Ваш self-hosted AI-агент под угрозой? Полный гайд по безопасности Hermes Agent на VPS

Ключевые выводы

• Узнайте, как защитить VPS с Hermes Agent до того, как злоумышленники смогут воспользоваться открытыми портами, слабыми настройками SSH или неправильно настроенными контейнерами.
• Откройте для себя самый безопасный способ запуска Hermes Agent с изоляцией Docker, доступом с минимальными привилегиями и усиленным контролем сети.
• Защитите API-ключи, переменные окружения и подключенные сервисы от утечек, которые могут скомпрометировать ваши AI-рабочие процессы.
• Настройте мониторинг, логирование и оповещения безопасности, чтобы быстро обнаруживать подозрительную активность и реагировать на угрозы.
• Разработайте план резервного копирования и восстановления, который поможет восстановить данные и работу Hermes Agent после непредвиденных инцидентов.

Запуск Hermes Agent на собственном VPS дает вам больше контроля, гибкости и конфиденциальности, но также возлагает на вас ответственность за безопасность. Плохо настроенный сервер может раскрыть API-ключи, конфиденциальные данные и подключенные сервисы злоумышленникам. Распространенные риски включают слабые настройки SSH, открытые порты, неправильно настроенные контейнеры Docker и утечки переменных окружения.

Хорошая новость в том, что защита самостоятельно размещенного AI-агента не требует инфраструктуры корпоративного уровня. Следуя нескольким проверенным практикам усиления VPS, вы можете значительно уменьшить поверхность атаки и повысить надежность. В этом руководстве вы узнаете, как защитить VPS, укрепить развертывания Docker, защитить секреты, контролировать сетевой доступ, отслеживать подозрительную активность и построить надежную стратегию резервного копирования и восстановления для Hermes Agent.

Почему безопасность Hermes Agent важна на VPS?

Hermes Agent предназначен для выполнения автономных рабочих процессов агента, автоматизации браузера, работы с приложениями для обмена сообщениями и сложных задач при минимальном ручном вводе. Для выполнения этих действий агенту часто предоставляется доступ к API-ключам, файлам env, платформам обмена сообщениями, векторным хранилищам и внутренним инструментам. Такой уровень доступа делает безопасность критически важной частью каждой установки Hermes. 

Если злоумышленники скомпрометируют работающего агента, они могут получить доступ к истории разговоров, переиспользуемым навыкам, системам управления файлами и подключенным сервисам, таким как Telegram-бот или MCP-сервер. В некоторых случаях скомпрометированный контейнер выполняет вредоносные команды, крадет GitHub-токен или распространяется на другие инструменты, подключенные к той же инфраструктуре. 

Защита вашей собственной среды размещения Hermes помогает уменьшить радиус поражения атак. Она также защищает постоянную память, процедурную память и навыки самообучения, хранящиеся на вашей собственной инфраструктуре. Надежные средства контроля безопасности улучшают общую позицию безопасности и помогают поддерживать безопасную работу Hermes при выполнении долгосрочных задач AI-агентов. 

Также читайте: Что такое Hermes Agent? Руководство по самостоятельному размещению AI-агента для разработчиков 

Рекомендуемая безопасная архитектура для Hermes Agent 

Безопасная установка Hermes должна изолировать сервисы, ограничивать публичный доступ и защищать рабочие нагрузки AI-агента от несанкционированного доступа. Самый безопасный подход — запускать Hermes Agent на VPS-хостинге с Docker, обратным прокси и защитой брандмауэра. 

Обзор безопасной архитектуры VPS 

Стандартная архитектура Hermes Agent включает: 

• VPS-хостинг 
• Контейнеры Docker 
• Обратный прокси, например NGINX или Traefik 
• Правила брандмауэра 
• Частные внутренние сети контейнеров 

Docker изолирует сервисы Hermes, инструменты автоматизации браузера и шлюзы обмена сообщениями внутри отдельных контейнеров. Обратный прокси обрабатывает HTTPS-трафик и SSL-сертификаты. Правила брандмауэра ограничивают ненужный доступ. 

Используйте частные сети Docker для внутренней коммуникации. Это предотвращает прямой доступ к векторным хранилищам, данным файлов env и внутренним сервисам. Шифрование HTTPS также защищает API-ключи, историю разговоров и платформы обмена сообщениями во время передачи данных. 

