Безопасность Pterodactyl Panel: как защитить панель управления серверами

Pterodactyl Panel это стандарт де-факто для управления игровыми серверами. Если у вас больше одного Minecraft сервера, скорее всего вы либо уже используете Pterodactyl, либо думаете о нем. Веб-панель, Docker-изоляция, управление через API, красивый интерфейс. Всё это замечательно, пока кто-то не получит доступ к вашей панели.

Потому что доступ к Pterodactyl Panel = полный контроль над всеми серверами. Консоли, файлы, базы данных, настройки, пользователи. Один скомпрометированный аккаунт администратора и атакующий может уничтожить всё, что вы строили месяцами.

Эта статья про то, как этого не допустить.

Почему безопасность панели критически важна

Представьте ситуацию. У вас 15 Minecraft серверов на трёх нодах. Survival, Creative, мини-игры, прокси. Всё управляется через одну Pterodactyl Panel. Один человек получает доступ к админке и за 5 минут может:

• Удалить все серверы
• Скачать все файлы (включая базы данных с данными игроков)
• Заменить JAR-файлы серверов на вредоносные
• Создать скрытые API-ключи для постоянного доступа
• Изменить SFTP-пароли и заблокировать настоящих администраторов

Это не теоретические угрозы. Это регулярно происходит с серверами, где панель настроена "по умолчанию" и никто не задумывался о безопасности.

SSL/TLS: базовый минимум

Если ваша панель работает по HTTP без шифрования, остановитесь и исправьте это прямо сейчас. Все логины, пароли, сессионные токены передаются открытым текстом. Любой, кто находится в той же сети (или между вами и сервером), может перехватить их.

Установка Let's Encrypt

# Установка certbot
apt install certbot python3-certbot-nginx

# Получение сертификата
certbot --nginx -d panel.yourserver.com

# Автоматическое продление
certbot renew --dry-run

Certbot автоматически настроит nginx на редирект с HTTP на HTTPS. Но проверьте это вручную:

server {
    listen 80;
    server_name panel.yourserver.com;
    return 301 https://$host$request_uri;
}

server {
    listen 443 ssl http2;
    server_name panel.yourserver.com;

    ssl_certificate /etc/letsencrypt/live/panel.yourserver.com/fullchain.pem;
    ssl_certificate_key /etc/letsencrypt/live/panel.yourserver.com/privkey.pem;

    ssl_protocols TLSv1.2 TLSv1.3;
    ssl_ciphers ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384;
    ssl_prefer_server_ciphers off;

    # HSTS
    add_header Strict-Transport-Security "max-age=63072000; includeSubDomains; preload" always;

    # Остальная конфигурация Pterodactyl...
}

Обратите внимание на HSTS-заголовок. Он говорит браузеру: "всегда используй HTTPS для этого домена". Даже если кто-то попытается подставить HTTP-ссылку, браузер автоматически переключится на HTTPS.

SSL для Wings тоже

Не забудьте про Wings (демон, который работает на нодах). Коммуникация между Panel и Wings тоже должна быть зашифрована:

certbot certonly --standalone -d node1.yourserver.com

В конфиге Wings (/etc/pterodactyl/config.yml):

api:
  host: 0.0.0.0
  port: 8080
  ssl:
    enabled: true
    cert: /etc/letsencrypt/live/node1.yourserver.com/fullchain.pem
    key: /etc/letsencrypt/live/node1.yourserver.com/privkey.pem

Двухфакторная аутентификация (2FA)

Пароль можно украсть. Фишинг, кейлоггер, утечка из другого сервиса (да, люди повсюду используют одинаковые пароли). 2FA добавляет второй слой: даже зная пароль, без физического доступа к телефону или аппаратному ключу войти не получится.

Pterodactyl поддерживает TOTP (Time-based One-Time Password) через Google Authenticator, Authy и аналоги.

Принудительное включение 2FA

Для администраторов 2FA должен быть обязательным, не опциональным. В .env файле Pterodactyl:

# Требовать 2FA для всех администраторов
APP_2FA_REQUIRED=1

Кроме того, убедитесь, что все саб-пользователи (subusers) серверов тоже используют 2FA. Один взломанный аккаунт саб-пользователя с правами консоли = возможность выполнять произвольные команды на сервере.

