Linux Serversäkerhet – 10 Steg till en Säker VPS

Varför serversäkerhet är kritiskt

En osäkrad server som exponeras mot internet blir typiskt angripen inom minuter. Automatiserade botnät skannar kontinuerligt efter öppna SSH-portar, kända sårbarheter och felkonfigurationer. Utan grundläggande härdning riskerar du dataintrång, krypteringstrojaner eller att din server används som del i ett botnät.

Denna guide tar dig genom de viktigaste stegen för att säkra en Linux-baserad VPS.

1. Uppdatera systemet

Innan allt annat – uppdatera:

apt update && apt upgrade -y
# Eller på CentOS/RHEL:
dnf update -y

Kör detta regelbundet. Säkerhetspatchar för kernel och system-bibliotek släpps löpande.

2. Skapa en icke-root-användare

Att köra tjänster som root är en av de vanligaste säkerhetsriskerna:

adduser sysadmin
usermod -aG sudo sysadmin

Logga in som denna användare och använd sudo vid behov.

3. Härda SSH

SSH är den primära attackvektorn mot Linux-servrar. Konfigurera /etc/ssh/sshd_config:

# Inaktivera root-login
PermitRootLogin no

# Använd nycklar, inte lösenord
PasswordAuthentication no
PubkeyAuthentication yes

# Byt port (valfritt men minskar brus i loggarna)
Port 2222

# Begränsa vilka som får logga in
AllowUsers sysadmin

Starta om SSH-tjänsten:

sudo systemctl restart sshd

Viktigt: Testa att du kan logga in med den nya konfigurationen *innan* du stänger din nuvarande session.

4. Konfigurera brandvägg (UFW)

UFW förenklar iptables-hantering:

sudo ufw default deny incoming
sudo ufw default allow outgoing
sudo ufw allow 2222/tcp    # Din SSH-port
sudo ufw allow 80/tcp      # HTTP
sudo ufw allow 443/tcp     # HTTPS
sudo ufw enable

Verifiera med sudo ufw status verbose.

5. Installera Fail2ban

Fail2ban övervakar loggar och blockerar IP-adresser som visar tecken på bruteforce-attacker:

sudo apt install fail2ban -y
sudo cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local

Redigera /etc/fail2ban/jail.local:

[sshd]
enabled = true
port = 2222
maxretry = 3
bantime = 3600
findtime = 600

6. Automatiska säkerhetsuppdateringar

Konfigurera unattended-upgrades för att automatiskt installera säkerhetspatchar:

sudo apt install unattended-upgrades -y
sudo dpkg-reconfigure -plow unattended-upgrades

7. Minimera installerade tjänster

Varje körande tjänst är en potentiell attackyta. Ta bort det du inte behöver:

# Lista aktiva tjänster
systemctl list-units --type=service --state=active

# Inaktivera onödiga tjänster
sudo systemctl disable --now tjänstnamn

8. Konfigurera logövervakning

Centraliserad loggning hjälper dig upptäcka intrångsförsök:

# Granska auth-loggen
sudo tail -f /var/log/auth.log

# Sök efter misslyckade inloggningsförsök
sudo grep "Failed password" /var/log/auth.log | tail -20

9. Disk-kryptering och filsystemrättigheter

Sätt korrekta rättigheter på känsliga filer:

chmod 600 ~/.ssh/authorized_keys
chmod 700 ~/.ssh
chmod 640 /etc/shadow

10. Regelbundna backuper

Säkerhet handlar också om att kunna återställa. Automatisera dina backuper:

# Enkel backup med rsync
rsync -avz --delete /var/www/ backup@remote:/backups/www/

# Eller använd borgbackup för dedupliserad backup
borg create /backup/repo::{now} /var/www /etc

Sammanfattning

Serversäkerhet är inte ett engångsprojekt utan en löpande process. De tio stegen ovan ger dig en solid grund. Kombinera dem med regelbundna penetrationstest och loggranskningar för att hålla din infrastruktur skyddad.

För VPS hosting med inbyggda säkerhetsfunktioner, kolla mehosting.com.