Самый опасный VPS — тот, который “временно подняли на тест”. Именно он чаще всего остаётся без учёта, без обновлений и без понимания, кто вообще туда имеет доступ.
Сначала доступ и журналирование
Первая неделя hardening почти всегда должна начинаться не с экзотических настроек, а с SSH, пользователей, аудита логинов и базовых алертов. Это даёт быстрый выигрыш и не усложняет поддержку.
- Отключите лишние способы входа и оставьте ровно те, которые команда готова сопровождать.
- Разведите root и рабочие учётные записи.
- Соберите минимальный лог входов и неудачных попыток.
Сокращаем поверхность атаки
Прокси-узлу редко нужен широкий набор открытых портов и пакетов. Чем меньше сервисов и зависимостей, тем ниже шанс неожиданного бокового входа.
Готовим узел к инциденту заранее
Хороший hardening заканчивается не красивым конфигом, а ответом на вопрос: что мы делаем, если узел признан недоверенным? Снимок, ротация ключей и быстрый rebuild должны быть продуманы заранее.
Короткий чек-лист
- SSH-политика зафиксирована и проверена.
- Лишние порты и пакеты удалены.
- Есть план rebuild и ротации доступов при инциденте.
Небольшой, хорошо описанный VPS обычно безопаснее сложной машины, которую никто не успевает понимать целиком.