Туториал Работа с VDS сервером 2022 | Установка minecraft сервера на VDS, защита сервера и т.п.

Решил я значит посмотреть на гайды по установке сервера на ВДС. На самом деле, ряд годных мне попался, однако во всех них я находил какие-то недочеты... То избыток информации, то наоборот, недостаток. Чем черт не шутит - создам актуальный и поддерживаемый гайд по этому делу, который будет хорошо сочетаться с темой защиты сервера при работе с VDS.
Ну-съ, приступим. ​

⦁ Пункт 0 - оглавление

* 1 пункт - Почему мы выбираем выделенные сервера (можно не читать лол)
* 2 пункт - Начинаем работать с сервером | Программы, которые нам будут нужны
* 3 пункт - Базовая настройка сервера и установка необходимого софта
* 4 пункт - Запускаем сервер майнкрафт на выделенном сервере
* 5 пункт - Почему этого не достаточно | Заключение

⦁ Пункт 1 - Почему мы выбираем выделенные сервера

Тут я распишу немного о том, почему VDS/Dedi - это то, что вам необходимо выбирать при запуске своего первого крупного проекта.
Да. На панелях вам может быть невероятно удобно, однако давайте я перечислю вам то, чего вы лишаетесь:
1 - Возможности мониторинга всех процессов вашего сервера
2 - Возможности запускать сервер на собственном порту
3 - Возможности бесплатно выделять своему серверу ресурсы и редактировать флаги запуска
4 - Возможности использовать таб-коплит в консоли сервера (черт, это ужасно!)
5 - Возможности самостоятельного закрытия портов сервера
6 - Возможности создавать сколько угодно серверов (пока не кончатся ресурсы)
Неужели, все эти лишения покрываются "удобством панели"? Ответ, думаю, очевиден.

Фактически на сервере лишь вы являетесь тем, кто всё контролирует. Вы - сам себе слуга и тут же господин. Вы можете делать всё, во что горазды и никто вам не будет препятствовать. Именно по этому, на них должен пасть ваш выбор при открытии сервера.

⦁ Пункт 2 - Начинаем работать с сервером | Программы, которые нам будут нужны

Теперь перейдем к делу. Давайте представим, что вы решили переехать с панели на VDS, идете покупать хост и тут перед вами выбор какой-то операционной системы.
Что ж, давайте выберем самое простое - Debian 11. Почему он? Он просто удобнее в использовании. Если желаете - можете выбрать Ubuntu, но не другие ОС. С ними работать будет куда сложнее.
И вот вы купили VDS. Толком не знаете что это. Хостинг присылает вам на почту какие-то данные и вы сидите в ступоре... что теперь с ними делать? А ответ прост - это данные подключения к VDS.
Для работы нам потребуются 2 программы.
1) Putty - для подключения к SSH и использования терминала вашего сервера
(В качестве альтернативы можете использовать Termius, он куда удобнее, но я покажу всё на примере Putty)
2) FileZilla - для подключения по SFTP и управления файлами (оф.сайт)

Скачали? Отлично. Пока что нас интересует лишь Putty. К FileZilla мы вернемся в 4 пункте.
Запускаем программу и видим вот такое окно:

В графе Host Name (or IP addess) указываем IP, который вам указал хостинг и нажимаем Open

Далее видим черное окно

Вписываем туда root, как нам указано в данных от хостинга

Теперь у нас попросит пароль.
Важно сказать, что пароль при вводе не отображается, по этому вводить его надо будет в слепую.

В Termius, как я уже говорил, куда более понятный, так что если вы хотите себе более простой интерфейс - используйте его. Там действия по сути те же.

После всего этого - вам откроется полноценное окно терминала, где вы сможете выполнять команды.

К VDS мы успешно подключились.

⦁ Пункт 3 - Базовая настройка сервера и установка необходимого софта

К ВДС мы подключились, время начать прописывать команды!
Тут я распишу то, что нам необходимо сделать после того, как мы подключились к нашему серверу

Спойлер: !! Важно !!

