Инструменты, которые должен знать каждый, кто арендует первый VDS

Продолжаю серию подборок. Недавно рассказывал про онлайн-сервисы для сетевиков, а сегодня статья для тех, кто арендовал первый виртуальный сервер. Если нужен мониторинг, защита и резервное копирование, но ставить тяжёлый софт ради одной машины не хочется (или не «можется») — эти опенсорсные инструменты вам точно пригодятся. 

1. Netdata

Зачем нужен: видеть, что происходит с сервером, не читая логи и не устанавливая стек мониторинга.

Первый VDS обычно берут на минимальном тарифе и без просчёта нагрузки. Зачастую в таких ситуациях появляются подвисания SSH или задержки в ответе сервиса, и искать проблему «методом тыка» бесполезно. Может, не хватает оперативки, может, дисковая подсистема не справляется с нагрузкой, а может, какой-то процесс ушёл в бесконечный цикл и грузит процессор.

Тут поможет Netdata — эта платформа собирает метрики в реальном времени и показывает их во встроенном веб-интерфейсе на порту 19999. Среди них: загрузка процессора, потребление памяти, дисковые операции, сетевой трафик и отдельные процессы.

В целом, с помощью инструмента можно увидеть, хватает ли тарифа по ресурсам, какой именно процесс «съедает» память и не создаёт ли проблем дисковая подсистема. Также можно отследить момент, когда сервер начинает использовать своп — это верный признак того, что оперативной памяти не хватает и пора менять тариф. 

Минусы — на слабых тарифах сам агент Netdata потребляет порядка 50–100 МБ памяти и даёт постоянную нагрузку на процессор. Кроме того, по умолчанию данные хранятся всего час, поэтому нужно внешнее хранилище или база данных.

2. Fail2ban

Зачем нужен: автоматически блокировать IP-адреса, которые пытаются подобрать пароль к вашему серверу.

Первое, что происходит с новым VDS с публичным IP-адресом, — это автоматизированный перебор паролей по SSH. Такая атака не целенаправленная, ведь ботнеты сканируют разные диапазоны адресов и на каждый открытый 22-й порт «льют» словарь паролей. 

Fail2ban анализирует журналы указанных сервисов, выявляет подозрительные паттерны (например, пять неудачных попыток входа подряд с одного IP) и временно блокирует этот адрес через файрвол. После истечения таймаута блокировка снимается автоматически. Кроме того, поддерживаются не только SSH, но и веб-серверы, почтовые службы и базы данных.

Минусы — обработка журналов также даёт нагрузку, а при неправильной настройке можно заблокировать собственный IP-адрес. 

3. BorgBackup

Зачем нужен: делать резервные копии, которые занимают минимум места, и восстанавливать данные из любой точки во времени.

На первом VDS зачастую копятся конфигурации сервисов, базы данных, загруженные файлы и исходный код проектов. Собственно, без резервного копирования никуда. Даже если оно есть у хостера, для контроля лучше дополнительно иметь своё. 

Borg использует дедупликацию на уровне блоков — первый архив содержит все ваши данные, а в каждый следующий попадают только изменившиеся блоки. Также в программу встроено шифрование и сжатие репозитория, а проверка целостности выполняется при каждой операции.

С помощью этого инструмента можно настроить ежедневное резервное копирование и хранить до 30 точек восстановления. Репозиторий можно разместить на том же сервере (не рекомендую, но лучше, чем ничего), на удалённом сервере или на объектном хранилище.

Минусы — требует привыкания, синтаксис не интуитивен и потеря пароля от репозитория равна безвозвратной потере всех копий.

4. Caddy

Зачем нужен: запустить сайт с HTTPS, не разбираясь в сертификатах, их обновлении и конфигурации веб-сервера.

Первый сайт на первом сервере — это чаще всего личный блог, портфолио, тестовый проект или навайбкоденный сервис. Чаще всего для этого нужны установка nginx, настройка виртуального хоста, получение сертификата, настройка обновлений и прописанные редиректы с HTTP на HTTPS. 

Сейчас это, конечно, можно сделать с помощью ИИ, но можно пользоваться и Caddy. В конфигурации платформы нужно указать только домен и бэкенд, а всё остальное подтянется автоматически. Это позволит сосредоточиться на содержимом сайта, а не на инфраструктуре. 

Минусы — «кушает» оперативку и для сложных сценариев маршрутизации, геолокации и тонкой балансировки нагрузки потребуются плагины.

5. UFW

Зачем нужен: закрыть все лишние порты и оставить только необходимые.

