Перейти к основному содержанию
Этот чек-лист собирает обязательные шаги, которые нужно выполнить сразу после установки Axottle. Пройдите его целиком перед вводом в эксплуатацию.
Для кого: администратор и SRE. Требуемые права: администратор панели и доступ к серверу. Время: 20–30 минут.

Панель

1

Задайте мастер-ключ секретов

Установите сильный случайный AXOTTLE_SECRET_KEY (openssl rand -hex 32) в /etc/axottle/axottle.env и перезапустите сервис. Без него секреты защищены небезопасным значением по умолчанию. См. Секреты.
2

Защитите учётные записи

Создайте отдельную учётную запись для каждого администратора, используйте уникальные пароли и включите 2FA. См. Учётные записи и вход.
3

Не открывайте панель в интернет

Публикуйте панель только через обратный прокси с TLS. По возможности ограничьте доступ VPN или списком разрешённых IP.
4

Проверьте TLS

Убедитесь, что панель открывается только по HTTPS с валидным сертификатом, а прямой HTTP-доступ к порту извне закрыт. См. Шифрование и TLS.
5

Защитите базу данных и сервер

Ограничьте доступ к серверу панели и файлам БД, закройте лишние порты, защитите SSH. База данных не шифруется приложением — используйте средства хоста.
6

Настройте резервные копии с шифрованием

Включите регулярные резервные копии и их шифрование, храните архивы в отдельном месте. См. Резервные копии.

Ноды

1

Назначьте профиль безопасности

Каждому ноде назначьте профиль безопасности (минимум Recommended, для чувствительных нод — Strict). См. Аудит и соответствие.
2

Проверьте соответствие

Запустите оценку соответствия и устраните дрейф. Убедитесь, что нет служб в статусе «нет данных» из-за офлайн-агента.
3

Включите контроль исходящих портов

Настройте Egress Guard: как минимум блокировку почтового спам-релея. Проверьте, что политика не только сохранена, но и применена. См. Egress Guard.
4

Выпустите сертификаты нод

Для нод с публичным доменом выпустите TLS-сертификаты и следите за остатком срока.
5

Ограничьте доступ агента

Enrollment-токены одноразовые и короткоживущие — не переиспользуйте и отзывайте неиспользованные. См. Регистрация ноды.

Перед публикацией

1

Запустите предварительную проверку

Выполните предварительную проверку безопасности для домена/ноды: DNS, TLS, публичная доступность панели, заголовки подписки, опасные порты. Устраните failed и разберите warning. См. Аудит и соответствие.
2

Настройте маскировку (по необходимости)

Для незаметности разверните маскировочный сайт на публичных нодах. См. Маскировка.
3

Проверьте уведомления

Подключите канал уведомлений о критичных событиях безопасности и здоровья. См. Уведомления.

Проверка

AXOTTLE_SECRET_KEY задан; панель доступна только по HTTPS и не открыта напрямую в интернет; все ноды имеют профиль безопасности и проходят оценку соответствия без «нет данных»; Egress Guard применён; предварительная проверка не возвращает failed; резервные копии включены и шифруются.

Постоянное обслуживание

  • Регулярно просматривайте аудит-лог на предмет необычных действий.
  • Поддерживайте панель и агентов в актуальной версии. См. Обновления.
  • Периодически перезапускайте предварительную проверку и оценку соответствия.
  • Отзывайте ненужные токены и учётные данные.
Проверено для версии Axottle текущей ветки. Дата проверки: 2026-07-11.