Почему Docker лучше, чем установка непосредственно на хост 

Docker повышает безопасность, изолируя процессы внутри отдельных контейнеров. Если один контейнер запускает вредоносный код, атака с меньшей вероятностью затронет все окружение VPS. 

Docker также упрощает откат и восстановление. Вы можете повторно развернуть более старые версии контейнеров, если обновление Hermes, новый пакет навыков или изменение мастера настройки вызовут проблемы. 

Изоляция контейнеров также уменьшает поверхность атаки. Вы можете применять ограниченные возможности, запрещать root-доступ и контролировать использование ресурсов для рабочих нагрузок AI-агента. 

Рекомендуемые характеристики VPS 

Ваш план VPS зависит от размера вашей установки Hermes и рабочих процессов агента. 

Рекомендуемый минимум: 

• 1–2 ядра vCPU 
• 2–4 ГБ ОЗУ 
• NVMe SSD-накопитель 
• Ubuntu LTS или Debian 

Для продвинутых рабочих нагрузок с автоматизацией браузера, постоянной памятью, переиспользуемыми навыками и несколькими приложениями для обмена сообщениями могут потребоваться большие ресурсы ОЗУ и CPU. 

NVMe-хранилище улучшает управление файлами, производительность векторных хранилищ и скорость извлечения истории разговоров. 

Порты и сервисы, которые следует открывать 

Открывайте для интернета только необходимые сервисы. 

Рекомендуемая настройка: 

• Порт 443 для HTTPS 
• Ограниченный SSH-доступ 
• Частные внутренние сети контейнеров 

Избегайте публичного открытия портов Docker, баз данных или сервисов MCP-сервера. Ограничьте административный доступ с помощью SSH-ключей, VPN-подключений или белых списков IP. Ограничение публичных сервисов улучшает вашу общую позицию безопасности и уменьшает радиус поражения атак. 

Также читайте: Как запустить Hermes Agent 24/7 на VPS (Полное руководство 2026) 

Как защитить VPS перед установкой Hermes Agent?

Безопасная базовая конфигурация VPS снижает риск несанкционированного доступа, утечки API-ключей и компрометации рабочих нагрузок AI-агента. Перед установкой Hermes Agent защитите операционную систему, SSH-доступ и правила брандмауэра. 

1. Создайте пользователя без прав root 

Избегайте выполнения задач по настройке Hermes от имени root. Создайте отдельную учетную запись sudo для повседневного управления и позже отключите прямой root-доступ. 

Пример команд: 

adduser hermesadmin 
usermod -aG sudo hermesadmin 

Использование учетной записи без прав root ограничивает радиус поражения, если злоумышленники получат доступ к серверу. 

2. Усилите SSH-доступ 

SSH — один из наиболее часто атакуемых сервисов в среде VPS-хостинга. Слабые настройки SSH могут сделать вашу инфраструктуру уязвимой для атак методом перебора и несанкционированного административного доступа. 

Рекомендуемые шаги по усилению SSH: 

• Отключите аутентификацию по паролю 
• Используйте только SSH-ключи 
• Измените порт SSH по умолчанию 
• Ограничьте доступ по логину 

Пример конфигурации SSH: 

PermitRootLogin no 
PasswordAuthentication no 

SSH-ключи обеспечивают более надежную защиту, чем пароли, и улучшают общую позицию безопасности вашего VPS с Hermes Agent. 

3. Настройте правила брандмауэра 

Брандмауэр помогает контролировать, какие сервисы доступны публично. Разрешите только те порты, которые необходимы для работы Hermes Agent и трафика шлюза обмена сообщениями. 

Рекомендуемая настройка UFW: 

ufw allow 22 
ufw allow 443 
ufw enable 

Порт 443 обрабатывает HTTPS-трафик. SSH-доступ должен оставаться ограниченным для доверенных пользователей или IP-адресов. Избегайте прямого открытия внутренних контейнеров, векторных хранилищ или сервисов MCP-сервера в интернет. 

4. Включите автоматические обновления безопасности 

Устаревшие пакеты и ядра повышают риски безопасности для самостоятельно размещенной инфраструктуры AI-агента. Включите unattended-upgrades для автоматической установки важных исправлений безопасности. 

Автоматические обновления помогают защитить: 

• зависимости Docker 
• SSH-сервисы 
• системные пакеты 
• уязвимости ядра 

Поддержание Ubuntu LTS или Debian в актуальном состоянии повышает долгосрочную стабильность для постоянной памяти и рабочих процессов агента. 

