Базовая Настройка Сервера: различия между версиями
Материал из Wikibebra
Перейти к навигацииПерейти к поиску
SplitMoon (обсуждение | вклад) Нет описания правки |
Кирюша (обсуждение | вклад) Нет описания правки |
||
| (не показана 1 промежуточная версия этого же участника) | |||
| Строка 3: | Строка 3: | ||
тупо через gemini какой нибудь расписать тут текста и добавить тутор с гитхаба плиззз | тупо через gemini какой нибудь расписать тут текста и добавить тутор с гитхаба плиззз | ||
Ниже — шаблон «первой базовой настройки» для свежего VPS или физического Linux-сервера (Ubuntu/Debian 22.04 LTS как пример; для RHEL/CentOS/AlmaLinux названия пакетов и команды dnf/yum меняются, но логика та же). | |||
---- | |||
== 1. Подключаемся по SSH от имени root == | |||
Сразу проверьте, что вход происходит по ключу, а не по паролю. | |||
---- | |||
== 2. Обновляем систему == | |||
''(Для CentOS: <code>dnf update -y</code>)'' | |||
---- | |||
== 3. Создаём отдельного администратора и запрещаем прямой root-login == | |||
В файле <code>/etc/ssh/sshd_config</code>: | |||
Затем:<blockquote>'''Важно:''' сначала убедитесь, что пользователь <code>admin</code> уже может входить по ключу, иначе можно отрезать себе доступ.</blockquote> | |||
---- | |||
== 4. Настраиваем брандмауэр (UFW) == | |||
''(На RHEL-подобных системах — <code>firewalld</code>)'' | |||
---- | |||
== 5. Устанавливаем fail2ban (защита от перебора паролей) == | |||
---- | |||
== 6. Корректируем часовой пояс, локаль и hostname == | |||
---- | |||
== 7. Включаем автоматические обновления безопасности == | |||
Проверить: <code>/etc/apt/apt.conf.d/50unattended-upgrades</code>. | |||
---- | |||
== 8. Настраиваем резервное копирование (минимум – снимки диска) == | |||
* Простейший вариант — утилита <code>rsync</code> + cron на другой сервер/облако. | |||
* Для баз данных — <code>mysqldump</code>, <code>pg_dump</code> или встроенные snapshot-ы in-volume. | |||
* Облачные хранилища: Borg + rclone, Restic, или бекуп-сервис вашего провайдера. | |||
---- | |||
== 9. Включаем мониторинг == | |||
{| class="wikitable" | |||
!Что | |||
!Инструменты | |||
|- | |||
|Аптайм | |||
|Uptime Kuma, HetrixTools, Pingdom | |||
|- | |||
|Ресурсы | |||
|Netdata, Grafana + Prometheus / VictoriaMetrics | |||
|- | |||
|Логи | |||
|journalctl + Loki / Elastic / Graylog | |||
|} | |||
---- | |||
== 10. Минимальная «твёрдая» безопасность == | |||
# '''SSH-порт ≠ 22''' — не панацея, но снижает шум ботов. | |||
# '''Параметр <code>AllowUsers</code>''' в <code>sshd_config</code> ограничивает список логин-имен. | |||
# '''AppArmor / SELinux''' — оставьте включённым, найдите время освоиться. | |||
# '''Двухфакторная аутентификация''' (Google Auth, YubiKey) для критичных сервисов. | |||
# '''Регулярное сканирование''' <code>lynis</code>, <code>clamav</code>, <code>rkhunter</code>. | |||
---- | |||
=== Что делать дальше? === | |||
* '''Контейнеризация:''' Docker / Podman упрощают деплой приложений. | |||
* '''Infrastructure-as-Code:''' Ansible/Terraform, чтобы не кликать всё руками. | |||
* '''CI/CD:''' GitHub Actions, GitLab CI или Jenkins для автодеплоя. | |||
* '''TLS-сертификаты:''' <code>certbot</code> + Let’s Encrypt (автообновление). | |||
* '''VPN:''' WireGuard/Algo если нужен безопасный доступ в приватную сеть. | |||
---- | |||
== Полезные команды напоследок == | |||
---- | |||
=== Итог === | |||
Эти шаги дадут вам «скелет» безопасного и управляемого сервера: контроль доступа, актуальные обновления, резервные копии и базовый мониторинг. Дальше углубляйтесь в автоматизацию, а конфигурации храните под версионным контролем — так любые изменения легко воспроизводить или откатить. | |||
Если у вас другой дистрибутив, задача или вопросы по конкретным сервисам (PostgreSQL, Nginx, Docker-Swarm, Kubernetes и т. д.) — дайте знать, подскажу точечно. | |||
[[Файл:Nravitsya.png|мини]] | |||
Нравится ли вам эта личность? | |||
Текущая версия от 17:06, 18 мая 2025
ну ребята надо с чего-то начинать же
тупо через gemini какой нибудь расписать тут текста и добавить тутор с гитхаба плиззз
Ниже — шаблон «первой базовой настройки» для свежего VPS или физического Linux-сервера (Ubuntu/Debian 22.04 LTS как пример; для RHEL/CentOS/AlmaLinux названия пакетов и команды dnf/yum меняются, но логика та же).
