Вынес настройку сервера в отдельный раздел

2025-02-01 16:58:30 +03:00
parent 7db0de6eda
commit a9a446d8b7
1 changed files with 0 additions and 0 deletions
--- a/docs/servers/setup.md
+++ b/docs/servers/setup.md
@@ -0,0 +1,261 @@
+# Начальная настройка сервера
+
+## Первое подключение
+Подключаемся к серверу к `root` по паролю, который должен выдаваться вместе с VDS.
+```sh
+ssh root@<IPv4>
+```
+
+Уже в терминале сервера выполняем.
+```sh { .code-wrap }
+# Создаём пользователя и наделяем правом использовать `sudo`.
+adduser <user>
+adduser <username> sudo
+
+# Переключаемся на нового пользователя
+su - <user>
+
+# Все файлы, созданные пользователем, по умолчанию будут иметь права 600, а директории - 700.
+echo 'umask 0077' >> .bashrc
+source ~/.bashrc
+
+# Добавляем свой публичный SSH ключ (cat ~/.ssh/id_rsa.pub), чтобы подключаться к пользователю по SSH напрямую.
+mkdir .ssh
+echo "<your-id-rsa.pub>" >> .ssh/authorized_keys
+# Актуально, только если настройку umask не добавлять в .bashrc
+# chmod 700 ~/.ssh
+# chmod 600 ~/.ssh/authorized_keys
+```
+
+Теперь можно попробовать подключиться к серверу по SSH-ключу.
+```sh
+ssh <user>@<IPv4>
+```
+
+Желательно обновить все пакеты и перезагрузить сервер.
+```sh
+sudo apt update
+sudo apt upgrade
+sudo reboot
+```
+
+Можно придумать серверу имя, оно будет отображаться в терминале после `<user>@`.
+```sh
+sudo nano /etc/hostname
+sudo nano /etc/hosts
+sudo systemctl restart systemd-hostnamed
+```
+
+
+## Настройка конфига SSH
+Открываем конфиг SSH.
+```sh
+sudo nano /etc/ssh/sshd_config
+```
+
+ - `Port <ssh-port>` - можно поменять со стандартного 22 на какой-нибудь другой. Лучше больше 10000, чтобы уменьшить вероятность конфликтов с другим ПО.
+ - `PermitRootLogin no` - запрещаем авторизацию по SSH под `root`.
+ - `PasswordAuthentication no` - запрещаем авторизацию по SSH по паролю.
+
+После внесения изменений в конфиг, необходимо перезагрузить `sshd`.
+```sh
+# На некоторых системах ssh вместо sshd
+sudo systemctl reload sshd
+```
+
+??? question "А что будет, если потерять SSH-ключ?"
+
+    Хостинг предоставляет доступ к `VNC` или другие методы подключения к серверу, которые не требуют подключения по SSH. Однако в таком случае будет необходим доступ к личному кабинету хостинга.
+
+
+На своей машине добавляем сервер в конфиг SSH.
+
+```sh
+# На Windows надо будет нажать на Tab, чтобы раскрыть `~`.
+# code - VS Code
+code ~/.ssh/config 
+```
+
+```
+Host <host>
+    HostName <IPv4>
+    User <user>
+    Port <ssh-port>
+```
+
+Можно проверить, что подключение проходит без ошибок.
+```sh
+# Если конфиг настроен
+ssh <host>
+```
+```sh
+# Без конфига
+ssh <user>@<IPv4> -p <ssh-port>
+```
+
+## Настройка фаерволла c UFW
+
+
+```sh
+# Установка UFW
+sudo apt update
+sudo apt install ufw -y
+
+# Открываем порт, используемый для SSH (по умолчанию 22)
+sudo ufw allow <ssh-port>/tcp
+
+# Закрываем все входные
+sudo ufw default deny incoming
+sudo ufw default allow outgoing
+
+# Включаем фаерволл
+sudo ufw enable
+
+# Показать состояние ufw и активные правила
+sudo ufw status verbose
+```
+
+??? tip "Дополнительные команды `ufw`"
+
+    ```sh
+    # Отключить фаерволл
+    sudo ufw disable
+
+    # Удалить правило (будут применены настройки по умолчанию)
+    sudo ufw delete allow <port>/<protocol> # удалить разрешение
+    sudo ufw delete deny <port>/<protocol> # удалить запрет
+
+    # Сброс всех правил
+    sudo ufw reset
+
+    # Вывести логи ufw
+    sudo tail -f -n 100 /var/log/ufw.log
+
+    # Изменить уровень логирования
+    sudo ufw logging <low/medium/high>
+
+    # Разрешить доступ ко всем портам с определённого IP-адреса
+    sudo ufw allow from <IPv4>
+    
+    # Разрешить доступ к порту с определённого IP-адреса
+    sudo ufw allow from <IPv4> to any port <port>
+    ```
+
+    Некоторые приложения, например `OpenSSH` или `Nginx`, добавляют пресеты с правилами для `ufw`, которые точно так же можно разрешать и запрещать.