Хранение backup-кодов

При настройке 2FA генерируются backup-коды. Храните их:

• Не в текстовом файле на рабочем столе
• Не в заметках на телефоне
• В менеджере паролей (KeePass, Bitwarden)
• Или на бумаге в сейфе (серьёзно, иногда аналог надёжнее)

Потерять 2FA и backup-коды = потерять доступ к панели. Восстановление возможно только через базу данных напрямую.

Безопасность Wings и Docker

Wings это демон Pterodactyl, который запускается на каждой ноде. Он управляет Docker-контейнерами, в которых работают игровые серверы. Безопасность Wings = безопасность всех серверов на ноде.

Docker-изоляция

Каждый Minecraft сервер работает внутри Docker-контейнера. Это хорошо, потому что контейнер изолирует процесс от хостовой системы. Но изоляция Docker не абсолютна.

Основные риски:

Shared kernel. Все контейнеры используют одно ядро Linux. Уязвимость в ядре может позволить выйти из контейнера. Держите ядро обновлённым.

Привилегированные контейнеры. Pterodactyl по умолчанию не использует привилегированные контейнеры, и это правильно. Никогда не включайте --privileged для игровых серверов.

Монтирование хостовых директорий. Wings монтирует определённые директории внутрь контейнеров. Убедитесь, что конфигурация Wings не позволяет серверам выходить за пределы своих директорий:

# /etc/pterodactyl/config.yml
system:
  data: /var/lib/pterodactyl/volumes
  # Не ставьте сюда /home или /root

Ограничение сетевого доступа контейнеров

По умолчанию Docker-контейнеры могут обращаться куда угодно. Это значит, что вредоносный плагин на одном сервере может сканировать внутреннюю сеть, отправлять запросы к панели, пытаться подключиться к базе данных.

Ограничьте исходящий трафик контейнеров:

# Запретить контейнерам обращаться к хосту (кроме DNS)
iptables -I DOCKER-USER -d 172.17.0.1 -j DROP
iptables -I DOCKER-USER -d 172.17.0.1 -p udp --dport 53 -j ACCEPT
iptables -I DOCKER-USER -d 172.17.0.1 -p tcp --dport 53 -j ACCEPT

# Запретить доступ к метаданным облака (если используете облачный хостинг)
iptables -I DOCKER-USER -d 169.254.169.254 -j DROP

Docker escape: реальная угроза

Docker escape (побег из контейнера) это атака, при которой процесс внутри контейнера получает доступ к хостовой системе. Для Pterodactyl это означает: если кто-то загрузит вредоносный JAR-файл, который эксплуатирует уязвимость Docker, он получит root-доступ к ноде.

Снижаем риски:

# Проверьте, что Docker работает в rootless режиме (если возможно)
dockerd-rootless-setuptool.sh install

# Или хотя бы включите user namespaces
echo '{"userns-remap": "default"}' > /etc/docker/daemon.json
systemctl restart docker

User namespace remapping означает, что root внутри контейнера не является root на хосте. Это значительно усложняет Docker escape.

Ограничение доступа по IP

Ваша панель не должна быть доступна всему интернету. Ограничьте доступ до IP-адресов ваших администраторов.

Nginx-конфигурация

# В блоке server {} вашей Pterodactyl-конфигурации
location / {
    # Разрешить доступ только с определённых IP
    allow 1.2.3.4;       # Админ 1
    allow 5.6.7.8;       # Админ 2
    allow 10.0.0.0/8;    # Внутренняя сеть
    deny all;

    # Остальная конфигурация...
    try_files $uri $uri/ /index.php?$query_string;
}

Если ваши администраторы имеют динамические IP (типично для домашнего интернета), используйте VPN. Поднимите WireGuard на отдельном сервере и давайте доступ к панели только через VPN:

# Разрешить только WireGuard-сеть
allow 10.10.10.0/24;
deny all;

Отдельный порт для API

Pterodactyl API используется Wings для коммуникации с панелью. Этот трафик можно вынести на отдельный порт с ещё более строгими ограничениями:

# Основной доступ к панели (443)
server {
    listen 443 ssl;
    server_name panel.yourserver.com;
    # ...обычная конфигурация...
}

# API для нод (отдельный порт)
server {
    listen 4443 ssl;
    server_name panel.yourserver.com;

    # Только IP нод
    allow 10.0.1.10;  # Node 1
    allow 10.0.1.11;  # Node 2
    deny all;

    location /api/remote {
        try_files $uri $uri/ /index.php?$query_string;
    }
}

Безопасность базы данных

Pterodactyl использует MySQL/MariaDB. База данных содержит пользовательские данные, хеши паролей, API-ключи, конфигурации серверов. Компрометация базы = компрометация всего.

