⚡️ Продвинутый Linux-совет: усиливаем защиту сети и сокращаем поверхность атак Даже хорошо настроенный сервер можно укрепить ещё сильнее — с помощью сетевых правил, лимитов и мониторинга. Идея простая: закрыть всё лишнее, ограничить попытки входа и быстро замечать подозрительную активность. Ниже — набор практичных команд для реальной защиты: firewall, лимиты SSH, обнаружение аномалий и контроль ядра. показать, какие службы слушают снаружи ss -tulpen включить защитные сетевые параметры sysctl -w net.ipv4.tcp_syncookies=1 запретить IP-форвардинг, если не нужен sysctl -w net.ipv4.ip_forward=0 включить rp_filter против spoofing sysctl -w net.ipv4.conf.all.rp_filter=1 базовый deny-by-default в ufw ufw default deny incoming разрешить только нужные порты ufw allow 22/tcp ограничить частые SSH-подключения ufw limit 22/tcp включить ufw ufw enable бан по неудачным логинам (fail2ban) fail2ban-client status sshd базовый drop всего остального в nftables nft add rule inet filter input ct state invalid drop логировать подозрительные пакеты nft add rule inet filter input limit rate 10/min counter log prefix "NETDROP:" обнаружение сканов с psad (если установлен) psad -S быстро проверить активные соединения netstat -plant мониторить сетевые события через journal journalctl -u ssh -f проверить изменения firewall nft list ruleset @linux_be1