Первоначальная настройка безопасности Ubuntu после установки

После установки любой редакции Ubuntu — 20.04 LTS, 24.04 или более ранних версий — необходимо провести базовые защитные мероприятия. Эти шаги не привязаны к конкретной сборке системы, но их игнорирование значительно повышает риск компрометации сервера на ранних стадиях использования.

Обновление системы

Первым делом обновите все установленные пакеты. Это устраняет известные уязвимости в ядре, системных библиотеках и приложениях.

Выполните стандартное обновление:

sudo apt update && sudo apt upgrade -y

Для более глубокой очистки используйте full-upgrade, который удаляет устаревшие зависимости:

sudo apt full-upgrade -y

Настройте автоматическое применение обновлений безопасности:

sudo apt install unattended-upgrades
sudo dpkg-reconfigure --priority=low unattended-upgrades

Создание пользователя с правами sudo

Никогда не работайте от имени root. Создайте отдельного пользователя и наделите его административными правами.

Создайте учётную запись:

sudo adduser username

Добавьте её в группу sudo:

sudo usermod -aG sudo username

Проверьте корректность настройки:

su - username
sudo whoami  # результат должен быть root

Настройка SSH

SSH остаётся основным способом удалённого управления сервером, поэтому его конфигурацию нужно усилить.

Установка и базовая защита

Если SSH-сервер ещё не установлен:

sudo apt install openssh-server -y

Запретите вход от имени root, отредактировав конфигурационный файл:

sudo nano /etc/ssh/sshd_config

Найдите строку PermitRootLogin и измените её на:

PermitRootLogin no

Примените изменения:

sudo systemctl restart ssh

Переход на аутентификацию по ключам

Генерация ключей выполняется на вашей локальной машине:

ssh-keygen -t ed25519 -C "user@local"

Перенесите публичный ключ на сервер:

ssh-copy-id username@server_ip

Запретите парольную аутентификацию, добавив в /etc/ssh/sshd_config:

PasswordAuthentication no
PubkeyAuthentication yes
ChallengeResponseAuthentication no

Примените изменения и перезапустите SSH:

sudo systemctl restart ssh

Смена стандартного порта (опционально)

Для снижения количества автоматических атак можно изменить стандартный порт 22:

sudo nano /etc/ssh/sshd_config

Замените строку:

Port 2222

Не забудьте открыть новый порт в брандмауэре после внесения изменений.

Настройка брандмауэра UFW

UFW упрощает управление входящим и исходящим трафиком.

Установите и включите UFW:

sudo apt install ufw -y
sudo ufw enable

Разрешите только необходимые соединения. Для SSH:

sudo ufw allow OpenSSH

Если порт SSH изменён, укажите его явно:

sudo ufw allow 2222/tcp

Для веб-сервера добавьте правила HTTP/HTTPS:

sudo ufw allow 80/tcp
sudo ufw allow 443/tcp

Запретите все остальные входящие подключения:

sudo ufw default deny incoming
sudo ufw default allow outgoing

Проверьте текущие правила:

sudo ufw status verbose

Установка Fail2Ban

Fail2Ban блокирует попытки подбора паролей и другие атаки на SSH и другие сервисы.

Установите пакет:

sudo apt install fail2ban -y

Активируйте и настройте автоматический запуск:

sudo systemctl start fail2ban
sudo systemctl enable fail2ban

Проверьте статус:

sudo fail2ban-client status

Настройка временной зоны

Убедитесь, что временная зона соответствует географическому расположению сервера:

sudo timedatectl set-timezone Europe/Moscow

Проверьте текущую зону:

timedatectl

Установка дополнительных утилит (по желанию)

Для удобства работы установите часто используемые инструменты:

sudo apt install htop net-tools mc -y

• htop — мониторинг процессов;
• net-tools — работа с сетевыми интерфейсами (ifconfig);
• mc — файловый менеджер.

Очистка системы

Удалите устаревшие пакеты и очистите кэш:

sudo apt autoremove -y
sudo apt clean

Дополнительные меры (по желанию)

Для повышения уровня безопасности можно включить двухфакторную аутентификацию:

sudo apt install libpam-google-authenticator -y
google-authenticator

В продвинутых сценариях вместо UFW можно настроить правила напрямую в iptables.