LinuxCamp | DevOps

Этому вашему виндовсу "что в лоб что по лбу". Линуха никого не щадит) LinuxCamp | #memes

🔥 Вакансии в команду разработчиков YADRO: Получите оффер этим летом! 🚀 Хотите писать код, который становится основой для продуктов и новых технологических решений? YADRO — лидер российской инженерной индустрии — расширяет команды разработки BIOS/BMC. 📅 У вас будет возможность присоединиться к команде, которая создаёт ПО UEFI (BIOS) и BMC для серверов, систем хранения данных и телеком-оборудования. Мы работаем с проектами открытого исходного кода — EDK2 и OpenBMC — и влияем на развитие всей индустрии. Кого мы ищем? Ведущих и старших разработчиков — разработка встроенного ПО для серверов — от архитектуры BMC до работы с UEFI и OpenBMC: 1️⃣ TeamLead разработки OpenBMC. 2️⃣ Ведущего разработчика интерфейсов встраиваемых систем (Linux/OpenBMC). 3️⃣ Ведущего разработчика C++ (Linux/OpenBMC). 4️⃣ Старшего C разработчика (BIOS/UEFI). QA-инженеров (ручное и автоматизированное тестирование) — тестирование встроенного ПО, автоматизация процессов и улучшение качества наших платформ: 1️⃣ Инженер по верификации и ручному тестированию встроенного ПО (QA) 2️⃣ Инженер по автоматизации тестирования / Automation QA 3️⃣ Старший инженер по автоматизации аппаратного тестирования / Embedded AQA Почему YADRO? ➡️ Распределённая команда — работайте удалённо или в офисах в Москве, СПб, Нижнем Новгороде, Екатеринбурге и Минске. ➡️ Работа с уникальными проектами, влияющими на жизнь миллионов пользователей. ➡️ Реальный карьерный рост: как вертикальный, так и горизонтальный. ➡️ Возможность работать с талантливыми инженерами и напрямую влиять на развитие технологий. 💙 Присоединяйтесь к YADRO и становитесь частью масштабных проектов!

autossh — чтобы SSH-туннели не отваливались Обычный "ssh -L" рвётся: сеть пропала, ноут ушёл в сон — туннель умер. Тулза autossh следит за соединением и сам перезапускает его. Незаменим для баз, Grafana, внутренних API — всего, что должно «всегда работать». Установка:

    
        
sudo apt install autossh{}
    

Быстрый старт: Достаточно заменить привычную команду ssh -L на autossh, добавив пару опций. Например, вместо:

    
        
ssh -L 5432:localhost:5432 user@111.111.111.111{}
    

Пишем:

    
        
autossh -M 0 -fN -L 5432:localhost:5432 user@111.111.111.111{}
    

Параметры тут важны. Флаг "-fN" означает запуск в фоне без запуска удалённой команды. Флаг "-M 0" отключает echo-порт, чтобы не мешал, — вместо него autossh будет использовать настройки keep-alive из SSH-конфига. Надёжность через keep-alive: Чтобы autossh действительно знал, когда туннель умер, нужно включить keep-alive. Добавьте в "~/.ssh/config":

    
        
Host *
  ServerAliveInterval 30
  ServerAliveCountMax 3{}
    

Теперь SSH будет каждые 30 секунд отправлять пинг на сервер. Если три пинга подряд не получат ответа, соединение считается мёртвым - и autossh запустит его заново. Примеры из практики: Обратный туннель (если сервер стоит за NAT или роутером):

    
        
autossh -M 0 -fN -R 2222:localhost:22 user@111.111.111.111{}
    

На VPS теперь можно выполнить ssh -p 2222 localhost — и попасть внутрь домашнего сервера, как будто он сам подключился. SOCKS-прокси с автопереподключением:

    
        
autossh -M 0 -fN -D 1080 user@111.111.111.111{}
    

Выставляете localhost:1080 в браузере - и получаете надёжный прокси, который не развалится при первой же потере Wi-Fi. Автозапуск с systemd: Если туннель нужен всегда (например, при старте сервера) — стоит обернуть autossh в systemd-сервис:

    
        
# /etc/systemd/system/db-tunnel.service

[Unit]
Description=Persistent SSH tunnel to prod DB
After=network-online.target
Wants=network-online.target

[Service]
User=deploy
ExecStart=/usr/bin/autossh -M 0 -N -L 5432:localhost:5432 deploy@db-host
Restart=always
RestartSec=10

[Install]
WantedBy=multi-user.target{}
    

Активировать можно одной командой:

    
        
sudo systemctl enable --now db-tunnel.service{}
    

Теперь туннель поднимется при загрузке сервера и будет перезапущен, если вдруг упадёт. Вывод: autossh незаметный, но жизненно важный инструмент. Просто заменяешь ssh на autossh, и туннель больше не рвётся. Настроил один раз - и забыл, что раньше ты делал это вручную. LinuxCamp | #utils

