Как защитить VPS на CentOS: практическое руководство

Введение: чем CentOS отличается с точки зрения безопасности

CentOS долгое время оставался самой популярной серверной ОС в корпоративной среде. Даже после закрытия классической ветки в пользу CentOS Stream его до сих пор активно используют для хостинга сайтов, VPN, баз данных, панелей управления, CI/CD и внутренних сервисов. Причина проста – система предсказуема, устойчива и хорошо контролируема администратором.

Сегодня развернуть CentOS VPS можно за несколько минут у большинства провайдеров. Например, при создании виртуального сервера через VPS.house установка системы выполняется автоматически, без ручных этапов. Однако с момента назначения серверу публичного IP-адреса он сразу становится доступен из интернета, а значит, автоматически попадает в зону интереса сканеров и бот-сетей, которые непрерывно ищут уязвимые узлы.

CentOS отличается от Debian и Ubuntu своей философией безопасности. Здесь изначально делается ставка не только на firewall и SSH, но и на жёсткую системную изоляцию (SELinux), строгую модель прав доступа и сервисную сегментацию. Именно этим CentOS интересен как объект защиты.

1. Чем реально атакуют CentOS VPS в 2025 году

В 2025 году профиль угроз для CentOS выглядит иначе, чем 5-7 лет назад. Если раньше основной упор делался на примитивный перебор SSH, то сегодня массово используются:

• автоматические сети ботов, сканирующие нестандартные порты
• эксплуатация уязвимостей в web-панелях
• атаки через Redis, Memcached, MongoDB
• внедрение майнеров через плохо настроенные сервисы
• компрометация через цепочки зависимостей в Python и Node.js
• атаки на API и webhook-инфраструктуру

Отдельная категория рисков – это ошибки конфигурации, особенно после переноса проектов с других дистрибутивов. CentOS не прощает универсальных шаблонов из Ubuntu-миров.

2. Обновление системы как первый контур защиты

CentOS часто разворачивается с образов, которые могут быть собраны месяцы назад. Это означает, что:

• часть уязвимостей уже известна
• патчи существуют, но не применены
• сервер формально безопасен, но фактически уязвим

Обновление выполняется так:

dnf update -y

Для старых версий:

yum update -y

Важно не только поставить обновления, но и убедиться, что:

• автоматически обновляются критические пакеты
• ядро получает патчи безопасности
• не используется kernel с известными LPE-уязвимостями

3. SELinux – то, что многие отключают, а зря

Одно из ключевых отличий CentOS – SELinux, система мандатного контроля доступа. Именно она способна остановить:

• вредоносный код внутри взломанного сервиса
• эскалацию привилегий
• атаки через web-shell
• записи за пределы разрешённых директорий

Проверка статуса:

sestatus

Правильный режим:

SELinux status: enforcing

Ошибка новичков – отключать SELinux при первой же проблеме. Это ошибочная стратегия. Правильный путь – настраивать контексты и журналы (audit.log), а не отключать систему безопасности целиком.

4. SSH в CentOS: угроза не только в паролях

CentOS часто используется под VPN, прокси и внутренние админ-системы, поэтому утечка SSH-доступа почти всегда ведёт к компрометации всей инфраструктуры.

Базовые риски:

• стандартный порт 22
• прямой доступ root
• аутентификация по паролю
• отсутствие фильтрации по IP

Базовая схема защиты:

• вход только по ключам
• запрет root
• ограничение IP
• нестандартный порт

Редактируем:

vi /etc/ssh/sshd_config

Минимальный набор:

PermitRootLogin no PasswordAuthentication no Port 2222

Применяем:

systemctl restart sshd

5. Firewall в CentOS: firewalld как реальный инструмент, а не формальность

В CentOS используется firewalld, а не UFW. Его преимущество – зоны доверия, профили и динамические правила.

