Weboldalaink folyamatos támadásnak vannak kitéve a külvilág felől. Ezeknek túlnyomó részét robotok végzik, amik megpróbálják felderíteni a szerveren futó weboldalak gyenge pontjait. Az ilyen célú robotoknak egy része ezt úgy próbálja megtenni, hogy weboldalaink felé különböző, véletlenszerűnek tűnő HTTP lekéréseket intéznek, amiknek a java része nem létező URL címekre irányul. Ennek következtében szerverünk 404-es HTTP válaszkóddal reagál. Ebben a leírásban megnézzük hogyan tilthatjuk ki a nagy mennyiségben érkező, 404 és egyéb 4xx HTTP válaszkódokat eredményező próbálkozásokat a Fail2Ban segítségével.

A HSTS fejléc használatával nagyobb biztonságban tudhatjuk weboldalainkat a man-in-the-middle típusú támadásokkal szemben. Ebben a rövid leírásban megnézzük hogyan állíthatjuk be ezt a HTTP fejlécet Apache alapú LAMP, vagy ISPConfig szerverkörnyezetünkben.

Többféle módja van a webszerverek és egyéb kiszolgálók távoli menedzselésének, amik közül az SSH a legelterjedtebb a parancssori megoldások közül. Az SSH protokoll egy titkosított csatornán kommunikál a kiszolgáló és a kliens között. Mint minden hasonló kommunikáció, az SSH is egy adott porton keresztül továbbítja az adatokat, ami alapértelmezetten a közismert 22-es tcp port. Mivel ennek a portnak a funkcióját nagyon sokan ismerik, emiatt a kiszolgálók rendszeres támadásnak vannak kitéve. Ezt úgy szokták elkerülni - vagy legalábbis csökkenteni a próbálkozások számát-, hogy ezt a jól ismert portot átállítják egy másik, ismeretlen portszámra, amit csak port letapogatással (port scanning) lehet kívülről felderíteni, ami időigényesebb feladat.
Ebben a leírásban megnézzük, hogyan állíthatjuk át az SSH ismert 22-es TCP portját egy egyedi portszámra, hogy minimalizáljuk az SSH-n keresztül történő támadási kísérletek számát.

Az UFW (Uncomplicated Firewall) egy könnyen használható netfilter tűzfal kezelésére szolgáló program. Parancssori felületet használ, amely kevés egyszerű parancsból áll, és az iptables-t használja a konfigurációhoz, tehát az iptables frontend-je. Ebben a leírásban megnézzük az UFW tűzfal telepítését és alapvető használatát, beállításait, aminek a lépéseit én egy Debian 11 minimális szerveren fogom elvégezni.

Ha weboldalakat üzemeltetünk, akkor szerverünk, és a rajta működő weboldalak és szolgáltatások gyakran ki vannak téve a külső támadásoknak, ami alól MySQL/MariaDB adatbázis kiszolgálónk sem kivétel. Ha szerverünkön a Fail2Ban védelmi szoftver is rendelkezésre áll, akkor ebből a rövid leírásból megtudhatjuk, hogyan tehetjük biztonságosabbá szerverünket az "Access denied for user root@ip-cím (using password: YES/NO)" típusú adatbázis kiszolgálónkat érő támadásokkal szemben.

Az ISPConfig különféle védelmi rendszereket alkalmaz, hogy biztonságos legyen, többek között az IDS (Intrusion Detection System) technológiát is. Előfordul azonban, hogy ennek a beállítása esetleg túl érzékeny, és minket is kitilt a kezelőpanelből. Ebben a kis hibaelhárítóban megnézzük, hogy mit tehetünk, ha az ISPConfig kezelőpanelünk nem enged be minket, hanem helyette kapunk egy "Possible attack detected. This action has been logged." hibaüzenetet.

A LAMP rendszerek segítségével futtathatunk dinamikus weboldalakat szerverünkön, vagy akár otthoni gépünkön is. Korábban már készítettem LAMP szervereket Debian 8 (Jessie), Debian 9 (Stretch) és Ubuntu 18.04 LTS (Bionic Beaver) rendszerekre is, ebben a leírásban pedig az Ubuntu 20.04 LTS (Focal Fossa) Linux disztribúciójára fogjuk feltelepíteni a LAMP szerver részeit.