bolt Valebyte VPS від $4/міс — NVMe, запуск за 60 секунд.

Отримати VPS arrow_forward
eco Початковий Туторіал

Безпека виділеного сервера: Перші 30 хвилин після отримання

calendar_month Jul 07, 2026 schedule 9 хв. читання visibility 12 переглядів
Dedicated Server Security: First 30 Minutes After Delivery
info

Потрібен сервер для цього гайду? Ми пропонуємо виділені сервери та VPS у 50+ країнах з миттєвим налаштуванням.

У момент, коли ваш новий виділений сервер від Valebyte буде надано, це чисте полотно – потужне, гнучке та готове до втілення вашого бачення. Однак, це також мішень. Інтернет – це вороже середовище, і автоматизовані боти постійно сканують на наявність вразливостей. Цей посібник надає критично важливий, покроковий посібник із захисту вашого bare-metal сервера протягом перших 30 хвилин після доставки, закладаючи надійну основу для ваших програм, баз даних або потреб веб-хостингу.

Потрібен сервер для цього гайду?

Розгорніть VPS або виділений сервер за хвилини.

Як захистити ваш виділений сервер: Критичні перші 30 хвилин

У Valebyte ми надаємо вам надійні, високопродуктивні виділені сервери, розроблені для вимогливих робочих навантажень. Але остаточна безпека вашої інфраструктури починається з вас. Цей посібник дає можливість системним адміністраторам, розробникам та компаніям впровадити негайні заходи безпеки, захищаючи ваші інвестиції з першого дня.

Чому негайна безпека важлива для вашого Bare-Metal сервера

Уявіть ваш новий виділений сервер як щойно збудований будинок. Хоча він виглядає міцним, ви б не залишили двері незамкненими, а вікна відчиненими. Аналогічно, незахищений сервер вразливий до автоматизованих атак, які можуть скомпрометувати дані, розгорнути шкідливе програмне забезпечення або перетворити ваш сервер на частину ботнету. Негайне впровадження цих базових кроків безпеки мінімізує вашу вразливість і створює безпечний прецедент для всіх майбутніх операцій, незалежно від того, чи запускаєте ви ігрові сервери, високотрафікову платформу електронної комерції або складні CI/CD конвеєри.

Передумови: Початок роботи

Перш ніж зануритися в захист вашого виділеного сервера Valebyte, переконайтеся, що у вас є наступне:

  • Облікові дані сервера: IP-адреса вашого сервера, початкове ім'я користувача root та пароль (або ключ SSH, якщо надано Valebyte). Зазвичай вони надсилаються вам після доставки сервера.
  • SSH-клієнт:
    • Linux/macOS: Клієнт OpenSSH (вбудований через Термінал).
    • Windows: PuTTY, MobaXterm або Підсистема Windows для Linux (WSL) з OpenSSH.
  • Базові знання командного рядка Linux: Знайомство з такими командами, як sudo, apt/yum, nano/vi, та навігацією файловою системою.
  • Підключення до Інтернету: Для завантаження оновлень та пакетів.

30-хвилинний Спринт Безпеки: Покроково

Крок 1: Початкове SSH-з'єднання (0-2 хвилини)

Найперший крок – встановити безпечне з'єднання з вашим сервером. Використовуйте облікові дані, надані Valebyte.

ssh root@[your_server_ip]

Вам буде запропоновано ввести пароль root. Якщо ви підключаєтеся вперше, ви можете побачити попередження про автентичність хоста. Введіть yes, щоб прийняти відбиток.

Важлива примітка: Пароль root за замовчуванням часто є слабким місцем. Наші наступні кроки вирішать цю проблему, створивши нового, більш безпечного користувача та вимкнувши вхід root.

Крок 2: Оновлення системних пакетів (2-7 хвилин)

Застаріле програмне забезпечення є основним вектором для атак. Негайно оновіть операційну систему вашого сервера та встановлені пакети, щоб виправити будь-які відомі вразливості. Це критично важливо для будь-якого сервера, будь то для баз даних, поштових серверів або потокових сервісів.

Для систем на базі Debian/Ubuntu:
sudo apt update
sudo apt upgrade -y
  • sudo apt update: Оновлює список доступних пакетів та їх версій.
  • sudo apt upgrade -y: Встановлює останні версії всіх поточних встановлених пакетів. Прапор -y автоматично підтверджує всі запити.
Для систем на базі CentOS/RHEL:
sudo yum update -y

або, для новіших версій, таких як AlmaLinux/Rocky Linux:

sudo dnf update -y
  • sudo yum update -y (або dnf): Оновлює всі встановлені пакети до їх останніх версій, автоматично підтверджуючи запити.

