--- title: "Zabezpieczenie serwera VPS" description: "Dowiedz się, jak wdrożyć podstawowe środki bezpieczeństwa, aby chronić Twój serwer VPS przed atakami i nieautoryzowanym dostępem" url: https://docs.ovhcloud.com/pl/guides/bare-metal-cloud/virtual-private-servers/secure-your-vps lang: pl lastUpdated: 2026-01-21 --- # Zabezpieczenie serwera VPS ## Wprowadzenie Kiedy zamawiasz serwer VPS, możesz wybrać dystrybucję lub system operacyjny do pre-instalowania. Serwer jest więc gotowy do użytku po zainstalowaniu serwera. Jednakże, jako administrator, musisz wdrożyć środki gwarantujące bezpieczeństwo i stabilność systemu. **Niniejszy przewodnik wyjaśnia, jak zabezpieczyć serwer oparty na GNU/Linux.** :::warning OVHcloud świadczy usługi, za które jesteś odpowiedzialny w związku z ich konfiguracją i zarządzaniem. Jesteś więc odpowiedzialny za ich prawidłowe funkcjonowanie. Jeśli napotkasz trudności z przeprowadzeniem tych operacji, skontaktuj się z wyspecjalizowanym dostawcą usług i/lub przedyskutuj problem z naszą społecznością użytkowników na stronie [https://community.ovh.com/en/](https://community.ovh.com/en/). OVHcloud nie może udzielić Ci wsparcia technicznego w tym zakresie. ::: ## Wymagania początkowe - Jeden [VPS](https://www.ovhcloud.com/pl/vps/) na Twoim koncie OVHcloud. - Dostęp administratora (sudo) do serwera przez SSH. ## W praktyce :::info Pamiętaj, że jest to ogólny przewodnik przygotowany na podstawie systemów operacyjnych Ubuntu, Debian i CentOS. Niektóre polecenia należy dostosować do używanej dystrybucji, a niektóre z nich wymagają użycia narzędzi zewnętrznych. W razie potrzeby skorzystaj z oficjalnej dokumentacji dotyczącej tych aplikacji. Jeśli skonfigurujesz Twój pierwszy VPS OVHcloud, zapoznaj się [z przewodnikiem dotyczącym uruchomienia serwera VPS](/pl/guides/bare-metal-cloud/virtual-private-servers/starting-with-a-vps.md). ::: Poniższe przykłady zakładają, że jesteś zalogowany jako [użytkownik z dużymi uprawnieniami](/pl/guides/bare-metal-cloud/dedicated-servers/changing-root-password-linux-ds.md). **Spis treści:** - [Aktualizacja systemu operacyjnego](#os-update) - [Utwórz i użyj klucza SSH](#sshkey) - [Zmień domyślny port SSH](#changesshport) - [Utworzenie użytkownika z ograniczonymi prawami](#createuser) - [Konfiguracja wewnętrznej zapory sieciowej (iptables)](#iptables) - [Zainstaluj Fail2ban](#fail2ban) - [Konfiguracja Network Firewall OVHcloud](#networkfirewall) - [Tworzenie kopii zapasowej systemu i danych](#backup) ### Aktualizacja systemu operacyjnego [](#) Producenci dystrybucji i systemów operacyjnych proponują często aktualizacje pakietów ze względów bezpieczeństwa. Aktualizacja dystrybucji lub systemu operacyjnego jest kluczowa dla zabezpieczenia serwera VPS. **Ubuntu** Aktualizację tę przeprowadza się w dwóch krokach: - Aktualizacja listy pakietów: ```bash sudo apt update ``` - Aktualizacja aktualnych pakietów: ```bash sudo apt upgrade ``` **Debian** ```bash sudo apt update && sudo apt upgrade ``` Polecenie jest identyczne z Ubuntu, ponieważ Debian i Ubuntu używają `apt`. **CentOS** ```bash sudo yum update ``` W przypadku CentOS polecenie aktualizacji systemu operacyjnego używa `yum` lub `dnf` w zależności od wersji. Operacja ta musi być wykonywana regularnie, aby utrzymać system na bieżąco. ### Utwórz i użyj klucza SSH [](#) Uwierzytelnianie za pomocą klucza SSH to jedna z najskuteczniejszych metod zabezpieczenia dostępu do Twojego VPS. Na przeciwieństwo uwierzytelniania hasłem, opiera się ono na parze