Отдельный пользователь

Не используйте root для подключения Pterodactyl к базе данных. Создайте отдельного пользователя с минимальными правами:

-- Создание пользователя для панели
CREATE USER 'pterodactyl'@'127.0.0.1' IDENTIFIED BY 'STRONG_RANDOM_PASSWORD_HERE';
GRANT SELECT, INSERT, UPDATE, DELETE, CREATE, ALTER, INDEX, DROP, REFERENCES
    ON panel.* TO 'pterodactyl'@'127.0.0.1';

-- Отдельный пользователь для хостинга баз данных (если используется)
CREATE USER 'pterodactyluser'@'127.0.0.1' IDENTIFIED BY 'ANOTHER_STRONG_PASSWORD';
GRANT CREATE USER ON *.* TO 'pterodactyluser'@'127.0.0.1';
GRANT GRANT OPTION ON *.* TO 'pterodactyluser'@'127.0.0.1';

Нет удалённого доступа

MySQL не должен слушать на внешнем IP:

# /etc/mysql/mariadb.conf.d/50-server.cnf
[mysqld]
bind-address = 127.0.0.1
skip-networking = 0

Если Panel и Wings на разных машинах и нужен удалённый доступ к БД, используйте SSH-туннель, а не открывайте порт 3306 в интернет.

Регулярные бэкапы

# Ежедневный бэкап базы Pterodactyl
mysqldump -u pterodactyl -p panel | gzip > /backup/panel-$(date +%Y%m%d).sql.gz

# Ротация: храним 30 дней
find /backup -name "panel-*.sql.gz" -mtime +30 -delete

Храните бэкапы на отдельном сервере или в объектном хранилище (S3, MinIO). Бэкап на том же диске, что и база, бесполезен при отказе диска.

Безопасность Redis

Pterodactyl использует Redis для кеширования, очередей и сессий. Незащищённый Redis это один из самых частых векторов атак на веб-приложения.

Установка пароля

По умолчанию Redis не требует пароля. Это надо исправить:

# /etc/redis/redis.conf
requirepass YOUR_STRONG_REDIS_PASSWORD
bind 127.0.0.1
protected-mode yes

Обновите .env файл Pterodactyl:

REDIS_PASSWORD=YOUR_STRONG_REDIS_PASSWORD

Почему это важно

Незащищённый Redis, доступный извне, позволяет атакующему:

• Прочитать все сессии (= угнать сессию администратора)
• Записать произвольные ключи (= подменить кеш)
• Выполнить команды через EVAL (Lua scripting)
• В некоторых конфигурациях записать SSH-ключи на диск

Привязка Redis к 127.0.0.1 + пароль = минимальный набор защиты.

Права на файлы

Неправильные права на файлы могут свести на нет всю остальную защиту. Если .env файл (который содержит пароли от базы, Redis, ключи шифрования) читаем для всех пользователей системы, любой процесс на сервере может его прочитать.

# Права на директорию Pterodactyl
chown -R www-data:www-data /var/www/pterodactyl
chmod -R 755 /var/www/pterodactyl

# Строгие права на чувствительные файлы
chmod 640 /var/www/pterodactyl/.env
chown root:www-data /var/www/pterodactyl/.env

# Storage и cache должны быть записываемыми для веб-сервера
chmod -R 775 /var/www/pterodactyl/storage
chmod -R 775 /var/www/pterodactyl/bootstrap/cache

Ключевой принцип: .env читается только root и веб-сервером. Никем больше.

Обновления и патчи

Pterodactyl не обновляется автоматически. Это значит, что если вы установили панель год назад и ни разу не обновляли, у вас могут быть незакрытые уязвимости.