+
+    ```sh
+    # Вывести список пресетов
+    sudo ufw app list
+
+    # Открыть все соединения, которые нужны Nginx
+    sudo ufw allow "Nginx Full"
+
+    # Удалить правило для пресета
+    sudo ufw delete allow "Nginx Full"
+    ```
+
+## Настройка Fail2Ban
+
+[Fail2Ban](https://github.com/fail2ban/fail2ban) - базовая защита сервера от brute-force аттак.
+
+```sh
+sudo apt update
+sudo apt install fail2ban -y
+sudo systemctl enable fail2ban
+```
+
+Теперь нужно [правильно настроить Fail2Ban](https://github.com/fail2ban/fail2ban/wiki/Proper-fail2ban-configuration).
+
+```sh
+# Создаём файл с пользовательскими настройками
+sudo nano /etc/fail2ban/jail.local
+```
+
+Настройка защиты SSH сервера.
+```ini
+[sshd]
+# Единственный обязательный параметр
+enabled = true
+
+# Можно не указывать, если используется стандартный порт
+port = <ssh-port>
+
+# Пример настроек. Эти параметры можно не указывать, тогда будут использованы
+# значения по умолчанию.
+# Если в течении 24 часов
+findtime = 86400
+# произведено 3 неудачных попытки логина,
+maxretry = 3
+# то банить IP навсегда.
+bantime = -1
+```
+
+!!! tip "Более строгий конфиг для `fail2ban`"
+
+    Если на сервере настроена авторизация по ключу, можно смело использовать такой конфиг. 
+    
+    При авторизации по ключу, бан возможен только в случае указания неправильного имени пользователя, что исключено при использовании корректно настроенного SSH-конфига. В случае случайного бана всегда можно зайти на сервер через личный кабинет хостинга.
+
+    ```ini
+    [sshd]
+    enabled = true
+    port = <ssh-port>
+    # Если произведена хотя бы одна неудачная попытка логина,
+    maxretry = 1
+    # то банить IP навсегда.
+    bantime = -1
+    ```
+
+
+```sh
+# Применяем настройки
+sudo fail2ban-client reload
+```
+
+После установки и первоначальной настройки `fail2ban` лучше перезагрузить сервер, иначе `fail2ban` может не заработать.
+```sh
+sudo reboot
+```
+
+??? tip "Дополнительные команды `fail2ban`"
+
+    ```sh
+    # Вывести список активных jail's
+    sudo fail2ban-client status
+
+    # Вывести информацию по конкретному jail, в т. ч. список заблокированных IP
+    sudo fail2ban-client status <jail-name>
+
+    # Разблокировать IP
+    sudo fail2ban-client set <jail-name> unbanip <IP>
+    
+    # Вывести логи fail2ban
+    sudo tail -f -n 100 /var/log/fail2ban.log
+    ```
+
+## Дополнительно
+
+```sh
+# Вывести записи о неудачных попытках входа в систему
+sudo lastb | head -n 20
+
+# Очистить записи о неудачных попытках входа в систему
+sudo truncate -s 0 /var/log/btmp
+
+# Показывает, кто в системе прямо сейчас
+sudo w
+
+# Логи попыток входа
+sudo grep "Accepted password" /var/log/auth.log | tail -n 20
+sudo grep "Failed password" /var/log/auth.log | tail -n 20
+sudo grep "Invalid user" /var/log/auth.log | tail -n 20
+
+# Очистить логи с попытками входа
+sudo truncate -s 0 /var/log/auth.log
+```
+
+## Полезные ссылки
+ - [Initial Server Setup with Ubuntu 20.04](https://www.digitalocean.com/community/tutorials/initial-server-setup-with-ubuntu-20-04)
+ - [UFW Essentials: Common Firewall Rules and Commands](https://www.digitalocean.com/community/tutorials/ufw-essentials-common-firewall-rules-and-commands)
+ - [VPS cheatsheet](https://habr.com/ru/articles/756804/)
+ - [Fail2Ban](https://github.com/fail2ban/fail2ban)