Если в консоли или терминале у вас вместо русского текста всплывают непонятные символы, то ознакомьтесь с данной статьёй! Делайте всё как там сказано и перезагрузите машину (reboot), когда всё настроите. Если это не помогло, то откройте спец.файлик командой nano /etc/environment и внесите туда
LC_ALL=en_US.UTF-8
LANG=en_US.UTF-8
После чего сохраните файл и перезапустите машину.
Если и это не помогло - обращайтесь в тех.поддержку хостинга и просите у них решить данную проблему.

1) Меняем пароль.
Да, как бы это банально не звучало, но я видел людей, которые держали свой сервер на ВДС с дефолтным паролем, выданным хостингом. Почему это делать воспрещается - расписывать глупо. Если вы думаете, что если хостинг установил вам пароль навроде QEf82eUI7L15 вы в безопасности, то вы ой как заблуждаетесь.
Для смены пароля на ВДС используем команду
passwd
Вписываем её в терминал и вводим новый пароль 2жды. Увидеть его вы не сможете, вписывать надо будет вручную.
Рекоменую устанавливать пароли не менее 20 символов.

2) Обновляем систему.
Это вы увидите в каждом гайде о начале работы с вашим выделенным сервером. Это нужно для того, чтобы обновить пакеты на вашей машине. Зачем? Чтобы не установить устаревший софт. Выданная вам машина по умолчанию имеет лист пакетов предустановленный тем, кто её устанавливал. А т.к. всё делается на автомате, следить за тем, чтобы всё было up-to-date должны вы.
Выполняем в терминале команды
apt update - обновляет список пакетов (не не их самих)
apt upgrade -y - обновляет непосредственно уже установленные пакеты

3) Устанавливаем необходимый софт.
Теперь нужно установить всё для работы сервера.
3.1) Устанавливаем "диспетчер задач".
apt install htop
Думаю, объяснять зачем он нужен - смысла не имеет. По сути это упрощенный аналог встроенного в систему диспетчера задач, который можно открыть командой top. Полезен, если надо посмотреть сколько ресурсов и что потребляет.
3.2) Устанавливаем Screen
apt install screen
Эта штука нам будет нужна для того, чтобы после запуска сервера и выхода из терминала он не закрывался.
Также при помощи него мы сможем создавать множество серверов на одной машине, что нам пригодится в дальнейшем при создании к примеру связки серверов по велосити.
Помимо Screen есть также еще одна схожая по функционалу утилита под названием tmux. Установить её можно командой apt install tmux. В данной статье я не буду больше затрагивать это, но она может вполне заменить screen в будущем, по этому считаю её достойной упоминания.
3.3) Установка Java. 2 метода.
Итак, есть 2 метода установки Java.
1 - Установка openjdk. apt install openjdk-*номер*-jre (на месте номера ставим нужную версию Java)
Но вот какая загвостка... таким образом вы сможете установить либо 11 либо 17 джаву, а остальных там просто нет. Если вы решили поставить в качестве ОС не 11 дебиан, а скажем 10, то тут всё и вовсе худо, т.к. установить вы сможете лишь 11 джаву. И тут в силу вступает способ 2
2 - Установка с оф.сайта.
Для этого нужно перейти на сайт https://www.oracle.com/java/technologies/downloads/ и выбрать необходимую вам Java (Выбираем 17)
Теперь необходимо скопировать данную ссылку

После чего переходим в терминал и пишем туда команду
wget *скопированная ссылка* (чтобы вставить ссылку в терминал используйте правую кнопку мыши)
(Если данная команда не была найдена - используйте команду apt install wget и сделайте еще раз)
Тем самым мы скачиваем архив с джавой.
Дожидаемся скачивания и распаковываем архив командой:
tar xf *имя скаченного файла* (вы можете нажатием таба посмотреть все файлы, которые можете разархивировать)
После этого удаляем этот файл командой
rm *имя файла* -rf
Переносим распакованную папку в удобное нам место (пусть будет директория /opt)
mv *имя папки* /opt/ (имя папки сходно имени файла)
После чего присуждаем команде java непосредственно джаву
ln -svf /opt/*имя перенесенной ранее папки*/bin/java /usr/bin/java

Проверяем, установилась ли java командой
java -version
Если видим что-то такое:

То всё прошло успешно.

Ну собственно по этому всё. Дальше уже будем переходить непосредственно к запуску сервера.