Процедура обновления

cd /var/www/pterodactyl

# Включить режим обслуживания
php artisan down

# Скачать новую версию
curl -L https://github.com/pterodactyl/panel/releases/latest/download/panel.tar.gz | tar -xzv

# Обновить зависимости
composer install --no-dev --optimize-autoloader

# Миграции базы данных
php artisan migrate --seed --force

# Очистить кеш
php artisan view:clear
php artisan config:clear

# Вернуть панель в работу
php artisan up

Обновление Wings

# Скачать новую версию Wings
curl -L -o /usr/local/bin/wings \
  https://github.com/pterodactyl/wings/releases/latest/download/wings_linux_amd64

chmod u+x /usr/local/bin/wings

# Перезапуск
systemctl restart wings

Подпишитесь на GitHub releases и Discord Pterodactyl, чтобы узнавать о критических обновлениях безопасности.

Управление API-ключами

Pterodactyl имеет мощный API, через который можно делать практически всё: создавать серверы, управлять пользователями, удалять данные. Каждый API-ключ это потенциальная точка входа.

Принцип минимальных привилегий

Никогда не создавайте API-ключи с полным доступом "на всякий случай". Определите конкретные операции, которые нужны, и выдайте права только на них:

# Плохо: ключ с полным доступом
API Key: Read/Write на все разделы

# Хорошо: ключ для мониторинга
API Key: Read-only на Servers, Nodes

Ротация ключей

API-ключи не должны жить вечно. Установите политику ротации:

• Ключи для интеграций: ротация каждые 90 дней
• Ключи для одноразовых скриптов: удалять сразу после использования
• Утёкший ключ: удалить немедленно, проверить логи на подозрительную активность

Мониторинг использования API

Добавьте логирование API-запросов в nginx:

location /api {
    access_log /var/log/nginx/pterodactyl-api.log;
    # ...
}

Регулярно проверяйте логи на необычную активность: запросы с неизвестных IP, массовые операции, запросы в нерабочее время.

Мониторинг доступа к панели

Логи это ваши глаза. Без мониторинга вы узнаете о взломе только когда серверы уже удалены.

Что мониторить

• Неудачные попытки входа (brute force)
• Успешные входы с новых IP-адресов
• Создание и удаление API-ключей
• Изменение прав пользователей
• Удаление серверов

Fail2ban для Pterodactyl

# /etc/fail2ban/filter.d/pterodactyl.conf
[Definition]
failregex = ^.*"POST \/auth\/login.*" 422.*$
            ^.*authentication.*failed.*<HOST>.*$
ignoreregex =

# /etc/fail2ban/jail.d/pterodactyl.conf
[pterodactyl]
enabled = true
filter = pterodactyl
logpath = /var/log/nginx/pterodactyl-access.log
maxretry = 5
findtime = 600
bantime = 3600

5 неудачных попыток входа за 10 минут = бан IP на час. Можете ужесточить для продакшена.

Типичные атаки на Pterodactyl

Brute force

Самая распространённая атака. Боты перебирают пароли к /auth/login. Защита: сложные пароли + 2FA + fail2ban + ограничение по IP.

Session hijacking

Перехват сессионного cookie. Защита: HTTPS (без него cookie передаётся открытым текстом), флаги Secure и HttpOnly на cookie, привязка сессии к IP.

В .env Pterodactyl:

SESSION_SECURE_COOKIE=true

CSRF (Cross-Site Request Forgery)

Pterodactyl использует Laravel, который имеет встроенную защиту от CSRF через токены. Убедитесь, что вы не отключили middleware VerifyCsrfToken. Если используете кастомные формы или интеграции, всегда передавайте CSRF-токен.

Через уязвимые плагины/моды серверов

Атакующий загружает вредоносный JAR-файл на один из серверов. JAR запускается внутри Docker-контейнера и пытается:

• Выйти из контейнера (Docker escape)
• Сканировать внутреннюю сеть
• Обратиться к API панели с украденными учётными данными

Защита: Docker-изоляция (описана выше), сетевые ограничения для контейнеров, проверка загружаемых файлов.

