Кратко: сразу после активации смените пароль, обновите систему, настройте SSH-ключ и базовый firewall. Это снижает риск взлома в первые часы жизни сервера.
Минимальный чеклист (сделайте в первый день)
- Смените пароль root в кабинете (инструкция).
- Обновите пакеты (обновление ОС).
- Настройте вход по SSH-ключу.
- Ограничьте вход по паролю (после проверки ключа).
- Включите firewall, не закрывая себе SSH.
- Отключите неиспользуемые сервисы.
Firewall (пример ufw)
apt -y install ufw
ufw default deny incoming
ufw default allow outgoing
ufw allow OpenSSH
# если есть сайт:
ufw allow 80/tcp
ufw allow 443/tcp
ufw enable
ufw status
Перед ufw enable убедитесь, что правило для SSH добавлено. Иначе потеряете доступ и будете восстанавливать его через консоль VMmanager.
SSH: отключить пароль (только после проверки ключа)
В /etc/ssh/sshd_config:
PasswordAuthentication no
PermitRootLogin prohibit-password
Затем:
sshd -t && systemctl reload ssh || systemctl reload sshd
Не закрывайте текущую SSH-сессию, пока не проверите вход ключом во втором окне.
Дополнительно
- Ставьте обновления безопасности регулярно.
- Не ставьте панели и скрипты из неизвестных источников.
- Ограничьте доступ к панелям админок по IP, где возможно.
- Храните бэкапы вне того же VPS.
- Следите за странными процессами (
top,ps aux).
Чего не делать
- Не выкладывайте пароль root в тикеты и публичные чаты.
- Не открывайте в firewall «все порты».
- Не отключайте SSH, не проверив консоль VMmanager.
Частые вопросы
Достаточно ли сменить пароль?
Нет. Пароль — только первый шаг. Ключ + обновления + firewall дают заметно больший эффект.
Нужен ли fail2ban?
Желателен, особенно если оставлен вход по паролю. Установка: apt -y install fail2ban и базовая jail для sshd.