Для защиты сервера, после подключения по SSH с использованием root, рекомендуется сразу создать нового пользователя с правами администратора, избегая прямого использования root. Необходимо сгенерировать SSH-ключи для безопасного удаленного доступа и скопировать их на сервер, запретив подключение по паролю и root.
Используйте брандмауэр UFW для открытия портов SSH (22), HTTP (80) и HTTPS (443). Fail2ban поможет защитить сервер от атак, блокируя IP-адреса после нескольких неудачных попыток подключения. Для защиты передаваемых данных установите SSL-сертификаты с автоматическим продлением, используя Certbot.
Для усиления безопасности, добавьте двухфакторную аутентификацию с Google Authenticator, настроив PAM и SSH, чтобы требовался одноразовый код. Важно понимать, что
Изображение носит иллюстративный характер
Используйте брандмауэр UFW для открытия портов SSH (22), HTTP (80) и HTTPS (443). Fail2ban поможет защитить сервер от атак, блокируя IP-адреса после нескольких неудачных попыток подключения. Для защиты передаваемых данных установите SSL-сертификаты с автоматическим продлением, используя Certbot.
Для усиления безопасности, добавьте двухфакторную аутентификацию с Google Authenticator, настроив PAM и SSH, чтобы требовался одноразовый код. Важно понимать, что
KbdInteractiveAuthentication=yes делает возможным вход по паролю, а начальный пароль root нужно сменить. Также нужно проверить слепок серверного ключа при первом подключении по SSH, чтобы исключить возможность атаки «человек посередине». Использование nftables вместо ufw для управления брандмауэром может быть более гибким решением.