5. Установите защиту Fail2Ban 

Fail2Ban помогает блокировать повторные попытки входа и атаки методом перебора, направленные на SSH-сервисы. 

Он отслеживает журналы аутентификации и временно блокирует подозрительные IP-адреса после нескольких неудачных попыток входа. Это добавляет дополнительный уровень безопасности для рабочих нагрузок Hermes Agent, платформ обмена сообщениями и административного доступа на VPS. 

Также читайте: Hermes Agent + n8n: создавайте автоматизированные рабочие процессы, которые действительно думают 

Защита API, секретов и переменных окружения 

Ключи API, токены доступа и учетные данные — одни из самых чувствительных активов в конфигурации Hermes. При их раскрытии злоумышленники могут получить доступ к провайдерам моделей, платформам обмена сообщениями, инструментам автоматизации браузера и другим подключенным сервисам. Правильное управление секретами помогает защитить вашего AI-агента и инфраструктуру, от которой он зависит. 

1. Никогда не встраивайте ключи API в код 

Никогда не храните ключи API непосредственно в исходном коде, файлах Markdown или конфигурационных файлах, отслеживаемых в репозиториях Git. 

Вместо этого: 

• Используйте переменные окружения 
• Храните секреты в отдельном файле .env 
• Исключите секретные файлы из системы контроля версий 
• Регулярно меняйте учетные данные 

Это снижает риск случайного раскрытия токена GitHub, учетных данных провайдера LLM или секретов шлюза обмена сообщениями. 

2. Используйте секреты Docker или менеджеры секретов 

Храните конфиденциальные данные вне приложения, когда это возможно. 

Секреты Docker и специализированные инструменты управления секретами предоставляют: 

• Безопасное хранение учетных данных 
• Обработка секретов в зашифрованном виде 
• Контролируемый доступ к конфиденциальным значениям 
• Снижение риска раскрытия внутри контейнеров 

Такой подход безопаснее, чем хранение паролей, ключей API или токенов непосредственно в конфигурационных файлах Hermes или коде приложения. 

Также читайте: Руководство по настройке Hermes Agent Docker для production, которое работает 

3. Ограничьте разрешения API 

Следуйте принципу минимальных привилегий. Каждый ключ API должен иметь только те разрешения, которые необходимы для его конкретной задачи. 

Например: 

• Используйте отдельные учетные данные для production и тестирования 
• Ограничивайте области доступа там, где это поддерживается 
• Создавайте новый токен при изменении разрешений 
• Немедленно удаляйте неиспользуемые ключи 

Ограничение разрешений помогает сдерживать инциденты безопасности и ограничивает доступ злоумышленника в случае компрометации учетных данных. 

4. Предотвратите попадание секретов в логи 

Логи часто содержат больше конфиденциальной информации, чем ожидается. Отладочный вывод может случайно раскрыть ключи API, токены доступа, историю разговоров или данные аутентификации. 

Чтобы снизить риск: 

• Редактируйте конфиденциальные значения перед записью в лог 
• Отключайте подробное отладочное логирование в production 
• Регулярно просматривайте логи приложений и контейнеров 
• Предотвращайте запись секретов в системы мониторинга 

Исключение учетных данных из логов укрепляет вашу безопасность и помогает защитить длительные рабочие нагрузки Hermes Agent. 

Сетевая безопасность и контроль доступа 

Сетевая безопасность помогает предотвратить несанкционированный доступ к Hermes Agent, подключенным инструментам и конфиденциальным данным. Цель проста: предоставлять только то, что нужно пользователям, и оставлять всё остальное приватным. 

1. Ограничьте публичный доступ 

Каждый публичный сервис увеличивает риск. Открывайте только HTTPS-эндпоинты, необходимые для шлюза Hermes, платформ обмена сообщениями или веб-интерфейсов. 

Оставьте следующие сервисы приватными: 

• Базы данных 
• Векторные хранилища 
• Экземпляры MCP-серверов 
• Внутренние API 
• Интерфейсы управления контейнерами 

При запуске Hermes Agent на собственной инфраструктуре частные сети помогают защитить постоянную память, журналы выполнения и рабочие процессы агента от ненужного раскрытия. 

