Je beheert een aantal websites. Dat kan voor een hobby zijn, als professional of zelfs voor derden. Een vps is dan nog altijd een goedkope en flexibele oplossing, maar hoe zorg je dat je werk straks niet op straat ligt? We nemen een vps met Ubuntu Server als voorbeeld en bespreken de belangrijkste veiligheidsmaatregelen.
Het veilig inrichten van een vps is niet eenvoudig. Het is als eerste belangrijk om de basics goed te krijgen: patchmanagement, rechten en de firewall. Voor patchmanagement is het natuurlijk het beste om automatische updates aan te zetten. Zorg ook dat je een firewall aan hebt staan, zodat er alleen verkeer plaatsvindt op poort 80 (http), 443 (https) en 22 (ssh). Dat doe je eenvoudig met ufw dat iptables gebruikt. Je staat een service toe met sudo ufw enable <service-of-poort>, bijvoorbeeld sudo ufw enable ssh. Je schakelt ufw in met sudo ufw enable. Verder log je natuurlijk niet in als root en het beste zet je ftp uit. Gebruik daarvoor in de plaats sftp, dat is ssh voor bestanden en werkt met bijvoorbeeld FileZilla.
Ssh
Ook een goed idee: ssh dichttimmeren. Het is soms wel even schrikken hoeveel bruteforcepogingen er worden gedaan om in te loggen via ssh vanuit landen als China en Rusland. Om je daar tegen te beschermen, is het een goed idee om fail2ban te installeren, om bruteforce te voorkomen. Op Ubuntu installeer je fail2ban simpel met sudo apt-get install fail2ban. Je kunt de configuratie wijzigen met:
cd/etc/fail2ban
sudo cp jail.conf jail.local
sudo nano /etc/fail2ban/jail.local
Je kunt dan kiezen welke ip-adressen genegeerd kunnen worden en hoelang iemand verbannen wordt.
Om SSH echt dicht te timmeren, gebruik je een public/private keypair. Zorg dat je lokaal alvast een keypair hebt gegenereerd. Check of je al een bestaand paar hebt met ls -al~/.ssh. Kijk in de lijst voor id_rsa en id_rsa.pub of vergelijkbaars. Zo niet, dan voer je uit:
mkdir ~/.ssh
chmod 700 ~/.ssh
ssh-keygen -t rsa
Vervolgens kopieer je je ssh publieke sleutel naar je vps met: ssh-copy-id <gebruikersnaam>@<-je-vps-host>
Als je daarna opnieuw inlogt via ssh, wordt niet meer om je wachtwoord gevraagd. Test het wel even. Daarna is het het beste om het inloggen met een wachtwoord via ssh compleet uit te zetten: sudo nano /etc/ssh/sshd_config
Wijzig hier de volgende waardes:
ChallengeResponseAuthentication no
PasswordAuthentication no
UsePAM no
Sla het bestand op met Ctrl + X / Y en herstart ssh met sudo service ssh restart op Ubuntu. Misschien overbodig maar zorg uiteraard voor een sterk wachtwoord. Fail2ban gaat je niet helpen tegen het wachtwoord 'test'.
Gratis automatische back-ups
TransIP kan je helpen met het veilig inrichten van je vps. Als je een TransIP-vps hebt, kun je kiezen voor automatische snapshots. Gaat er iets fout in productie of word je getroffen door de nieuwste CIA-malware, dan ben je met een druk op de knop terug naar een vorige versie van je vps en kun je weer snel door. Data verlies je niet, want tegelijkertijd worden dagelijks gratis back-ups gemaakt gemaakt van je vps.
TCP Monitoring
Ook handig: TCP Monitoring. Over het algemeen kost het tijd en moeite om een goede monitoringsservice op te zetten, die je ook nog eens snel meldt als er iets aan de hand is met je vps. TransIP heeft het ingebouwd. Met een druk op de knop zet je TCP Monitoring gratis aan (behalve bij de x1, waarbij het een tientje per maand kost), en kun je kiezen welke poorten in de gaten moeten worden gehouden. Geeft je vps geen reactie meer, dan word je snel op de hoogte gesteld via e-mail of sms.
Hostingaccount
Een andere aanvalsvector is je hostingaccount zelf. Het is belangrijk om die goed te beschermen, om te voorkomen dat je domeinnaam, vps of andere diensten gekaapt worden. Je kunt als maatregel authenticatie in twee stappen instellen voor je TransIP- account. Daarvoor klik je rechtsboven op je gebruikersnaam / Mijn account / Beveiliging en zet je de schakelaar om bij Two-factor authentication. Je kunt een app zoals Google Authenticator gebruiken of een sms’je ontvangen met de code. Een andere beveiligingsfunctie in TransIP is de VPS Lock. Daarmee vergrendel je een vps, zodat je die niet zomaar kunt herstarten, afsluiten, verwijderen of opzeggen. Dat is handig om te weten aan welke vps absoluut niet gesleuteld mag worden, welke dus in productie is. Je kunt de lock met een druk op de knop aan- en uitzetten op de vps-pagina in het Controlepaneel en locks zijn geheel gratis.
Websites zelf
Naast al deze beveiligingsmaatregelen, is het ook belangrijk om te denken aan de veiligheid van de webapplicaties zelf. Je hebt met LetsEncrypt eigenlijk geen excuus meer om geen https te gebruiken. Met één commando worden de certificaten binnengehaald en in je webserver geïnstalleerd. Je gaat als volgt aan de slag met LetsEncrypt op Ubuntu:
sudo add-apt-repository ppa:certbot/certbot
sudo apt-get update
Voor Apache2 doe je dan:
sudo apt-get install python-certbot-apache
en haal je een certificaat binnen met:
sudo certbot --apache -d jedomein.nl -d www.jedomein.nl
Zo simpel is het. Kies tijdens de korte wizard voor Secure als je altijd https wilt gebruiken. Met een eenvoudige cron-job die het commando certbot renew eens per maand uitvoert en dan apache2 herlaadt, vervallen je certificaten nooit.