Дозвольте цим командам завершити роботу. Це може зайняти кілька хвилин залежно від кількості оновлень.

Крок 3: Створення нового Sudo-користувача та захист Root-доступу (7-12 хвилин)

Постійна робота як користувач root є ризикованою. Користувач root має необмежену владу, і одна помилка або компрометація може бути катастрофічною. Найкращою практикою є створення нового стандартного користувача з привілеями sudo (superuser do), а потім вимкнення прямого входу root.

  1. Створіть нового користувача:
    sudo adduser [your_new_username]

    Вам буде запропоновано встановити надійний пароль для цього нового користувача. Виберіть складний пароль, бажано використовуючи менеджер паролів. Ви можете пропустити запити на додаткову інформацію про користувача, натиснувши Enter.

  2. Надайте новому користувачеві привілеї sudo:
    • Для Debian/Ubuntu: Додайте користувача до групи sudo.
    • sudo usermod -aG sudo [your_new_username]
    • Для CentOS/RHEL/AlmaLinux/Rocky Linux: Додайте користувача до групи wheel.
    • sudo usermod -aG wheel [your_new_username]
  3. Протестуйте нового користувача:

    КРИТИЧНО: Відкрийте НОВУ SSH-сесію та увійдіть як ваш новий користувач ПЕРЕД тим, як продовжувати. НЕ закривайте поточну root-сесію. Це гарантує, що ви не заблокуєте собі доступ.

    ssh [your_new_username]@[your_server_ip]

    Після входу перевірте функціональність sudo:

    sudo ls -la /root

    Вам буде запропоновано ввести пароль вашого нового користувача, а потім ви побачите список каталогів. Якщо це працює, ваш новий користувач має привілеї sudo.

Крок 4: Налаштування SSH для підвищеної безпеки (12-25 хвилин)

Тепер, коли у вас є безпечний користувач без root-прав, ви можете посилити конфігурацію SSH. Це життєво важливо для будь-якого виділеного сервера, особливо тих, що розміщують чутливі програми або дані.

  1. Відредагуйте файл конфігурації демона SSH:

    Використовуйте ваш улюблений текстовий редактор (nano зручний для початківців).

    sudo nano /etc/ssh/sshd_config
  2. Впровадьте наступні зміни (розкоментуйте або додайте рядки):
    • Вимкнути вхід для Root: Знайдіть рядок PermitRootLogin і змініть його значення на no. Якщо він закоментований, розкоментуйте його.
    • PermitRootLogin no

      Це запобігає прямому SSH-доступу як користувач root, змушуючи вас спочатку використовувати вашого sudo-користувача.

    • Вимкнути автентифікацію за паролем (Настійно рекомендовано, якщо використовуються SSH-ключі): Якщо ви налаштували автентифікацію на основі SSH-ключів (що настійно рекомендовано для виробничих серверів і може бути зроблено пізніше), повністю вимкніть автентифікацію за паролем.
    • PasswordAuthentication no

      Примітка: Якщо ви *ще не* використовуєте SSH-ключі, залиште PasswordAuthentication yes наразі, але плануйте впровадити SSH-ключі незабаром, а потім вимкнути паролі. Для цього 30-хвилинного посібника, якщо у вас немає готових ключів, залиште його увімкненим.

    • Змінити порт SSH: Порт SSH за замовчуванням (22) постійно сканується ботами. Зміна його на нестандартний порт (наприклад, 2222, 54321, виберіть щось унікальне та вище 1024) зменшує спроби автоматизованих атак.
    • Port [your_new_port_number]

      Запам'ятайте цей новий порт! Він знадобиться вам для майбутніх з'єднань та для налаштування брандмауера.

    • Дозволити конкретним користувачам (Необов'язково, але хороша практика): Якщо лише конкретні користувачі повинні мати доступ до SSH, явно перерахуйте їх.
    • AllowUsers [your_new_username]
  3. Зберегти та вийти:

    У nano натисніть Ctrl+O, потім Enter для збереження, і Ctrl+X для виходу.

  4. Перезапустіть службу SSH:

    Застосуйте зміни, перезапустивши демон SSH. Використовуйте для цього свого нового sudo-користувача.

