Sveobuhvatan vodič za osiguranje web servera

feb. 20, 202511 minuta za čitanje

Sigurnost web servera je ključna za zaštitu osjetljivih podataka i održavanje integriteta vaših web aplikacija. U ovom vodiču pružamo detaljne korake za osiguranje vašeg web servera, uključujući implementaciju vatrozida, konfiguraciju SSH pristupa, prevenciju IP spoofinga i instalaciju alata za zaštitu od napada.

Comprehensive-Guide-to-Securing-a-Web-Server

Instaliranje UFW:

sudo apt-get update
sudo apt-get install ufw

Konfiguriranje pravila zaštitnog zida:

# Ograničite SSH pristup kako biste spriječili brute-force napade
sudo ufw limit 22/tcp 

# Dozvoli HTTP promet
sudo ufw allow 80/tcp 

# Dozvoli HTTPS promet
sudo ufw allow 443/tcp

Omogućavanje i provjera UFW statusa:

sudo ufw enable
sudo ufw status

Postavljanje globalnih pravila:

# Blokiraj sav dolazni saobraćaj prema zadanim postavkama
sudo ufw default deny incoming 

# Dozvoli sav odlazni saobraćaj prema zadanim postavkama
sudo ufw default allow outgoing

2. Prelazak na provjeru autentičnosti SSH ključa

SSH provjera autentičnosti ključa pruža sigurniji način pristupa vašem serveru u poređenju sa lozinkama.

Generiranje SSH ključa na klijentskoj mašini:

ssh-keygen -t rsa -b 4096

Prijenos javnog ključa na server:

ssh-copy-id -i ~/.ssh/id_rsa.pub [email@example.com]

Onemogućavanje autentikacije lozinkom na serveru:

Uredite SSH konfiguracijski fajl:

sudo nano /etc/ssh/sshd_config

Izmijenite sljedeće redove:

ChallengeResponseAuthentication no
PasswordAuthentication no
UsePAM no
PermitRootLogin no

Ponovo pokrenite SSH servis da primijenite promjene:

sudo systemctl restart sshd

3. Konfiguriranje sigurnosnih parametara sistema

Dodatne sigurnosne mjere mogu se implementirati konfiguracijom postavki sistema.

Poboljšanje sigurnosnih opcija u `/etc/sysctl.conf`:

Uredite fajl:

sudo nano /etc/sysctl.conf

Dodajte ili izmijenite sljedeće redove:

# Onemogući IP prosljeđivanje
net.ipv4.ip_forward = 0

# Spriječite odgovor na ping zahtjeve
net.ipv4.icmp_echo_ignore_all = 1

# Spriječiti rutiranje IP izvora
net.ipv4.conf.all.accept_source_route = 0
net.ipv6.conf.all.accept_source_route = 0

Primijenite promjene:

sudo sysctl -p

Sprečavanje lažiranja IP-a u `/etc/host.conf`:

Uredite fajl:

sudo nano /etc/host.conf

Uvjerite se da su uključeni sljedeći redovi:

order bind,hosts
multi on
nospoof on

4. Instaliranje i konfigurisanje Fail2Ban

Fail2Ban je alat koji automatski blokira IP adrese koje prikazuju zlonamjerne aktivnosti, kao što su ponovljeni neuspjeli pokušaji prijave.

Instalacija Fail2Ban:

sudo apt-get install fail2ban

Omogućavanje i pokretanje usluge:

sudo systemctl enable fail2ban
sudo systemctl start fail2ban

Konfiguriranje prilagođenih pravila:

Kopirajte zadanu konfiguracijsku datoteku:

sudo cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local

Uredite konfiguraciju:

sudo nano /etc/fail2ban/jail.local

Obratite posebnu pažnju na [sshd]odjeljak za SSH zaštitu.

5. Provjera otvorenih portova

Redovna provjera otvorenih portova pomaže u identifikaciji nepotrebnih usluga koje mogu predstavljati sigurnosni rizik.

Provjera otvorenih portova:

sudo netstat -tunlp

Analizirajte izlaz i osigurajte da su samo potrebni portovi otvoreni za vaše aplikacije.

Implementacijom gore navedenih koraka značajno ćete poboljšati sigurnost vašeg web servera. Redovna ažuriranja sistema, praćenje dnevnika i stalna sigurnosna podešavanja su od suštinskog značaja za održavanje visokog nivoa zaštite.

Napomena: Ovaj vodič je u informativne svrhe. Prije primjene bilo kakvih promjena na proizvodnom serveru, preporučuje se da ih testirate u kontroliranom okruženju.

#Sigurnost web servera #Zaštita servera #UFW Firewall #SSH autentikacija #Fail2Ban Podešavanje #Prevencija IP lažiranja #Sigurnost Linux servera #Cybersecurity #Sigurnost web aplikacija #Zaštita od hakovanja