Зачастую после установки ОС на виртуалке забывают закрывать порты. Это значит, что любой установленный сервис будет доступен из интернета, даже если вы этого не планировали. 

UFW — надстройка над iptables в Ubuntu с простым синтаксисом:

• ufw allow 22 — открыть SSH,

• ufw allow 80 — открыть HTTP,

• ufw allow 443 — открыть HTTPS,

• ufw enable — включить защиту.

После включения инструмент блокирует всё входящее соединение, кроме разрешённого. Главное, не забудьте открыть 22-й порт перед включением самого UFW, иначе потеряете собственный SSH-доступ.

Минусы — при установке Docker правила UFW игнорируются, а также сложные сценарии NAT, маркировки пакетов и многоуровневой фильтрации не поддерживаются.

6. htop

Зачем нужен: визуально оценить загрузку сервера и найти проблемный процесс без запоминания PID.

Стандартная утилита top входит в состав любой Unix-системы, но её интерфейс неинформативен. Htop показывает загрузку процессора и потребление памяти в виде диаграмм. Также в инструменте можно сортировать процессы по параметрам, искать по имени, просматривать дерево зависимостей и отправлять сигналы из интерфейса. 

Минусы — нужен только для интерактивного использования. Для автоматизации и скриптов используйте ps, pgrep, pidof.

7. Restic

Зачем нужен: бэкапить данные в облачное хранилище.

Вышеописанный BorgBackup хорош, но его родной протокол работает только через SSH или локальную файловую систему. Если виртуалка только одна, а денег на объектные хранилища нет, то нужно думать, где хранить бэкапы.

Restic — утилита для резервного копирования с упором на облака. Она также как Borg сохраняет все данные в первый архив, а в последующие только изменившиеся блоки. Шифрование репозитория, сжатие и проверка целостности тут также есть.

Минусы — дедупликация менее агрессивная, чем у Borg, поэтому репозиторий растёт быстрее (ну и места больше занимает). 

8. Lynis

Зачем нужен: получить независимую оценку конфигурации безопасности сервера и увидеть типичные ошибки, которые совершают новички.

На первых VDS практически всегда хромает безопасность — у некоторых разрешён вход под учёткой root, у других включена аутентификация SSH, а файрвол выключен, а у третьих остаются стандартные права доступа к критическим файлам. Всё это уязвимости. 

Lynis сканирует систему и выдаёт отчёт с оценкой и рекомендациями. Инструмент проверяет настройки SSH, права доступа к файлам, наличие обновлений безопасности, открытые порты, конфигурацию файрвола, учётки пользователей и настройки ядра. Также приятно, что в рекомендациях есть ссылки на документацию.

Минусы — ориентирован на корпоративные политики, поэтому не все меры нужны на личном сервере. 

9. ncdu

Зачем нужен: быстро найти, что занимает место на диске, и разобраться в структуре каталогов.

На минимальном тарифе виртуалки обычно имеют 20–40 ГБ дискового пространства — этого достаточно для ОС, нескольких сервисов и небольшой базы данных, но их легко исчерпать. Размер каталогов показывает стандартная утилита du, но работает она медленно.

ncdu сканирует файловую систему один раз, строит индекс, а затем даёт интерфейс для навигации по каталогам. Через инструмент можно проваливаться в подкаталоги, возвращаться назад и удалять файлы/каталоги, так как видно, что и сколько места занимает. 

Минусы — интерфейс консольный, управляется только клавиатурой, а также удаление файлов необратимо.

10. WireGuard

Зачем нужен: организовать защищённый туннель к серверу и через сервер.

На первом VDS нельзя забывать и о защищённом соединении — безопасном выходе в сеть через свой IP-адрес, удалённом доступе к домашней сети и т. д. Классически для этого используется OpenVPN, но тут не обойтись без понимания инфраструктуры ключей, генерации сертификатов, настройки центра сертификации и прописывания маршрутов.

В WireGuard для создания туннеля достаточно сгенерировать пару ключей на каждой стороне и прописать одну секцию в конфигурации.

Минусы — нет встроенного механизма выдачи клиентских конфигураций, а ключи генерируются вручную или через сторонние утилиты (типа wg-easy).

На этом инструменте закончу. Для первого VDS/VPS этой подборки достаточно (с учётом того, что мы помним и знаем консольные утилиты). Также, если вы совсем новичок — не забывайте читать документацию, там есть много всего полезного. 

Если что-то забыл или у вас есть свои лидеры — делитесь инструментами в комментариях. Также буду рад темам новых подборок. 

© 2026 ООО «МТ ФИНАНС»