Bezpieczeństwo i odpowiedzialność na VPS

Serwer VPS daje pełną swobodę, a wraz z nią przychodzi odpowiedzialność za zabezpieczenie systemu. Warto z góry wiedzieć, co robimy po naszej stronie (ochrona infrastruktury), a co należy do Ciebie (konfiguracja i bezpieczeństwo systemu). Dzięki temu unikniesz nieprzyjemnych niespodzianek i utrzymasz serwer w dobrej kondycji.

Ochrona przed atakami DDoS

Po naszej stronie działa ochrona przed atakami DDoS. W razie dużego ataku wolumetrycznego stosujemy blackholing, czyli czasowe odcięcie ruchu kierowanego na atakowany adres IP. Chroni to całą sieć i pozostałe serwery.

Odpowiedzialność za zabezpieczenie systemu

Za bezpieczeństwo samego systemu na VPS odpowiadasz Ty. W praktyce oznacza to:

• aktualizowanie systemu i oprogramowania,
• silne hasło root lub logowanie kluczem SSH (zobacz dostęp do VPS),
• ograniczanie dostępu w zaporze tylko do potrzebnych portów,
• wdrożenie narzędzi typu fail2ban, które automatycznie blokują adresy po wielu nieudanych próbach logowania.

To Twoje główne linie obrony, bo VPS ma publiczny adres i jest widoczny w internecie.

Abuse i przeciążenie łącza

Jeśli z Twojego serwera płynie szkodliwy ruch (np. w wyniku przejęcia maszyny) albo trwale wysyca on łącze na 100%, możemy zareagować zgłoszeniem abuse, a w skrajnych przypadkach ograniczyć ruch. To nie kara, lecz ochrona pozostałych klientów i reputacji sieci.

Zablokowane porty: 445 (SMB)

Port 445, używany przez protokół SMB (Windows File Sharing, Samba, Azure Backup), jest na VPS zablokowany dla ruchu wychodzącego globalnie. Dotyczy to wszystkich serwerów VPS i nie można tego zmienić.

W praktyce oznacza to, że:

• Nie nawiążesz połączenia SMB/CIFS z zewnętrznym serwerem lub usługą (np. Azure Storage) bezpośrednio przez port 445.
• Backup na Azure Files przez domyślny port 445 nie zadziała.

Jeśli potrzebujesz przesyłać dane do zewnętrznych zasobów SMB, skorzystaj z tunelu VPN lub protokołu SFTP (przez SSH) zamiast SMB. Port 25 (SMTP) jest z kolei otwarty, więc uruchomisz własny serwer pocztowy; szczegóły o adresacji i rekordzie PTR w poradniku o sieci VPS, a o dostarczalności poczty i czarnych listach w artykule o poczcie z VPS.

Port UDP 443 a HTTP/3 (QUIC)

Ze względu na ochronę przed atakami wolumetrycznymi ruch UDP na porcie 443 bywa filtrowany na poziomie infrastruktury. W odróżnieniu od TCP, protokół UDP nie wymaga potwierdzania pakietów, przez co jest często nadużywany w tego typu atakach.

Może się to przełożyć na działanie HTTP/3 (QUIC) na serwerach VPS. Jeśli klienci łączący się po UDP:443 nie dostają odpowiedzi mimo poprawnie włączonego HTTP/3, prawdopodobnie jest to efekt filtrowania tego ruchu.

Co zrobić: jako pewne rozwiązanie wymuś HTTP/1.1 lub HTTP/2 w konfiguracji serwera WWW (np. w nginx usuń lub zakomentuj dyrektywy listen 443 quic i http3 on). Dla użytkowników strony nie ma różnicy widocznej w przeglądarce. Jeśli zależy Ci na HTTP/3, najpierw potwierdź u nas aktualny status obsługi UDP 443.

Anty-spoofing i adresy IP w kontenerach

W sieci działa mechanizm anty-spoofingu: pakiety mogą wychodzić wyłącznie z adresów IP przypisanych do Twojego VPS. Jeśli uruchamiasz kontenery (Docker, LXC) lub maszyny wirtualne wewnątrz VPS i chcesz, żeby korzystały z dodatkowego adresu IP, pakiety będą blokowane, bo sieć widzi adres z nieznanego źródła.

Rozwiązanie: użyj NAT na poziomie VPS albo skonfiguruj kontener tak, żeby używał tego samego adresu MAC co interfejs VPS. Szczegóły o adresach IP i anti-spoofingu znajdziesz w poradniku o sieci VPS.

Czego nie da się uruchomić

Na VPS nie jest dostępna wirtualizacja zagnieżdżona (uruchamianie maszyn wirtualnych wewnątrz VPS), bo sam VPS jest już maszyną wirtualną. Ma to znaczenie przy rozwiązaniach wymagających własnego hypervisora.