⦁ Пункт 4 - Запускаем сервер майнкрафт на выделенном сервере

Ну вот мы и подобрались к главному. Теперь нам как раз пригодится FileZilla.
Открываем её и соединяемся с нашим сервером, вписывая в поля "хост" "имя пользователя" и "пароль" данные, которые мы использовали для входа в терминал. В графе порт укажите число 22 и подключайтесь.
После того, как всё открылось - вы можете закачать на сервер сборку. Просто перетащите папку с сервером в открывшееся окно справа. Процесс закачки может быть не очень быстрым, но когда всё закончилось, переходите в папку с сервером и создайте файл start.sh. По сути - это тот же start.bat, который вы могли использовать для запуска сервера на своем ПК. Засуньте туда стандартный скрипт запуска, который можете скопировать его с этого сайта (там же есть возможность задать параметры для автоперезапуска сервера, если он остановится) и переходите в терминал.
В терминале прописываем команду, переходя в папку с вашим сервером
cd /root/*папка с сервером*/
Теперь создайте скрин командой
screen -S *имя скрина*
И запустите сервер при помощи команды
sh ./start.sh

Если всё сделано верно - сервер запустится и вы сможете на него войти без каких либо проблем!
Чтобы выйти из консоли обратно в терминал - используйте сочетание клавиш crtl+a+d
Чтобы войти в консоль - используйте команду screen -x *имя скрина*
Если забыли название - посмотреть список всех скринов можно командой screen -ls

⦁ Пункт 5 - Почему этого не достаточно | Заключение

Казалось бы, вы запустили сервер, всё работает, вы можете войти, но всё не так просто. Запустить сервер - это пол дела. VDS может подвергаться брутфорсу, когда злоумышленники пытаются подобрать пароль к вашей машине, при связке банжикорда вам необходимо будет научиться закрывать порты, чтобы защититься от кулхацкеров, а также перед вами встаёт угроза схватить вирус, который может быть в любом из скачанных вами плагинов... Именно по этому настоятельно рекомендую ознакомиться со статьёй о защите при работе с VDS/Dedicated сервером, которая располагается сообщением ниже.

 

Теперь поднимем тему защиты нашего сервера со стороны машины, на которой он стоит. Как обычно начнем с оглавления

⦁ Пункт 0 - оглавление
Тут отмечены пункты гайда по важности.
Алый - самое важное.
Красный - обязательный пункт.
Оранжевый - скорее обязательный
Желтый - рекомендуется ознакомиться

* 1 пункт - порты и еще раз порты
* 2 пункт - смена порта SSH
* 3 пункт - ̶н̶е̶ много про Fail2Ban
* 4 пункт - о запуске не от root
* заключение

⦁ Пункт 1 - порты и еще раз порты

При работе с выделенным сервером у вас есть огромное преимущество перед панельными хостингами - возможность закрывать порты. Это так сказать база.
Закрывать их надо затем, чтобы на ваш сервер не прошли на прямую, в обход авторизации. Каждый ваш сервер, запущенный на дедике имеет свой порт. Не закроете - на него смогут зайти по пути айпи:порт.

Для зарытия портов своих серверов советую UFW. Он очень прост в понимании и не сбрасывает установленные правила, после перезагрузки дедика/вдс.

Установка осуществляется следующей командой:

apt install ufw

Настройка портов выглядит следующим образом:

ufw allow 22/tcp - разрешает порт SSH (если конечно, ваш порт SSH это 22. об этом обмолвимся ниже)
ufw allow *порт вашей банжи/велосити* - думаю понятно
ufw status - просмотр статуса UFW и установленных правил
ufw enable - включает UFW (пишем после того, как всё настроили)
ufw logging off - отключает логи от UFW (полезно, чтобы не загрязнить лог)
ufw disable - отключает UFW

Обязательно проверяйте установленные правила, перед включением UFW. Закроете себе доступ - восстановить никак не выйдет.

⦁ Пункт 2 - смена порта SSH

Когда речь заходила про UFW, я говорил как раз про это.
Зачем же нам менять порт SSH? Ну разумеется для защиты от брутфорса. Конечно, мы уже могли установить сильный пароль, но неужели вы хотите, чтобы тысячи и тысячи ботов на автомате пытались проникнуть в вашу машину? Пусть вероятность пробиться у них не большая, но мы же тут хотим обезопасить себя по полной.

