23 мар 2026 · Автор: Команда Netspare

Базовая защита Linux-сервера: SSH, фаервол, обновления и открытые сервисы

Новый VPS приходит с дефолтами продавца, а не вашей модели угроз. До WordPress, панелей или k3s закройте SSH, сузьте поверхность атаки, включите авто-обновления безопасности.

Усиление итеративно: baseline в Ansible/cloud-init и повтор после major-апгрейдов.

Шаги одинаковы по сути для Debian/Ubuntu и RHEL; отличаются имена пакетов и фаервола.

Immutable-узлы не отменяют перезагрузки для ядра — планируйте окна.

CIS + OpenSCAP для SOC2 evidence.

SSH и sudo

После пользователя с sudo и ключом ed25519 отключите пароли и root-логин. AllowUsers/Match для ограничения.

Логируйте sudo; не передавайте пароль root между людьми.

Фаервол и fail2ban

Запрет по умолчанию, явные разрешения для 80/443 и 22 только с jump-сетей. ufw на Ubuntu, firewalld на RHEL.

fail2ban снижает брутфорс; настройте, чтобы не блокировать CI.

Автообновления и аудит

unattended-upgrades или dnf-automatic security + политика перезагрузок.
auditd/eBPF при требованиях комплаенса.
Удаляйте лишние сервисы; инвентаризация портов ежемесячно.
chrony перед TLS-нагрузками.

Ядро и ФС

sysctl-хардненинг из файлов в git. Разделяйте /var и смонтируйте /tmp с noexec при возможности.

Отдельные тома для БД и логов против переполнения диска.

Ядро и reboot

livepatch не для всех CVE; проверка с GPU/ZFS; автостатусы при рестарте.

CIS

Автосканы и дельта во времени; исключения только с компенсирующими мерами.

Частые вопросы

Обязательны ли AppArmor/SELinux?

Сильно рекомендуются для публичных серверов. Сначала permissive, разбор отказов, затем enforcing. Читайте заметки панелей.

Достаточно fail2ban для SSH?

Нет — ключи, фаервол, bastion в глубину защиты.

Команда Netspare

Другие материалы автора