Complete VPS Beveiligingsgids

Uw VPS is 24/7 verbonden met het internet. Zonder goede beveiliging is het slechts een kwestie van tijd voordat iemand hem comprometteert. Deze gids behandelt alles wat u nodig heeft om uw server te beveiligen.

Waarom Dit Belangrijk Is

Elke minuut scannen geautomatiseerde bots het internet op kwetsbare servers. Een nieuwe VPS kan binnen enkele uren na aanmaak duizenden inlogpogingen ontvangen. Goede beveiliging is geen optie — het is het verschil tussen een betrouwbare server en onderdeel worden van een botnet.

Wat er op het spel staat:

• Uw gegevens en die van uw gebruikers
• Uw server die wordt gebruikt voor spam of aanvallen
• Cryptomining-malware die uw resources verbruikt
• Volledig verlies van controle over uw infrastructuur

Vereisten

• Een nieuwe VPS (we raden Hostinger VPS aan vanwege hun beveiligingsfuncties en DDoS-bescherming)
• SSH-toegang tot uw server
• Basiskennis van de commandoregel

Stap 1: Uw Systeem Bijwerken

Werk alle pakketten bij voordat u iets anders doet:

# Ubuntu/Debian
sudo apt update && sudo apt upgrade -y

# CentOS/RHEL
sudo dnf update -y

Schakel automatische beveiligingsupdates in:

# Ubuntu/Debian
sudo apt install unattended-upgrades -y
sudo dpkg-reconfigure -plow unattended-upgrades

Stap 2: Een Niet-Root Gebruiker Aanmaken

Gebruik nooit root voor dagelijkse werkzaamheden:

# Create new user
adduser deploy

# Add to sudo group
usermod -aG sudo deploy

# Switch to new user
su - deploy

Stap 3: SSH-Beveiliging Configureren

Bewerk uw SSH-configuratie:

sudo nano /etc/ssh/sshd_config

Pas deze instellingen toe:

# Disable root login
PermitRootLogin no

# Disable password authentication (after setting up keys!)
PasswordAuthentication no

# Change default port (optional but recommended)
Port 2222

# Limit login attempts
MaxAuthTries 3

# Set login timeout
LoginGraceTime 60

# Disable empty passwords
PermitEmptyPasswords no

# Disable X11 forwarding if not needed
X11Forwarding no

Stel SSH-sleutelauthenticatie in VOORDAT u wachtwoorden uitschakelt:

# On your LOCAL machine, generate a key
ssh-keygen -t ed25519 -C "your-email@example.com"

# Copy to server
ssh-copy-id -i ~/.ssh/id_ed25519.pub deploy@your-server-ip

Herstart SSH:

sudo systemctl restart sshd

Test uw nieuwe verbinding in een apart terminalvenster voordat u uw huidige sessie sluit!

Stap 4: De Firewall Configureren

Gebruik UFW (Uncomplicated Firewall):

# Install UFW
sudo apt install ufw -y

# Set default policies
sudo ufw default deny incoming
sudo ufw default allow outgoing

# Allow SSH (use your custom port if changed)
sudo ufw allow 2222/tcp

# Allow HTTP/HTTPS
sudo ufw allow 80/tcp
sudo ufw allow 443/tcp

# Enable firewall
sudo ufw enable

# Check status
sudo ufw status verbose

Stap 5: Fail2Ban Installeren en Configureren

Fail2Ban blokkeert automatisch IP-adressen met te veel mislukte inlogpogingen:

sudo apt install fail2ban -y

Maak een lokale configuratie aan:

sudo nano /etc/fail2ban/jail.local

Voeg toe:

[DEFAULT]
bantime = 1h
findtime = 10m
maxretry = 5
banaction = ufw

[sshd]
enabled = true
port = 2222
filter = sshd
logpath = /var/log/auth.log
maxretry = 3
bantime = 24h

Start Fail2Ban:

sudo systemctl enable fail2ban
sudo systemctl start fail2ban

# Check banned IPs
sudo fail2ban-client status sshd

Stap 6: Ongebruikte Services Uitschakelen

Geef een overzicht van actieve services:

sudo systemctl list-units --type=service --state=running

Schakel alles uit wat u niet nodig heeft:

sudo systemctl disable --now cups
sudo systemctl disable --now avahi-daemon
sudo systemctl disable --now bluetooth

Stap 7: Inbraakdetectie Instellen

Installeer AIDE (Advanced Intrusion Detection Environment):

sudo apt install aide -y

# Initialize database
sudo aideinit

# Move database
sudo mv /var/lib/aide/aide.db.new /var/lib/aide/aide.db

# Check for changes (run periodically)
sudo aide --check

Stap 8: Kernel-Beveiligingsparameters Configureren

Bewerk de sysctl-configuratie:

sudo nano /etc/sysctl.d/99-security.conf

Voeg toe:

