Op deze website gebruiken we cookies om content en advertenties te personaliseren, om functies voor social media te bieden en om ons websiteverkeer te analyseren. Ook delen we informatie over uw gebruik van onze site met onze partners voor social media, adverteren en analyse. Deze partners kunnen deze gegevens combineren met andere informatie die u aan ze heeft verstrekt of die ze hebben verzameld op basis van uw gebruik van hun services. Meer informatie.

Akkoord
abonneren

Praktische tips om je vps veilig te houden

Je beheert een aantal websites. Dat kan voor een hobby zijn, als professional of zelfs voor derden. Een vps is dan nog altijd een goedkope en flexibele oplossing, maar hoe zorg je dat je werk straks niet op straat ligt? We nemen een vps met Ubuntu Server als voorbeeld en bespreken de belangrijkste veiligheidsmaatregelen.

Het veilig inrichten van een vps is niet eenvoudig. Het is als eerste belangrijk om de basics goed te krijgen: patchmanagement, rechten en de firewall. Voor patchmanagement is het natuurlijk het beste om automatische updates aan te zetten. Zorg ook dat je een firewall aan hebt staan, zodat er alleen verkeer plaatsvindt op poort 80 (http), 443 (https) en 22 (ssh). Dat doe je eenvoudig met ufw dat iptables gebruikt. Je staat een service toe met sudo ufw enable <service-of-poort>, bijvoorbeeld sudo ufw enable ssh. Je schakelt ufw in met sudo ufw enable. Verder log je natuurlijk niet in als root en het beste zet je ftp uit. Gebruik daarvoor in de plaats sftp, dat is ssh voor bestanden en werkt met bijvoorbeeld FileZilla.

Ssh

Ook een goed idee: ssh dichttimmeren. Het is soms wel even schrikken hoeveel bruteforcepogingen er worden gedaan om in te loggen via ssh vanuit landen als China en Rusland. Om je daar tegen te beschermen, is het een goed idee om fail2ban te installeren, om bruteforce te voorkomen. Op Ubuntu installeer je fail2ban simpel met sudo apt-get install fail2ban. Je kunt de configuratie wijzigen met:
cd/etc/fail2ban
sudo cp jail.conf jail.local
sudo nano /etc/fail2ban/jail.local

Je kunt dan kiezen welke ip-adressen genegeerd kunnen worden en hoelang iemand verbannen wordt.

Om SSH echt dicht te timmeren, gebruik je een public/private keypair. Zorg dat je lokaal alvast een keypair hebt gegenereerd. Check of je al een bestaand paar hebt met ls -al~/.ssh. Kijk in de lijst voor id_rsa en id_rsa.pub of vergelijkbaars. Zo niet, dan voer je uit:
mkdir ~/.ssh
chmod 700 ~/.ssh
ssh-keygen -t rsa

Vervolgens kopieer je je ssh publieke sleutel naar je vps met: ssh-copy-id <gebruikersnaam>@<-je-vps-host>

Als je daarna opnieuw inlogt via ssh, wordt niet meer om je wachtwoord gevraagd. Test het wel even. Daarna is het het beste om het inloggen met een wachtwoord via ssh compleet uit te zetten: sudo nano /etc/ssh/sshd_config

Wijzig hier de volgende waardes:
ChallengeResponseAuthentication no
PasswordAuthentication no
UsePAM no

Sla het bestand op met Ctrl + X / Y en herstart ssh met sudo service ssh restart op Ubuntu. Misschien overbodig maar zorg uiteraard voor een sterk wachtwoord. Fail2ban gaat je niet helpen tegen het wachtwoord 'test'.

Overigens heeft het niet veel zin om ssh te verplaatsen naar een andere poort.

Gratis automatische back-ups

TransIP kan je helpen met het veilig inrichten van je vps. Als je een TransIP-vps hebt, kun je kiezen voor automatische snapshots. Gaat er iets fout in productie of word je getroffen door de nieuwste CIA-malware, dan ben je met een druk op de knop terug naar een vorige versie van je vps en kun je weer snel door. Data verlies je niet, want tegelijkertijd worden dagelijks gratis back-ups gemaakt gemaakt van je vps.

