7 критических ошибок безопасности VPS в 2025 году
В 2025 году количество атак на VPS-серверы выросло на 340% по сравнению с прошлым годом. Большинство взломов происходит не из-за сложных уязвимостей, а из-за банальных ошибок администраторов.
Сегодня разберем 7 самых опасных ошибок, которые совершают 90% владельцев VPS, и покажем как их исправить за 10 минут.
1. Стандартный порт SSH (22) 🚪
Проблема: Порт 22 сканируют тысячи ботов каждую минуту. Это как оставить входную дверь с надписью "ВХОДИТЕ, НЕ СТЕСНЯЙТЕСЬ".
Статистика: 97% атак брутфорсом идут именно на порт 22.
Решение:
Измени порт SSH: sudo nano /etc/ssh/sshd_config
Найди строку Port 22 и замени на (например): Port 2847
Перезапусти SSH: sudo systemctl restart sshd
Результат: Количество атак упадет на 99% в первый же день!
2. Вход по паролю вместо SSH-ключей 🔑
Проблема: Пароли можно подобрать. SSH-ключи — практически невозможно.
Факт: Среднее время подбора пароля из 8 символов — 5-7 часов. SSH-ключ RSA 4096 — несколько миллиардов лет.
Решение:
На локальном компьютере создай ключ:
ssh-keygen -t rsa -b 4096
Скопируй на сервер:
ssh-copy-id -i ~/.ssh/id_rsa.pub user@your-vps-ip
На сервере отключи вход по паролю:
sudo nano /etc/ssh/sshd_config
Измени строку на: PasswordAuthentication no
Перезапусти: sudo systemctl restart sshd
Важно: Сохрани приватный ключ в надежном месте!
3. Отсутствие Fail2Ban ⚔️
Проблема: Без защиты от брутфорса боты будут пытаться подобрать пароль 24/7.
Статистика: Средний VPS получает 500-1000 попыток взлома в день.
Решение:
Установи Fail2Ban: sudo apt update && sudo apt install fail2ban -y
Создай конфиг: sudo nano /etc/fail2ban/jail.local
Добавь следующие настройки:
- Включи защиту SSH
- Установи порт (твой SSH порт)
- Максимум попыток: 3
- Время бана: 3600 секунд (1 час)
Запусти сервис:
sudo systemctl enable fail2ban
sudo systemctl start fail2ban
Результат: После 3 неудачных попыток — бан на час!
4. Открытые порты без причины 🔓
Проблема: Каждый открытый порт — потенциальная дыра в безопасности.
Решение:
Проверь открытые порты: sudo netstat -tulpn | grep LISTEN
Настрой firewall (UFW):
sudo ufw default deny incoming
sudo ufw default allow outgoing
sudo ufw allow 2847/tcp (SSH)
sudo ufw allow 80/tcp (HTTP)
sudo ufw allow 443/tcp (HTTPS)
sudo ufw enable
Проверь статус: sudo ufw status
Правило: Открывай ТОЛЬКО необходимые порты!
5. Устаревшее ПО и ядро Linux 🐛
Проблема: Каждый месяц обнаруживают десятки критических уязвимостей.
Пример: Уязвимость Dirty Pipe в ядре Linux позволяла получить root-доступ за 5 секунд!
Решение:
Регулярно обновляй систему:
sudo apt update && sudo apt upgrade -y
Автоматические обновления:
sudo apt install unattended-upgrades -y
sudo dpkg-reconfigure --priority=low unattended-upgrades
Проверяй версию ядра: uname -r
Совет: Настрой автоматические обновления безопасности!
6. Root-доступ по SSH 👑
Проблема: Если взломают root — игра окончена. Хакер получит ПОЛНЫЙ контроль.
Решение:
Создай обычного пользователя:
sudo adduser admin
sudo usermod -aG sudo admin
Отключи root-вход:
sudo nano /etc/ssh/sshd_config
Измени строку на: PermitRootLogin no
Перезапусти: sudo systemctl restart sshd
Принцип: Работай под обычным пользователем, используй sudo когда нужно.
7. Отсутствие мониторинга и логов 📊
Проблема: Не знаешь об атаке, пока не станет слишком поздно.
Решение:
Смотри попытки входа: sudo tail -f /var/log/auth.log
Установи мониторинг: sudo apt install logwatch -y
Получай ежедневные отчеты: sudo nano /etc/cron.daily/00logwatch
Мониторинг процессов: htop
Совет: Проверяй логи хотя бы раз в неделю!
Бонус: Чек-лист безопасности VPS 2025 ✅
- SSH на нестандартном порту
- Вход только по SSH-ключам
- Fail2Ban установлен и настроен
- Firewall (UFW) активен
- Автоматические обновления безопасности
- Root-доступ отключен
- Регулярный мониторинг логов
- Резервные копии настроены
- 2FA для критичных сервисов
- VPN для административного доступа
Итоги 🎯
Следуя этим простым правилам, вы:
- ✅ Снизите риск взлома на 95%
- ✅ Защититесь от брутфорс-атак
- ✅ Заметите подозрительную активность вовремя
- ✅ Спокойно спите, зная что сервер защищен
Помните: Безопасность — это не разовая настройка, а постоянный процесс!