# IP spoofing protection
net.ipv4.conf.all.rp_filter = 1
net.ipv4.conf.default.rp_filter = 1

# Ignore ICMP redirects
net.ipv4.conf.all.accept_redirects = 0
net.ipv6.conf.all.accept_redirects = 0

# Disable source routing
net.ipv4.conf.all.accept_source_route = 0
net.ipv6.conf.all.accept_source_route = 0

# SYN flood protection
net.ipv4.tcp_syncookies = 1

# Ignore ping broadcasts
net.ipv4.icmp_echo_ignore_broadcasts = 1

# Log suspicious packets
net.ipv4.conf.all.log_martians = 1

Pas de wijzigingen toe:

sudo sysctl -p /etc/sysctl.d/99-security.conf

Stap 9: Logbewaking Instellen

Configureer logwatch voor dagelijkse rapporten:

sudo apt install logwatch -y

# Generate report
sudo logwatch --detail High --mailto your@email.com --service All --range today

Stel een dagelijkse cron-taak in:

echo "0 0 * * * /usr/sbin/logwatch --output mail --mailto your@email.com --detail high" | sudo tee /etc/cron.d/logwatch

Stap 10: Tweefactorauthenticatie Inschakelen (Optioneel)

Installeer Google Authenticator:

sudo apt install libpam-google-authenticator -y

# Run setup as your user
google-authenticator

Beantwoord de vragen en sla uw back-upcodes op!

Bewerk de PAM-configuratie:

sudo nano /etc/pam.d/sshd

Voeg bovenaan toe:

auth required pam_google_authenticator.so

Bewerk de SSH-configuratie:

sudo nano /etc/ssh/sshd_config

Stel in:

ChallengeResponseAuthentication yes
AuthenticationMethods publickey,keyboard-interactive

Herstart SSH:

sudo systemctl restart sshd

Best Practices

1. Regelmatige updates - Plan wekelijkse updatecontroles
2. Minimale software - Installeer alleen wat u nodig heeft
3. Sterke wachtwoorden - Gebruik een wachtwoordmanager, minimaal 16 tekens
4. Principe van minimale rechten - Gebruikers krijgen alleen de toegang die ze nodig hebben
5. Regelmatige audits - Controleer wekelijks logs en toegang
6. Backup voor wijzigingen - Zorg altijd voor een terugvalplan
7. Actief monitoren - Stel meldingen in voor verdachte activiteiten
8. Gebruik VPN voor gevoelige toegang - Overweeg WireGuard of Tailscale voor beheerderstoegang

Veelgemaakte Fouten

❌ Wachtwoordauthenticatie uitschakelen voordat SSH-sleutels zijn ingesteld - U vergrendelt uzelf buitenshuis

❌ Te veel firewallpoorten openen - Elke open poort is een aanvalsvlak

❌ Root voor alles gebruiken - Één fout kan uw systeem vernietigen

❌ Logs negeren - Aanvallen geven vaak waarschuwingssignalen voordat ze slagen

❌ Zwakke SSH-sleutels - Gebruik minimaal Ed25519 of RSA 4096-bit

❌ Hetzelfde wachtwoord overal - Als één service gecompromitteerd is, zijn alle diensten kwetsbaar

❌ Uitgangsregels vergeten - Malware communiceert naar buiten via uitgaande verbindingen

❌ Wijzigingen niet testen - Test altijd SSH-toegang voordat u uw sessie sluit

Beveiligingschecklist

Gebruik deze checklist voor elke nieuwe server:

• Systeem bijgewerkt
• Niet-root gebruiker aangemaakt
• SSH-sleutels geconfigureerd
• Wachtwoordauthenticatie uitgeschakeld
• SSH-poort gewijzigd (optioneel)
• Firewall ingeschakeld
• Fail2Ban geïnstalleerd
• Ongebruikte services uitgeschakeld
• Automatische updates ingeschakeld
• Logbewaking geconfigureerd

Veelgestelde Vragen

Hoe vaak moet ik mijn server bijwerken?

Beveiligingsupdates moeten zo snel mogelijk worden toegepast — bij voorkeur automatisch. Voor andere updates is wekelijks een goed schema.

Is het wijzigen van de SSH-poort echt noodzakelijk?

Het is niet verplicht, maar het vermindert aanzienlijk het aantal geautomatiseerde aanvallen in uw logs. Bots scannen voornamelijk poort 22. Het is beveiliging door obscuriteit — geen vervanging voor echte beveiliging, maar een nuttige aanvulling.

Wat als ik mezelf buitensluit?

Daarom bieden Hostinger VPS en vergelijkbare providers consoletoegang. U kunt uw server via hun configuratiescherm benaderen, zelfs als SSH niet werkt.

Moet ik een VPN gebruiken om toegang te krijgen tot mijn server?

Voor zeer gevoelige servers: ja. WireGuard is lichtgewicht en snel, en Tailscale maakt de installatie nog eenvoudiger. Voor de meeste gebruikssituaties is correct geconfigureerde SSH met sleutelauthenticatie en Fail2Ban voldoende.

Hoe weet ik of mijn server gecompromitteerd is?

Tekenen zijn onder meer: onverwacht CPU-gebruik, onbekende processen, gewijzigde bestanden (AIDE detecteert dit), onbekende cron-taken en onverklaard netwerkverkeer. Regelmatige monitoring is essentieel.

Is inloggen als root echt zo gevaarlijk?

Ja. Root heeft onbeperkte bevoegdheden. Een typefout of een gecompromitteerde sessie kan alles vernietigen. Het gebruik van sudo biedt een veiligheidsbuffer en een audittrail.

---

Volgende stappen: Zodra uw server beveiligd is, bekijk dan onze Docker Compose implementatiegids om applicaties veilig te beginnen deployen.