Настройка безопасности

Дата: [Добавить дату]

Файрвол (UFW)

Установка и базовая настройка

sudo apt install ufw -y
sudo ufw default deny incoming
sudo ufw default allow outgoing

Открытие необходимых портов

sudo ufw allow 22/tcp    # SSH
sudo ufw allow 80/tcp    # HTTP
sudo ufw allow 443/tcp   # HTTPS
sudo ufw enable
sudo ufw status

SSH безопасность

Отключение входа под root

sudo nano /etc/ssh/sshd_config
# Установить: PermitRootLogin no
sudo systemctl restart sshd

Использование ключей вместо паролей

# На клиенте
ssh-keygen -t ed25519 -C "your_email@example.com"
ssh-copy-id user@server

# На сервере
sudo nano /etc/ssh/sshd_config
# Установить: PasswordAuthentication no
sudo systemctl restart sshd

Изменение порта SSH (опционально)

sudo nano /etc/ssh/sshd_config
# Изменить: Port 2222
sudo ufw allow 2222/tcp
sudo systemctl restart sshd

Fail2ban

Установка

sudo apt install fail2ban -y
sudo systemctl enable fail2ban
sudo systemctl start fail2ban

Конфигурация

sudo cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local
sudo nano /etc/fail2ban/jail.local

Проверка статуса

sudo fail2ban-client status
sudo fail2ban-client status sshd

Регулярные обновления

Настройка автоматических обновлений безопасности

sudo apt install unattended-upgrades -y
sudo dpkg-reconfigure -plow unattended-upgrades

Проверка обновлений

sudo apt update
sudo apt list --upgradable

Аудит безопасности

Проверка открытых портов

sudo netstat -tulpn
sudo ss -tulpn

Проверка активных сервисов

sudo systemctl list-units --type=service --state=running

Сканирование уязвимостей

sudo apt install lynis -y
sudo lynis audit system

VPN (WireGuard)

Для безопасного удаленного доступа к серверу и внутренним сервисам рекомендуется использовать VPN.

Установка и настройка

Подробная инструкция по настройке WireGuard VPN доступна в отдельном документе:

📖 Настройка VPN (WireGuard)

Быстрая установка

# Автоматическая установка VPN сервера
sudo bash scripts/setup-wireguard-vpn.sh

# Добавление клиента
sudo bash scripts/add-wireguard-client.sh [имя_клиента]

Преимущества VPN

  • ✅ Безопасный доступ к внутренним сервисам (Cockpit, 1C Server, и др.)
  • ✅ Шифрование всего трафика
  • ✅ Доступ к LXD контейнерам извне
  • ✅ Защита от перехвата данных

Рекомендации

  1. Используйте VPN для доступа к административным интерфейсам (Cockpit, VNC)
  2. Ограничьте прямой доступ к портам сервисов, используя VPN
  3. Регулярно обновляйте WireGuard: sudo apt update && sudo apt upgrade wireguard

Заметки

[Добавьте заметки о настройке безопасности]