SSH Secure Shell
Зашифрованный протокол удалённой оболочки, который каждая Linux-машина на планете слушает по умолчанию, — и парадная дверь каждого VPS, который мы поставляем.
Зашифрованный сетевой протокол для управления удалённой машиной так, словно Вы сидите у её консоли: доступ к оболочке, передача файлов (SCP, SFTP), произвольный TCP-port forwarding и SOCKS-проксирование. Заменил тройку открытотекстовых telnet/rlogin/rsh начиная с 1995 года. Доминирующая современная реализация — OpenSSH, поставляемая каждым крупным дистрибутивом Linux и BSD и macOS.
SSH — это весь управляющий план Вашего VPS.
Между Вами и операционной системой нет проприетарной панели управления — никакого графического «server manager», никакого абстрагированного файлового браузера, никакой web shell в стиле captive portal. Каждый VPS NordBastion попадает в Ваши руки как стандартная Linux-машина, слушающая порт 22 для SSH, с единственными root-учётными данными, доставленными через панель. SSH — это весь управляющий план, точка.
Это решение опирается на ту же логику, что и остальной продукт: SSH открыт, хорошо проаудирован, быстр и работает одинаково с ноутбука в Берлине, смартфона с Termius и CI-раннера в другом дата-центре. Кастомная веб-панель была бы медленнее, слабее и требовала бы от нас поддерживать код, который проект OpenSSH уже поддерживает лучше, чем мы когда-либо могли бы.
Opsec-рекомендации для первого часа на VPS NordBastion те же, что и на любом продакшен Linux-сервере: сгенерируйте ключ Ed25519, скопируйте публичную половину на сервер, отключите аутентификацию по паролю и root-вход, если он не нужен, установите fail2ban или эквивалент и рассмотрите ограничение исходных IP на файрволе. Руководство по упрочению проходит через каждую команду.
Страницы, опирающиеся на этот термин.
Вопросы, которые люди реально задают.
Как мне подключиться к моему VPS по SSH?
Из терминала: `ssh [email protected]`. Первое соединение предложит Вам проверить отпечаток хоста — сверьте его со значением, показанным в клиентской панели, прежде чем принимать. После этого аутентификация по ключу — рекомендуемая конфигурация: сгенерируйте локально ключевую пару Ed25519, вставьте публичную половину в ~/.ssh/authorized_keys на VPS и отключите вход по паролю в /etc/ssh/sshd_config. Руководство по упрочению в первый час проходит через каждый шаг.
Безопасна ли аутентификация по паролю?
Достаточно безопасна, если пароль длинный и случайный, но аутентификация по ключу значимо лучше. Сильный ключ нельзя сбрутфорсить попутными сканерами (а их каждый день много бьёт каждый публичный IP по порту 22), а отключение аутентификации по паролю полностью устраняет целый класс credential-stuffing-шума из Ваших журналов. Руководство по упрочению рекомендует аутентификацию только по ключу как вариант по умолчанию.
Что такое SSH port forwarding?
Способ туннелировать произвольный TCP-трафик через зашифрованное SSH-соединение. Local forwarding (`-L`) предоставляет удалённый сервис на локальном порту — например, открывая PostgreSQL VPS на localhost:5432 Вашего ноутбука. Remote forwarding (`-R`) — обратное. Dynamic forwarding (`-D`) поднимает SOCKS-прокси, маршрутизирующий любое приложение, настроенное на его использование, через VPS. Все три чрезвычайно полезны и стоят того, чтобы их изучить.
Стоит ли мне менять SSH-порт по умолчанию с 22?
В основном косметика. Перенос SSH на высокий случайный порт сокращает объём шума от попутных сканеров в Ваших журналах, но ничего не делает против целенаправленного атакующего, который просто просканирует хост. Настоящая защита — аутентификация только по ключу, rate-limiter в стиле fail2ban и ограничение исходных IP на уровне файрвола, если позволяет Ваш шаблон доступа. Руководство проходит через все три.