Безопасность на VPS: 10 шагов к защите от взлома и DDoS

В последние годы атаки на VPS стали происходить чаще. Автоматические сканеры работают круглосуточно, перебирают пароли, ищут открытые порты и уязвимые версии софта. Если сервер хоть немного доступен извне, то его проверяют в первые же часы.

Мы составили последовательное руководство из десяти шагов, которое поможет вам обезопасить виртуальный сервер. Оно подходит владельцам интернет-магазинов, техническим менеджерам, студиям, небольшим продуктовым командам и тем, кто отвечает за инфраструктуру в малом и среднем бизнесе.

1. Перенастройте SSH: закройте очевидные точки входа

SSH-доступ — первое на что смотрит автоматический бот. По умолчанию сервер принимает подключения на 22-м порту. Это удобно, но небезопасно: большинство попыток взлома происходит именно туда.

Что помогает:

• изменить порт (например, на 2222 или 2022);

• отключить вход по паролю;

• использовать ключи SSH;

• запретить вход root-пользователю.

Практически это выглядит так: “PermitRootLogin no”, “PasswordAuthentication no”. Даже эти два параметра резко снижают риск взлома — бот не сможет подобрать пароль, а получить доступ к root напрямую не получится.

2. Ограничьте доступ по firewall

Правильная настройка файервола — основа защиты. Firewall решает, какие порты будут доступны, а какие должны быть закрыты.

На VPS чаще всего используют:

• UFW (удобен для начинающих);

• iptables/nftables (гибкость и контроль для опытных специалистов);

• firewalld (CentOS, Rocky Linux, RHEL).

Главный принцип — открыто должно быть только то, что действительно нужно. Пример для UFW: “ufw allow 2222/tcp”, 2ufw allow 80/tcp”,”ufw allow 443/tcp”,”ufw enable”. Если панель управления работает на нестандартном порту, то доступ к нему лучше ограничить IP-адресами.

3. Установите fail2ban: защита от подборов и повторных попыток

Fail2ban отслеживает неудачные попытки входа и блокирует IP-адреса. Это базовая, но очень эффективная защита от брутфорса.

Что fail2ban может защищать:

• SSH

• веб-панели (например, WordPress admin, phpMyAdmin)

• FTP/SFTP

• почтовые сервисы

• любую службу, у которой есть лог неудачных попыток
  
  

В среднем fail2ban блокирует десятки адресов в сутки. Это происходит автоматически и снижает нагрузку от ботов.

4. Поддерживайте систему в актуальном состоянии

Большинство атак происходит через известные уязвимости. Их закрывают обновлениями — но только если они установлены. Лучше включить автоматическую установку security-патчей.

Например, на Ubuntu: “apt install unattended-upgrades”, “dpkg-reconfigure unattended-upgrades”. Это не заменяет ручного контроля, но закрывает критические дыры без задержки.

5. Ограничьте доступ к панели управления сервером

Если вы используете ISPmanager, CyberPanel, Plesk, aaPanel или DirectAdmin, то мы рекомендуем

• не использовать дефолтный порт;

• включить двухфакторную аутентификацию;

• ограничить доступ по IP;

• скрыть панель за обратным прокси с авторизацией.
  
  

Нередко панели становятся целью атак, особенно если версия устарела.

6. Настройте резервные копии — локальные и внешние

Защита от взлома невозможна без резервного копирования. Бэкап — это последняя линия обороны. Если сервер зашифровали или повредили данные, восстановить можно только из копии.

Лучший набор:

• локальная копия (на отдельном диске или разделе);

• удалённая копия (облако, другой сервер);

• автоматический график (каждые сутки или чаще);

• периодическая проверка, что бэкапы действительно читаются.

Сценарий, которого лучше избегать: резервные копии лежат на том же сервере и уничтожаются вместе с ним.

7. Ограничьте доступ по sudo и используйте отдельные аккаунты

Работа под root неудобна и небезопасна. Лучше создать отдельного пользователя, дать ему права sudo и выключить прямой доступ root в SSH. Плюс вы контролируете, кто что делает, и можете отслеживать команды через историю.

8. Меньше открытых портов — меньше рисков

На многих серверах открыты порты, которые никто не использует: FTP, SMTP, MySQL, порт панели. Простой шаг — проверить список: ss -tulnp. Дальше закрыть всё лишнее.

Даже если сервис работает локально, стоит убедиться, что он не слушает интернет-интерфейс. Например, MySQL должен слушать 127.0.0.1, если доступ к БД нужен только локально.

9. Включите базовую защиту от DDoS

Полностью защититься от DDoS самостоятельно сложно. Но снизить эффект атаки можно. Вот что помогает:

• лимиты соединений через firewall

• rate limiting на уровне Nginx/Apache

• CDN (Cloudflare, Fastly, G-Core)

• отдельный защищённый IP (если провайдер предоставляет)

Типичный эффект: даже малый ботнет может положить слабый сервер, если на нём нет ограничения количества запросов. Пример простого лимита в Nginx:

limit_req_zone $binary_remote_addr zone=req:10m rate=5r/s;

limit_req zone=req burst=10; 

10. Мониторинг и уведомления — чтобы реагировать вовремя

Даже самый защищённый VPS становится уязвимым, если никто не следит за нагрузкой и логами. Минимальный набор:

• уведомления при повышенной нагрузке CPU/RAM

• уведомления при заполнении диска

• мониторинг входов по SSH

• мониторинг ошибок веб-сервера

• контроль изменений конфигурации (AIDE, tripwire)

Если что-то пошло не так — важно узнать об этом раньше взломщика. Практичный вариант — простые уведомления в Telegram или Slack. Это недорого и эффективно.

Защита VPS в 2025 году

Защита VPS в 2025 году — это не вопрос одной настройки и не попытка «поставить волшебный модуль», который спасёт от всех угроз. Реальная безопасность строится иначе: через последовательность небольших технических решений, каждое из которых снижает риск определённой категории атак. Эта стратегия работает надёжнее любых разовых действий, потому что закрывает именно те точки, которыми злоумышленники пользуются чаще всего.

Дополнительные меры — контроль доступа к панели, резервное копирование, мониторинг и базовая защита от DDoS — создают вторую линию обороны. Она важна, когда сервер обслуживает коммерческие проекты: интернет-магазины, корпоративные сайты, CRM, системы бронирования, инфраструктуру агентств. Если проект связан с деньгами, клиентскими данными или работает 24/7, ущерб от простоя обычно превышает расходы на грамотную настройку безопасности.

Большинство взломов VPS происходит не из-за уникальных “0-day уязвимостей”, а из-за простых вещей: слабые пароли, открытые порты, отсутствие обновлений, доступные панели, отсутствие резервных копий. Именно поэтому базовый набор мер — изменение порта SSH, отключение входа по паролю, настройка firewall, fail2ban, регулярные обновления — устраняет большую часть вероятных рисков. Эти действия не требуют глубоких системных знаний, но дают ощутимый практический эффект, который можно измерить прямо в логах сервера.