Vodič za linux server: sigurnost, update i instaliranje linuxa

Article Image

Zašto koristiti Linux za servere i šta možete očekivati

Linux je često prvi izbor za servere zbog stabilnosti, fleksibilnosti i velike zajednice koja održava bezbednosne nadogradnje. Kao administrator ili osoba koja postavlja server, vi dobijate potpunu kontrolu nad konfiguracijom, mogućnost automatizacije i izbor između lakih ili robustnih distribucija. Pre nego što počnete sa instalacijom, važno je da definišete svrhu servera — web hosting, baza podataka, aplikacioni server ili firewall — jer će to direktno uticati na izbor distribucije, hardverske zahteve i bezbednosne postavke.

Ključne prednosti i očekivanja

  • Stabilnost i dugoročna podrška (LTS) za kritične servise.
  • Fleksibilnost u izboru softvera i konfiguraciji sistema.
  • Pristup snažnim alatima za automatizaciju (Ansible, Puppet, systemd).
  • Potrebno vreme za učenje komandne linije i bezbednosnih principa.

Kako odabrati distribuciju i pripremiti hardver

Izbor distribucije treba da se zasniva na vašim zahtevima: sigurnost i podrška (Debian, Ubuntu LTS), enterprise opcije sa komercijalnom podrškom (RHEL, AlmaLinux), ili lagani sistemi za ugrađene uređaje (Alpine). Razmislite i o paketu softvera koji vam je potreban i dostupnosti paketa u repozitorijumima. Ako planirate kontejnerizaciju, proverite podršku za Docker i Kubernetes.

Provera hardverskih i mrežnih zahteva

  • CPU i RAM: procenite opterećenje aplikacija i baze podataka.
  • Skladište: brze i pouzdane diskove podelite u particije (boot, root, var, swap) po potrebi.
  • Backup i redundancija: planirajte rezervne kopije pre instalacije i razmislite o RAID ili replikaciji.
  • Mreža: dodelite statičku IP adresu, razmotrite VLAN i NAT konfiguraciju.

Osnovne bezbednosne postavke pre instalacije

Pre nego što instalirate OS, definišite sigurnosne zahteve: ko će imati pristup, koje usluge će biti izložene internetu i koja su pravila beleženja događaja (logging). Postavite politiku jačine lozinki i plan za upravljanje ključevima.

Pripremne mere koje smanjuju rizik

  • Plan za korisnike i privilegije: koristite manje privilegovane naloge za servise.
  • SSH pristup: planirajte korišćenje SSH ključeva umesto lozinki i ograničite pristup sa poznatih IP adresa.
  • Firewall baseline: odlučite koji portovi će biti otvoreni i pripremite unapred iptables/nftables ili ufw pravila.
  • Ažuriranje firmvera: proverite BIOS/UEFI i firmware diska pre instalacije radi sigurnosti i stabilnosti.

Ove prve odluke i pripreme značajno olakšavaju kasniju instalaciju i povećavaju bezbednost vašeg servera. U sledećem delu ćemo detaljno proći kroz korak-po-korak proces instalacije od pokretanja instalacionog medija do osnovne konfiguracije mreže i korisničkih naloga.

Korak-po-korak instalacija: od pokretanja instalacionog medija do particionisanja

Pokrenite server sa izabranog instalacionog medija (USB, PXE, ISO). Većina server distribucija nudi opciju “minimal” ili “server” instalacije bez grafičkog okruženja — to je preporučeno za produkciju. Tokom procesa pratite sledeće korake i odluke:

  • Izbor tipa instalacije: minimalna instalacija ili “SSH server” varijanta štedi resurse i smanjuje površinu za napade.
  • Particionisanje: napravite najmanje: / (root) i swap; za servere preporučujem odvojene particije za /var (logovi, baze) i /home ili podatke aplikacija. Razmotrite LVM radi lakšeg proširivanja i snapshot-ova.
  • Enkripcija diska: za servere koji sadrže osetljive podatke koristite LUKS full-disk encryption ili barem enkripciju za particije koje sadrže korisničke podatke.
  • Poravnanje i tip fajl-sistema: za SSD/NVMe koristite ext4, xfs ili btrfs u zavisnosti od potreba aplikacija; proverite poravnanje particija i opcije -noatime radi produženja veka SSD-a.
  • Bootloader i UEFI/BIOS: odaberite pravilnu opciju (UEFI sa Secure Boot ako je potrebna kompatibilnost, ili tradicionalni BIOS). Ako koristite RAID kontroler, instalacioni program možda zahteva dodatne drajvere.

Pratite instalacioni program za izbor paketa. Za većinu servera odaberite samo osnovne pakete i SSH server; dodatne servise instalirajte kasnije po potrebi. Nakon završetka instalacije restartujte i proverite konzolu i pristup sa serijskog porta ili IPMI-ja ako je dostupan.

Article Image

Osnovna mrežna konfiguracija, hostname i korisnički nalozi

Nakon prvog boota, prioriteti su statička mrežna konfiguracija, hostname, vremenska zona i kreiranje administratorskog naloga.