    • Для Debian/Ubuntu:
    • sudo systemctl restart sshd
    • Для CentOS/RHEL/AlmaLinux/Rocky Linux:
    • sudo systemctl restart sshd
  5. Протестуйте нову конфігурацію SSH:

    КРИТИЧНО: Відкрийте ще одну НОВУ SSH-сесію та спробуйте увійти, використовуючи свого нового користувача, новий порт, і переконавшись, що вхід root заблоковано. Тримайте попередні сесії відкритими, доки не підтвердите успішний вхід.

    ssh -p [your_new_port_number] [your_new_username]@[your_server_ip]

    Якщо ви можете увійти, і спроба прямого входу як root завершується невдачею, ваша конфігурація успішна. Тепер ви можете закрити свою стару root-сесію.

Крок 5: Встановлення та налаштування базового брандмауера (25-30 хвилин)

Брандмауер – це перша лінія захисту вашого сервера, що контролює, який трафік може входити та виходити. Це важливо для будь-якого виділеного сервера, будь то веб-сервер (відкриття портів 80/443), ігровий сервер (відкриття конкретних ігрових портів) або сервер баз даних (обмеження доступу до внутрішніх мереж).

Для систем на базі Debian/Ubuntu (використання UFW - Uncomplicated Firewall):
  1. Встановіть UFW:
    sudo apt install ufw -y
  2. Встановіть політики за замовчуванням:

    Заборонити всі вхідні з'єднання за замовчуванням, дозволити всі вихідні.

    sudo ufw default deny incoming
    sudo ufw default allow outgoing
  3. Дозволити необхідні з'єднання:

    КРИТИЧНО: Спочатку дозвольте ваш новий SSH-порт, щоб уникнути блокування доступу!

    sudo ufw allow [your_new_ssh_port]/tcp

    Потім дозвольте інші важливі служби, які може запускати ваш сервер. Для веб-сервера:

    sudo ufw allow http
    sudo ufw allow https

    Якщо ви запускаєте конкретні ігрові сервери, ви відкриваєте їхні необхідні порти тут (наприклад, sudo ufw allow 27015/tcp).

  4. Увімкнути UFW:
    sudo ufw enable

    Ви отримаєте попередження про переривання існуючих SSH-з'єднань. Підтвердіть, натиснувши y.

  5. Перевірте статус UFW:
    sudo ufw status verbose

    Переконайтеся, що ваші правила активні, а ваш SSH-порт відкритий.

Для систем на базі CentOS/RHEL/AlmaLinux/Rocky Linux (використання FirewallD):
  1. Встановіть FirewallD (якщо ще не встановлено):
    sudo yum install firewalld -y

    або

    sudo dnf install firewalld -y
  2. Запустіть та увімкніть FirewallD:
    sudo systemctl start firewalld
    sudo systemctl enable firewalld
  3. Дозволити необхідні з'єднання:

    КРИТИЧНО: Спочатку дозвольте ваш новий SSH-порт, щоб уникнути блокування доступу!

    sudo firewall-cmd --permanent --add-port=[your_new_ssh_port]/tcp

    Потім дозвольте інші важливі служби. Для веб-сервера:

    sudo firewall-cmd --permanent --add-service=http
    sudo firewall-cmd --permanent --add-service=https

    Якщо ви запускаєте конкретний ігровий сервер, ви відкриваєте його необхідні порти тут (наприклад, sudo firewall-cmd --permanent --add-port=27015/tcp).

  4. Перезавантажте FirewallD, щоб застосувати зміни:
    sudo firewall-cmd --reload
  5. Перевірте статус FirewallD:
    sudo firewall-cmd --list-all

    Переконайтеся, що ваші правила активні, а ваш SSH-порт відкритий.

Тестування конфігурації безпеки

Після виконання цих кроків життєво важливо протестувати вашу конфігурацію:

  • Доступ SSH: Переконайтеся, що ви все ще можете увійти за допомогою свого нового користувача та нового SSH-порту. Спроба прямого входу як root повинна завершитися невдачею.
  • Правила брандмауера:
    • З іншої машини спробуйте підключитися до порту, який має бути заблокований (наприклад, порт 22, якщо ви змінили свій SSH-порт, або будь-який випадковий високий порт). З'єднання повинно завершитися невдачею або вичерпати час очікування.
    • Якщо ви відкрили порти 80/443 для веб-хостингу, переконайтеся, що вони доступні, якщо ви розгортаєте просту веб-сторінку.

Вирішення поширених проблем

Навіть досвідчені системні адміністратори стикаються з проблемами. Ось деякі поширені пастки та способи їх вирішення:

1. Заблоковано після зміни конфігурації SSH

Це найпоширеніша та найстрашніша проблема. Золоте правило: НІКОЛИ не закривайте поточну SSH-сесію, доки ви успішно не протестуєте нову конфігурацію в окремій сесії.