Сетевая сегментация

В идеальном мире панель Pterodactyl и игровые серверы живут в разных сетях:

[Интернет] --> [Firewall] --> [DMZ: Panel]
                           --> [Internal: Game Nodes]

Panel доступна из интернета (через HTTPS). Ноды с игровыми серверами доступны из интернета только по игровым портам (25565). Коммуникация между Panel и Nodes идёт по внутренней сети.

Если вы используете облачный хостинг (Hetzner, OVH), создайте VLAN между серверами:

# На ноде: Wings слушает на внутреннем IP
api:
  host: 10.0.1.10
  port: 8080

В Panel при добавлении ноды указывайте внутренний IP для коммуникации и внешний FQDN для SFTP-доступа пользователей.

Подробнее о сетевой защите игровых серверов читайте в гайде по iptables.

Pelican: преемник Pterodactyl

В 2024-2025 годах Pterodactyl фактически перестал активно развиваться. Форк под названием Pelican продолжил разработку и стал де-факто преемником.

Что изменилось в Pelican с точки зрения безопасности

Обновлённый стек. Pelican перешёл на более новые версии Laravel и PHP, что закрывает ряд уязвимостей старых версий.

Улучшенное управление ролями. Более гранулярные права доступа. Вместо простой бинарной модели "админ/не админ" появились настраиваемые роли.

Регулярные обновления. Активное сообщество = быстрые патчи безопасности. У Pterodactyl последние коммиты могут быть за месяцы до обнаружения уязвимости.

Совместимость с Wings. Pelican работает с существующими Wings-нодами, что упрощает миграцию.

Стоит ли мигрировать

Если вы ставите панель с нуля, берите Pelican. Если у вас работающий Pterodactyl, миграция имеет смысл, когда:

• Pterodactyl перестал получать обновления безопасности
• Вам нужны новые функции (улучшенные роли, лучший UI)
• Вы планируете масштабирование и хотите актуальный стек

Процесс миграции документирован в Pelican docs. Сделайте полный бэкап перед началом.

Чеклист безопасности

Перед тем как выкатывать панель в продакшен, пройдитесь по списку:

Сеть:

• HTTPS включён (Let's Encrypt)
• HSTS-заголовок установлен
• Wings использует SSL
• Доступ к панели ограничен по IP или через VPN
• MySQL слушает только на 127.0.0.1
• Redis привязан к 127.0.0.1 с паролем

Аутентификация:

• 2FA обязателен для всех администраторов
• Пароли сложные и уникальные
• Backup-коды сохранены в безопасном месте
• SESSION_SECURE_COOKIE=true

Docker и ноды:

• Контейнеры не запускаются в привилегированном режиме
• User namespace remapping включён
• Исходящий трафик контейнеров ограничен
• Доступ к Docker socket ограничен

Обслуживание:

• Панель обновлена до последней версии
• Wings обновлены до последней версии
• Ежедневные бэкапы базы данных
• Fail2ban настроен
• API-ключи используют минимальные привилегии

Файловая система:

• .env файл: 640, root:www-data
• Директории storage и cache: 775
• Остальные файлы: 755

Если вы работаете с DDoS-защитой серверов через MineGuard, убедитесь, что панель находится за отдельным защищённым IP, а не за тем же адресом, что и игровые серверы. Атака на панель не должна влиять на доступность игровых серверов и наоборот.

Заключение

Безопасность Pterodactyl Panel это не "настроил и забыл". Это непрерывный процесс: обновления, мониторинг логов, ротация ключей, проверка конфигурации.

Ключевые моменты:

1. HTTPS обязателен. Для Panel и для Wings.
2. 2FA обязателен для всех администраторов.
3. Ограничьте доступ к панели по IP или через VPN.
4. Изолируйте Docker-контейнеры и ограничьте их сетевой доступ.
5. Защитите базу данных и Redis (пароли, localhost, отдельные пользователи).
6. Управляйте API-ключами по принципу минимальных привилегий.
7. Мониторьте логи и настройте fail2ban.
8. Обновляйте Panel и Wings регулярно. Рассмотрите переход на Pelican.

Панель управления это мозг вашей серверной инфраструктуры. Защитите мозг, и тело будет в безопасности. Подробнее о комплексной безопасности Minecraft серверов читайте в чеклисте безопасности 2026.