2. Защитите удаленный доступ с помощью VPN или белого списка IP-адресов 

Административные сервисы никогда не должны быть доступны откуда угодно в интернете. 

Используйте такие инструменты, как WireGuard или Tailscale, для создания безопасной управляющей сети. Для дополнительной защиты ограничьте административный доступ доверенными IP-адресами, когда это возможно. 

Такой подход помогает защитить: 

• SSH-доступ 
• Администрирование сервера 
• Управление файлами 
• Обновление конфигурации Hermes 
• Мониторинг инфраструктуры 

Ограничение точек доступа уменьшает возможности для атакующих нацелиться на ваш VPS. 

3. Настройте HTTPS с помощью обратного прокси 

Обратный прокси-сервер располагается между пользователями и вашими сервисами Hermes. Решения, такие как NGINX и Traefik, упрощают управление HTTPS и помогают защитить входящий трафик. 

Преимущества включают: 

• Шифрование SSL/TLS 
• Автоматическое обновление сертификатов 
• Централизованное управление трафиком 
• Лучший контроль над публичными эндпоинтами 

HTTPS защищает ключи API, токены аутентификации и историю разговоров при передаче данных между Hermes Agent, приложениями для обмена сообщениями и провайдерами моделей. 

4. Добавьте ограничение скорости и фильтрацию запросов 

Публичные эндпоинты могут стать целями для автоматизированных атак, подбора учетных данных и попыток злоупотребления. 

Ограничение скорости помогает контролировать, как часто пользователи или системы могут отправлять запросы. Фильтрация запросов блокирует подозрительный трафик до того, как он достигнет вашего приложения. 

Эти меры контроля помогают: 

• Снизить количество попыток злоупотребления 
• Защитить страницы входа 
• Защитить публичные API 
• Улучшить общую безопасность 

Для команд, использующих VPS-хостинг Hermes Agent, ограничение скорости добавляет дополнительный уровень защиты для длительных рабочих нагрузок AI-агента и шлюзов обмена сообщениями, не влияя на нормальное использование. 

Также читайте: Hermes Agent на Bluehost VPS: запускайте и масштабируйте AI-агентов 

Как осуществлять мониторинг и обнаружение подозрительной активности

Даже хорошо защищенная конфигурация Hermes требует постоянного мониторинга. Всплески ресурсов, неудачные попытки входа и необычная активность контейнеров могут указывать на проблемы безопасности до того, как они станут крупными инцидентами. 

1. Отслеживайте использование ресурсов VPS 

Отслеживайте использование CPU, RAM и диска на вашем VPS. Неожиданное потребление ресурсов может сигнализировать о скомпрометированном контейнере, вышедшем из-под контроля процессе или злоупотреблении рабочей нагрузкой AI-агента. 

Обратите внимание на: 

• Устойчивые всплески CPU 
• Высокое использование памяти 
• Быстрый рост диска 
• Необычная сетевая активность 

Это особенно важно для развертываний Hermes Agent, работающих с автоматизацией браузера, постоянной памятью и несколькими рабочими процессами агентов. 

2. Централизуйте логи 

Логи обеспечивают видимость того, что происходит в вашей инфраструктуре. Хранение логов в одном месте значительно упрощает устранение неполадок и расследование инцидентов безопасности. 

Отслеживайте: 

• Логи SSH 
• Логи Docker 
• Логи доступа обратного прокси 
• Логи приложений 

Регулярно просматривайте логи на предмет несанкционированных попыток доступа, изменений конфигурации и необычной активности, связанной с ключами API, каналами обмена сообщениями или подключенными инструментами. 

3. Настройте оповещения безопасности 

Мониторинг полезен только тогда, когда вы знаете, что что-то пошло не так. Настройте оповещения, чтобы уведомлять администраторов о критических событиях. 

Рекомендуемые оповещения включают: 

• Неудачные попытки входа по SSH 
• Высокая загрузка CPU или RAM 
• Мало свободного места на диске 
• Сбои сервисов 
• Уведомления о простое 

Ранние оповещения помогают командам быстро реагировать до того, как проблемы затронут Hermes в production или нарушат длительные рабочие процессы агентов. 

4. Регулярно сканируйте на предмет уязвимостей 

Угрозы безопасности со временем меняются, поэтому регулярные аудиты необходимы. Планируйте рутинные сканирования, чтобы выявлять слабые места до того, как это сделают злоумышленники. 

