VPS turvamine AI-agentidele (UFW + Tailscale + SSH)
lugemisaeg · 6 min
AI-agent kasutab sageli API-võtmeid ning pääseb ligi sinu koodile ja andmetele, seega peab selle server olema maksimaalselt turvatud. Need viis sammu aitavad muuta tavalise VPS-i tugevdatud turvalisusega serveriks, minimeerides avalikku rünnakupinda.
Sammud
Tugevda SSH
Keela parooliga ja root-iga sisselogimine — kasuta ainult SSH-võtmeid. See üksi eemaldab valdava enamiku automaatsetest rünnakutest.
$ sudo sed -i 's/^#\?PasswordAuthentication.*/PasswordAuthentication no/' /etc/ssh/sshd_config
$ sudo sed -i 's/^#\?PermitRootLogin.*/PermitRootLogin no/' /etc/ssh/sshd_config
$ sudo sshd -t && sudo systemctl reload ssh Paigalda Tailscale privaatseks ligipääsuks
Pane server oma privaatsesse Tailscale-võrku, et jõuaksid selleni ilma SSH-d avalikku internetti paljastamata.
$ curl -fsSL https://tailscale.com/install.sh | sh
$ sudo tailscale up Vaikimisi keelav tulemüür (UFW)
Blokeeri kogu sissetulev liiklus vaikimisi ja luba SSH ainult üle Tailscale-liidese.
$ sudo ufw default deny incoming
$ sudo ufw default allow outgoing
$ sudo ufw allow in on tailscale0 to any port 22 proto tcp
$ sudo ufw enable Lisa fail2ban
fail2ban jälgib logisid ja blokeerib IP-aadressid, mis üritavad sinu serverit rünnata, lisades täiendava kaitsekihi.
$ sudo apt-get install -y fail2ban
$ sudo systemctl enable --now fail2ban Automaatsed turvauuendused
Hoia süsteem automaatselt uuendatud, lubades unattended-upgrades teenuse.
$ sudo apt-get install -y unattended-upgrades
$ sudo dpkg-reconfigure --priority=low unattended-upgrades Korduvad küsimused
Miks suunata SSH Tailscale kaudu, mitte avada port 22? +
Suletud porti ei saa brute-force’ida. Kui UFW keelab avaliku SSH ja Tailscale annab privaatse ligipääsu, on su haldustasand internetile nähtamatu.
Kas AI-agendid peaksid jooksma root-ina? +
Ei. Loo agentidele eraldi mitte-root kasutaja ja anna sellele ainult vajalikud õigused, et kompromiteeritud agent ei saaks kogu serverit üle võtta.
Kas fail2ban on tulemüüri taga ikka vajalik? +
See on süvakaitse põhimõte. Kui jätad mõne teenuse (nt veebirakenduse või API) avalikuks, aitab fail2ban piirata selle väärkasutust.
Seotud juhendid
Alusta kindlal alusel
VPS täieliku root-ligipääsuga, et saaksid selle karastada täpselt nii nagu tahad.
Vaata VPS pakette →