Настройка Linux для сервера

1. Кому адресована эта инструкция: три основных типа читателя

Перед тем как вводить команды, важно понять, под какую задачу вы настраиваете сервер. Единого рецепта не существует, и выбор инструментов напрямую зависит от вашей роли. Первый тип — разработчик, которому нужна среда для тестирования или деплоя своего pet-проекта. Для него критична скорость развертывания и гибкость, а не промышленная отказоустойчивость. Второй — системный администратор (или DevOps-инженер), обслуживающий продакшн. Его главный критерий — стабильность, безопасность и воспроизводимость конфигураций. Третий — владелец небольшого бизнеса или техдиректор, который передает настройку подрядчику, но хочет понимать логику решений. Каждый из этих сегментов получит свой набор рекомендаций из этой статьи.

2. Выбор дистрибутива: кому CentOS Stream, кому Ubuntu LTS, а кому Fedora Server

Для продакшн-сред, где на первом месте многолетняя стабильность и предсказуемость обновлений, отличным выбором будет RHEL или его бесплатный аналог — CentOS Stream 9/10. Этот вариант идеален для администратора, который ценит долгосрочную поддержку (обновления безопасности до 2029 года) и корпоративную экосистему. Если же вы разработчик, которому нужно самое свежее ядро для контейнеризации (Podman, Docker) и поддержка новых языков, присмотритесь к Fedora Server. Он даёт доступ к новейшим версиям Python, Node.js и GCC, но цикл поддержки короче — около 13 месяцев. Для однозначного выбора новичка или владельца бизнеса, который не хочет тратить время на тонкости SELinux, лучшим вариантом будет Ubuntu Server 24.04 LTS. Его сообщество огромно, а большинство инструкций (по настройке веб-сервера, базы данных) написаны именно для Debian/Ubuntu.

3. Базовая безопасность для разных уровней угроз

Вне зависимости от цели, первый шаг после установки — отключение входа по паролю для root и создание отдельного пользователя с правами sudo. Для фрилансера или стартапа этого может быть достаточно, если сервер не содержит персональных данных клиентов. Для корпоративного сегмента (администратор, банк, финтех) обязательно нужно добавить настройку фаервола (например, nftables вместо устаревшего iptables) и реализовать Fail2ban, который блокирует IP после 3-5 неудачных попыток входа. Владельцу бизнеса, который запускает интернет-магазин, стоит заказать у администратора аудит с помощью Lynis — это автоматически проверит сотню параметров безопасности и выдаст отчёт с оценкой от 0 до 100. Никогда не используйте стандартный порт 22 для SSH, если сервер находится в открытом интернете — смените его, например, на 2222. Это снизит нагрузку от сканеров на 99%.

4. Производительность и мониторинг: что выбрать под вашу нагрузку

Для простого веб-сервера с одним сайтом (на Nginx или Apache) достаточно штатного htop и journalctl. Если вы разработчик, запускающий базу данных или кэш (Redis, PostgreSQL), обязательно включите логгирование медленных запросов. Например, в PostgreSQL установите log_min_duration_statement = 200 (в миллисекундах) — это выявит проблемные запросы без нагрузки на диск. Администраторам крупных проектов потребуется централизованный сбор метрик через Prometheus и визуализация в Grafana, но для старта достаточно связки Netdata + Uptime Kuma. Netdata показывает нагрузку на процессор, память, диск и сеть в реальном времени, а Uptime Kuma проверяет HTTP-ответ сайта каждые 60 секунд. Владельцу бизнеса полезно настроить Telegram-уведомления через бота при падении сайта или нехватке места на диске — это дешево и не требует покупки дорогих SaaS-решений.

5. Инструменты автоматизации: Ansible vs ручной труд

Если вы настраиваете один сервер для себя или тестового стенда, ручной ввод команд и scp конфигов — абсолютно нормальный и быстрый путь. Он подходит разработчику, который меняет сервер раз в месяц. Однако системный администратор, обслуживающий 10+ машин, не может позволить себе опечатки и неконсистентность. Ему прямая дорога к Ansible и системе управления конфигурациями. Преимущество Ansible не только в автоматизации, но и в идемпотентности: вы описываете желаемое состояние сервера (например, «установить nginx версии 1.24, открыть порт 443, скопировать SSL-сертификат»), и инструмент сам приводит систему к этому состоянию. Для владельца бизнеса совет: требуйте от администратора, чтобы весь процесс настройки был оформлен в виде Ansible-плейбука. Это гарантирует, что через полгода (или при смене подрядчика) инфраструктуру можно будет воссоздать за час, а не за неделю.