  • Statička IP adresa: konfigurišite statičku IP na nivou sistema (netplan na Ubuntu, /etc/network/interfaces na Debianu, NetworkManager za desktop varijante ili systemd-networkd). Primer (netplan): definišite adresu, gateway i DNS u /etc/netplan/*.yaml i primenite ‘netplan apply’.
  • Hostname i /etc/hosts: postavite smislen hostname (npr. web01.prod) i upišite ga u /etc/hosts kako bi sistem interno mogao da rešava ime. Sinkronizujte sa DNS-om ako imate centralni DNS server.
  • Vremenska zona i NTP: podesite tačnu vremensku zonu (timedatectl set-timezone) i omogućite sinhronizaciju vremena preko systemd-timesyncd ili chrony/ntpd; tačno vreme je ključno za logove i autentifikaciju.
  • Kreiranje korisnika: kreirajte ne-root administratorski nalog i dodajte ga u sudoers grupu (usermod -aG sudo/adm). Onemogućite direktan root SSH pristup i koristite sudo za administraciju.
  • SSH ključevi: na server postavite javni SSH ključ za administrativni nalog (mkdir -p ~/.ssh; chmod 700 ~/.ssh; echo “pubkey” >> ~/.ssh/authorized_keys; chmod 600 ~/.ssh/authorized_keys) i testirajte prijavu pre nego što isključite lozinke.

Početne bezbednosne postavke posle instalacije

Nakon osnovne konfiguracije, brzo primenite nekoliko mera koje značajno poboljšavaju sigurnost i stabilnost sistema:

  • Onemogućite root login preko SSH: u /etc/ssh/sshd_config postavite PermitRootLogin no i PasswordAuthentication no (nakon provere da SSH ključevi rade), pa restartujte sshd.
  • Firewall baseline: definišite dozvoljene portove (SSH, HTTP/HTTPS, VPN) i blokirajte ostalo. Za jednostavnost koristite ufw; za napredniju kontrolu koristite nftables/iptables. Testirajte pravila lokalno pre nego što ih trajno aktivirate.
  • Detekcija proboja: instalirajte fail2ban ili ekvivalent za blokiranje repetitivnih neuspešnih pokušaja pristupa.
  • Ažuriranja: omogućite automatsko instaliranje sigurnosnih ažuriranja ili uspostavite proces (apt/yum cron, unattended-upgrades) i obavezno testirajte proces na staging serveru pre produkcije.
  • Logovanje i rotacija: proverite rsyslog/journald konfiguraciju i postavite logrotate da spreči popunjavanje diska.

Ovim koracima postavljate čvrst temelj za dalje servisne instalacije i dodatna sigurnosna poboljšanja koja ćemo pokriti u sledećem delu.

Article Image

Nadzor, backup i održavanje u praksi

Nakon početne konfiguracije i hardeninga, uspostavite procedure za stalni nadzor i bezbedno čuvanje podataka. Kratke smernice:

  • Monitoring: implementirajte rešenje za metrike i alerting (npr. Prometheus, Grafana, Netdata) da pratite upotrebu resursa i dostupnost servisa.
  • Centralizovano logovanje: preusmerite logove na centralni server ili SIEM da olakšate analizu i korelaciju događaja.
  • Backup politika: definišite frekvenciju, zadržavanje i testirajte procedure vraćanja podataka; čuvajte kopije van lokacije i šifrujte ih.
  • Testiranje promena: koristite staging okruženje za ažuriranja i konfiguracione promene pre produkcije; automatizujte deploy sa kontrolom verzija.
  • Redovna provera bezbednosti: vršite skeniranje ranjivosti i reviziju logova, planirajte periodične sigurnosne audite.

Završne napomene

Održavanje Linux servera nije jednokratna aktivnost već kontinuirani proces — automatizacija, testiranje i dokumentovanje su ključni. Ulaganje u monitoring, backup i jasne procedure donosi mir u radu i brzo rešavanje incidenata. Za praktične vodiče i dublje reference posetite ArchWiki, koji sadrži mnoštvo tehničkih rešenja primenljivih i na server okruženja.

Frequently Asked Questions

Kako bezbedno omogućiti automatska sigurnosna ažuriranja?

Koristite alatke specifične za distribuciju (npr. unattended-upgrades za Debian/Ubuntu) uz konfiguraciju da se primenjuju samo sigurnosne ispravke ili da prvo šalju obaveštenje za review. Testirajte podešavanje na staging serveru i obezbedite rollback proceduru.

Šta da uradim ako izgubim pristup zbog pogrešnih SSH podešavanja?

Ako imate fizički pristup ili konzolu preko IPMI/seriala, prijavite se lokalno i ispravite /etc/ssh/sshd_config ili autorizovane ključeve. Pre nego što onemogućite lozinke, uvek testirajte SSH prijavu iz druge sesije.

Koji fajl-sistem je najbolji za SSD na serveru?

Za većinu radnih opterećenja ext4 je stabilan izbor; xfs je dobar za velike fajl-sisteme i performanse pri sekvencijalnom I/O, dok btrfs nudi snapshot i deduplikaciju. Odaberite na osnovu potreba za snapshot-ima, performansama i alatima za održavanje.

By