kluczy kryptograficznych i znacząco zmniejsza ryzyko ataków typu brute-force. Zalecamy bardzo, aby skonfigurować klucz SSH podczas pierwszego połączenia z Twoim serwerem, a następnie priorytetyzować tę metodę dla swojego dostępu administracyjnego. W zależności od Twojego środowiska i narzędzia, którego używasz do łączenia się z Twoim VPS, odnieś się do jednego z poniższych przewodników: - [Jak utworzyć i używać kluczy uwierzytelniania do połączeń SSH z serwerami OVHcloud](/pl/guides/bare-metal-cloud/dedicated-servers/creating-ssh-keys.md) - [Samouczek - Jak używać PuTTY do połączeń i uwierzytelniania SSH](/pl/guides/web-cloud/web-hosting/ssh-using-putty-on-windows.md) Te przewodniki opisują kroki: - generowania pary kluczy SSH; - wdrażania klucza publicznego na Twoim serwerze; - bezpiecznego łączenia się przez SSH. Po skonfigurowaniu i uruchomieniu uwierzytelniania kluczem SSH możesz przejść dalej, poprawiając konfigurację usługi SSH, na przykład zmieniając port nasłuchiwania lub wyłączając uwierzytelnianie hasłem. ### Zmień domyślny port SSH [](#) Przed wprowadzeniem jakichkolwiek zmian w usłudze SSH upewnij się, że masz działający dostęp SSH za pomocą klucza, aby uniknąć utraty dostępu do swojego serwera. :::info W tej sekcji poniższe wiersze poleceń są takie same w przypadku Ubuntu, Debiana i CentOS. ::: Jedna z pierwszych operacji, jakie należy przeprowadzić na serwerze, to konfiguracja portu wykorzystywanego do nasłuchiwania usługi SSH. Domyślnie jest on zdefiniowany na **porcie 22**, więc próby włamania na serwerze przez roboty będą wskazywać na ten port jako priorytet. Zmiana tego parametru na inny port to prosty sposób na wzmocnienie ochrony serwera przed automatycznymi atakami. W tym celu zmodyfikuj plik konfiguracyjny usługi za pomocą wybranego edytora tekstu (`nano` jest używany w tym przykładzie): ```bash sudo nano /etc/ssh/sshd_config ``` Należy znaleźć następujące lub równoważne linie: ```console #Port 22 #AddressFamily any #ListenAddress 0.0.0.0 ``` Zamień liczbę **22** na wybrany numer portu. **Pamiętaj, aby nie wpisywać numeru portu już używanego w systemie** . Aby zwiększyć bezpieczeństwo, wprowadź numer 49152 i 65535. Możesz również wyświetlić porty przypisane do Twojego systemu za pomocą następującego polecenia: ```bash sudo cat /etc/services ``` Jeśli linia jest "zakomentowana" (tj. poprzedzona znakiem "#"), jak w powyższym przykładzie, należy usunąć znak "#" przed zapisaniem pliku, aby zmiana została uwzględniona. Przykład: ```console Port 49152 #AddressFamily any #ListenAddress 0.0.0.0 ``` :::warning Jeśli w systemie operacyjnym skonfigurowano zaporę ogniową (UFW lub iptables), przed ponownym uruchomieniem usługi należy dostosować jej ustawienia, aby zezwolić na ruch w nowym porcie. Jeśli używasz iptables, zapoznaj się z tym przewodnikiem: [Konfiguracja firewalla w systemie Linux z systemem iptables](/pl/guides/bare-metal-cloud/dedicated-servers/firewall-linux-iptable.md). Jeśli domyślnie nie skonfigurowano żadnej zapory ogniowej, uruchom ponownie usługę. ::: Zapisz i wyjdź z pliku konfiguracyjnego. Zrestartuj usługę: ```bash sudo systemctl restart sshd ``` Powinno to wystarczyć do wdrożenia zmian. W przeciwnym razie zrestartuj serwer VPS (`sudo reboot`). **Dla systemu Ubuntu 24.04 i nowszych wersji** W przypadku najnowszych wersji Ubuntu, konfiguracja SSH jest zarządzana w pliku `ssh.socket`. Aby zaktualizować port SSH, edytuj wiersz `ListenStream` w pliku konfiguracyjnym za pomocą wybranego edytora tekstu (`nano` użyty