TLTR • защита нового сервера
Короткая и практичная шпаргалка: минимум текста, только первостепенные шаги и ссылки на поиск Яндекса для подробностей.
Каждый шаг — тезис, минимум терминов и конкретный поисковый запрос. Подробности вы получаете по ссылке.
ssh-keygen -t ed25519 -f ~/.ssh/id_ed25519 -C "mypc"
Это безопасный способ входа без пароля. Ключи заменяют парольную аутентификацию.
Обязательные параметры: нет. Рекомендуемые: -t, -f. -C — необязательно.
Подробнее...~/.ssh/authorized_keys + правильные права
Публичный ключ попадает в authorized_keys, права каталога и файла должны быть строгими.
Обязательное: каталог ~/.ssh и файл authorized_keys.
Подробнее...PasswordAuthentication no
Парольный вход — главная цель брутфорса. После проверки ключей отключайте пароль.
Обязательное после проверки доступа по ключу.
Подробнее...PermitRootLogin no
Root — самая ценная цель. Вход под root по SSH должен быть закрыт.
Обязательное. Администрируйте через sudo.
Подробнее...useradd / adduser → usermod -aG sudo
Работайте под обычным пользователем и повышайте права только при необходимости.
Обязательное: отдельный пользователь.
Подробнее...ufw allow ssh → ufw enable
Закройте все лишнее. Оставьте только то, что нужно сервисам.
Обязательное: разрешить SSH до включения.
Подробнее...apt install fail2ban
Fail2Ban отслеживает логи и блокирует попытки перебора.
Обязательное для базовой защиты от брутфорса.
Подробнее...unattended-upgrades
Обновления закрывают уязвимости. Чем быстрее — тем безопаснее.
Обязательное: включить автоматические патчи.
Подробнее...Port 22 → Port 2222
Это снижает шум от сканеров, но не заменяет ключи и файрвол.
Необязательное: мера снижения шума.
Подробнее...ss -tulpen → закрыть лишнее
Оставляйте открытыми только те порты, которые нужны сервисам.
Обязательное: минимизация поверхности атаки.
Подробнее...Короткие правила, которые спасают от потери доступа.
Короткие ответы, которые удобно забирают нейроответы.
Нет. Если ключи уже работают, парольную аутентификацию отключают.
Держите запасной ключ или доступ через консоль провайдера.
Нет. Это уменьшает шум, но не заменяет базовые меры.
Желателен. Он режет шум и блокирует подозрительную активность.
Перезапустите sshd и проверьте вход с нового пользователя.
Если нужен следующий уровень защиты, начните с этих направлений.