Когда VPS начинает приносить реальный доход, он сразу попадает в зону риска. В 2026 году атаки стали точечными и массовыми: ботнеты сканируют порты каждые минуты, DDoS обходит базовые фильтры, а эксплойты используют уязвимости за часы. Для белорусских компаний это особенно актуально — локальные факторы только усиливают интерес.
Мы защищаем десятки серверов и видим одну картину: 90 % взломов происходят из-за трёх вещей — открытый SSH с паролем, отсутствие firewall и игнор обновлений. Ниже — проверенная система, которую мы ставим на каждый VPS. Всё работает на практике, без лишней теории и за час настройки.
SSH и доступ: закрываем главный вход
По умолчанию SSH на 22 порту с root и паролем — это приглашение. Меняйте сразу:
sudo nano /etc/ssh/sshd_config
Внесите: Port 2222 PermitRootLogin no PasswordAuthentication no PubkeyAuthentication yes AllowUsers youruser
Сохраните и перезапустите: sudo systemctl restart sshd
Генерируйте ключ: ssh-keygen -t ed25519 -C «vps-belarus-2026»
Скопируйте: ssh-copy-id -p 2222 youruser@ваш_ip
Удалите старые записи из known_hosts на локальной машине. Теперь brute-force бесполезен.
Из наблюдений: после смены порта и отключения паролей количество попыток входа падает в 40–50 раз. Добавьте Fail2Ban — и остальное добьёт.
Firewall, Fail2Ban и автоматические обновления
Без правил любой открытый порт — мишень. На Ubuntu/Debian:
sudo apt install ufw fail2ban unattended-upgrades
Настройте UFW: sudo ufw default deny incoming sudo ufw default allow outgoing sudo ufw allow 2222/tcp sudo ufw allow 80/tcp sudo ufw allow 443/tcp sudo ufw enable
Для Docker добавьте отдельные правила позже.
Fail2Ban: sudo nano /etc/fail2ban/jail.local
[sshd] enabled = true port = 2222 maxretry = 4 bantime = 1d
Перезапустите: sudo systemctl restart fail2ban
Автообновления: sudo dpkg-reconfigure unattended-upgrades
Система сама ставит security-патчи ночью. Это закрывает 80 % векторов атак за один раз.
DDoS-защита, мониторинг и реакция
Базовая защита провайдера (Hetzner, OVH, Contabo) держит L3/L4-флуд, но для веб и API нужен следующий уровень.
Подключите Cloudflare: перенесите DNS, включите proxy. В nginx добавьте: real_ip_header CF-Connecting-IP; limit_req_zone $binary_remote_addr zone=api:10m rate=10r/s;
В location /api { limit_req zone=api burst=20; }
Rate-limiting спасает от Layer 7.
Мониторинг — Netdata одной командой: bash <(curl -Ss https://get.netdata.cloud/kickstart.sh)
Доступ по порту 19999. Добавьте Telegram-алерты через простой скрипт или Zabbix. Еженедельно запускайте: sudo rkhunter —check
Если атака началась — сразу: sudo ufw deny outgoing Делаете snapshot у провайдера и восстанавливаете из чистого бэкапа.
Для белорусских проектов это критично: пики атак часто совпадают с новостными событиями. Такая схема даёт время на реакцию без паники.
Выводы
Безопасность VPS в 2026 — это не сложная наука, а пять шагов, которые занимают час. Настройте SSH-ключи, UFW, Fail2Ban, Cloudflare и Netdata — и 95 % угроз исчезнут сами. Мы используем эту систему на всех серверах и не теряем ни одного проекта даже под агрессивными атаками. Сделайте это сегодня — завтра может быть поздно.
