{{data:image/svg+xml;base64,PHN2ZyB4bWxucz0iaHR0cDovL3d3dy53My5vcmcvMjAwMC9zdmciIHdpZHRoPSIyNCIgaGVpZ2h0PSIyNCIgdmlld2JveD0iMCAwIDI0IDI0IiBmaWxsPSJub25lIiBzdHJva2U9ImN1cnJlbnRDb2xvciIgc3Ryb2tlLXdpZHRoPSIyIiBzdHJva2UtbGluZWNhcD0icm91bmQiIHN0cm9rZS1saW5lam9pbj0icm91bmQiIHN0eWxlPSJjb2xvcjogdmFyKC0tYWNjZW50KSI+PHBhdGggZD0iTTEyIDJMMiA3bDEwIDUgMTAtNS0xMC01ek0yIDE3bDEwIDUgMTAtNU0yIDEybDEwIDUgMTAtNSI+PC9wYXRoPjwvc3ZnPg==}} LinuxMaster Лучшие практики сисадмина

ALT Linux SSH Безопасность

Опубликовано: 15 мая 2026 • Время чтения: 5 мин

ALT Linux является отличным и надежным выбором для серверной инфраструктуры. В этой статье мы рассмотрим абсолютно типовую, шаблонную настройку системы: от добавления локальных пользователей с нужными правами до конфигурирования службы SSH для обеспечения максимальной безопасности. Данный мануал подойдет для любых узлов — будь то обычные серверы приложений или сетевые маршрутизаторы на базе ALT Linux.

В первую очередь необходимо убедиться, что у нас установлена утилита sudo, которая позволяет выполнять команды от имени суперпользователя без необходимости постоянно использовать аккаунт root.

bash

apt-get update && apt-get install -y sudoers

Для повышения безопасности настоятельно не рекомендуется работать напрямую под пользователем root. Давайте создадим стандартную учетную запись для удаленного доступа. Вы можете повторять этот процесс для создания любого количества дополнительных администраторов (например, для администратора сети). Создать пользователя можно обычной командой, либо с указанием конкретного идентификатора (UID), добавив ключ -u ваш_номер_группы:

bash

# Обычное создание пользователя:
adduser имя_пользователя

# Либо с указанием конкретного UID:
adduser имя_пользователя -u ваш_номер_группы

Теперь установим пароль для нового пользователя. Используйте надежные пароли (например, P@ssword и сложнее):

bash

passwd имя_пользователя

Многие утилиты в Linux (например, команда su) программно требуют, чтобы пользователь состоял в системной группе wheel. Добавим нашего пользователя в эту группу (используем ключи -a для добавления и -G для указания группы):

bash

usermod -aG wheel имя_пользователя

Зачастую для служебных аккаунтов или при использовании систем автоматизации (Ansible и т.д.) требуется дать возможность использовать sudo без ввода пароля. Сделаем это, создав отдельный файл в директории sudoers.d (формат записи: кто с_какой_машины=(от_имени_кого:от_имени_какой_группы) какие_команды):

bash

echo "имя_пользователя ALL=(ALL:ALL) NOPASSWD: ALL" > /etc/sudoers.d/имя_пользователя

Важно: Если система выдает предупреждение вида sudo: /etc/sudoers.d/имя_пользователя is world writeable, необходимо строго запретить всем остальным пользователям запись в этот файл:

bash

chmod 0440 /etc/sudoers.d/имя_пользователя

Проверим корректность настроек. Переключимся на нашего пользователя, а затем попробуем повысить привилегии до root:

bash

su - имя_пользователя
su -

После того как пользователи созданы, можно переходить к настройке удаленного доступа. В нашем примере конфигурация актуальна для пакетов OpenSSH_7.9p1 (и новее) и OpenSSL 1.1.1.w.

Установим SSH-сервер, если в вашей минимальной сборке он еще не установлен:

bash

apt-get update && apt-get install -y openssh-server

Откроем основной конфигурационный файл для редактирования:

bash

vim /etc/openssh/sshd_config

Чтобы максимально обезопасить сервер, мы детально настроим службу SSH. Для начала изменим стандартный порт на нестандартный (замените ваш_порт на любое свободное значение, например от 1024 до 65535). Это защитит от большинства автоматических сканеров:

sshd_config

Port ваш_порт

Далее строго ограничим количество неудачных попыток авторизации. Если злоумышленник попытается подобрать пароль, после двух ошибок соединение будет сброшено. Это крайне важно для защиты от bruteforce атак:

sshd_config

MaxAuthTries 2

Теперь жестко зададим «белый список» пользователей, которым разрешено удаленное подключение. Укажите здесь ваше имя пользователя. Все остальные аккаунты, включая системные, будут автоматически отклонены:

sshd_config

AllowUsers имя_пользователя

Полезной практикой при аудите безопасности является вывод предупреждающего сообщения (баннера) перед авторизацией. Укажем путь к файлу, который мы создадим на следующем шаге:

sshd_config

Banner /etc/ssh-banner

В обязательном порядке запрещаем прямой вход под суперпользователем (root). Это золотое правило безопасности серверов Linux, защищающее инфраструктуру от перехвата полного контроля при утечке основного пароля:

sshd_config

PermitRootLogin no

Сохраните файл и закройте редактор (в vim нажмите ESC, введите :wq и нажмите Enter).

Теперь создадим файл баннера с текстом предупреждения о несанкционированном доступе:

bash

echo "Authorized access only" > /etc/ssh-banner

Осталось только добавить службу SSH в автозагрузку системы и перезапустить ее, чтобы наша новая конфигурация применилась:

bash

systemctl enable sshd
systemctl restart sshd

Готово! На этом базовая подготовка и защита вашего сервера завершена.

base64_phn2zyb4bwxucz0iahr0cdovl3d3dy53my5vcmcvmjawmc9zdmciihdpzhropsiymcigagvpz2h0psiymcigdmlld2jved0imcawidi0idi0iibmawxspsjub25liibzdhjva2u9imn1cnjlbnrdb2xvciigc3ryb2tllxdpzhropsiyiibzdhjva2utbgluzwnhcd0icm91bmqiihn0cm9rzs1saw5lam9pbj0icm91bmqiihn0ewxlpsjjb2xvcjogdmfykc0tywnjzw50ksi_phbhdgggzd0itteyidjmmia3bdewidugmtatns0xmc01ek0yide3bdewidugmtatnu0yideybdewidugmtatnsi_pc9wyxropjwvc3znpg LinuxMaster

© 2026 LinuxGuides. Все права защищены.