✅ Good
Безпека¶
Безпека — це не опція, а вимога. В контексті UMTC помилка в безпеці може коштувати життя. Кожен сервер, кожен канал зв'язку, кожен акаунт має бути захищений.
Безпека — це процес, не стан
Ви не можете "налаштувати безпеку" один раз і забути. Постійний моніторинг, оновлення, аудит — це частина роботи.
Принципи безпеки UMTC¶
flowchart TB
subgraph principles["Три принципи"]
P1["Principle of Least Privilege<br/>Мінімум необхідних прав"]
P2["Defense in Depth<br/>Багаторівневий захист"]
P3["Zero Trust<br/>Не довіряй, перевіряй"]
end
subgraph practice["На практиці"]
PR1["Окремий користувач для кожного сервісу"]
PR2["Firewall + VPN + шифрування"]
PR3["Аутентифікація на кожному рівні"]
end
P1 --> PR1
P2 --> PR2
P3 --> PR3
style principles fill:#fee2e2
style practice fill:#d1fae5Матеріали розділу¶
| Стаття | Опис | Пріоритет |
|---|---|---|
| Hardening | Захист Linux серверів: SSH, users, updates | Критичний |
| Firewall Linux | iptables, nftables, UFW — що обрати | Критичний |
| TLS/SSL | HTTPS, сертифікати, як працює шифрування | Важливий |
| Криптографія | Симетричне, асиметричне, хеші | Для розуміння |
Чеклист безпеки сервера¶
Перед введенням сервера в експлуатацію:
Обов'язково¶
- [ ] SSH тільки по ключам (вимкнути password auth)
- [ ] Firewall: дозволено тільки потрібні порти
- [ ] Автоматичні security updates увімкнені
- [ ] Non-root користувач для роботи
- [ ] fail2ban або аналог для захисту від brute-force
Рекомендовано¶
- [ ] Моніторинг та alerting налаштовані
- [ ] Регулярні бекапи (перевірені!)
- [ ] Всі з'єднання через WireGuard VPN
- [ ] Логи зберігаються централізовано
- [ ] Disk encryption (LUKS) для чутливих даних
Для production¶
- [ ] Intrusion detection (AIDE, OSSEC)
- [ ] Security audit пройдений
- [ ] Документація актуальна
- [ ] Процедура incident response визначена
Швидкі команди¶
# Перевірити відкриті порти
ss -tulpn
# Перевірити SSH конфіг
grep -E "^(PasswordAuthentication|PermitRootLogin)" /etc/ssh/sshd_config
# Перевірити firewall (nftables)
nft list ruleset
# Останні невдалі логіни
lastb | head -20
# Активні з'єднання
netstat -an | grep ESTABLISHED
Типові помилки¶
| Помилка | Наслідки | Рішення |
|---|---|---|
| Password auth для SSH | Brute-force атаки | Тільки ключі |
| Відкритий порт 22 в інтернет | Постійні атаки | VPN або port knocking |
| Root login дозволений | Компрометація всього | Окремий user + sudo |
| Немає firewall | Все відкрито | nftables/UFW |
| Старі пакети | Відомі вразливості | Автооновлення |
Перший крок
Якщо у вас вже є сервер — пройдіть [Hardening](hardening) гайд зараз. Це найважливіше, що ви можете зробити для безпеки.
Пов'язані теми¶
- SSH ключі — налаштування аутентифікації
- WireGuard VPN — захист каналів зв'язку
- MikroTik Firewall — захист на рівні мережі
- VPS налаштування — базовий hardening
Шлях: security/index.md