Для смены порта SSH вам нужно будет зайти в файл конфигурации SSH
nano /etc/ssh/sshd_config
и изменить порт, в графе порт. (нужно будет также убрать # перед этой графой)
Должно быть как-то так:

Код:

Port 2022
#AddressFamily any
#ListenAddress 0.0.0.0
#ListenAddress ::

Можете выставить какой хотите. После того как выставили, сохраните файл комбинацией клавиш ctrl+s и выйдите при помощи crtl+x
Теперь перезапустите сервис, отвечающий за SSH командой
systemctl restart sshd

Если всё сделано правильно, теперь вы сможете подключиться к SSH только через установленный вами порт. Для проверки также можно использовать команду netstat -tupln | grep ssh
Строка tcp 0.0.0.0:*порт* LISTEN покажет, что для SSH используется значение *порт*. Если там ваше значение - всё работает.

Теперь не забудьте об этом, а особенно не забудьте открыть его через ваш файрволл!

⦁ Пункт 3 - ̶н̶е̶ много про Fail2Ban

Что это вообще такое? Ну, обращаясь ко всем известной википедии - это программа для защиты серверов от атак методом грубой силы.
Принцип работы: Fail2ban считывает и блокирует IP-адреса, активность которых является подозрительной(например, большое количество попыток войти с неправильно введенным паролем). В случае обнаружения подобных действий программа обновляет правила брандмауэра для блокировки такого IP-адреса на определенный промежуток времени.
Простым языком блокирует того, кого считает нужным. А кого считать нужным - сможете настроить уже вы. Все настройки будут храниться по пути /etc/fail2ban/. Вы всегда сможете залезть туда через FTP, если захотите.
Для начала разберем пример защиты нашего SSH, ведь у нас тут защиты много не бывает.
Сперва установим Fail2ban командой
apt install fail2ban
По началу защита SSH уже будет работать и без доп.настроек, но мы не хотим этого и настроим всё сами.
Залезаем в файл конфигурации fail2ban командой
nano /etc/fail2ban/jail.local
И видим, что там ничего нет. Давайте же добавим правила:

Код:

# Правила по умолчанию
[DEFAULT]
# Какой IP не будет подвержен проверке
ignoreip = 127.0.0.1
[sshd]
# Включена ли проверка
enabled  = true
# За сколько времени игрок должен провалить maxretry чтобы наказание применилось
findtime = 60
# Сколько попыток входа может совершить некто за время findtime прежде чем наступит наказание
maxretry = 3
# Каким образом мы будем банить IP (через что | как выше мы выбрали UFW, так и продолжим)
action = ufw
# Насколько времени будет забанен IP, нарушивший правила (в секундах)
bantime = 3600

Сохраняем и закрываем файл, как мы делали это ранее с конфигом SSH.
Осталось лишь перезапустить fail2ban командой
fail2ban-client reload
service fail2ban restart

Таким образом мы создали установку, что если кто-то попытается войти в систему с неправильным паролем 3 раза за минуту, его IP будет забанен на час. Для проверки, как вообще он работает используйте команду
fail2ban-client status sshd
Однако Fail2Ban можно использовать не только для того, чтобы банить назойливых хацкеров, но и для особо буйных дудосеров. Cпасибо этой статье, которую я взял за основу.
Там рассматривался пример для BungeeCord. Тут же я сделаю такую настройку для велосити+лимбо фильтра. Делать будем через подключение к SFTP, т.к. это проще.
1) Заходим в папку /etc/fail2ban/jail.d
2) Создаем там файлик minecraft.conf, вставляем туда:

Код:

[minecraft]
enabled = true
filter = minecraft
action = ufw
logpath = /путь/к/velocity/logs/latest.log
# максимальное число "has connected"
maxretry = 7
# 3 часа
bantime = 10800
findtime = 60

3) Теперь нужно создать фильтр логов minecraft, переходим в папку /etc/fail2ban/filter.d
Создаем файлик minecraft.conf, вставляем туда:

Код:

[Definition]

# regex выражение, которое находит нужные нам сообщения в логах и извлекает из них айпи бота <HOST>
failregex = (<HOST>:.+) has connected to the

# формат даты в логах, в нашем случае "23:27:38"
datepattern = %%H:%%M:%%S

Перезагружаем fail2ban и воаля. Теперь если 1 игрок 7 раз подключится к лимбофильтру за минуту, его IP окажется в бане. Имейте в виду, что если вы решите это использовать, то необходимо отключить функцию отключения логов в лимбо фильтре, иначе фейлтубану неоткуда будет брать информацию!
На самом деле это довольно специфичная защита от "дудоса", по этому используйте её на своё усмотрение. Я лишь показал пример, но порекомендовать увы, не могу.