  • Рішення: Якщо ви дотримувалися поради, ваша початкова сесія все ще відкрита. Скасуйте зміни в /etc/ssh/sshd_config, перезапустіть SSH і спробуйте знову.
  • Найгірший випадок: Якщо ви повністю заблоковані, вам потрібно буде скористатися функцією KVM-over-IP або консольного доступу панелі керування Valebyte, щоб відновити доступ, скасувати зміни та перезапустити SSH.

2. Брандмауер блокує легітимний трафік

Випадкове блокування необхідних портів може перешкодити роботі ваших служб або навіть заблокувати вам доступ.

  • Симптоми: Служби не відповідають, SSH-з'єднання не вдається навіть з правильними обліковими даними.
  • Рішення:
    • UFW: Перерахуйте правила за допомогою sudo ufw status verbose. Видаліть неправильні правила (наприклад, sudo ufw delete allow [rule_number]) або тимчасово вимкніть UFW за допомогою sudo ufw disable, щоб перевірити, чи є брандмауер причиною. Повторно увімкніть з правильними правилами.
    • FirewallD: Перерахуйте правила за допомогою sudo firewall-cmd --list-all. Видаліть неправильні правила (наприклад, sudo firewall-cmd --permanent --remove-port=[port]/tcp) та sudo firewall-cmd --reload.

3. Неправильні дозволи користувача або проблеми з Sudo

Якщо ваш новий користувач не може використовувати sudo або отримати доступ до певних файлів.

  • Симптоми: sudo: command not found або [username] is not in the sudoers file. This incident will be reported.
  • Рішення: Переконайтеся, що користувача було правильно додано до групи sudo (Debian/Ubuntu) або wheel (CentOS/RHEL). Увійдіть знову як root (якщо це все ще можливо) або скористайтеся консольним доступом, щоб повторно додати користувача до правильної групи: sudo usermod -aG sudo [username] або sudo usermod -aG wheel [username].

За межами перших 30 хвилин: Безперервна безпека

Описані вище кроки є критичною відправною точкою. Безпека сервера – це безперервний процес. Розгляньте наступні кроки для вашого виділеного сервера Valebyte:

  • Автентифікація за допомогою SSH-ключів: Впровадьте пари SSH-ключів для безпарольного, більш безпечного входу.
  • Fail2Ban: Встановіть Fail2Ban для автоматичного блокування IP-адрес, які намагаються здійснити атаки методом перебору на SSH та інші служби.
  • Регулярні оновлення: Налаштуйте автоматичні оновлення або регулярний графік, щоб підтримувати вашу ОС та програми оновленими.
  • Стратегія резервного копіювання: Впровадьте надійний план резервного копіювання та відновлення після збоїв. Valebyte пропонує рішення, які можуть інтегруватися з вашою стратегією.
  • Моніторинг: Налаштуйте інструменти моніторингу для відстеження стану сервера, використання ресурсів та подій безпеки.
  • Аудити безпеки: Періодично переглядайте конфігурацію безпеки та журнали вашого сервера.
  • Надійні паролі: Для будь-яких служб, що працюють на сервері (бази даних, поштові облікові записи, панелі керування), завжди використовуйте надійні, унікальні паролі.
  • SELinux/AppArmor: Дослідіть ці системи обов'язкового контролю доступу для підвищеної безпеки на рівні ядра.

Вживаючи цих проактивних заходів, ви перетворюєте свій потужний виділений сервер Valebyte на фортецю, готову обробляти ваші найвимогливіші програми, від високопродуктивних ігрових серверів та надійних середовищ веб-хостингу до складних CI/CD конвеєрів та критичної інфраструктури баз даних.

check_circle Висновок

Захист вашого виділеного сервера одразу після доставки — це не просто найкраща практика, це необхідність. Витративши всього 30 хвилин на ці фундаментальні кроки, ви закладаєте міцний фундамент для стабільності та безпеки всієї вашої цифрової інфраструктури. У Valebyte ми надаємо обладнання; ви забезпечуєте пильність. Готові побудувати свій безпечний фундамент? Ознайомтеся з асортиментом рішень для виділених серверів Valebyte та почніть захищати своє майбутнє вже сьогодні.

help Часті запитання

Поділитися цим записом:

безпека виділеного сервера загартування фізичного сервера безпека Linux сервера найкращі практики безпеки SSH конфігурація серверного фаєрвола
support_agent
Valebyte Support
Usually replies within minutes
Hi there!
Send us a message and we'll reply as soon as possible.