Студзень 13, 2026Кіраўніцтва
Як абараніць ваш сервер Linux (Hardening)
Асноўныя крокі па абароне вашага сервера Linux ад несанкцыянаванага доступу і атак.
Бяспека мае першараднае значэнне пры працы сервера ў Інтэрнэце. Гэта кіраўніцтва ахоплівае асноўныя крокі па 'загартоўцы' вашага сервера Linux і яго абароне ад распаўсюджаных пагроз.
1. Трымайце сістэму абноўленай
bash
# Для Ubuntu/Debian
sudo apt update && sudo apt upgrade -y
# Для RHEL / CentOS / Alma / Rocky
sudo yum update -y2. Абараніце доступ па SSH
Адключыце аўтэнтыфікацыю па паролі і ўваход root, каб прадухіліць brute-force атакі. Адрэдагуйце /etc/ssh/sshd_config:
КРЫТЫЧНА: Перад адключэннем аўтэнтыфікацыі па паролі пераканайцеся, што вы паспяхова дадалі свой публічны SSH-ключ на сервер (звычайна ў ~/.ssh/authorized_keys) і праверылі, што можаце ўвайсці без пароля. У адваротным выпадку вы будзеце заблакіраваны!
bash
PermitRootLogin no
PasswordAuthentication no
PubkeyAuthentication yes
# Змяніце порт для дадатковай бяспекі
Port 22223. Наладзьце фаервол
Дазваляйце толькі неабходныя порты. Калі вы змянілі порт SSH, не забудзьцеся дазволіць яго!
bash
sudo ufw allow 2222/tcp
sudo ufw allow 80/tcp
sudo ufw allow 443/tcp
sudo ufw enable4. Усталюйце Fail2Ban
Fail2Ban абараняе ад brute-force атак, блакіруючы IP-адрасы, якія паказваюць прыкметы шкоднаснай актыўнасці.
bash
sudo apt install fail2ban -y
# Канфігурацыя па змаўчанні звычайна дастатковая5. Выкарыстоўвайце карыстальніка без правоў root
Пазбягайце выкарыстання карыстальніка root для штодзённых задач. Стварыце новага карыстальніка з прывілеямі sudo:
bash
sudo adduser username
sudo usermod -aG sudo usernameЧэк-ліст бяспекі
- Выкарыстоўвайце SSH-ключы замест пароляў
- Уключыце аўтаматычныя абнаўленні бяспекі
- Рэгулярна правярайце адкрытыя порты (netstat -tulpn)
- Выкарыстоўвайце складаныя, унікальныя паролі для ўсіх уліковых запісаў
- Маніторце сістэмныя логі (/var/log/auth.log)
- Адключайце невыкарыстоўваемыя службы і выдаляйце непатрэбнае ПЗ