Базовая защита инфраструктуры

Безопасность

На стенде реализованы SSH hardening, UFW, Fail2Ban, HTTPS, security headers, запрет служебных файлов и минимизация публичных портов.

SSH hardening

Root login отключен, парольный вход отключен, доступ ограничен ключами и пользователем ron.

PermitRootLogin no
PasswordAuthentication no
KbdInteractiveAuthentication no
PubkeyAuthentication yes
MaxAuthTries 3
ClientAliveInterval 300
ClientAliveCountMax 2
X11Forwarding no
AllowAgentForwarding no
AllowUsers ron

UFW

Firewall ограничивает входящий трафик только необходимыми сервисами.

  • web0122, 80, 443
  • mon0122, 80, 443
  • mon01:10051только от 138.124.24.130

Fail2Ban

Fail2Ban снижает риск перебора SSH-доступа на публичных серверах и дополняет ограничения firewall.

HTTPS

Публичные домены обслуживаются через Nginx и HTTPS Let’s Encrypt.

Security headers

Web-контур использует заголовки безопасности и не раскрывает служебные файлы сайта.

Ограничения web-контура

КонтрольНазначениеСтатус
Запрет служебных файловНе отдавать скрытые и внутренние файлы через webOK
Минимизация портовОставить наружу только необходимые SSH, HTTP и HTTPSOK
HTTPSШифрование публичного web-доступаOK
Health endpointПростая проверка доступности без раскрытия деталейOK