TCP Monitoring

Ook handig: TCP Monitoring. Over het algemeen kost het tijd en moeite om een goede monitoringsservice op te zetten, die je ook nog eens snel meldt als er iets aan de hand is met je vps. TransIP heeft het ingebouwd. Met een druk op de knop zet je TCP Monitoring gratis aan (behalve bij de x1, waarbij het een tientje per maand kost), en kun je kiezen welke poorten in de gaten moeten worden gehouden. Geeft je vps geen reactie meer, dan word je snel op de hoogte gesteld via e-mail of sms.

Hostingaccount

Een andere aanvalsvector is je hostingaccount zelf. Het is belangrijk om die goed te beschermen, om te voorkomen dat je domeinnaam, vps of andere diensten gekaapt worden. Je kunt als maatregel authenticatie in twee stappen instellen voor je TransIP- account. Daarvoor klik je rechtsboven op je gebruikersnaam / Mijn account / Beveiliging en zet je de schakelaar om bij Two-factor authentication. Je kunt een app zoals Google Authenticator gebruiken of een sms’je ontvangen met de code. Een andere beveiligingsfunctie in TransIP is de VPS Lock. Daarmee vergrendel je een vps, zodat je die niet zomaar kunt herstarten, afsluiten, verwijderen of opzeggen. Dat is handig om te weten aan welke vps absoluut niet gesleuteld mag worden, welke dus in productie is. Je kunt de lock met een druk op de knop aan- en uitzetten op de vps-pagina in het Controlepaneel en locks zijn geheel gratis.

Klopt… maar met een VPS Lock zal het misschien iets minder snel voorkomen. (via @petecheslock)

Websites zelf

Naast al deze beveiligingsmaatregelen, is het ook belangrijk om te denken aan de veiligheid van de webapplicaties zelf. Je hebt met LetsEncrypt eigenlijk geen excuus meer om geen https te gebruiken. Met één commando worden de certificaten binnengehaald en in je webserver geïnstalleerd. Je gaat als volgt aan de slag met LetsEncrypt op Ubuntu:
sudo add-apt-repository ppa:certbot/certbot
sudo apt-get update

Voor Apache2 doe je dan:
sudo apt-get install python-certbot-apache
en haal je een certificaat binnen met:
sudo certbot --apache -d jedomein.nl -d www.jedomein.nl

Zo simpel is het. Kies tijdens de korte wizard voor Secure als je altijd https wilt gebruiken. Met een eenvoudige cron-job die het commando certbot renew eens per maand uitvoert en dan apache2 herlaadt, vervallen je certificaten nooit.

1 maand een gratis vps

Bij TransIP kun je nu een maand gratis een VPS proberen, zonder ergens aan vast te zitten. Voor de actie kun je kiezen uit een BladeVPS PureSSD X1, X4 of X8-vps. Elke van deze vps’en heeft een ssd, wat ‘m supersnel maakt. Bovendien kun je bij elke BladeVPS kiezen uit 13 besturingssystemen en beschikt die over een 1 Gb/s uplink en gratis tot 1000 mails per vps kan versturen. De X1-vps bevat een Intel Xeon-processor, 1 GB ram en 50 GB ssd-opslagruimte en heeft 1 TB aan traffic. De X4 vergroot dat naar twee Xeon processors, vier keer zo veel ram en maar liefst 150 GB aan opslag. De X8 heeft vier Xeon-processors, 8 GB ram en 300 GB ssd. Je kunt alles zelf uitproberen en ermee aan de slag gaan om je vps veilig in te richten met de zojuist besproken tools en mogelijkheden. Na de gratis maand wordt je vps automatisch omgezet in een betaalde vps, je hoeft daarvoor niets te doen.

Start nu jouw gratis maand via: www.transip.nl/pcm

Geschreven door: partner op

Category: Partnerbijdrage

Tags: vps, Transip, gratis

Nieuws headlines

donderdag 09 november

Laatste reactie