> ## Documentation Index
> Fetch the complete documentation index at: https://docs.axottle.com/llms.txt
> Use this file to discover all available pages before exploring further.

# Харденинг

> Обязательный чек-лист усиления защиты панели Axottle и нод после установки.

Этот чек-лист собирает обязательные шаги, которые нужно выполнить сразу после установки Axottle. Пройдите его целиком перед вводом в эксплуатацию.

<Info>
  Для кого: администратор и SRE.
  Требуемые права: администратор панели и доступ к серверу.
  Время: 20–30 минут.
</Info>

## Панель

<Steps>
  <Step title="Задайте мастер-ключ секретов">
    Установите сильный случайный `AXOTTLE_SECRET_KEY` (`openssl rand -hex 32`) в `/etc/axottle/axottle.env` и перезапустите сервис. Без него секреты защищены небезопасным значением по умолчанию. См. [Секреты](/ru/security/secrets).
  </Step>

  <Step title="Защитите учётные записи">
    Создайте отдельную учётную запись для каждого администратора, используйте уникальные пароли и включите 2FA. См. [Учётные записи и вход](/ru/panel/access-and-sessions).
  </Step>

  <Step title="Не открывайте панель в интернет">
    Публикуйте панель только через обратный прокси с TLS. По возможности ограничьте доступ VPN или списком разрешённых IP.
  </Step>

  <Step title="Проверьте TLS">
    Убедитесь, что панель открывается только по HTTPS с валидным сертификатом, а прямой HTTP-доступ к порту извне закрыт. См. [Шифрование и TLS](/ru/security/encryption).
  </Step>

  <Step title="Защитите базу данных и сервер">
    Ограничьте доступ к серверу панели и файлам БД, закройте лишние порты, защитите SSH. База данных не шифруется приложением — используйте средства хоста.
  </Step>

  <Step title="Настройте резервные копии с шифрованием">
    Включите регулярные резервные копии и их шифрование, храните архивы в отдельном месте. См. [Резервные копии](/ru/operations/backups).
  </Step>
</Steps>

## Ноды

<Steps>
  <Step title="Назначьте профиль безопасности">
    Каждому ноде назначьте профиль безопасности (минимум **Recommended**, для чувствительных нод — **Strict**). См. [Аудит и соответствие](/ru/security/audit-and-compliance).
  </Step>

  <Step title="Проверьте соответствие">
    Запустите оценку соответствия и устраните дрейф. Убедитесь, что нет служб в статусе «нет данных» из-за офлайн-агента.
  </Step>

  <Step title="Включите контроль исходящих портов">
    Настройте Egress Guard: как минимум блокировку почтового спам-релея. Проверьте, что политика не только сохранена, но и применена. См. [Egress Guard](/ru/operations/egress).
  </Step>

  <Step title="Выпустите сертификаты нод">
    Для нод с публичным доменом выпустите TLS-сертификаты и следите за остатком срока.
  </Step>

  <Step title="Ограничьте доступ агента">
    Enrollment-токены одноразовые и короткоживущие — не переиспользуйте и отзывайте неиспользованные. См. [Регистрация ноды](/ru/nodes/enrollment).
  </Step>
</Steps>

## Перед публикацией

<Steps>
  <Step title="Запустите предварительную проверку">
    Выполните предварительную проверку безопасности для домена/ноды: DNS, TLS, публичная доступность панели, заголовки подписки, опасные порты. Устраните `failed` и разберите `warning`. См. [Аудит и соответствие](/ru/security/audit-and-compliance).
  </Step>

  <Step title="Настройте маскировку (по необходимости)">
    Для незаметности разверните маскировочный сайт на публичных нодах. См. [Маскировка](/ru/security/masking).
  </Step>

  <Step title="Проверьте уведомления">
    Подключите канал уведомлений о критичных событиях безопасности и здоровья. См. [Уведомления](/ru/panel/notifications).
  </Step>
</Steps>

## Проверка

<Check>
  `AXOTTLE_SECRET_KEY` задан; панель доступна только по HTTPS и не открыта напрямую в интернет; все ноды имеют профиль безопасности и проходят оценку соответствия без «нет данных»; Egress Guard применён; предварительная проверка не возвращает `failed`; резервные копии включены и шифруются.
</Check>

## Постоянное обслуживание

* Регулярно просматривайте аудит-лог на предмет необычных действий.
* Поддерживайте панель и агентов в актуальной версии. См. [Обновления](/ru/operations/updates).
* Периодически перезапускайте предварительную проверку и оценку соответствия.
* Отзывайте ненужные токены и учётные данные.

<Note>Проверено для версии Axottle текущей ветки. Дата проверки: 2026-07-11.</Note>