Сосредоточьтесь на: 

• Сканирование образов Docker 
• Проверка открытых портов 
• Аудит зависимостей 
• Проверка конфигурации контейнеров 

Наш VPS-хостинг Bluehost Hermes Agent, сочетающий сканирование уязвимостей с регулярными обновлениями системы, помогает поддерживать более высокий уровень безопасности по мере роста инфраструктуры агентов, переиспользуемых навыков и подключенных сервисов. 

Каковы лучшие практики резервного копирования и восстановления?

Резервные копии — это ваша последняя линия защиты от случайного удаления, неудачных обновлений, программ-вымогателей и отказов инфраструктуры. Если Hermes Agent хранит постоянную память, переиспользуемые навыки и данные рабочих процессов на вашем VPS, потеря этой информации может нарушить работу и потребовать значительных усилий по восстановлению. 

1. Резервное копирование конфигураций и данных Hermes 

Определите и создайте резервные копии всех компонентов, необходимых для восстановления работающего агента. 

Обычно сюда входят: 

• Тома Docker 
• Базы данных 
• Файлы окружения 
• Конфигурационные файлы Hermes 
• Данные постоянной памяти 
• Пользовательские навыки и определения рабочих процессов 

Полная резервная копия гарантирует, что вы сможете быстро восстановить Hermes без перестройки всей установки с нуля. 

2. Автоматизация зашифрованных резервных копий 

О ручном резервном копировании легко забыть. Автоматизируйте процесс, чтобы обеспечить постоянную защиту критически важных данных. 

Следуйте этим рекомендациям: 

• Запланируйте ежедневное резервное копирование 
• Шифруйте файлы резервных копий 
• Храните копии в отдельном месте 
• Сохраняйте несколько точек восстановления 

Для команд, использующих Hermes Agent VPS Hosting, автоматическое резервное копирование помогает защитить файлы памяти, журналы выполнения и длительные рабочие процессы агента, снижая операционный риск. 

3. Тестирование процесса восстановления 

Резервная копия полезна только в том случае, если её можно успешно восстановить. Регулярное тестирование помогает выявить повреждённые файлы, отсутствующие данные или неполные процедуры резервного копирования до того, как произойдёт реальный инцидент. 

Как минимум: 

• Проверяйте целостность резервных копий 
• Тестируйте восстановление базы данных 
• Убеждайтесь, что файлы окружения загружаются корректно 
• Отрабатывайте полные сценарии восстановления 

Тестирование сокращает время простоя и помогает гарантировать, что Hermes Agent работает нормально после события восстановления. 

4. Создание стратегии отката 

Обновления программного обеспечения, изменения конфигурации и новые навыки иногда могут вызывать проблемы. План отката позволяет быстро восстановить стабильную среду. 

Учитывайте: 

• Снимки VPS перед крупными изменениями 
• Версионирование образов контейнеров 
• Резервное копирование конфигураций 
• Точки восстановления базы данных 

Процедуры восстановления на основе снимков и отката контейнеров упрощают восстановление после неудачных развёртываний, сохраняя инфраструктуру агента, шлюзы сообщений и подключённые инструменты доступными. 

Как проверить, безопасен ли ваш VPS с агентом Hermes 

Защита вашего сервера — это только половина дела. Регулярное тестирование помогает убедиться, что ваша установка Hermes остаётся защищённой по мере добавления новых навыков, поставщиков моделей, платформ обмена сообщениями и рабочих процессов агента. Используйте следующие проверки как часть руководства по безопасности VPS для Hermes Agent и текущего процесса обслуживания безопасности. 

1. Проверка открытых портов 

Просмотрите все прослушивающие службы на вашем VPS и убедитесь, что открыты только необходимые порты. 

Выполните: 

ss -tulpn 

Ищите неожиданные службы, открытые порты Docker или общедоступные инструменты. Базы данных, сервисы векторных хранилищ, экземпляры MCP-сервера и внутренние контейнеры не должны быть доступны из интернета. Это особенно важно при запуске Hermes Agent, задач автоматизации браузера и шлюзов сообщений на одном сервере. 

2. Проверка защиты брандмауэра 

Ваш брандмауэр должен открывать только те службы, которые необходимы для нормальной работы. 