Расширенный гайд по fail2ban можете прочесть тут или на оф.сайте.

⦁ Пункт 4 - О запуске не от root:

Все действия до этого вы делали от пользователя root. Теперь же мы от него откажемся, а запускать сам наш майнкрафт сервер будем с другого юзера. Это даже не просто обязательно, а сверхобязательно.
Но зачем это нужно? Это вам нужно для того, чтобы обезопасить себя, а точнее, ради ограничения прав пользователя. В плагины кто угодно может вшить что угодно (к примеру вирусы), по этому ограничение прав для своего юзера необходимо, чтобы через него злоумышленники не смогли проникнуть к вам на машину.

Создаем пользователя minecraft. /bin/bash позволяем ему использовать терминал и заходить в putty. -m создает папку пользователя в каталоге /home
useradd -m -s /bin/bash minecraft

Меняем пароль для пользователя minecraft
passwd minecraft

Заходим под новым пользователем и загружаем сборку. Загружать - в /home/minecraft
Устанавливаем права на папку пользователя. 700 = полный доступ к папке.
У других пользователей кроме root, доступа нет
chmod 700 /home/minecraft

Меняем права у всех папок и файлов в директории /home/minecraft
chmod -R 700 /home/minecraft/

Устанавливаем всем файлам и папкам владельца и группу.
chown -R minecraft:minecraft /home/minecraft/

Теперь действия по серверу делаем от этого юзера! Спасибо за этот гайд славику.

⦁ Заключение.
Теперь, помимо стандартной работы с вашим VDS/Dedicated сервером вы научились основам защиты при работе с ним! Желаю удачи, админы всех мастей. Оставайтесь защищенными и помните - я могу - вы можете!

 

Отличная статья.

 

Отличная статья! Добавлю немного про ssh: смена порта действительно может помешать идентифицировать сервис как ssh при сканировании портов злоумышленником (хотя если использовать что-то вроде 2022 будет очевидно, что за сервис висит на этом порту), или при сканировании роботами, однако в случае идентификации такого порта, брутфорс атаки на ssh (например, через hydra), или атаки отказа в обслуживании имеют место быть. Я бы порекомендовал отключить парольную аутентификацию (сделать это можно все в том же файле конфигурации openssh /etc/ssh/sshd_config), изменив поле PasswordAuthentication с yes на no, и проводить авторизацию и шифрование исключительно с помощью SSH-ключей - поле PubkeyAuthentication yes. В таком случае, серверу необходимо указать место хранения ключей (как правило etc/.ssh/authorized_keys). Генерация ключей происходит с помощью ssh-keygen. Кажется она есть в пакете sshd. В интернете куча гайдов, как настроить авторизацию по ключам с помощью ssh-keygen, и как авторизоваться через Putty с винды по такому ключу.
Следует так-же отключать root-доступ (поле PermitRootLogin no), авторизацию по пустому паролю (PermitEmptyPassword no).
На вашем скрине видно, что AddressFamily имеет значение any, что позволяет использовать семейство как IPv4 так и IPv6. В 99% случаев следует ставить AddressFamily inet, чтобы использовать только адреса IPv4. Поскольку openSSH позволяет работать с SSH1 и SSH2 протоколам, целесообразно отключить использование SSH1, т.к. она давно уже устарела, и имеет проблемы с секьюрностью - поле Protocol 2.
После всех манипуляций с конфигом - ctrl+o -> enter -> ctrl+x для сохранения и выхода с nano, далее sudo systemctl restart sshd. Кстати, для проверки на ошибки в конфиге можно использовать sudo sshd -t
Если интересно, могу подробно со скринами допилить пост по полной настройке SSH от различных атак на никсах.
-----
FTP
Странно, что нет ничего про настройку FTP-сервера на VDS *конфигурация vsftpd /etc/vsftpd.conf
Там достаточно настроек для предотвращения вторжений, чтобы поломать голову)
UPD: Извиняюсь, только сейчас увидел рекомендации к Fail2Ban.
----

 

Не поможет. При связи по порту SSH-сервер сам сообщает информацию о себе. Хоть на 23783 порт повесь - всё равно по сигнатуре определять элементарно. И делается это всё в автоматическом режиме всякими шоданами.

