Securizarea de baza a unui server Ubuntu

DanyChrys

🛡️ Procedură: Securizarea de bază a unui VPS (Ubuntu 24.04)

Când cumperi un server virtual (VPS) nou, acesta vine de obicei cu porturile deschise și parola expusă pe internet. În câteva minute, "boții" automatizați vor începe să atace portul 22, încercând să ghicească parola de root.

Această procedură te învață cei 3 pași esențiali pentru a-ți transforma serverul Ubuntu 24.04 dintr-o țintă ușoară într-o fortăreață, blocând 99% din atacurile automate.

Pasul 1: Schimbarea portului standard SSH

Hackerii scanează mereu portul 22 (portul standard pentru conectarea la terminal). Cel mai simplu truc este să mutăm această "ușă" la altă adresă.

Deschide fișierul de configurare SSH:

sudo nano /etc/ssh/sshd_config

Caută linia unde scrie #Port 22 (de obicei e la început).
Șterge diez-ul (#) și schimbă numărul 22 cu un port între 1024 și 65535 (ex: Port 2244).

Salvează fișierul (Ctrl+O, Enter, Ctrl+X) și repornește serviciul:

sudo systemctl restart ssh

(Atenție: Nu închide terminalul curent! Deschide o fereastră nouă și testează dacă te poți conecta cu noul port înainte de a închide sesiunea actuală).

Pasul 2: Activarea Firewall-ului (UFW)

Ubuntu vine cu UFW (Uncomplicated Firewall) preinstalat, dar este oprit implicit. Vom închide toate porturile din exterior și le vom deschide doar pe cele stric necesare (Web și noul port SSH).

Rulează aceste comenzi pe rând:

sudo ufw default deny incoming
sudo ufw default allow outgoing

sudo ufw allow 2244/tcp   # Înlocuiește 2244 cu portul SSH ales de tine la Pasul 1!
sudo ufw allow 80/tcp     # Pentru trafic HTTP normal
sudo ufw allow 443/tcp    # Pentru trafic HTTPS securizat

Acum activăm scutul:

sudo ufw enable

(Când te întreabă dacă ești sigur, apasă tasta y și Enter).

Pasul 3: Instalarea Fail2Ban (Paznicul automat)

Fail2Ban este un program genial care citește logurile serverului tău. Dacă vede că o adresă IP greșește parola de 5 ori la rând, o blochează automat în firewall (îi dă "ban").

Instalarea durează câteva secunde:

sudo apt update
sudo apt install fail2ban -y

Îl activăm să pornească automat odată cu serverul:

sudo systemctl enable fail2ban --now

🎉 Gata! În mai puțin de 5 minute, serverul tău este acum invizibil pentru scannerele automate și protejat împotriva atacurilor de tip forță brută (brute-force).