Для защиты сервера, после подключения по SSH с использованием root, рекомендуется сразу создать нового пользователя с правами администратора, избегая прямого использования root. Необходимо сгенерировать SSH-ключи для безопасного удаленного доступа и скопировать их на сервер, запретив подключение по паролю и root.
Используйте брандмауэр UFW для открытия портов SSH (22), HTTP (80) и HTTPS (443). Fail2ban поможет защитить сервер от атак, блокируя IP-адреса после нескольких неудачных попыток подключения. Для защиты передаваемых данных установите SSL-сертификаты с автоматическим продлением, используя Certbot.
Для усиления безопасности, добавьте двухфакторную аутентификацию с Google Authenticator, настроив PAM и SSH, чтобы требовался одноразовый код. Важно понимать, что `KbdInteractiveAuthentication=yes` делает возможным вход по паролю, а начальный пароль root нужно сменить. Также нужно проверить слепок серверного ключа при первом подключении по SSH, чтобы исключить возможность атаки «человек посередине». Использование `nftables` вместо `ufw` для управления брандмауэром может быть более гибким решением.
Изображение носит иллюстративный характер
Используйте брандмауэр UFW для открытия портов SSH (22), HTTP (80) и HTTPS (443). Fail2ban поможет защитить сервер от атак, блокируя IP-адреса после нескольких неудачных попыток подключения. Для защиты передаваемых данных установите SSL-сертификаты с автоматическим продлением, используя Certbot.
Для усиления безопасности, добавьте двухфакторную аутентификацию с Google Authenticator, настроив PAM и SSH, чтобы требовался одноразовый код. Важно понимать, что `KbdInteractiveAuthentication=yes` делает возможным вход по паролю, а начальный пароль root нужно сменить. Также нужно проверить слепок серверного ключа при первом подключении по SSH, чтобы исключить возможность атаки «человек посередине». Использование `nftables` вместо `ufw` для управления брандмауэром может быть более гибким решением.
