Січень 13, 2026Посібники
Як захистити свій Linux-сервер (Харденінг)
Основні кроки для захисту вашого Linux-сервера від несанкціонованого доступу та атак.
Безпека має першочергове значення під час роботи сервера в Інтернеті. Цей посібник охоплює основні кроки щодо «харденінгу» (зміцнення захисту) вашого Linux-сервера та захисту його від поширених загроз.
1. Тримайте систему оновленою
bash
# Для Ubuntu/Debian
sudo apt update && sudo apt upgrade -y
# Для RHEL / CentOS / Alma / Rocky
sudo yum update -y2. Захистіть доступ по SSH
Вимкніть автентифікацію за паролем і вхід root, щоб запобігти brute-force атакам. Відредагуйте /etc/ssh/sshd_config:
КРИТИЧНО: Перш ніж вимикати автентифікацію за паролем, переконайтеся, що ви успішно додали свій публічний SSH-ключ на сервер (зазвичай у ~/.ssh/authorized_keys) і протестували, що можете увійти без пароля. Інакше ви заблокуєте собі доступ!
bash
PermitRootLogin no
PasswordAuthentication no
PubkeyAuthentication yes
# Змініть порт для додаткової безпеки
Port 22223. Налаштуйте брандмауер
Дозволяйте лише необхідні порти. Якщо ви змінили порт SSH, не забудьте дозволити його!
bash
sudo ufw allow 2222/tcp
sudo ufw allow 80/tcp
sudo ufw allow 443/tcp
sudo ufw enable4. Встановіть Fail2Ban
Fail2Ban захищає від brute-force атак, банячи IP-адреси, які демонструють ознаки шкідливої активності.
bash
sudo apt install fail2ban -y
# Стандартної конфігурації зазвичай достатньо5. Використовуйте користувача без прав root
Уникайте використання користувача root для повсякденних завдань. Створіть нового користувача з привілеями sudo:
bash
sudo adduser username
sudo usermod -aG sudo usernameЧек-лист безпеки
- Використовуйте SSH-ключі замість паролів
- Увімкніть автоматичне оновлення безпеки
- Регулярно перевіряйте відкриті порти (netstat -tulpn)
- Використовуйте надійні, унікальні паролі для всіх облікових записів
- Моніторьте системні журнали (/var/log/auth.log)
- Вимкніть невикористовувані сервіси та видаліть непотрібне програмне забезпечення