w tym przykładzie): ```bash sudo nano /lib/systemd/system/ssh.socket ``` Twój plik powinien wyglądać podobnie do poniższych przykładów, w zależności od zainstalowanej wersji Ubuntu: ```console [Socket] ListenStream=49152 Accept=no ``` lub ```console [Socket] ListenStream=0.0.0.0:49152 ListenStream=[::]:22 BindIPv6Only=ipv6-only Accept=no FreeBind=yes ``` Zapisz zmiany i wykonaj następujące polecenia: ```bash sudo systemctl daemon-reload ``` Uruchom ponownie usługę: ```bash sudo systemctl restart ssh.socket ``` Pamiętaj, że podczas każdego zlecenia [połączenia SSH z Twoim serwerem](/pl/guides/bare-metal-cloud/dedicated-servers/ssh-introduction.md) należy wskazać nowy port: ```bash ssh username@IPv4_VPS -p NewPortNumber ``` Przykład: ```bash ssh ubuntu@203.0.113.100 -p 49152 ``` Jeśli nie masz dostępu do swojego systemu, możesz skorzystać z naszego środowiska [trybu Rescue](/pl/guides/bare-metal-cloud/virtual-private-servers/rescue.md), aby anulować wprowadzone zmiany. ### Utworzenie użytkownika z ograniczonymi prawami [](#) Zadania, które nie wymagają uprawnień root, powinny być wykonywane za pomocą standardowego użytkownika. Więcej informacji znajdziesz w [tym przewodniku](/pl/guides/bare-metal-cloud/dedicated-servers/changing-root-password-linux-ds.md). ### Konfiguracja wewnętrznej zapory sieciowej (iptables) [](#) Dystrybucje GNU/Linux są dostarczane wraz z zaporą sieciową o nazwie iptables. Usługa ta nie posiada domyślnie żadnej aktywnej reguły. Możesz się o tym przekonać, wpisując następującą komendę: ```bash iptables -L ``` Więcej informacji na temat iptables znajdziesz w naszym [przewodniku](/pl/guides/bare-metal-cloud/virtual-private-servers/firewall-linux-iptable.md). Zalecamy utworzenie reguł firewalla i dostosowanie ich do Twojego trybu użytkowania. Więcej informacji na temat różnych możliwych operacji znajdziesz w oficjalnej dokumentacji dotyczącej używanej dystrybucji. ### Zainstaluj Fail2ban [](#) Fail2ban to oprogramowanie zapobiegające włamaniom, które blokuje adresy IP, z których atakujący lub bojownicy próbują dostać się do Twojego systemu. Pakiet ten jest zalecany, a w niektórych przypadkach nawet niezbędny, do ochrony Twojego serwera przed atakami typu _Brute Force_ lub _Denial of Service_ . Aby zainstalować pakiet oprogramowania, użyj następującej komendy: **Ubuntu i Debian** ```bash sudo apt install fail2ban ``` **CentOS** Na CentOS 7 i CentOS 8 (lub RHEL) najpierw zainstaluj repozytorium EPEL (**E**xtra **P**ackages for **E**nterprise **L**inux), a następnie Fail2ban: ```bash sudo yum install epel-release sudo yum install fail2ban ``` Możesz spersonalizować pliki konfiguracyjne Fail2ban, aby chronić usługi wystawione na działanie publicznego internetu przed próbami wielokrotnego połączenia. Jak zaleca Fail2ban, utwórz lokalny plik konfiguracyjny Twoich usług kopiując plik "jail.conf": ```bash sudo cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local ``` Następnie otwórz plik za pomocą edytora tekstu: ```bash sudo nano /etc/fail2ban/jail.local ``` Pamiętaj, aby przeczytać informacje na górze pliku, w tym komentarze pod `[DEFAULT]`. Parametry `[DEFAULT]` są globalne i będą miały zastosowanie do wszystkich usług zdefiniowanych do włączenia (`enabled`) w tym pliku. Ważne jest, aby wiedzieć, że ogólne parametry będą brane pod uwagę tylko wtedy, gdy nie ma różnych wartości określonych w sekcjach usług (`JAILS`) poniżej w pliku. Poniżej przedstawiamy przykładowe linie pod `[DEFAULT]`: ```console bantime = 10m