Если вы только что арендовали виртуальный сервер у AdminVPS и выбрали образ Debian 11, перед вами чистая и пустая система. Это как пустой дом: стены есть, а вот замки, двери и электрика пока не подключены. Чтобы сервер был не только готов к работе, но и защищён от внешних угроз, его нужно правильно настроить с самого начала.
В этом пошаговом руководстве показано, как правильно подготовить сервер на Debian 11 к работе сразу после установки системы. Мы разберём, как подключиться к VPS, создать отдельную учётную запись с административными правами, настроить файрвол для защиты от несанкционированного доступа и включить безопасную авторизацию по SSH-ключам вместо обычного пароля. Все действия займут не более 15–20 минут и подойдут даже тем, кто только начинает знакомство с Linux.
Подключение к серверу по SSH
Как только вы получите доступ к новому VPS, в панели управления появятся ключевые данные для подключения: IP-адрес машины и пароль к системной учётной записи root. Root-пользователь в Linux — это главный администратор, которому разрешено абсолютно всё: установка программ, редактирование конфигурационных файлов, управление сервисами, создание и удаление других пользователей. Он способен выполнять любые команды без подтверждений и ограничений, что делает его крайне мощным, но при этом потенциально опасным инструментом.
Например, одна ошибочно введённая команда вроде rm -rf / от имени root может полностью уничтожить содержимое сервера. Именно поэтому постоянная работа под root считается плохой практикой — как в плане безопасности, так и в плане устойчивости системы к ошибкам.
Чтобы снизить риски, принято создавать отдельную учётную запись с ограниченными правами, которую можно использовать для повседневной работы. При необходимости получения расширенного доступа такие пользователи используют команду sudo, временно исполняя задачи от имени администратора. Это позволяет сохранить гибкость управления системой и при этом избежать случайных или вредоносных действий с серьёзными последствиями.
Для подключения к серверу откройте терминал на своей машине или используйте SSH-клиент, такой как PuTTY, если вы работаете в Windows. Затем выполните следующую команду:
ssh root@IP_АДРЕС_ВАШЕГО_СЕРВЕРАВместо IP_АДРЕС_ВАШЕГО_СЕРВЕРА подставьте фактический IP, указанный в панели управления.
При первом подключении система предупредит, что сервер не распознан. Это нормально — просто введите yes, чтобы подтвердить подключение и сохранить его в список доверенных, после чего введите запрошенный пароль.
Мы не рекомендуем постоянно работать под root. Этот пользователь обладает полным контролем над системой и может выполнять любые команды без ограничений — в том числе те, которые при неосторожном использовании способны привести к серьёзным сбоям или полной потере данных. Даже случайная ошибка может обернуться критической проблемой. Поэтому для повседневной работы безопаснее использовать отдельную учётную запись с ограниченными правами, а административные действия выполнять только при необходимости — с помощью команды sudo. Такой подход снижает риск ошибок и делает систему более защищённой от внешних угроз.
Добавление отдельного пользователя с доступом к административным командам
Сразу после первого входа в систему под root стоит создать отдельную учётную запись, через которую вы будете работать в дальнейшем. Это один из стандартных шагов при настройке Linux-сервера, который помогает минимизировать риски. Работа от имени ограниченного пользователя снижает вероятность случайного выполнения опасных команд и уменьшает ущерб в случае взлома. При этом, если добавить такого пользователя в группу sudo, он сможет выполнять административные действия при необходимости — но уже осознанно и с дополнительным уровнем контроля. Такой подход делает повседневную работу безопаснее и надёжнее.
Выполните команду:
adduser имя_пользователяСистема попросит ввести пароль для нового пользователя и предложит заполнить необязательные поля. Можно просто нажимать Enter.
Теперь установим sudo, если он не установлен, и дадим пользователю административные полномочия:
apt update
apt install sudo
usermod -aG sudo имя_пользователяТеперь можно выйти из-под root и подключиться как обычный пользователь:
ssh имя_пользователя@IP_АДРЕС_ВАШЕГО_СЕРВЕРАПроверим, что всё работает, запустив команду с sudo:
sudo apt install htopЕсли система попросит ввести пароль и выполнит команду, значит всё настроено правильно.
Настройка автоматических обновлений
После того как вы создали нового пользователя и настроили sudo, имеет смысл сразу включить автоматическую установку обновлений безопасности. Это поможет держать систему в актуальном состоянии без необходимости постоянно вручную проверять наличие новых пакетов. Особенно это важно, если вы не планируете каждый день заходить на сервер и следить за обновлениями вручную.
Для начала установите пакет, отвечающий за автоматические обновления:
sudo apt install unattended-upgradesПосле установки он уже готов к работе, но желательно проверить, что включены именно те обновления, которые вам нужны. Откройте файл настроек:
sudo nano /etc/apt/apt.conf.d/50unattended-upgradesВнутри файла вы увидите список источников, из которых система будет автоматически ставить обновления. Оставьте включённой только строку, содержащую Security. Остальные можно закомментировать, чтобы избежать неожиданных обновлений нестабильных пакетов.
Чтобы включить автозапуск обновлений, отредактируйте другой файл:
sudo nano /etc/apt/apt.conf.d/20auto-upgradesУбедитесь, что в нём есть такие две строки:
APT::Periodic::Update-Package-Lists "1";
APT::Periodic::Unattended-Upgrade "1";Цифра 1 означает, что операция будет выполняться ежедневно. Если вместо неё стоит 0 — автообновление отключено.
Теперь всё готово. Система будет автоматически проверять наличие обновлений и устанавливать их, если они касаются безопасности. Если вы захотите проверить, как прошёл запуск, можно посмотреть лог:
cat /var/log/unattended-upgrades/unattended-upgrades.logВ нём будет указано, какие пакеты были обновлены и когда это произошло.
Такой механизм обновлений помогает не забыть про важные патчи, особенно если сервер работает долго без перезапусков. Это небольшая настройка, но она играет важную роль в общей безопасности и стабильности системы.
Настройка брандмауэра UFW
Как только вы создали нового пользователя, следующим шагом будет настройка сетевой безопасности. По умолчанию в Debian файрвол не активирован, поэтому сервер остаётся открытым для любых входящих подключений. Чтобы защитить систему от несанкционированного доступа, рекомендуется установить и включить простой в использовании инструмент — UFW (Uncomplicated Firewall). Эта утилита позволяет быстро задать базовые правила фильтрации трафика: разрешить доступ только по нужным портам, ограничить подключения по IP-адресам и контролировать сетевую активность. Настройка UFW занимает всего пару минут, но значительно повышает уровень безопасности VPS.
Установите UFW:
sudo apt install ufwНе забудьте заранее открыть доступ по SSH, иначе после активации файрвола вы можете случайно заблокировать себе подключение к серверу.
sudo ufw allow OpenSSHАктивируйте файрвол:
sudo ufw enableПроверьте текущий статус:
sudo ufw status verboseС этого момента сервер станет отклонять все входящие соединения, за исключением SSH-доступа.
Если вы хотите усилить защиту, можно разрешить подключение по SSH только с определённого IP-адреса:
sudo ufw allow from 192.168.1.10 to any port 22А если нужно открыть доступ для всей локальной или корпоративной сети — используйте подсеть:
sudo ufw allow from 192.168.1.0/24Подключение к серверу по SSH-ключу
Доступ к серверу по паролю хоть и распространён, но далеко не самый безопасный вариант. Даже сложный пароль можно перехватить в сети, подобрать с помощью автоматических ботов или случайно утечь при утечке с другого сервиса. Особенно это становится уязвимым, если сервер доступен по SSH из любого места в Интернете — в этом случае он может регулярно попадать под автоматические попытки взлома.
Надёжнее всего использовать SSH-ключи — криптографический способ входа, при котором вместо ввода пароля используется пара файлов. Приватный ключ остаётся только у вас, на локальном устройстве, и не передаётся никуда. Публичный ключ размещается один раз на сервере, в специальной директории пользователя. После этого система будет принимать подключения только от тех клиентов, у кого есть соответствующий приватный ключ. Такой способ практически исключает возможность несанкционированного доступа, если вы держите ключ в безопасности.
Например, даже если злоумышленник знает ваш логин, IP-адрес и открыт порт SSH — без приватного ключа он не сможет пройти проверку. А если отключить возможность входа по паролю полностью, шанс взлома через SSH становится практически нулевым. Именно поэтому подключение по ключам — это стандартная практика во всех серьёзных проектах, будь то простой блог, интернет-магазин или масштабная серверная инфраструктура.
На своей рабочей машине выполните команду:
ssh-keygenНа всех шагах генерации ключа можно просто нажимать Enter — система предложит стандартные пути и параметры, которые подходят в большинстве случаев. Ключи будут сохранены в директории .ssh в вашем домашнем каталоге: приватный — в файле id_rsa, публичный — в id_rsa.pub.
Далее нужно передать содержимое публичного ключа на сервер. Скопируйте текст из файла id_rsa.pub и добавьте его в файл authorized_keys в домашней папке пользователя, под которым вы планируете подключаться. После этого можно войти на сервер уже без ввода пароля:
ssh имя_пользователя@IP_АДРЕС_ВАШЕГО_СЕРВЕРАСоздайте директорию и файл:
mkdir -p ~/.ssh
chmod 700 ~/.ssh
nano ~/.ssh/authorized_keysВставьте в этот файл текст из id_rsa.pub, сохраните изменения и установите корректные права доступа:
chmod 600 ~/.ssh/authorized_keysТеперь можно проверить, что всё работает как нужно: выйдите из сессии и подключитесь к серверу заново с тем же пользователем. Если ключ установлен правильно, система впустит вас сразу, без запроса пароля. Это будет означать, что авторизация по SSH-ключу настроена корректно.
Если вы убедились, что вход с помощью ключа работает, можно повысить уровень безопасности и отключить возможность входа по паролю вовсе. Для этого откройте файл конфигурации SSH-сервера, в котором задаются параметры подключения:
sudo nano /etc/ssh/sshd_configНайдите строку:
#PasswordAuthentication yesУберите решётку и замените yes на no:
PasswordAuthentication noСохраните файл и перезапустите службу SSH:
sudo systemctl restart sshОграничение удалённого доступа под root через SSH
После того как вы настроили авторизацию по ключу и создали отдельного пользователя с правами администратора, стоит сделать ещё один шаг для повышения безопасности — запретить подключение по SSH от имени root. Это не критично, но весьма желательно: злоумышленники в первую очередь пытаются атаковать именно root-доступ, так как он даёт полный контроль над системой.
Даже если вы используете ключи и сложные пароли, открытая возможность входа под root остаётся уязвимостью. Отключение такого входа не повлияет на работу сервера, если у вас уже есть пользователь с sudo-доступом. Всё, что требует административных прав, вы сможете выполнять через sudo, а root при этом будет полностью недоступен извне. Такой приём особенно эффективен в паре с отключением входа по паролю — вместе они почти полностью исключают возможность несанкционированного доступа через SSH.
По сути, вы просто говорите серверу: больше не принимать подключения, где пользователь root пытается войти через SSH. Даже если кто-то будет стучаться — сервер будет молчать.
Чтобы отключить такой вход, откройте файл настройки SSH:
sudo nano /etc/ssh/sshd_configНайдите строку, которая выглядит как PermitRootLogin yes или PermitRootLogin prohibit-password. Она может быть закомментирована символом решётки. Нужно либо раскомментировать её, либо заменить значение на no:
PermitRootLogin noЭто скажет системе вообще не разрешать подключение по SSH под root. Сохраните изменения и перезапустите службу SSH, чтобы они вступили в силу:
sudo systemctl restart sshВажно
Прежде чем отключать root-доступ, убедитесь, что у вас есть рабочий пользователь с правами sudo и доступом к серверу.
Перед тем как отключить возможность подключения под root, обязательно проверьте, что у вас уже есть рабочий пользователь с доступом к серверу и правами sudo. Это важно: если запретить вход для root до того, как настроен альтернативный способ подключения, вы можете полностью потерять контроль над сервером. Убедитесь, что вы успешно заходите под новым пользователем и можете выполнять команды с sudo — только после этого переходите к запрету root-доступа. Это поможет избежать ситуации, когда единственный канал управления оказывается отрезан.
Теперь при попытке подключиться к серверу как root вы получите отказ. Работать вы будете от имени обычного пользователя, а всё, что требует повышенных прав, можно запускать через sudo. Так система будет оставаться под защитой, даже если кто-то попытается атаковать её по SSH.
Настройка завершена.
Заключение
Вы выполнили базовую настройку VPS на Debian 11. Теперь у вас:
- отключён вход по паролю,
- пользователь с правами sudo,
- защищённый SSH-доступ,
- настроен брандмауэр.
Если вы только планируете арендовать VPS, обратите внимание на хостинг AdminVPS. Это удобный и надёжный сервис для аренды виртуальных серверов под Debian 11. Процесс заказа занимает всего пару минут, а сервер будет готов к использованию сразу после активации. Вы можете выбрать оптимальную локацию для своей аудитории или проекта.
На этом этапе базовая конфигурация сервера завершена. Он надёжно защищён от несанкционированного доступа, вход с использованием пароля отключён, а управление осуществляется через отдельную учётную запись с повышенными правами, что обеспечивает как удобство, так и безопасность.
Теперь можно переходить к следующей фазе — установке нужных компонентов и настройке окружения под конкретные цели. В зависимости от ваших задач это может быть установка веб-сервера (например, Nginx или Apache), развёртывание базы данных (MySQL, PostgreSQL и др.), настройка среды для разработки (Python, PHP, Node.js) или размещение сайтов и приложений.
Сервер готов к тому, чтобы выполнять любую роль — от простого хостинга лендинга или блога до автоматизации внутренних процессов компании, запуска облачного хранилища, аналитической платформы или даже собственного VPN. Всё зависит от того, какую задачу вы перед ним ставите.
Аренда VPS/VDS от ₽449/месяц
✓ Тарифные планы VPS под любые потребности.
✓ Безлимитный трафик на всех тарифах.
✓ Дата-центры в Германии, Нидерландах и других локациях.
Наши технические специалисты помогут вам определиться с конфигурацией и настроят ваш VPN-сервер под ключ, если это будет необходимо.
Читайте в блоге:
- Как установить Python на VPS: 3 способа
- Как установить Joomla на VPS: от простого хостинга до полного контроля
- Как включить и настроить удалённый доступ к серверу
