Linux-сервер — это мощный инструмент, но если не позаботиться о безопасности, он может стать легкой добычей для хакеров. В этой статье разберём ключевые шаги, которые помогут вам защитить свой сервер от взломов и нежелательных атак.
🔑 1. Почему необходимо сменить пароль, предоставленный облачным провайдером?
Когда вы арендуете сервер у облачного провайдера, он часто предоставляет вам стандартный пароль для root-пользователя. Этот пароль может быть слабым или уже известен злоумышленникам. Вот почему его нужно сменить сразу после первого входа.
✅ Как сменить пароль root?
passwd
Введите новый надежный пароль и повторите его.
📌 Совет: Используйте длинные пароли (не менее 12 символов), содержащие буквы в разном регистре, цифры и специальные символы.
🚫 2. Почему важно отключить вход по root?
По умолчанию root-пользователь обладает неограниченными привилегиями в системе. Если злоумышленник получит к нему доступ, он сможет делать что угодно. Поэтому лучше использовать обычного пользователя и sudo.
✅ Как отключить вход по root?
1️⃣ Открываем конфигурационный файл SSH:
nano /etc/ssh/sshd_config
2️⃣ Находим строку
PermitRootLogin yes
и меняем её на
PermitRootLogin no
3️⃣ Сохраняем файл (Ctrl + X → Y → Enter) и перезапускаем SSH:
systemctl restart sshd
🔐 3. Вход по паролю или сертификату: что лучше?
🔴 Вход по паролю:
❌ Подвержен атакам перебора (brute-force).
❌ Требует постоянного запоминания сложных паролей.
❌ Может быть скомпрометирован при утечке данных.
✅ Вход по сертификату (SSH-ключи):
🔹 Гораздо безопаснее, так как используется уникальная пара ключей (приватный + публичный).
🔹 Защищает от атак перебора паролей.
🔹 Упрощает аутентификацию: не нужно вводить пароль при каждом входе.
✅ Как настроить SSH-ключи?
На локальном ПК (Windows, Linux, macOS) создаём SSH-ключ:
ssh-keygen -t rsa -b 4096
Добавляем публичный ключ на сервер:
ssh-copy-id user@your-server-ip
Теперь можно входить без пароля!
🛑 4. Защита от брутфорс-атак
Хакеры часто пытаются подобрать пароль к серверу с помощью брутфорс-атак. Fail2Ban автоматически блокирует IP-адреса после нескольких неудачных попыток входа.
✅ Как установить и настроить Fail2Ban?
apt install fail2ban -y # Для Debian/Ubuntu
yum install fail2ban -y # Для CentOS/RHEL
Активируем службу:
systemctl enable fail2ban
systemctl start fail2ban
Создаём конфигурационный файл:
nano /etc/fail2ban/jail.local
Добавляем:
[sshd]
enabled = true
maxretry = 5
bantime = 3600
Сохраняем и перезапускаем Fail2Ban:
systemctl restart fail2ban
Теперь IP-адреса с неудачными попытками входа будут автоматически блокироваться!
🔥 Полезные ссылки
📖Больше статей на Zylonix
📖 Проекты нашей команды в ТГ канале
🏷 Хештеги
#Linux #Сервер #Безопасность #SSH #Хакеры #Брутфорс #Фаервол #IT #Администрирование