Bezpečnost je základ! Tento návod tě provede základním zabezpečením tvého VPS serveru.
První a nejdůležitější krok - aktuální systém:
# Aktualizace seznamu balíčků
apt update
# Upgrade všech balíčků
apt upgrade -y
# Automatické bezpečnostní aktualizace
apt install unattended-upgrades -y
dpkg-reconfigure -plow unattended-upgrades💡 Tip: Pravidelně kontroluj aktualizace nebo nastav automatické.
Nepoužívej root pro běžnou práci! Vytvoř si vlastního uživatele:
# Vytvoření uživatele
adduser tvejmeno
# Přidání sudo práv
usermod -aG sudo tvejmeno
# Test přihlášení (v novém okně!)
ssh tvejmeno@tvoje-ip⚠️ Důležité: Otestuj přihlášení PŘED zakázáním roota!
SSH klíče jsou bezpečnější než hesla:
# Vygenerování klíče
ssh-keygen -t ed25519 -C "[email protected]"
# Zkopírování na server
ssh-copy-id tvejmeno@tvoje-ip# Vygenerování klíče
ssh-keygen -t ed25519
# Klíč je v: C:\Users\TvojeJmeno\.ssh\id_ed25519.pub
# Obsah souboru zkopíruj na server do ~/.ssh/authorized_keysUprav konfiguraci SSH pro větší bezpečnost:
nano /etc/ssh/sshd_configZměň tyto hodnoty:
# Změna portu (volitelné, ale doporučené)
Port 2222
# Zakázání přihlášení rootem
PermitRootLogin no
# Pouze SSH klíče (až po nastavení klíčů!)
PasswordAuthentication no
# Zakázání prázdných hesel
PermitEmptyPasswords no
# Timeout pro nečinnost
ClientAliveInterval 300
ClientAliveCountMax 2Restart SSH:
systemctl restart sshd⚠️ POZOR: Před restartem otestuj přihlášení v novém okně!
UFW je jednoduchý firewall pro Ubuntu/Debian:
# Instalace
apt install ufw -y
# Základní pravidla
ufw default deny incoming
ufw default allow outgoing
# Povolení SSH (DŮLEŽITÉ - jinak se zamkneš!)
ufw allow ssh
# Nebo pokud jsi změnil port:
ufw allow 2222/tcp
# Povolení HTTP a HTTPS (pro web)
ufw allow 80/tcp
ufw allow 443/tcp
# Aktivace firewallu
ufw enable
# Kontrola stavu
ufw status verbose# Povolení konkrétního portu
ufw allow 3306/tcp # MySQL
# Povolení pouze z určité IP
ufw allow from 1.2.3.4 to any port 22
# Smazání pravidla
ufw delete allow 80/tcp
# Vypnutí firewallu (nouzově)
ufw disableFail2ban blokuje IP adresy po opakovaných neúspěšných pokusech o přihlášení:
# Instalace
apt install fail2ban -y
# Vytvoření lokální konfigurace
cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local
nano /etc/fail2ban/jail.localUprav sekci [sshd]:
[sshd]
enabled = true
port = ssh
# Nebo tvůj custom port:
# port = 2222
filter = sshd
logpath = /var/log/auth.log
maxretry = 3
bantime = 3600
findtime = 600Restart a kontrola:
systemctl restart fail2ban
systemctl enable fail2ban
# Stav
fail2ban-client status
fail2ban-client status sshd
# Odblokování IP (pokud se zamkneš)
fail2ban-client set sshd unbanip 1.2.3.4Pokud používáš hesla, měla by být silná:
# Změna hesla
passwd
# Změna hesla jiného uživatele
passwd uzivatel
# Generování náhodného hesla
openssl rand -base64 24✅ Dobré heslo má: 16+ znaků, velká/malá písmena, čísla, speciální znaky
| ✅ | Úkol | Priorita |
|---|---|---|
| ☐ | Systém aktualizován | 🔴 Kritická |
| ☐ | Vytvořen běžný uživatel se sudo | 🔴 Kritická |
| ☐ | SSH klíče nastaveny | 🟠 Vysoká |
| ☐ | Root login zakázán | 🟠 Vysoká |
| ☐ | Firewall aktivní | 🔴 Kritická |
| ☐ | Fail2ban nainstalován | 🟠 Vysoká |
| ☐ | SSH port změněn | 🟡 Střední |
| ☐ | Automatické aktualizace | 🟡 Střední |
Použij VNC konzoli v DRAGOCLOUD panelu - funguje i bez SSH.
V panelu můžeš resetovat root heslo přes "Reinstall" nebo kontaktuj podporu.
# Kdo je přihlášen
who
w
# Podezřelé procesy
htop
ps aux | grep -v root
# Síťové spojení
netstat -tlnp
ss -tlnp
Alex ti pomůže se zabezpečením přímo v panelu! 🤖