Безопасность SSH: как защитить сервер с помощью ключей, Fail2ban и Port Knocking

Безопасность SSH: как защитить сервер с помощью ключей, Fail2ban и Port Knocking апр, 23 2026

Представьте, что ваш сервер в интернете - это дом. Стандартный порт SSH (22) - это парадная дверь, которую каждый день пытаются выбить тысячи автоматических ботов. Если вы оставили вход по обычному паролю, то это всё равно что закрыть дверь на простой замок, ключ от которого можно подобрать простым перебором. Рано или поздно кто-то зайдет. Чтобы ваш сервер не стал частью ботнета или площадкой для майнинга крипты, нужна многоуровневая защита. Мы разберем три этапа: от базовой гигиены с ключами до «невидимости» с помощью порт-нокаутинга.

Отказ от паролей: переходим на SSH-ключи

Первое и самое важное правило: пароли - это плохо. Даже сложный пароль можно перебрать или украсть через фишинг. Гораздо надежнее использовать SSH-ключи криптографические пары (публичный и приватный ключи), которые позволяют аутентифицировать пользователя без передачи пароля по сети .

Работает это просто: вы создаете пару ключей на своем компьютере. Публичный ключ (public key) копируете на сервер в файл ~/.ssh/authorized_keys, а приватный (private key) храните у себя в секрете. Теперь, когда вы подключаетесь, сервер просит ваш клиент доказать, что у него есть приватный ключ. Подобрать такую комбинацию перебором практически невозможно.

После того как вы убедились, что доступ по ключу работает, обязательно отключите авторизацию по паролю в файле /etc/ssh/sshd_config, установив параметр PasswordAuthentication no. Теперь любой бот, пытающийся угадать ваш пароль, получит мгновенный отказ, даже не имея возможности попробовать.

Fail2ban: автоматический вышибала для вашего сервера

Даже если вы закрыли вход по паролю, боты продолжат «стучаться» в ваш порт. Это создает лишний шум в логах и потребляет ресурсы. Здесь на сцену выходит Fail2ban инструмент для защиты от брутфорс-атак, который анализирует логи системы и временно блокирует IP-адреса злоумышленников через файрвол .

Fail2ban работает как внимательный охранник. Он постоянно читает файлы логов (например, /var/log/auth.log в Ubuntu) и ищет там повторяющиеся записи о неудачных попытках входа. Если один и тот же IP-адрес ошибся пять раз за десять минут, Fail2ban дает команду файрволу заблокировать этот адрес.

Настройка происходит в файле /etc/fail2ban/jail.conf (или в локальном jail.local). Вы можете гибко настроить параметры защиты под свои нужды:

  • bantime - на сколько блокируется нарушитель (от 10 минут до нескольких дней).
  • findtime - окно времени, за которое должны произойти неудачные попытки.
  • maxretry - сколько попыток разрешено до бана.
  • ignoreip - список ваших доверенных IP, которые никогда не будут заблокированы (чтобы случайно не выкинуть самого себя).

Важно понимать, что Fail2ban умеет работать с разными «движками» блокировки. Если вы используете UFW Uncomplicated Firewall, упрощенная надстройка над iptables для управления правилами сети в Ubuntu , в настройках action нужно указать соответствующий модуль ufw, иначе блокировка просто не сработает.

Сравнение методов базовой защиты SSH
Метод Что делает Сложность настройки Эффективность
Смена порта (с 22 на другой) Убирает 90% примитивных ботов Низкая Средняя
SSH-ключи Исключает перебор паролей Средняя Высокая
Fail2ban Активно блокирует атакующих Средняя Высокая
Робот-охранник блокирует красные потоки данных перед сервером

Port Knocking: делаем сервер «невидимкой»

Если вы хотите максимальной приватности, стоит попробовать Port Knocking метод скрытия портов, при котором порт SSH остается закрытым для всех, пока клиент не отправит специальную последовательность пакетов на определенные порты .

Представьте, что вы подходите к закрытой двери без ручки. Чтобы она открылась, вы должны постучать: один раз в дверь, два раза в окно и один раз в стену. Только после этой «секретной комбинации» дверь SSH на короткое время откроется специально для вашего IP-адреса. Для всех остальных сервер будет выглядеть так, будто на нем вообще нет открытых портов.

