorlatokat, és légy proaktív a rendszeres frissítések és ellenőrzések terén. Most, hogy lefektetted az erős alapokat, készen állsz arra, hogy építs rá, és megvalósítsd digitális álmaidat a saját, biztonságos és megbízható VPS szervereden! Sok sikert!

Kapcsolódó

Leave a Reply

Az e-mail címet nem tesszük közzé. A kötelező mezőket * karakterrel jelöltük