6. Резервное копирование: стратегия 3-2-1 для каждого сегмента

Это не опционально. Правило «3 копии на 2 разных носителях, 1 из которых не в том же здании» — минимальный уровень. Для разработчика подойдёт комбинация: ежедневная rsync-синхронизация файлов на внешний VPS (арендованный за $5–10) и еженедельный дамп базы данных через pg_dump в облачное хранилище (Backblaze B2). Администратор продакшна обязан использовать специализированное ПО: Bacula, Duplicity или Borg Backup, которые поддерживают дедупликацию и шифрование. Владелец бизнеса, принимающий оплату на сайте, должен проверить, что бэкапы делаются каждые 6 часов и автоматически тестируются на восстановление раз в месяц. Самый дешёвый способ проверить — написать cron-скрипт, который каждую неделю восстанавливает копию на локальную виртуалку и отвечает HTTP-запросом.

7. Практический итог: пошаговый минимум для старта (список действий)

• Обновление системы: сразу после установки выполните sudo apt update && sudo apt upgrade -y (для Ubuntu) или sudo dnf update -y (для CentOS/Fedora). Это закрывает известные уязвимости первой недели.
• Создание пользователя: adduser deploy, затем usermod -aG sudo deploy. Запомните: root не используется для ежедневной работы.
• Настройка SSH: скопируйте свой публичный ключ (ssh-copy-id user@ip), затем в файле /etc/ssh/sshd_config измените Port 2222 и PermitRootLogin no. Перезапустите: sudo systemctl restart sshd.
• Установка фаервола: для Ubuntu — sudo ufw allow 2222/tcp && sudo ufw enable, для CentOS — sudo firewall-cmd --add-port=2222/tcp --permanent && sudo firewall-cmd --reload. Откройте только нужные порты (80, 443).
• Настройка времени: sudo timedatectl set-timezone Europe/Moscow (выберите свой часовой пояс). Установите NTP: sudo timedatectl set-ntp yes.
• Установка мониторинга для новичка: curl -s https://get.netdata.cloud | bash. Через 1 минуту откройте http://ваш_сервер:19999 — вы увидите графики нагрузки.
• Проверка безопасности: установите Lynis: sudo apt install lynis, запустите аудит: sudo lynis audit system. Изучите секцию «Вarnings» и исправьте критичные замечания.

8. Сравнение стратегий для разных целевых групп (таблица в тексте)

1. Разработчик (pet-проекты, хобби): выбирает Ubuntu Server + ручное конфигурирование + Docker. Критерий — скорость запуска и минимум затраченного времени. Допустимо использование пароля для SSH на закрытом VPN.
2. Системный администратор (продакшн): требует CentOS Stream + Ansible + автоматический бэкап Borg + мониторинг Prometheus. Критерий — воспроизводимость и отказоустойчивость. Ошибка может стоить денег, поэтому каждый шаг описан в коде.
3. Владелец бизнеса (наёмный администратор): не вводит команды сам, но проверяет чек-лист: есть ли резервная копия, отключен ли root, настроено ли уведомление в Telegram. Его главный критерий — минимизация риска потери данных и времени простоя.

Каждый из этих сегментов получит оптимальный результат, если не будет слепо копировать настройки другого. Разработчику не нужен SELinux в enforcing-режиме на тестовом сервере — это замедлит разработку. Администратору не нужны «красивые» графики Netdata на 5 минут — ему нужны алерты и логи. Владельцу бизнеса не нужна команда iptables — ему нужен SLA от администратора. Учитывайте вашу текущую роль и ресурсы (время, деньги, квалификацию) — и настройка Linux для сервера станет предсказуемой и безопасной.

Добавлено: 07.05.2026