Проверка статуса:

systemctl status firewalld

Пример базовой конфигурации:

firewall-cmd --permanent --remove-service=ssh firewall-cmd --permanent --add-port=2222/tcp firewall-cmd --permanent --add-service=http firewall-cmd --permanent --add-service=https firewall-cmd --reload

После этого:

стандартный SSH закрыт
открыт только нужный порт
веб-сервисы работают
остальное заблокировано

6. Почему Fail2ban в CentOS нужен даже при ключах

Fail2ban часто воспринимается как защита от паролей. На практике он:

• защищает от перебора JWT-токенов
• блокирует атаки на панели управления
• реагирует на нестандартные 401/403
• ограничивает нагрузочные атаки

Установка:

dnf install fail2ban -y systemctl enable fail2ban --now

Минимальная защита для sshd:

[sshd] enabled = true port = 2222 maxretry = 5 bantime = 3600

7. Службы по умолчанию – скрытая точка входа

CentOS часто устанавливается с:

• cockpit
• avahi
• rpcbind
• тестовыми демонами

Проверка:

systemctl list-unit-files --type=service | grep enabled

Любая лишняя служба – потенциальная дыра. Особенно опасны:

• сетевые демоны без авторизации
• устаревшие web-интерфейсы
• сервисы мониторинга без фильтрации IP

8. Контроль ресурсов как элемент безопасности

Перегруженный сервер опасен не меньше, чем взломанный. Под нагрузкой могут:

• «падать» fail2ban
• теряться логи
• зависать firewall
• прерываться резервные копии

Для защиты используются:

• ystemd-лимиты
• cgroups
• ulimit

Это предотвращает:

• fork-бомбы
• утечки памяти
• отказ в обслуживании изнутри

9. Резервное копирование: защита от тех угроз, которые не ты контролируешь

Даже при идеальной защите остаются:

• человеческий фактор
• сбои обновлений
• повреждения файловых систем
• криптовымогатели внутри контейнеров

Минимальные варианты:

• rsync на удалённый узел
• orgbackup
• estic

Но важно также учитывать уровень резервного копирования на стороне провайдера. Перед запуском проекта имеет смысл выяснить:

• как часто создаются копии
• сколько версий хранится
• возможно ли восстановление всей ВМ
• есть ли автоматические снепшоты

Практика показывает, что именно снимки всей виртуальной машины позволяют восстановить систему за минуты, а не за часы. Такие механизмы доступны у ряда современных VPS-провайдеров, в том числе при аренде VPS на VPS.house, однако внутренняя система бэкапов на сервере всё равно остаётся обязательной.

10. Мониторинг как часть защиты, а не только администрирования

Без мониторинга атаки часто замечают после факта. Контроль должен включать:

• нагрузку CPU
• рост трафика
• количество соединений
• аномалии записи в логи
• резкие скачки I/O

Используются:

• Zabbix
• Netdata
• Prometheus
• systemd-journald

11. Почему модель виртуализации тоже влияет на безопасность

Даже идеально настроенный CentOS может вести себя нестабильно, если:

• ресурсы не гарантированы
• используется жёсткий оверселинг
• диск перегружен соседями

Это приводит к:

• задержкам применения правил firewall
• сбоям fail2ban
• «залипанию» сервисов безопасности

Поэтому при выборе виртуального сервера важно смотреть не только на цену. Например, при аренде VPS на платформе VPS.house используются гарантированные ресурсы без агрессивного оверселинга, что положительно сказывается на стабильности защитных механизмов. Однако сами принципы защиты CentOS универсальны.

12. Типовые ошибки при защите CentOS VPS

• отключённый SELinux
• SSH без фильтрации
• открытые служебные порты
• отсутствие лимитов ресурсов
• бэкапы «раз в месяц»
• администрирование под root
• отсутствие мониторинга

Именно эти ошибки становятся причиной большинства инцидентов.

Заключение

CentOS VPS – это не просто сервер, а инженерная среда с повышенными требованиями к дисциплине безопасности. В отличие от более «гибких» дистрибутивов, он предоставляет мощные механизмы защиты, но требует правильного обращения с ними:

• обновления
• SELinux
• firewalld
• защита SSH
• фильтрация сервисов
• резервное копирование
• мониторинг

При таком подходе CentOS остаётся одной из самых устойчивых платформ для публичного VPS даже в 2025 году.