Открытый сервер без настроек безопасности — лёгкая цель.
Автоматические сканеры находят незащищённые серверы за минуты и начинают перебор паролей.
Базовые меры защиты закрывают большинство таких угроз.
Минимизация поверхности атаки
Чем меньше открытых портов и запущенных служб — тем меньше точек входа для атак.
Закрыто всё, что не используется.
Обновление системы
Большинство взломов происходит через известные уязвимости в устаревшем ПО.
Регулярные обновления закрывают эти дыры.
Принцип минимальных привилегий
Каждый пользователь и сервис имеют только те права, которые реально нужны.
Базовое правило: запрещено всё, что не разрешено явно.
ufw default deny incoming # запретить весь входящий трафик
ufw default allow outgoing # разрешить весь исходящий
ufw allow 22 # разрешить SSH
ufw enable # включить firewall
Итог: открыт только порт 22. Всё остальное заблокировано.
SSH — основная точка входа на сервер. Поэтому защищается в первую очередь.
Отключить вход под root
# /etc/ssh/sshd_config
PermitRootLogin no
Прямой вход под root — огромный риск. Используйте обычного пользователя с sudo.
Использовать ключи вместо паролей
# /etc/ssh/sshd_config
PasswordAuthentication no
Без приватного ключа подключиться невозможно — перебор паролей теряет смысл.
Сменить стандартный порт
# /etc/ssh/sshd_config
Port 2222
Большинство автоматических сканеров атакуют порт 22.
Смена порта снижает количество попыток подключения.
SSH доступен только с конкретного IP-адреса.
fail2ban
Автоматически блокирует IP после нескольких неудачных попыток входа.
Защищает от брутфорса без ручного вмешательства.
Логирование
Все действия на сервере должны записываться в логи.
При инциденте логи помогут понять, что произошло и когда.
Резервные копии
Даже при взломе или сбое — данные можно восстановить.
Бэкапы хранятся отдельно от основного сервера.
| Мера | Зачем |
|---|---|
| Закрыть порты | Уменьшить поверхность атаки |
| SSH-ключи | Исключить перебор паролей |
| Отключить root | Ограничить критический доступ |
| Сменить порт SSH | Снизить количество атак |
| fail2ban | Блокировать брутфорс автоматически |
| Логи и бэкапы | Контроль и восстановление |
Без базовой защиты сервер будет взломан — вопрос только времени.