Касательно ключей - они нужны скорее для упрощения и автоматизации различных процессов, чем для обеспечения безопасности.

Для обеспечения безопасности я бы скорее предложил использовать VPN. Но это прям совсем крупная артиллерия, для небольших проектов смысла использовать практически нет. Но для крупных - то, что доктор прописал. В сеть не светит ни один порт за исключением разве что прокси-сервера (и то уже не всегда с приходом tcpshield).

Можно ещё дописать про то, как веб-сервер зафаерволить персонально под Cloudflare. Чисто для примера, чтобы по аналогии по-максимуму закрывали и всё остальное

 

FTP я собирался добавить позже. Обычно я добавляю по мере того, как сам принароввлюсь это использовать, чтобы понимать, что я не просто переписываю всякую фигню с сайтов с гайдами

 

tcpshield тема - было бы здорово увидеть здесь статью

 

Спасибо большое за ваши статьи - думаю абсолютное большинство найдет в них море полезной информации!

 

Вообще, я попробовал эти SSH ключи... и я не понял их прикола. Типа безопасность, но неужели при подключенном fail2ban и смененным портом SSH и в дополнение к этому 60-значным паролем - сбрутить его получится в ближайшее... ну не знаю. Столетие? Добавлю конечно, когда пойму, как расписать это более простым языком, но штука странная

Спойлер: Камон, тут даже нет спец-символов! (сгенерил чисто посмотреть)

 

На самом деле, когда речь заходит о ключах, это обычно речь про удобство, а не безопасность. Не придется вводить пароли каждый раз, при этом система будет защищена.
Единственное - если кто любит оставлять простые пароли, тому лучше и правда использовать что-то подобное, при условии, что у них ключ где-то в запасе будет храниться на внешнем носителе.

 

Я бы даже сказал, что ключи в какой-то степени даже менее безопасно, потому что приватный ключ с компа своровать куда проще, чем пароль из мозга

 

Termius, где можно сохранять пароли такой:

 

Когда речь заходит про fail2ban возьмите себе на заметку. Нужно не закбывать добавлять себя в исключения, чтобы не забаниться... я вот - забанился. спасибо команде ssh и большому кол-ву вдсок у меня в наличии

 

Сижу на линухе, и тут команда ssh доступна из коробки (по крайней мере на Минте/Убунте), но без таких выкрутасов. А вот вход по ключу доступен - удобно. Наверняка и GUI клиенты есть тут, но ужто к терминалу прикипел...

 

Бан обычно ставят на несколько часов, что бы записи айпишников не скапливались.

 

Ну, мне в тот момент резко был нужен доступ, а бан был у меня настроен где-то на час. Не очень экспириенс

 

В пункте 1 указано всё то, что не нужно для нормального администрирования сервером или то, что на каждой панельке и так есть. Это скорее не явные преимущества вдс над панелькой, а просто хоть что-то кроме того, что соседи на Shared панельках жрут ресурсы клиента. Это первое, что попалось в глаза, в остальном глупо не согласиться, что ВДС лучше.

 

1 - на панели есть лишь кривое отображение усредленных показателей потребления памяти и т.п. это тебе не htop
2 - ни 1 хост на моей памяти не предоставлял возможность бесплатной и быстрой смены порта своего сервера
3 - ни 1 хост на моей памяти не предоставлял возможности бесплатно и быстро выделять своему серверу ресурсы и редактировать флаги запуска
4 - ни 1 хост на моей памяти не предоставлял возможности самостоятельного закрытия портов сервера
5 - ни 1 хост на моей памяти не предоставлял возможности создавать сколько угодно серверов (пока не кончатся ресурсы)

А я в своё время испробовал много таковых, и все они похожи. По этому и указал

 

Playvds aka ScalaCube

 

мне хватило 1 плашки вверху сайта