Для кого: администратор и SRE.
Требуемые права: администратор панели и доступ к серверу.
Время: 20–30 минут.
Панель
Задайте мастер-ключ секретов
Установите сильный случайный
AXOTTLE_SECRET_KEY (openssl rand -hex 32) в /etc/axottle/axottle.env и перезапустите сервис. Без него секреты защищены небезопасным значением по умолчанию. См. Секреты.Защитите учётные записи
Создайте отдельную учётную запись для каждого администратора, используйте уникальные пароли и включите 2FA. См. Учётные записи и вход.
Не открывайте панель в интернет
Публикуйте панель только через обратный прокси с TLS. По возможности ограничьте доступ VPN или списком разрешённых IP.
Проверьте TLS
Убедитесь, что панель открывается только по HTTPS с валидным сертификатом, а прямой HTTP-доступ к порту извне закрыт. См. Шифрование и TLS.
Защитите базу данных и сервер
Ограничьте доступ к серверу панели и файлам БД, закройте лишние порты, защитите SSH. База данных не шифруется приложением — используйте средства хоста.
Настройте резервные копии с шифрованием
Включите регулярные резервные копии и их шифрование, храните архивы в отдельном месте. См. Резервные копии.
Ноды
Назначьте профиль безопасности
Каждому ноде назначьте профиль безопасности (минимум Recommended, для чувствительных нод — Strict). См. Аудит и соответствие.
Проверьте соответствие
Запустите оценку соответствия и устраните дрейф. Убедитесь, что нет служб в статусе «нет данных» из-за офлайн-агента.
Включите контроль исходящих портов
Настройте Egress Guard: как минимум блокировку почтового спам-релея. Проверьте, что политика не только сохранена, но и применена. См. Egress Guard.
Выпустите сертификаты нод
Для нод с публичным доменом выпустите TLS-сертификаты и следите за остатком срока.
Ограничьте доступ агента
Enrollment-токены одноразовые и короткоживущие — не переиспользуйте и отзывайте неиспользованные. См. Регистрация ноды.
Перед публикацией
Запустите предварительную проверку
Выполните предварительную проверку безопасности для домена/ноды: DNS, TLS, публичная доступность панели, заголовки подписки, опасные порты. Устраните
failed и разберите warning. См. Аудит и соответствие.Настройте маскировку (по необходимости)
Для незаметности разверните маскировочный сайт на публичных нодах. См. Маскировка.
Проверьте уведомления
Подключите канал уведомлений о критичных событиях безопасности и здоровья. См. Уведомления.
Проверка
AXOTTLE_SECRET_KEY задан; панель доступна только по HTTPS и не открыта напрямую в интернет; все ноды имеют профиль безопасности и проходят оценку соответствия без «нет данных»; Egress Guard применён; предварительная проверка не возвращает failed; резервные копии включены и шифруются.Постоянное обслуживание
- Регулярно просматривайте аудит-лог на предмет необычных действий.
- Поддерживайте панель и агентов в актуальной версии. См. Обновления.
- Периодически перезапускайте предварительную проверку и оценку соответствия.
- Отзывайте ненужные токены и учётные данные.
Проверено для версии Axottle текущей ветки. Дата проверки: 2026-07-11.
