БЕЗОПАСНОСТЬ

Защита VPS для ИИ-агентов (UFW + Tailscale + SSH)

чтение · 6 мин

ИИ-агент часто хранит API-ключи и касается твоего кода и данных, поэтому сервер, на котором он работает, должен быть надёжно закрыт. Эти пять шагов превращают свежий VPS в усиленный хост без публичной поверхности атаки сверх той, что ты выбрал сам.

Шаги

01

Усиль SSH

Отключи вход по паролю и под root — используй только SSH-ключи. Это одно убирает подавляющее большинство автоматических атак.

$ sudo sed -i 's/^#\?PasswordAuthentication.*/PasswordAuthentication no/' /etc/ssh/sshd_config
$ sudo sed -i 's/^#\?PermitRootLogin.*/PermitRootLogin no/' /etc/ssh/sshd_config
$ sudo sshd -t && sudo systemctl reload ssh
02

Установи Tailscale для приватного доступа

Помести сервер в свою приватную сеть Tailscale, чтобы добираться до него, не открывая SSH в публичный интернет.

$ curl -fsSL https://tailscale.com/install.sh | sh
$ sudo tailscale up
03

Фаервол default-deny с UFW

Блокируй весь входящий трафик по умолчанию и разрешай SSH только через интерфейс Tailscale.

$ sudo ufw default deny incoming
$ sudo ufw default allow outgoing
$ sudo ufw allow in on tailscale0 to any port 22 proto tcp
$ sudo ufw enable
04

Добавь fail2ban

fail2ban следит за логами и банит IP, которые сканируют твой сервер, добавляя второй слой за фаерволом.

$ sudo apt-get install -y fail2ban
$ sudo systemctl enable --now fail2ban
05

Автоматические обновления безопасности

Держи систему пропатченной без ручной работы, включив unattended-upgrades.

$ sudo apt-get install -y unattended-upgrades
$ sudo dpkg-reconfigure --priority=low unattended-upgrades

Частые вопросы

Зачем направлять SSH через Tailscale, а не открывать порт 22? +

Закрытый порт нельзя сбрутфорсить. Когда UFW запрещает публичный SSH, а Tailscale даёт приватный доступ, твоя плоскость управления невидима для интернета.

Должны ли ИИ-агенты работать под root? +

Нет. Создай для агентов отдельного пользователя без root и дай ему только нужные права, чтобы скомпрометированный агент не смог захватить весь сервер.

Нужен ли fail2ban за фаерволом? +

Это защита в глубину. Если ты когда-нибудь откроешь сервис публично (веб-приложение, API), fail2ban ограничит злоупотребление им.

Связанные гайды

Начни на прочном фундаменте

VPS с полным root-доступом, чтобы усилить его именно так, как ты хочешь.

Посмотреть тарифы VPS →