Убедитесь, что: 

• Разрешён HTTPS-трафик 
• Доступ по SSH ограничен 
• Внутренние службы остаются приватными 
• Неиспользуемые порты заблокированы 

Размещаете ли вы Hermes Agent на новом VPS-плане или мигрируете с домашнего сервера, проверка брандмауэра — это базовая гигиеническая процедура, которая помогает укрепить общую позицию безопасности. 

3. Тестирование усиления SSH 

SSH остаётся одной из самых распространённых целей атак на самостоятельно размещённой инфраструктуре. 

Проверьте, что: 

• Аутентификация по паролю отключена 
• Аутентификация по ключу SSH работает корректно 
• Доступ от root ограничен 
• Fail2Ban блокирует повторные попытки входа 

Правильное усиление SSH помогает защитить административный доступ, системы управления файлами, файлы окружения и другие чувствительные компоненты вашей агентской инфраструктуры. 

4. Аудит разрешений контейнеров Docker 

Регулярно проверяйте настройки контейнеров, чтобы убедиться, что службы работают с минимально необходимыми привилегиями. 

Проверьте наличие: 

• Привилегированных контейнеров 
• Необязательного root-доступа 
• Отсутствующих отброшенных возможностей 
• Файловых систем с правом записи, где достаточно режима только для чтения 

Изоляция контейнеров особенно важна, когда Hermes Agent запускает автоматизацию браузера, задачи генерации изображений, веб-поиск или интеграции с Telegram-ботом, Home Assistant и другими инструментами. 

5. Запуск базового сканирования уязвимостей 

Сканирование безопасности помогает выявить слабые места до того, как они станут эксплуатируемыми. 

Полезные инструменты включают: 

• Lynis 
• Docker Bench Security 

Регулярные сканирования могут выявить: 

• Неверные конфигурации 
• Устаревшие зависимости 
• Слабые разрешения 
• Открытые службы 

По мере роста вашей установки Hermes, включающей переиспользуемые навыки, постоянную память, процедурную память, приложения для обмена сообщениями, поставщиков моделей и пользовательские интеграции, периодические аудиты безопасности помогают уменьшить радиус взрыва потенциальных угроз и обеспечить безопасную работу ваших AI-агентных нагрузок. 

Распространённые ошибки безопасности агента Hermes, которых следует избегать 

Многие инциденты безопасности вызваны простыми ошибками конфигурации, а не сложными атаками. Избегание следующих проблем может значительно улучшить позицию безопасности вашего развёртывания Hermes Agent. 

1. Запуск контейнеров от root 

Запуск контейнера с полным root-доступом даёт атакующим больше контроля в случае компрометации службы. Это увеличивает радиус взрыва и может открыть доступ к хост-системе, чувствительным файлам и подключённым службам. 

Вместо этого: 

• Запускайте контейнеры от имени пользователей, не являющихся root 
• Применяйте принцип наименьших привилегий 
• Используйте отброшенные возможности, где это возможно 

Это особенно важно для AI-агентных нагрузок, которые взаимодействуют с инструментами автоматизации браузера, платформами обмена сообщениями и внешними API. 

2. Публичное открытие портов Docker 

Распространённая ошибка при начальной настройке — открытие портов Docker напрямую в интернет. Хотя это может упростить тестирование, это может оставить внутренние службы уязвимыми для несанкционированного доступа. 

Избегайте открытия: 

• Баз данных 
• Сервисов векторных хранилищ 
• Конечных точек MCP-сервера 
• Интерфейсов управления контейнерами 

Вместо этого используйте обратный прокси и частные сети контейнеров. Это создаёт более безопасную среду для Hermes Agent, шлюза Hermes и других вспомогательных инструментов. 

3. Хранение API-ключей в git-репозиториях 

Жёсткое кодирование API-ключей, токенов доступа или учётных данных внутри репозиториев — один из самых быстрых способов создать риск безопасности. 

Никогда не храните: 

• API-ключи 
• Учётные данные токенов GitHub 
• Значения новых токенов 
• Экспорты менеджеров паролей 
• Чувствительные данные из env-файлов 

Используйте переменные окружения, Docker Secrets или выделенный менеджер секретов для защиты учётных данных, связанных с поставщиками моделей, приложениями для обмена сообщениями и другими службами. 

4. Игнорирование обновлений безопасности VPS 

Необновлённые системы остаются одними из самых распространённых векторов атак. Задержка обновлений может сделать вашу среду VPS-хостинга уязвимой для известных уязвимостей. 

