engineer@northline:~$ less articles/host-hardening.md
2026-03-14Basic host hardening for small VPS deploymentsБазовый hardening хоста для небольших VPS-развертываний
Hardening on small hosts is mostly about removing easy mistakes. I do not aim for theoretical perfection. I want a baseline that survives routine neglect and reduces the damage of common misconfiguration.Hardening на небольших хостах в основном сводится к устранению простых ошибок. Я не стремлюсь к теоретическому идеалу. Мне нужен базовый уровень, который переживет рутинную небрежность и уменьшит ущерб от типовых misconfiguration.
Baseline controlsБазовые меры
- Disable password SSH authentication if key-based access is ready.Отключить парольную аутентификацию SSH, если доступ по ключам уже готов.
- Keep the firewall explicit and limited to known ports.Держать firewall явным и ограниченным известными портами.
- Separate service users when a daemon does not need full host access.Разделять service users, если демону не нужен полный доступ к хосту.
- Track update cadence in a runbook instead of relying on memory.Фиксировать cadence обновлений в runbook, а не полагаться на память.
The point is not to accumulate controls. The point is to keep the host understandable enough that you will notice drift before it becomes an incident.Смысл не в том, чтобы накопить как можно больше мер. Смысл в том, чтобы хост оставался достаточно понятным и дрейф конфигурации замечался до того, как станет инцидентом.
$ tail -n 3 updates.log