Руководство UpRadar — все разделы

SSH-мониторинг

SSH-мониторинг проверяет доступность SSH-сервиса, считывая приветственный баннер протокола. UpRadar подключается к указанному порту, получает строку идентификации сервера и убеждается, что сервис жив — без выполнения аутентификации и без необходимости передавать учётные данные.

Функция доступна на тарифе Starter и выше

Что такое SSH-баннер мониторинг

SSH (Secure Shell) — стандартный протокол для защищённого удалённого доступа к серверам. Согласно RFC 4253, сразу после установки TCP-соединения сервер отправляет строку идентификации в формате: 

SSH-2.0-OpenSSH_8.9

Эта строка — «баннер» — содержит версию протокола (SSH-2.0) и идентификатор реализации сервера. UpRadar считывает баннер и проверяет его корректность. Аутентификация при этом не выполняется: ни логин, ни пароль, ни ключи не передаются — подключение завершается сразу после получения баннера.

Такой подход полностью безопасен: UpRadar не имеет доступа к вашему серверу и не создаёт нагрузки на систему аутентификации.

Настройка SSH-монитора

  1. Создайте новый монитор и выберите тип SSH.
  2. Укажите хост — IP-адрес или доменное имя сервера, например bastion.example.com.
  3. Укажите порт. Стандартное значение — 22. Если SSH слушает нестандартный порт (например, 2222 или 22222), укажите его явно.
  4. Сохраните монитор — никакие учётные данные не требуются.

Что проверяется

В ходе каждой проверки UpRadar выполняет следующие шаги:

  1. TCP-соединение — устанавливается соединение с хостом и портом.
  2. SSH-баннер — считывается строка идентификации сервера.
  3. Версия протокола — проверяется, что баннер начинается с SSH-2.0 (SSHv1 считается устаревшим и вызывает предупреждение).

Инцидент создаётся в следующих случаях:

  • TCP-соединение отклонено («Connection refused») — SSH daemon не запущен или порт закрыт.
  • Соединение установлено, но баннер не получен за отведённое время — сервис завис.
  • Баннер получен, но не содержит корректной версии SSH — нестандартный сервис на порту.

Типичные применения

Bastion-хосты и jump-серверы

Bastion-сервер — единственная точка входа в инфраструктуру. Если он недоступен, команда теряет возможность подключиться к продакшн-серверам в момент инцидента. SSH-мониторинг обнаружит проблему раньше, чем кто-то попытается зайти.

CI/CD-агенты и build-серверы

Сборочные серверы часто доступны только по SSH. Мониторинг SSH-порта позволяет заблаговременно выявить недоступность агента до того, как упадёт пайплайн развёртывания.

Любые серверы без HTTP-интерфейса

Базы данных, очереди сообщений, файловые серверы и другие компоненты инфраструктуры, не имеющие HTTP-эндпоинта, можно контролировать через SSH-баннер — это быстрый и безопасный способ убедиться, что сервер работает.

Совет. SSH-мониторинг проверяет только доступность демона и версию протокола. Для контроля работоспособности приложений на сервере используйте HTTP-мониторинг health-endpoint'ов или TCP-мониторинг соответствующих портов.