TURVALISUS

VPS turvamine AI-agentidele (UFW + Tailscale + SSH)

lugemisaeg · 6 min

AI-agent kasutab sageli API-võtmeid ning pääseb ligi sinu koodile ja andmetele, seega peab selle server olema maksimaalselt turvatud. Need viis sammu aitavad muuta tavalise VPS-i tugevdatud turvalisusega serveriks, minimeerides avalikku rünnakupinda.

Sammud

01

Tugevda SSH

Keela parooliga ja root-iga sisselogimine — kasuta ainult SSH-võtmeid. See üksi eemaldab valdava enamiku automaatsetest rünnakutest.

$ sudo sed -i 's/^#\?PasswordAuthentication.*/PasswordAuthentication no/' /etc/ssh/sshd_config
$ sudo sed -i 's/^#\?PermitRootLogin.*/PermitRootLogin no/' /etc/ssh/sshd_config
$ sudo sshd -t && sudo systemctl reload ssh
02

Paigalda Tailscale privaatseks ligipääsuks

Pane server oma privaatsesse Tailscale-võrku, et jõuaksid selleni ilma SSH-d avalikku internetti paljastamata.

$ curl -fsSL https://tailscale.com/install.sh | sh
$ sudo tailscale up
03

Vaikimisi keelav tulemüür (UFW)

Blokeeri kogu sissetulev liiklus vaikimisi ja luba SSH ainult üle Tailscale-liidese.

$ sudo ufw default deny incoming
$ sudo ufw default allow outgoing
$ sudo ufw allow in on tailscale0 to any port 22 proto tcp
$ sudo ufw enable
04

Lisa fail2ban

fail2ban jälgib logisid ja blokeerib IP-aadressid, mis üritavad sinu serverit rünnata, lisades täiendava kaitsekihi.

$ sudo apt-get install -y fail2ban
$ sudo systemctl enable --now fail2ban
05

Automaatsed turvauuendused

Hoia süsteem automaatselt uuendatud, lubades unattended-upgrades teenuse.

$ sudo apt-get install -y unattended-upgrades
$ sudo dpkg-reconfigure --priority=low unattended-upgrades

Korduvad küsimused

Miks suunata SSH Tailscale kaudu, mitte avada port 22? +

Suletud porti ei saa brute-force’ida. Kui UFW keelab avaliku SSH ja Tailscale annab privaatse ligipääsu, on su haldustasand internetile nähtamatu.

Kas AI-agendid peaksid jooksma root-ina? +

Ei. Loo agentidele eraldi mitte-root kasutaja ja anna sellele ainult vajalikud õigused, et kompromiteeritud agent ei saaks kogu serverit üle võtta.

Kas fail2ban on tulemüüri taga ikka vajalik? +

See on süvakaitse põhimõte. Kui jätad mõne teenuse (nt veebirakenduse või API) avalikuks, aitab fail2ban piirata selle väärkasutust.

Seotud juhendid

Alusta kindlal alusel

VPS täieliku root-ligipääsuga, et saaksid selle karastada täpselt nii nagu tahad.

Vaata VPS pakette →