24.09.2025
Введение
После того как мы разобрались с небезопасным FTP, пришло время познакомиться с его защищёнными преемниками.
Здесь часто возникает путаница: многие считают FTPS и SFTP одним и тем же.
На самом деле это два совершенно разных протокола — с разной историей и принципами работы.
Что такое FTPS? (FTP + Security)
FTPS (FTP over SSL/TLS) — это прямое развитие классического FTP. Он берёт стандартный FTP и «заворачивает» соединения в криптографический протокол SSL/TLS (тот же, что защищает сайты по HTTPS).
22.09.2025
Получение нового VPS — это только начало. По умолчанию сервер небезопасен и не готов к использованию в продакшне. Этот чек-лист поможет вам шаг за шагом подготовить VPS: закрыть дыры в безопасности, включить обновления и настроить базовую инфраструктуру.
1. Первое подключение и смена root-пароля
Подключаемся к серверу по SSH:
Меняем временный пароль на свой уникальный и сложный:
2. Создаём нового пользователя с sudo
Работать под root постоянно опасно. Создадим обычного пользователя:
10.09.2025
В предыдущей статье мы развернули базовый сервер Jitsi Meet с помощью Docker.
Теперь разберём, как защитить ваш сервер, включить авторизацию и оптимизировать работу для стабильных видеозвонков.
Авторизация: доступ только по приглашению
По умолчанию Jitsi Meet позволяет любому пользователю создавать комнаты. Чтобы ограничить доступ — включим Secure Domain.
- Откройте файл
.env и найдите секцию Prosody (XMPP-сервер).ENABLE_AUTH=1
AUTH_TYPE=internal
Здесь internal означает, что пользователи будут храниться локально.
Установите модуль авторизации:
docker compose exec prosody prosodyctl register user1 meet.jitsi StrongPassword
docker compose exec prosody prosodyctl register user2 meet.jitsi StrongPassword
Перезапустите контейнеры:
23.08.2025
Когда контроль важнее всего
Сервисы вроде Tailscale и NetBird удобны, но они полагаются на сторонний сервер управления, который отвечает за аутентификацию, распределение ключей и обмен информацией о маршрутах. Для тех, кто по соображениям безопасности или приватности не хочет доверять эту функцию никому, существует два пути: Headscale и “чистый” WireGuard.
Headscale: Ваш собственный Tailscale
Headscale — это полностью open-source реализация сервера управления Tailscale. Она позволяет развернуть собственный аналог Tailscale на своём VPS или сервере, используя официальные клиенты Tailscale.
22.08.2025
Когда Zero-config VPN — это не только Tailscale
Хотя Tailscale стал эталоном простоты, он не единственный игрок на поле Zero-config VPN. ZeroTier и NetBird предлагают схожую функциональность, но с важными архитектурными и идеологическими отличиями.
ZeroTier: Виртуальный Ethernet-коммутатор
ZeroTier — один из первых и наиболее известных сервисов, реализующих концепцию Mesh-сети. Он работает по принципу виртуальной локальной сети. Вместо того чтобы полагаться на протокол WireGuard, ZeroTier использует собственный протокол и создаёт виртуальный L2-коммутатор (Layer 2), который объединяет все устройства в единую локальную сеть. Каждое устройство получает IP-адрес из виртуальной подсети и может “видеть” другие устройства так, как если бы они были подключены к одному физическому коммутатору.
21.08.2025
Что такое Tailscale?
Tailscale — это VPN-сервис, который позиционирует себя как Zero-config VPN. Он использует протокол WireGuard для создания защищенной mesh-сети между всеми вашими устройствами. Ключевое отличие от других решений — это простота. Вместо ручной настройки туннелей и управления ключами, Tailscale делает всю работу за вас. Вам достаточно установить приложение на каждое устройство и авторизоваться.
Как это работает под капотом?
Когда вы авторизуетесь, клиент Tailscale связывается с сервером управления (Control Plane). Этот сервер, по сути, является “мозгом” сети:
20.08.2025
Эволюция удалённого доступа
Традиционные VPN-сервисы, которые большинство из нас знает, работают по принципу “hub-and-spoke” (звезда). Это означает, что весь трафик от клиента к защищаемой сети проходит через центральный сервер. У такого подхода есть недостатки:
- Сложность настройки: Требуется ручная настройка, проброс портов и управление ключами.
- Производительность: Весь трафик, даже между двумя удалёнными клиентами, должен проходить через центральный сервер, что увеличивает задержку.
- Единая точка отказа: Если центральный сервер выходит из строя, вся сеть перестаёт работать.
Новая концепция — Zero-config VPN — решает эти проблемы, используя архитектуру mesh-сети.
15.08.2025
Введение: от реактивной защиты к проактивной безопасности
В 2025 году атаки на серверы становятся всё более изощрёнными, и реактивные меры (файрвол, Fail2Ban, CrowdSec) уже недостаточны. Современный подход DevSecOps требует проактивного hardening — укрепления системы — чтобы минимизировать поверхность атаки ещё до появления публичных эксплойтов.
Lynis остаётся одним из ключевых open-source инструментов аудита безопасности для Unix-систем, но сегодня его важно дополнять интеграцией с фреймворками стандартов безопасности (CIS, SCAP) и автоматизацией в CI/CD конвейерах.
14.08.2025
Введение: Первая линия обороны вашего сервера
Прежде чем думать о сложных системах обнаружения вторжений, таких как Fail2ban или CrowdSec, необходимо выстроить первую и самую надёжную линию обороны — брандмауэр (firewall). Брандмауэр контролирует весь сетевой трафик, входящий и исходящий с вашего сервера, и блокирует несанкционированные попытки подключения.
В Linux для управления брандмауэром традиционно использовался iptables, но его синтаксис может быть сложным и запутанным. К счастью, существует более простой и интуитивно понятный инструмент — UFW (Uncomplicated Firewall).
13.08.2025
Введение: От локальной защиты к глобальной
В предыдущей статье мы рассмотрели Fail2ban — надёжный и проверенный инструмент для защиты от атак типа “brute-force”. Однако, Fail2ban работает только с локальными логами и не “знает” о том, что происходит на других серверах. В условиях, когда кибератаки становятся всё более распределёнными и изощрёнными, требуется более интеллектуальное и коллаборативное решение.
Здесь на сцену выходит CrowdSec — современная, open-source система предотвращения вторжений (IPS), которая использует краудсорсинговый подход для создания глобальной сети безопасности.