Поддерживайте в актуальном состоянии следующее: 

• Пакеты операционной системы 
• Компоненты Docker 
• Обратные прокси 
• Инструменты безопасности 
• Зависимости приложений 

Запускаете ли вы Hermes на домашнем сервере или используете Bluehost Hermes Agent VPS Hosting, регулярные обновления помогают защитить постоянную память, историю разговоров и длительные рабочие процессы агента. 

5. Использование слабых учётных данных SSH 

Слабые пароли и плохо защищённые конфигурации SSH облегчают атакующим получение административного доступа. 

Следуйте этим рекомендациям: 

• Используйте SSH-ключи вместо паролей
• Отключите вход от root
• Включите Fail2Ban
• Ограничьте доступ доверенными IP-адресами
• Регулярно обновляйте учетные данные

Надежная безопасность SSH помогает защитить вашу инфраструктуру, файлы конфигурации Hermes, многократно используемые навыки, журналы выполнения и другие критически важные компоненты, обеспечивающие безопасную работу агента.

Читайте также: Как работает память агента Hermes: архитектура, провайдеры и плагины

Контрольный список безопасности VPS агента Hermes 

Используйте этот контрольный список, чтобы убедиться, что развертывание агента Hermes соответствует основным рекомендациям по безопасности. Проверяйте эти пункты после первоначальной настройки и всякий раз, когда вносите изменения в инфраструктуру агента.

Контрольный список усиления защиты VPS 

✓ Создан непривилегированный пользователь для повседневного администрирования

✓ SSH защищен с помощью аутентификации по ключу

✓ Прямой доступ root отключен

✓ Брандмауэр включен и настроен правильно

✓ Открыты только необходимые порты

✓ Настроены автоматические обновления безопасности

✓ Fail2Ban установлен и активен

✓ Доступ администратора ограничен доверенными пользователями или IP-адресами

✓ HTTPS включен для публичных сервисов

Контрольный список безопасности Docker 

✓ Агент Hermes запущен в контейнерах от непривилегированного пользователя

✓ Разрешения контейнера минимизированы

✓ Ненужные возможности отключены

✓ Настроены частные сети контейнеров

✓ Внутренние сервисы не открыты для публичного доступа

✓ Файлы окружения защищены

✓ Образы Docker регулярно обновляются

✓ Ключи API и секреты хранятся вне кода приложения

✓ Настроены ограничения ресурсов контейнера

Контрольный список мониторинга и восстановления 

✓ Мониторинг использования CPU, RAM и диска

✓ Централизованы журналы SSH, Docker и обратного прокси

✓ Настроены оповещения о неудачных попытках входа

✓ Включены уведомления о высоком использовании ресурсов

✓ Регулярно выполняются сканирования уязвимостей

✓ Резервное копирование успешно протестировано

✓ Созданы резервные копии файлов окружения и постоянной памяти

✓ Документирован процесс восстановления

✓ Доступны процедуры создания снимков и отката

✓ Проведены проверки безопасности после серьезных изменений конфигурации Hermes

Выполнение этих проверок помогает защитить ключи API, историю разговоров, многократно используемые навыки, шлюзы обмена сообщениями и другие критически важные компоненты, поддерживающие долгосрочные рабочие нагрузки агента Hermes.

Заключение 

Запуск агента Hermes в производственной среде требует большего, чем успешная настройка. По мере роста рабочих процессов агента и добавления новых навыков, провайдеров моделей и платформ обмена сообщениями безопасность должна оставаться приоритетом. Надежная безопасность достигается многоуровневой защитой, включая усиление защиты VPS, изоляцию контейнеров, контроль доступа, управление секретами и непрерывный мониторинг.

В Bluehost мы разработали хостинг VPS для агента Hermes, чтобы поддерживать долгосрочные рабочие нагрузки AI-агентов с выделенными ресурсами, полным доступом root, постоянной средой выполнения и изолированной средой. Это дает командам гибкость в обеспечении безопасности собственной инфраструктуры, сохраняя при этом контроль над постоянной памятью, журналами выполнения и конфигурациями агента.

Безопасность — это непрерывный процесс. Регулярные обновления, сканирование уязвимостей, резервное копирование и аудиты помогают поддерживать надежную работу Hermes, снижая риски в вашей AI-инфраструктуре.

Часто задаваемые вопросы