1. Подключаемся по SSH от имени root
Сразу проверьте, что вход происходит по ключу, а не по паролю.
2. Обновляем систему
(Для CentOS: dnf update -y)
3. Создаём отдельного администратора и запрещаем прямой root-login
В файле /etc/ssh/sshd_config:
Затем:
Важно: сначала убедитесь, что пользователь
adminуже может входить по ключу, иначе можно отрезать себе доступ.
4. Настраиваем брандмауэр (UFW)
(На RHEL-подобных системах — firewalld)
5. Устанавливаем fail2ban (защита от перебора паролей)
6. Корректируем часовой пояс, локаль и hostname
7. Включаем автоматические обновления безопасности
Проверить: /etc/apt/apt.conf.d/50unattended-upgrades.
8. Настраиваем резервное копирование (минимум – снимки диска)
- Простейший вариант — утилита
rsync+ cron на другой сервер/облако. - Для баз данных —
mysqldump,pg_dumpили встроенные snapshot-ы in-volume. - Облачные хранилища: Borg + rclone, Restic, или бекуп-сервис вашего провайдера.
9. Включаем мониторинг
| Что | Инструменты |
|---|---|
| Аптайм | Uptime Kuma, HetrixTools, Pingdom |
| Ресурсы | Netdata, Grafana + Prometheus / VictoriaMetrics |
| Логи | journalctl + Loki / Elastic / Graylog |
10. Минимальная «твёрдая» безопасность
- SSH-порт ≠ 22 — не панацея, но снижает шум ботов.
- Параметр
AllowUsersвsshd_configограничивает список логин-имен. - AppArmor / SELinux — оставьте включённым, найдите время освоиться.
- Двухфакторная аутентификация (Google Auth, YubiKey) для критичных сервисов.
- Регулярное сканирование
lynis,clamav,rkhunter.
Что делать дальше?
- Контейнеризация: Docker / Podman упрощают деплой приложений.
- Infrastructure-as-Code: Ansible/Terraform, чтобы не кликать всё руками.
- CI/CD: GitHub Actions, GitLab CI или Jenkins для автодеплоя.
- TLS-сертификаты:
certbot+ Let’s Encrypt (автообновление). - VPN: WireGuard/Algo если нужен безопасный доступ в приватную сеть.
Полезные команды напоследок
Итог
Эти шаги дадут вам «скелет» безопасного и управляемого сервера: контроль доступа, актуальные обновления, резервные копии и базовый мониторинг. Дальше углубляйтесь в автоматизацию, а конфигурации храните под версионным контролем — так любые изменения легко воспроизводить или откатить.
Если у вас другой дистрибутив, задача или вопросы по конкретным сервисам (PostgreSQL, Nginx, Docker-Swarm, Kubernetes и т. д.) — дайте знать, подскажу точечно.
Нравится ли вам эта личность?