maxretry = 5 enabled = false ``` Oznacza to, że adres IP, z którego host próbuje się połączyć, zostanie zablokowany przez dziesięć minut po piątej nieudanej próbie rozpoczęcia sesji. Ponadto wszystkie parametry określone przez `[DEFAULT]` i w kolejnych sekcjach pozostają wyłączone, chyba że `enabled = true` zostanie dodany do usługi (wymienione poniżej `# JAILS` ). Przykładowo, posiadanie następujących linii w sekcji `[sshd]` aktywuje ograniczenia tylko dla usługi OpenSSH: ```console [sshd] enabled = true port = ssh filter = sshd maxretry = 3 findtime = 5m bantime = 30m ``` W tym przykładzie, jeśli próba połączenia SSH nie powiedzie się trzy razy w ciągu pięciu minut, okres, w którym IP nie będą aktywne, to wynosi 30 minut. Możesz zmienić "ssh" na rzeczywisty numer portu, jeśli go zmieniłeś. Najlepsze podejście polega na aktywowaniu Fail2ban tylko w przypadku usług, które są faktycznie wykonywane na serwerze. Każdy spersonalizowany parametr dodany w `# JAILS` będzie pierwszeństwo przed wartościami domyślnymi. Po zakończeniu modyfikacji zapisz plik i zamknij edytor. Zrestartuj usługę, aby upewnić się, że działa ona z zastosowanymi ustawieniami: 1\. Polecenie zalecane `systemctl`: ```bash sudo systemctl restart fail2ban ``` 2\. Polecenie z `service` (stara metoda, nadal kompatybilna): ```bash sudo service fail2ban restart ``` Fail2ban ma wiele ustawień i filtrów personalizacji oraz wstępnie zdefiniowanych opcji, np. jeśli chcesz dodać warstwę ochronną do serwera Nginx. W celu uzyskania dodatkowych informacji oraz uzyskania zaleceń dotyczących Fail2ban zapoznaj się [z oficjalną](https://www.fail2ban.org/wiki/index.php/Main_Page) dokumentacją tego narzędzia. ### Konfiguracja Network Firewall OVHcloud [](#) Rozwiązania OVHcloud obejmują możliwość aktywacji firewalla w punkcie wejścia infrastruktury, zwanym Network Firewall. Prawidłowa konfiguracja zapory sieciowej pozwala zablokować połączenia jeszcze przed ich wejściem na Twój serwer. Sprawdź przewodnik “[Konfiguracja Network Firewall](/pl/guides/bare-metal-cloud/dedicated-servers/firewall-network.md)”, jeśli chcesz włączyć tą opcję. ### Tworzenie kopii zapasowej systemu i danych [](#) Koncepcja bezpieczeństwa nie ogranicza się do ochrony systemu przed atakami. Zabezpieczenie danych jest jednym z kluczowych czynników, dlatego OVHcloud oferuje kilka opcji tworzenia kopii zapasowych: - Opcja `Snapshot` umożliwia tworzenie zrzutu ręcznego. - Opcja automatycznej `kopii zapasowej` pozwala na zachowanie regularnych kopii zapasowych serwera VPS (z wyjątkiem dodatkowych dysków). Wszystkie informacje na temat rozwiązań kopii zapasowych dostępnych dla Twojej usługi znajdują się na [stronie produktu](https://www.ovhcloud.com/pl/vps/options/) i w odpowiednich [przewodnikach](/pl/guides/bare-metal-cloud/virtual-private-servers/overview.md). ## Sprawdź również [Pierwsze kroki z serwerem VPS](/pl/guides/bare-metal-cloud/virtual-private-servers/starting-with-a-vps.md) [Twórz i używaj kluczy SSH](/pl/guides/bare-metal-cloud/dedicated-servers/creating-ssh-keys.md) [Konfiguracja firewalla w systemie Windows](/pl/guides/bare-metal-cloud/virtual-private-servers/activate-port-firewall-soft-win.md) [Konfiguracja firewalla w systemie Linux z systemem iptables](/pl/guides/bare-metal-cloud/virtual-private-servers/firewall-linux-iptable.md) [Konfiguracja rozwiązania Network Firewall](/pl/guides/bare-metal-cloud/dedicated-servers/firewall-network.md) Dołącz do [grona naszych użytkowników](https://community.ovhcloud.com/).