Защита VPS для ИИ-агентов (UFW + Tailscale + SSH)
чтение · 6 мин
ИИ-агент часто хранит API-ключи и касается твоего кода и данных, поэтому сервер, на котором он работает, должен быть надёжно закрыт. Эти пять шагов превращают свежий VPS в усиленный хост без публичной поверхности атаки сверх той, что ты выбрал сам.
Шаги
Усиль SSH
Отключи вход по паролю и под root — используй только SSH-ключи. Это одно убирает подавляющее большинство автоматических атак.
$ sudo sed -i 's/^#\?PasswordAuthentication.*/PasswordAuthentication no/' /etc/ssh/sshd_config
$ sudo sed -i 's/^#\?PermitRootLogin.*/PermitRootLogin no/' /etc/ssh/sshd_config
$ sudo sshd -t && sudo systemctl reload ssh Установи Tailscale для приватного доступа
Помести сервер в свою приватную сеть Tailscale, чтобы добираться до него, не открывая SSH в публичный интернет.
$ curl -fsSL https://tailscale.com/install.sh | sh
$ sudo tailscale up Фаервол default-deny с UFW
Блокируй весь входящий трафик по умолчанию и разрешай SSH только через интерфейс Tailscale.
$ sudo ufw default deny incoming
$ sudo ufw default allow outgoing
$ sudo ufw allow in on tailscale0 to any port 22 proto tcp
$ sudo ufw enable Добавь fail2ban
fail2ban следит за логами и банит IP, которые сканируют твой сервер, добавляя второй слой за фаерволом.
$ sudo apt-get install -y fail2ban
$ sudo systemctl enable --now fail2ban Автоматические обновления безопасности
Держи систему пропатченной без ручной работы, включив unattended-upgrades.
$ sudo apt-get install -y unattended-upgrades
$ sudo dpkg-reconfigure --priority=low unattended-upgrades Частые вопросы
Зачем направлять SSH через Tailscale, а не открывать порт 22? +
Закрытый порт нельзя сбрутфорсить. Когда UFW запрещает публичный SSH, а Tailscale даёт приватный доступ, твоя плоскость управления невидима для интернета.
Должны ли ИИ-агенты работать под root? +
Нет. Создай для агентов отдельного пользователя без root и дай ему только нужные права, чтобы скомпрометированный агент не смог захватить весь сервер.
Нужен ли fail2ban за фаерволом? +
Это защита в глубину. Если ты когда-нибудь откроешь сервис публично (веб-приложение, API), fail2ban ограничит злоупотребление им.
Связанные гайды
Начни на прочном фундаменте
VPS с полным root-доступом, чтобы усилить его именно так, как ты хочешь.
Посмотреть тарифы VPS →