Сегодня для реализации этой схемы отлично подходит nftables современная подсистема фильтрации пакетов в ядре Linux, пришедшая на смену iptables . Она позволяет создавать сложные правила, которые отслеживают входящие пакеты и динамически открывают доступ к SSH. Это на порядок надежнее, чем просто смена порта на 2222 или 49152, потому что сканеры портов просто не увидят активную службу.

Секретный портал открывается после стука по темной стене

Комплексный подход: собираем всё вместе

Ни один инструмент не дает 100% гарантии, но их комбинация создает почти непреодолимый барьер. Идеальная схема защиты безопасности ssh выглядит так:

  1. Авторизация только по RSA или Ed25519 ключам. Пароли полностью отключены.
  2. Использование UFW для закрытия всех лишних портов, кроме необходимых для работы приложений.
  3. Установка Fail2ban для автоматического отсечения тех, кто всё же нашел открытый порт и пытается его атаковать.
  4. Настройка Port Knocking через nftables, чтобы скрыть сам факт наличия SSH-сервиса от внешнего мира.
  5. Изоляция сервисов. Если ваше приложение работает в Docker платформа для разработки, доставки и запуска приложений в изолированных контейнерах , это создает дополнительный слой безопасности, отделяя среду исполнения от основной системы.

Такой подход превращает ваш сервер из «легкой добычи» в «крепкий орешек». Злоумышленнику придется сначала узнать вашу секретную последовательность стуков, затем попытаться взломать криптографический ключ, и всё это время бороться с автоматическими блокировками Fail2ban. В 99.9% случаев атакующий просто уйдет искать более легкую цель.

Не заблокирую ли я самого себя с помощью Fail2ban?

Да, такая вероятность есть, если вы несколько раз ошибетесь с паролем или ключом. Чтобы этого избежать, обязательно добавьте свой домашний или рабочий IP-адрес в параметр ignoreip в файле конфигурации jail.conf. Также рекомендуется иметь доступ к серверу через консоль управления в панели вашего хостинга (Lish, VNC), чтобы сбросить бан вручную.

Нужно ли менять стандартный порт 22, если я использую ключи?

Это не обязательно, но полезно. Смена порта не защищает от целевой атаки, но убирает огромное количество шума в логах, так как большинство ботов сканируют только 22-й порт. Если вы используете Port Knocking, смена порта вообще теряет смысл, так как порт закрыт для всех.

Какой тип ключа лучше выбрать: RSA или Ed25519?

На сегодняшний день Ed25519 считается более современным, быстрым и безопасным выбором. Он обеспечивает более высокий уровень криптостойкости при гораздо меньшей длине ключа по сравнению с RSA. Если ваш SSH-клиент и сервер поддерживают этот стандарт, используйте его.

Как проверить, какие IP сейчас заблокированы Fail2ban?

Самый простой способ - проверить правила файрвола. Если вы используете iptables, введите команду iptables -L -n. Вы увидите цепочки с названием f2b-sshd, где перечислены все заблокированные адреса. Также можно использовать команду fail2ban-client status sshd для просмотра статистики по конкретной «тюрьме».

Что делать, если Port Knocking работает нестабильно?

Проверьте, не теряются ли UDP/TCP пакеты по дороге. Некоторые провайдеры или промежуточные файрволы могут фильтровать «странные» последовательности пакетов. Также убедитесь, что тайм-аут открытия порта достаточно велик, чтобы вы успели инициировать SSH-соединение после «стука».

Что делать дальше: чек-лист по настройке

Если вы только начинаете защищать свой сервер, двигайтесь по этому списку постепенно. Не пытайтесь внедрить всё сразу, чтобы не потерять доступ к машине.

  • Генерируйте ключ Ed25519 на локальном ПК и скопируйте его через ssh-copy-id.
  • Проверьте вход по ключу в новом окне терминала, НЕ закрывая текущую сессию.
  • Отключите PasswordAuthentication в sshd_config и перезапустите SSH.
  • Установите Fail2ban и настройте ignoreip для своего адреса.
  • Настройте UFW, разрешив только SSH и порты ваших веб-сервисов (80, 443).
  • Для продвинутых: изучите документацию по nftables и настройте скрытый вход.
Теги: