Первый VPS за 30 минут: SSH, sudo, firewall и fail2ban без лишней теории

Первый Linux VPS чаще всего берут для обучения: попробовать SSH, поставить сайт, поднять Docker, настроить бота, панель управления, тестовый проект или личный сервер. Главная ошибка новичка — сразу устанавливать приложения на голый сервер и не настроить базовую защиту.

Эта инструкция поможет подготовить первый VPS на Ubuntu или Debian: подключиться по SSH, создать отдельного пользователя, включить sudo, настроить SSH-ключи, открыть firewall, установить fail2ban и проверить, что вы не потеряли доступ к серверу.

Материал рассчитан на человека, который впервые заказал VPS и хочет безопасно начать работу без лишней теории. Команды подходят для Ubuntu 22.04, Ubuntu 24.04 и Debian 12. На других Linux-дистрибутивах логика будет такой же, но названия пакетов и сервисов могут отличаться.

Что нужно перед началом

• IP-адрес VPS.
• Root-пароль или SSH-ключ, выданный после заказа сервера.
• Терминал на компьютере: Terminal на macOS/Linux или PowerShell/Windows Terminal на Windows.
• 10-30 минут без спешки, чтобы не заблокировать себе доступ из-за ошибки.

Если вы только учитесь, не нужен дорогой сервер. Для первых задач обычно достаточно VPS с 1-2 vCPU, 1-2 GB RAM и SSD/NVMe-диском. Если планируете ставить Docker, панель управления, несколько сайтов или базы данных, лучше брать VPS с запасом по RAM.

Шаг 1. Подключитесь к VPS по SSH

Откройте терминал на своем компьютере и выполните команду:

ssh root@SERVER_IP

Замените SERVER_IP на IP-адрес вашего VPS.

При первом подключении SSH может спросить, доверяете ли вы серверу. Это нормально. Введите:

yes

После входа обновите список пакетов и установите обновления:

apt update && apt upgrade -y

Это простой, но важный шаг. Даже на новом VPS в образе системы могут быть пакеты, для которых уже вышли обновления безопасности.

Шаг 2. Создайте обычного пользователя

Постоянно работать под root — плохая привычка. Root может без дополнительных предупреждений удалить системные файлы, сломать права, перезаписать конфиг или открыть лишний сервис наружу. Правильнее создать обычного пользователя и дать ему права sudo.

Создайте пользователя. В примере используется имя admin:

adduser admin

Добавьте пользователя в группу sudo:

usermod -aG sudo admin

Проверьте, что sudo работает:

su - admin

sudo whoami

Если команда вернула:

root

значит пользователь настроен правильно.

Шаг 3. Настройте SSH-ключ

SSH-ключ безопаснее обычного пароля. Пароль можно подобрать, украсть, случайно сохранить в истории или сделать слишком простым. SSH-ключ сложнее атаковать перебором, особенно если затем отключить парольный вход.

На своем компьютере проверьте, есть ли уже SSH-ключ:

ls ~/.ssh/id_ed25519.pub

Если файл найден, можно использовать существующий ключ. Если ключа нет, создайте новый:

ssh-keygen -t ed25519 -C "first-vps"

Скопируйте ключ на сервер для пользователя admin:

ssh-copy-id admin@SERVER_IP

Если команда ssh-copy-id недоступна, можно добавить ключ вручную. На своем компьютере покажите публичный ключ:

cat ~/.ssh/id_ed25519.pub

Скопируйте всю строку, которая начинается с ssh-ed25519.

На сервере под root выполните:

mkdir -p /home/admin/.ssh

nano /home/admin/.ssh/authorized_keys

Вставьте публичный ключ одной строкой, сохраните файл и задайте правильные права:

chown -R admin:admin /home/admin/.ssh

chmod 700 /home/admin/.ssh

chmod 600 /home/admin/.ssh/authorized_keys

Теперь откройте новое окно терминала и проверьте вход под новым пользователем:

ssh admin@SERVER_IP

Важно: не закрывайте старую root-сессию, пока не убедитесь, что новый пользователь точно входит по SSH.

Шаг 4. Отключите root-вход и парольную авторизацию

Это нужно делать только после проверки SSH-ключа. Нельзя сначала отключить парольный вход, а потом проверять ключ. Так новички часто сами блокируют себе доступ к VPS.

Откройте конфиг SSH:

sudo nano /etc/ssh/sshd_config

Найдите или добавьте параметры:

PermitRootLogin no

PasswordAuthentication no

PubkeyAuthentication yes

Перед перезапуском SSH проверьте синтаксис конфига:

sudo sshd -t

Если команда ничего не вывела, ошибок в конфиге нет.

Перезапустите SSH:

sudo systemctl restart ssh

Если система пишет, что сервиса ssh нет, попробуйте:

sudo systemctl restart sshd

После этого снова откройте новое окно терминала и проверьте вход:

ssh admin@SERVER_IP

Если вход работает, старую root-сессию можно закрывать.

Нужно ли менять SSH-порт с 22 на другой?

Менять SSH-порт необязательно. Это уменьшает количество мусорных попыток входа в логах, но не заменяет SSH-ключи, отключение пароля, firewall и fail2ban.

Если вы новичок, сначала оставьте порт 22. Настройте ключи, sudo, firewall и fail2ban. Когда поймете, как работает SSH, можно перенести SSH на другой порт.

Если вы меняете порт, сначала разрешите новый порт в firewall, затем проверьте вход по новому порту и только потом закрывайте старый доступ. Иначе можно заблокировать себе управление сервером.

Шаг 5. Включите firewall через UFW

Firewall нужен, чтобы VPS не принимал входящие подключения ко всем сервисам подряд. Для первого сервера на Ubuntu или Debian проще всего использовать UFW.

Установите UFW:

sudo apt install -y ufw

Разрешите SSH:

sudo ufw allow OpenSSH

Если вы используете нестандартный SSH-порт, например 2222, разрешите его явно:

sudo ufw allow 2222/tcp

Включите firewall:

sudo ufw enable

Проверьте статус:

sudo ufw status verbose

Для учебного VPS не открывайте порты “на всякий случай”. Открывайте только то, что реально используете. Например, если позже поставите сайт, откройте HTTP и HTTPS:

sudo ufw allow 80/tcp

sudo ufw allow 443/tcp

Шаг 6. Установите fail2ban

Fail2ban следит за неудачными попытками входа и временно блокирует IP-адреса, которые слишком часто ошибаются. Это не заменяет SSH-ключи, но хорошо снижает количество brute-force попыток по SSH.

Установите fail2ban:

sudo apt install -y fail2ban

Создайте локальный конфиг:

sudo nano /etc/fail2ban/jail.local

Добавьте базовую конфигурацию:

[DEFAULT]

bantime = 1h

findtime = 10m

maxretry = 5

[sshd]

enabled = true

port = ssh

Если SSH работает на нестандартном порту, например 2222, замените строку:

port = ssh

на:

port = 2222

Перезапустите fail2ban:

sudo systemctl enable --now fail2ban

sudo systemctl restart fail2ban

Проверьте статус защиты SSH:

sudo fail2ban-client status sshd

Если jail sshd активен, fail2ban работает.

Шаг 7. Проверьте, какие порты слушает сервер

После базовой настройки полезно посмотреть, какие сервисы слушают сеть:

sudo ss -tulpn

На свежем VPS обычно должен быть SSH. Если вы еще ничего не устанавливали, но видите много открытых портов, нужно разобраться, какие процессы их используют.

Проверить firewall можно так:

sudo ufw status numbered

Если случайно открыли лишний порт, его можно удалить по номеру правила:

sudo ufw delete RULE_NUMBER

Сначала посмотрите номер через sudo ufw status numbered, затем удаляйте. Не удаляйте правило SSH, пока не уверены, что у вас есть другой рабочий способ входа.

Шаг 8. Включите автоматические обновления безопасности

Для учебного сервера это не обязательно, но полезно. Многие взломы происходят не из-за сложных атак, а из-за старых пакетов и забытых сервисов.

Установите пакет:

sudo apt install -y unattended-upgrades

Включите автоматические обновления:

sudo dpkg-reconfigure unattended-upgrades

Выберите Yes.

Проверить статус можно так:

systemctl status unattended-upgrades

Шаг 9. Проверьте, что сервер готов к работе

Минимальная проверка после настройки:

• Вы можете войти по SSH под обычным пользователем.
• Пользователь имеет sudo-доступ.
• Root-вход по SSH отключен.
• Парольный вход по SSH отключен.
• Firewall включен.
• SSH разрешен в firewall.
• Fail2ban установлен и защищает sshd.
• Лишние порты не открыты.
• Система обновлена.

Команды для проверки:

whoami

sudo whoami

sudo systemctl status ssh

sudo ufw status verbose

sudo fail2ban-client status sshd

sudo ss -tulpn

Частые ошибки новичков

Ошибка 1. Закрыть root-доступ до проверки нового пользователя.

Так можно потерять доступ к VPS. Всегда сначала проверьте вход в новой SSH-сессии под новым пользователем, а уже потом отключайте root и парольную авторизацию.

Ошибка 2. Включить firewall до разрешения SSH.

Если сначала включить firewall, а потом вспомнить про SSH, сервер может перестать принимать подключение. Сначала выполните sudo ufw allow OpenSSH, затем sudo ufw enable.

Ошибка 3. Открывать все порты подряд.

Команды вроде sudo ufw allow 1:65535/tcp уничтожают смысл firewall. Открывайте только нужные порты.

Ошибка 4. Ставить панель управления до базовой защиты.

Панель управления, Docker, база данных или веб-сервер не должны быть первым действием на новом VPS. Сначала SSH, пользователь, firewall, обновления и fail2ban.

Ошибка 5. Держать простой пароль.

Если парольный вход включен, простой пароль быстро станет проблемой. Лучше использовать SSH-ключи и отключить парольную авторизацию.

Что делать, если потеряли доступ к VPS

Если после настройки SSH или firewall вы не можете зайти на сервер, не паникуйте. Обычно проблема решается через VNC/KVM/Rescue Mode в панели управления хостингом.

Проверьте такие варианты:

• Войти через VNC-консоль из панели управления VPS.
• Использовать Rescue Mode, если он доступен.
• Проверить, не изменили ли вы SSH-порт.
• Проверить, не заблокировал ли ваш IP fail2ban.
• Проверить правила UFW.

Если есть доступ через консоль, можно временно отключить UFW:

sudo ufw disable

Проверить SSH-конфиг:

sudo sshd -t

Посмотреть логи SSH:

sudo journalctl -u ssh --no-pager -n 100

или:

sudo journalctl -u sshd --no-pager -n 100

Если fail2ban заблокировал ваш IP, посмотрите статус:

sudo fail2ban-client status sshd

Разблокировать IP можно так:

sudo fail2ban-client set sshd unbanip YOUR_IP

Что можно делать после базовой настройки

Когда VPS защищен на базовом уровне, можно переходить к задачам:

• Установить nginx или Apache.
• Подключить домен.
• Выпустить SSL-сертификат.
• Поставить Docker и Docker Compose.
• Развернуть тестовый сайт.
• Настроить базу данных.
• Поставить панель управления, если она действительно нужна.
• Настроить резервные копии.

Не ставьте все сразу. Для обучения лучше идти по шагам: сначала SSH и безопасность, потом веб-сервер, потом домен и SSL, потом Docker или база данных.

Какой VPS выбрать для первого Linux-сервера

Для обучения важнее не максимальная мощность, а стабильность, нормальный диск и понятная панель управления. Первый VPS должен быстро выдаваться, иметь root-доступ, чистый Linux-образ и возможность переустановки системы, если вы ошиблись.

Минимальный вариант для обучения:

• 1 vCPU.
• 1 GB RAM.
• 20-30 GB SSD/NVMe.
• 1 IPv4.
• Ubuntu или Debian.

Более комфортный вариант:

• 2 vCPU.
• 2-4 GB RAM.
• 40+ GB SSD/NVMe.
• 1 IPv4.
• Возможность быстро переустановить ОС.

Если вы хотите не просто учиться, а держать сайты, ботов, Docker-контейнеры или тестовые проекты, лучше сразу брать VPS с запасом по памяти. Экономия на минимальном тарифе часто заканчивается тем, что сервер начинает тормозить уже после установки нескольких сервисов.

Почему VPS удобен для обучения Linux

VPS дает почти такой же опыт, как реальный сервер: у вас есть root-доступ, публичный IP, SSH, firewall, системные сервисы, логи и полная ответственность за настройки. Это лучше локальной виртуальной машины, если вы хотите понять, как Linux-сервер работает в интернете.

На первом VPS можно безопасно научиться базовым вещам: подключаться по SSH, работать с пользователями, читать логи, настраивать firewall, устанавливать пакеты, запускать сервисы и понимать, почему сервер может быть недоступен.

HSTQ предоставляет VPS/VDS для обучения, тестовых проектов и рабочих задач. Если нужен первый Linux-сервер, можно начать с простого VPS, настроить SSH, firewall и fail2ban по этой инструкции, а затем постепенно переходить к сайтам, Docker, базам данных и более сложной инфраструктуре.

Если проект вырастет, VPS можно заменить на более мощный тариф или выделенный сервер. Для обучения это нормальный путь: сначала понять базовую админку на небольшом VPS, потом масштабироваться без хаоса и случайных настроек.