Базовая безопасность сервера: с чего начать после первого входа
Теория о том, какие риски есть у нового сервера сразу после запуска и почему безопасность лучше настраивать до установки сервисов и приложений.
Базовая безопасность сервера: с чего начать после первого входа
Почему новый сервер нельзя оставлять “как есть”
После запуска сервер обычно уже доступен по сети. Если сразу перейти к установке приложений и панелей, не трогая доступы и базовые настройки, можно получить сразу несколько проблем:
- вход под
rootпо паролю; - лишние открытые порты;
- отсутствие рабочего пользователя;
- устаревшие пакеты;
- путаницу с тем, кто и как будет администрировать систему дальше.
Что обычно защищают в самом начале
1. Модель входа
Нужно понять, кто заходит на сервер и как именно это происходит: по паролю или по ключу.
2. Root-доступ
Работать под root постоянно удобно только первые пять минут. Потом это повышает риск ошибок и усложняет контроль изменений.
3. Парольный вход
Если сервер будет использоваться постоянно, безопаснее переходить на SSH-ключи и потом отключать вход по паролю.
4. Открытые порты
Наружу должны смотреть только те сервисы, которые действительно нужны.
5. Обновления
Старый пакет или уязвимый сервис — не та база, с которой стоит начинать установку платформы.
Типовая безопасная последовательность
Сначала:
- проверяют доступ;
- обновляют систему;
- создают отдельного пользователя;
- настраивают SSH-ключи;
- только потом ограничивают пароль и root-login;
- после этого включают firewall и проверяют правила.
Практическая нота
Если смотреть на сервер как на фундамент, безопасность — это не “последний штрих”, а часть самой основы. Чем раньше её выстроить, тем меньше проблем будет дальше.
Как устроен доступ на сервер: root, пользователь, sudo, ключи
Теория о ролях и доступах на сервере: кто такой root, зачем нужен отдельный пользователь, что даёт sudo и как в это вписываются SSH-ключи.