Lista de verificación: Compré un VPS — ¿y ahora qué?

Obtener un nuevo VPS es solo el comienzo. Por defecto el servidor no es seguro y no está listo para usarse en producción. Esta lista de verificación le ayudará paso a paso a preparar el VPS: cerrar agujeros de seguridad, habilitar actualizaciones y configurar la infraestructura básica.

1. Primera conexión y cambio de la contraseña root

Nos conectamos al servidor por SSH:

ssh root@ВАШ_IP_АДРЕС

Cambiamos la contraseña temporal por una única y compleja:

passwd

2. Creamos un nuevo usuario con sudo

Trabajar como root de forma permanente es peligroso. Creemos un usuario normal:

adduser имя_пользователя
usermod -aG sudo имя_пользователя

3. Configuración de claves SSH

Las contraseñas pueden ser adivinadas, las claves — casi imposibles. Generamos las claves en la máquina local:

ssh-keygen -t ed25519

Copiamos la clave pública al servidor:

ssh-copy-id имя_пользователя@ВАШ_IP_АДРЕС

Comprobamos el acceso. Luego establecemos los permisos correctos:

chmod 700 ~/.ssh
chmod 600 ~/.ssh/authorized_keys

4. Endurecimiento de SSH: desactivamos lo innecesario

Abrimos la configuración:

sudo nano /etc/ssh/sshd_config

Cambiamos o añadimos las líneas:

PermitRootLogin no
PasswordAuthentication no
Port 2222

⚠️ No olvide permitir el nuevo puerto en el cortafuegos, de lo contrario perderá el acceso. Reiniciamos SSH:

sudo systemctl restart ssh

5. Actualizamos el sistema

Para Debian/Ubuntu:

sudo apt update && sudo apt upgrade -y
sudo apt autoremove -y

Para CentOS/RHEL:

sudo dnf update -y

Se recomienda habilitar las actualizaciones de seguridad automáticas:

sudo apt install unattended-upgrades
sudo dpkg-reconfigure unattended-upgrades

6. Cortafuegos básico

UFW permite bloquear todo lo innecesario:

sudo ufw default deny incoming
sudo ufw default allow outgoing
sudo ufw allow 2222/tcp
sudo ufw allow http
sudo ufw allow https
sudo ufw enable

7. Fail2Ban contra el ataque por fuerza bruta

Instalamos y habilitamos:

sudo apt install fail2ban -y
sudo systemctl enable --now fail2ban

Hacemos una copia del archivo de configuración:

sudo cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local

En jail.local se pueden configurar bantime y maxretry.

8. Zona horaria y NTP

La hora correcta = registros y cron correctos.

timedatectl list-timezones
sudo timedatectl set-timezone Europe/Moscow
timedatectl status

9. Limpiamos el sistema de lo innecesario

Comprobamos qué puertos está escuchando el servidor:

ss -tuln

Vemos los servicios habilitados:

sudo systemctl list-unit-files --state=enabled

Elimine todo lo que no se use.

10. Copias de seguridad

Las copias de seguridad son más importantes que cualquier configuración. Variante mínima:

rsync -a /важные/данные user@backup:/backups/имя-сервера/

Herramientas más fiables: BorgBackup, Restic, Duplicity. La mejor solución es almacenar las copias de seguridad en otro servidor o en la nube. Compruebe periódicamente que la restauración funciona realmente.

Resumen

Ahora su VPS está protegido contra ataques sencillos, funciona con paquetes actualizados y está listo para la instalación de aplicaciones. A continuación — configuración de monitorización, contenedores (Docker, Podman) y CI/CD, pero ya cuenta con la base fundamental.

Materiales recomendados

• Официальная документация SSH
• UFW — cortafuegos sencillo para Linux
• Documentación de Fail2Ban
• BorgBackup