Если сервер подняли «на коленке» и забыли про базовую защиту, то есть большая вероятность получить подобное сообщение: «Срочно, наш сервер майнит/шлёт спам/лежит под DDoS». Чтобы избежать такого, собрал для вас чек-лист, который я теперь прогоняю по каждому новому VPS/VDS. Работает на Ubuntu 22.04/24.04, Debian 12, AlmaLinux 9.

1. Создаём обычного пользователя с sudo-правами 2. Полностью отключаем вход по паролю и под root 3. (Опционально) Переносим SSH на нестандартный порт 4. Ставим Fail2Ban - больше 10 неудачных попыток входа = бан на час или больше 5. UFW в режиме «всё закрыто, кроме нужного» (SSH + 80/443) 6. Автоматические обновления безопасности без перезагрузки 7. Отключаем все ненужные сервисы (bluetooth, avahi, cups и т.д.) 8. CrowdSec -  главный инструмент (глобальная база банов, реакция за секунды) 9. Финальный скан на руткиты и бэкдоры (rkhunter + chkrootkit)

Всё. Сервер теперь выдерживает 99 % типовых атак: брутфорс, сканеры уязвимостей, простые DDoS L3/L4, майнеры через известные дыры. Делайте этот чек-лист для экономии нервов и сил сразу после получения сервера.

#vps #linux #безопасность #devops #сервер #crowdsec #fail2ban #удалёнка P.S. Если нужен человек, который поднимет вам боевой сервер по этому чек-листу + деплой Nuxt/NestJS/Docker — пишите @SV_Kots. Делаю «под ключ» и с гарантией, что не взломают за неделю :)