Защита сервера: чек-лист из 40 пунктов для системного администратора

Меня зовут Семёнов Евгений Сергеевич, директор АйТи Фреш. 15+ лет я занимаюсь серверной инфраструктурой и последние годы часто принимаю серверы, которые «уже настроены». Каждый раз одна и та же картина: что-то сделано, чего-то нет, дыры размером с автобус. Я разработал внутренний чек-лист из 40 пунктов, который прохожу при приёмке и периодическом аудите любого сервера. Делюсь им целиком — с пояснениями и командами.

Раздел 1: сеть и файрвол

1. Закрыт доступ по SSH отовсюду, кроме VPN и белых IP. Публичный 22-й порт — приглашение для брутфорса.
2. На периметре работает stateful firewall. iptables/nftables или Windows Defender Firewall в режиме block-all-inbound.
3. Включён fail2ban или аналог. 5 неудачных логинов = бан на 24 часа.
4. Отключены IPv6, если не используется. Часто админы закрывают IPv4, забывая про v6.
5. Нет открытых портов RDP, SMB, MySQL, PostgreSQL наружу. Всё через VPN.
6. Rate limiting на публичные сервисы. nginx limit_req, HAProxy rate, Cloudflare.
7. Port knocking или 2FA на SSH. Дополнительный уровень для критичных серверов.

# Быстрый аудит открытых портов
ss -tuln
nmap -sS -p 1-65535 localhost

# Проверка fail2ban
fail2ban-client status
fail2ban-client status sshd

Раздел 2: учётные записи и доступ

8. SSH только по ключам, пароль отключён. PasswordAuthentication no.
9. root через SSH запрещён. PermitRootLogin no.
10. Отключены неиспользуемые системные учётки. usermod -L for unused.
11. Ведётся журнал всех sudo-команд. /etc/sudoers Defaults logfile.
12. У каждого сотрудника IT свой именной аккаунт. Не "admin" на всех.
13. 2FA на админские VPN-входы. TOTP, аппаратный ключ.
14. Парольная политика: минимум 14 символов, сложность, срок.
15. Раз в квартал — аудит активных учёток и вывод уволенных.

Раздел 3: обновления и патчи

16. Включены автоматические security-обновления. unattended-upgrades на Debian/Ubuntu, dnf-automatic на Rocky.
17. Ядро обновлено. uname -a, сравнить с последним в репозитории.
18. Приложения (nginx, apache, php, mysql) — не EOL.
19. Окно обслуживания раз в неделю с планом отката.
20. Критические CVE закрываются в течение 72 часов.

# Аудит уязвимостей
apt list --upgradable
debsecan --suite bookworm --format detail
# или RHEL
dnf updateinfo list security

Раздел 4: логирование и мониторинг

21. Журналы уходят на централизованный syslog/Graylog. Злоумышленник не сотрёт.
22. Ротация логов настроена, диск не забивается. logrotate в /etc/logrotate.d/.
23. Аудит безопасности включён. auditd на Linux, Advanced Audit Policy на Windows.
24. Мониторинг Zabbix/Prometheus покрывает CPU, RAM, диск, сеть, сервисы.
25. Алерты идут в Telegram/email админам 24/7.
26. AIDE/Tripwire контролирует целостность критичных файлов.

# Настройка AIDE
apt install -y aide
aide --init
mv /var/lib/aide/aide.db.new /var/lib/aide/aide.db
# Раз в сутки через cron
aide --check

Раздел 5: антивирус и защита от вредоносного кода

27. ClamAV на файловых серверах и почтовиках с ежедневным обновлением баз.
28. rkhunter или chkrootkit раз в неделю.
29. Ограничение запуска из /tmp, /home (noexec для Linux).
30. SELinux или AppArmor в enforcing mode для критичных сервисов.
31. ModSecurity/CRS перед публичным веб-сервером.

Раздел 6: бэкапы и восстановление

32. Ежедневный бэкап критичных данных. restic, borg, Veeam.
33. Бэкап на отдельной площадке. S3, NAS в другом офисе, дата-центр.
34. Шифрование бэкапов AES-256 с сохранением ключа отдельно.
35. Retention-политика: ежедневные 14 дней, еженедельные 8, ежемесячные 12.
36. Ежемесячный тестовый restore. Непроверенный бэкап — это надежда.

Раздел 7: документация и процессы

37. Инвентаризация железа и ПО в едином реестре. Snipe-IT, GLPI, Excel.
38. Runbook для типовых инцидентов. Что делать, если упал/взломан/заблокирован.
39. Пароли в защищённом хранилище. Bitwarden, KeePass, Vaultwarden.
40. Ежеквартальный аудит защиты с прохождением всего чек-листа.

Реальный кейс: приёмка сервера у нового клиента

В октябре 2025 нас пригласили после увольнения их штатного админа. Один основной сервер на Ubuntu 20.04, всё сидит на нём: веб-сайт, почта, 1С-база, файловая шара. Мы прогнали чек-лист — 40 пунктов, 11 провалов:

• SSH на 22-м порту открыт наружу, fail2ban не настроен.
• Пароль root на SSH не отключён.
• Ubuntu 20.04 вышла из стандартной поддержки — 2 года без security-патчей.
• Бэкапы на соседний диск того же сервера, шифрования нет.
• Логи только локальные, без централизации.
• Мониторинг — только SMS от провайдера о недоступности.
• В /tmp можно исполнять — злоумышленник грузит малварь.
• MySQL слушает 0.0.0.0 вместо 127.0.0.1.

За 3 рабочих дня всё привели в порядок. Сервер перенесли на новый Dell PowerEdge R650 (Xeon Platinum 8280, 128 ГБ RAM, 40G Mellanox) в дата-центр МТС. Поставили Debian 12, Samba, ClamAV, fail2ban, AIDE, Graylog, restic+S3. Стоимость проекта — 260 000 ₽. Через неделю наша Zabbix засекла попытки сканирования — атакующие обнаружили, что легкой добычи больше нет.

Приоритеты: что делать в первую очередь

FAQ — частые вопросы о защите сервера

С чего начинать защиту?

Закрыть лишние порты, включить firewall, SSH по ключам, fail2ban, auto-updates.

Нужен ли антивирус на Linux?

На файловых — обязательно (ClamAV). На веб/БД — IDS + rkhunter + AIDE.

Как часто обновлять?

Security — 24-72ч. Обычные — раз в неделю. Ядро — раз в квартал.

Какие порты открывать наружу?

443, 25/587/993. SSH/RDP/БД — только через VPN.

Достаточно ли одного бэкапа?

Нет, правило 3-2-1 + тестовый restore.