امنیت‌سازی VPS: راهنمای کامل

تغییر پورت پیش‌فرض SSH از 22 به یک عدد دلخواه (مثلاً 2222 یا 4499) اولین دیوار دفاعی است که جلوی اکثر اسکنرهای خودکار را می‌گیرد. فایل /etc/ssh/sshd_config را ویرایش کنید و خط Port 22 را تغییر دهید. همچنین PermitRootLogin را به no تنظیم کنید و تنها از کاربران غیر root با sudo استفاده کنید. پس از ذخیره تغییرات، سرویس SSH را ریستارت کنید: systemctl restart sshd.

fail2ban ابزاری است که آدرس‌های IP که تلاش‌های مکرر ناموفق برای ورود دارند را به‌طور خودکار بلاک می‌کند. آن را با دستور apt install fail2ban نصب کنید. یک فایل کانفیگ محلی بسازید: cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local. در این فایل می‌توانید حداکثر تعداد تلاش‌های مجاز (maxretry)، مدت بلاک (bantime) و بازه زمانی بررسی (findtime) را تنظیم کنید. سرویس را فعال کنید: systemctl enable --now fail2ban.

به‌روزرسانی‌های امنیتی باید در اسرع وقت اعمال شوند. در اوبونتو، پکیج unattended-upgrades را نصب کنید تا به‌روزرسانی‌های امنیتی به‌صورت خودکار دریافت شوند. دستور dpkg-reconfigure --priority=low unattended-upgrades آن را پیکربندی می‌کند. همچنین پکیج‌های غیرضروری را حذف کنید تا سطح حمله کاهش یابد. هرگز سرویس‌ها و پکیج‌هایی که استفاده نمی‌کنید را فعال نگذارید.

یک استراتژی فایروال دفاعی پیاده‌سازی کنید: تنها پورت‌هایی که واقعاً نیاز دارید را باز کنید. اگر وب‌سرور دارید، پورت‌های 80 و 443 را باز کنید. پورت SSH جدید را نیز اضافه کنید. با UFW این کار با دستوراتی مانند ufw allow 443/tcp ساده است. برای امنیت بیشتر، می‌توانید SSH را فقط از IP خاصی قبول کنید: ufw allow from YOUR_IP to any port SSH_PORT. این رویکرد «whitelist» امنیت را به سطح بالاتری می‌رساند.