security

Bezpečnostní minimum pro každý server (5 věcí, co musíte udělat)

Zjistěte, jak zabezpečit svůj domácí server – od správného hardwaru přes zálohy až po bezpečné služby a VPN. Praktické tipy pro každý homelab.

Jan Mairinger

2 min read
Bezpečnostní minimum pro každý server (5 věcí, co musíte udělat)
Ilustračni foto od FlyD / Unsplash

Každý server — ať už domácí, produkční nebo vývojový — má jedno společné. Musí být zabezpečený. Ne až zítra, ne až bude čas. Hned.

Útočníci nečekají. Jakmile váš server pustíte na internet, probíhají skeny portů, pokusy o přihlášení a útoky hrubou silou. Dobrá zpráva? Existuje pět jednoduchých kroků, které výrazně zvednou bezpečnost každého serveru — bez zbytečné složitosti.

1) Aktualizace systému a balíčků

Je to nudné, ale zásadní. Většina útoků míří na známé zranitelnosti — a právě aktualizace je uzavírají. Stačí pár měsíců bez updatu a máte v systému díry, které útočníci aktivně vyhledávají.

  • pravidelné aktualizace OS
  • automatické bezpečnostní patche
  • pravidelný restart při kernel updatech
Tip: Na Ubuntu si zapněte unattended-upgrades. Chrání automaticky.

2) Firewall musí být zapnutý

Firewall je úplně základní obrana. Stačí povolit jen porty, které reálně používáte. Všechno ostatní musí být zavřené — žádné výjimky.

  • povolte jen SSH, HTTP/HTTPS a porty vašich služeb
  • každý další port otevírejte vědomě
  • mějte pravidla zdokumentovaná
Tip: Na Ubuntu začněte s ufw: jednoduchý, přehledný a bezpečný.

3) Bezpečné SSH: žádná hesla

SSH je nejčastější vchod na server — a taky nejčastější cíl útoků. Přihlášení heslem je slabé. Klíče jsou standard. A povolené heslo na SSH je bezpečnostní průšvih.

  • přihlášení pouze pomocí SSH klíče
  • zakázat root login
  • změnit výchozí port (není to ochrana, ale snižuje šum)
Tip: Pokud jde o produkci, přidejte Fail2Ban — odřízne bruteforce pokusy.

4) Automatické zálohy (a test obnovy)

Bez záloh není server bezpečný. A nestačí jen něco někam kopírovat — záloha je platná, až když ji umíte obnovit. Výpadky, chyby, ransomware, lidský omyl… všechno se stane dřív nebo později.

  • automatické denní/týdenní backupy
  • alespoň jedna kopie mimo server (NAS, druhý disk, cloud)
  • pravidelně testujte obnovu
Tip: 3–2–1 pravidlo: 3 kopie dat, 2 různé typy úložišť, 1 mimo hlavní stroj.

5) Reverzní proxy a HTTPS

Exponovat backendy přímo na internet je riziko. Reverzní proxy je první obranná linie, která filtruje provoz a spravuje SSL. Díky ní schováte služby za jednotné rozhraní a everything goes through one gateway.

  • HTTPS na všech doménách — žádné výjimky
  • schované backendy bez veřejných portů
  • snadné přidávání nových služeb
Tip: Pro domácí servery a Docker je skvělý Traefik nebo NGINX Proxy Manager.

Závěrem: bezpečnost není volitelná

Bezpečnostní minimum není těžké. Nevyžaduje drahé služby, složité firewally ani dlouhé hodiny konfigurace. Je to několik jasných kroků, které chrání vaše data, vaše projekty i vaši reputaci. Jakmile je nastavíte, máte klidný spánek a stabilní základ pro cokoliv dalšího.

Tip: Pokud plánujete provozovat weby, API nebo vlastní cloud, tady to začíná. Bez těchto pěti kroků neuděláte bezpečný server.

Chcete navázat?
Podívejte se na návody na Traefik, firewall konfiguraci, Fail2Ban a bezpečné SSH.


Pokračovat →

Číst dál