🔥 Успех в IT = скорость + знания + окружение Здесь ты найдёшь всё это — коротко, по делу и без воды. Пока другие ищут, где “подглядеть решение”, ты будешь использовать самые передовые инструменты! 🖥Все о Linux: t.me/linuxacademiya 🖥 ИИ: t.me/ai_machinelearning_big_data 🖥 Python: t.me/pythonl 🖥 Хакинг: t.me/linuxkalii 🖥 C++ t.me/cpluspluc 🖥 Docker: t.me/DevopsDocker 🖥 Devops: t.me/DevOPSitsec 🖥 Data Science: t.me/data_analysis_ml 🖥 SQL: t.me/sqlhub 🖥 Javascript: t.me/javascriptv 🖥 C#: t.me/csharp_ci 🖥 Java: t.me/javatg 🖥 Базы данных: t.me/db_tg 👣 Go: t.me/Golang_google 📚 Книги ит: t.me/programming_books_it 💼 Вакансии для джунов: t.me/vacancy

Релиз отечественного дистрибутива РЕД ОС 8 и 7 Все же в курсе про примерную ОС РЕД?) Так вот, разрабы «РЕД СОФТ» радуют нас новыми апдейтами. Произошел выпуск РЕД ОС 8.0.2 и 7.3.6 с ядрами Linux 6.12.21 и 6.1.128, обновленным ПО (Zabbix, Docker, PostgreSQL), улучшенным дизайном KDE, MATE, GNOME 46. Что нового в РЕД ОС 8? — Обновленные ядра: исправлены уязвимости, улучшена производительность, наложены патчи безопасности, закрывающие более 1500 CVE. — Обновленный дизайн графических окружений: в РЕД 8 обновлены темы оформления для KDE и MATE, изменен стиль экранов входа и блокировки. Окружение GNOME обновлено до версии 46. Итого: обновления обеспечивают повышенную безопасность, улучшенную производительность и современный интерфейс. Детальнее ознакомиться можно по ссылке. LinuxCamp | #news

В России можно посещать IT-мероприятия хоть каждый день: как оффлайн, так и онлайн Но где их находить? Как узнавать о них раньше, чем когда все начнут выкладывать фотографии оттуда? Переходите на канал IT-Мероприятия России. В нём каждый день анонсируются мероприятия со всех городов России 📆 в канале размещаются как онлайн, так и оффлайн мероприятия; 👩‍💻 можно найти ивенты по любому стеку: программирование, frontend-backend разработка, кибербезопасность, дата-аналитика, osint, devops и другие; 🎙 разнообразные форматы мероприятий: митапы с коллегами по цеху, конференции и вебинары с известными опытными специалистами, форумы и олимпиады от важных представителей индустрии и многое другое А чтобы не искать по разным форумам и чатам новости о предстоящих ивентах: 🚀 IT-мероприятия России — подписывайся и будь в курсе всех предстоящих мероприятий!

Закрываем Docker-порты правильно Даже если ты настроил ufw и открыл порты только на 22, 433 и 80, у тебя все равно сервисы docker могут торчать наружу. Это происходит потому что docker напрямую управляет iptables/nftables, вставляя свои правила до UFW, поэтому опубликованные порты могут быть доступны, даже если UFW их не показывает. Почему это небезопасно: Если ты запускаешь контейнер так:

    
        
docker run -p 8080:80 …{}
    

Или в docker-compose у тебя:

    
          ports:
    - "8080:80"{}
    

То Docker сам открывает порт всему интернету (0.0.0.0), даже если в ufw status его нет. Это значит, что любой человек из сети может достучаться до твоего контейнера и ufw это не остановит - Docker обходит его фильтры. Как правильно защитить контейнер: Лучше всего конечно вообще не открывать порт наружу, если в этом нет нужды. Безопасный вариант (локальный доступ):

    
        
docker run -p 127.0.0.1:8080:80 …{}
    

либо в docker-compose.yml:

    
          ports:
    - "127.0.0.1:8080:80"{}
    

Так сервис будет доступен только внутри сервера. Подходит для проксирования через nginx, который проксирует наружу, скрытых API и внутренних утилит, ssh-туннелей или VPN. Вариант с открытым портом контейнера: Если все-таки нужно по какой-то причине поднять контейнер на 0.0.0.0, то лучше закрыть эти порты с помощью правил. Docker поддерживает специальную цепочку DOCKER-USER, где ты можешь сам прописать фильтры:

    
        
# Разрешаем уже установленные соединения
sudo iptables -I DOCKER-USER -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT

# Разрешаем только нужный порт (например, 8080)
sudo iptables -I DOCKER-USER -p tcp --dport 8080 -j ACCEPT

# Всё остальное режем
sudo iptables -A DOCKER-USER -j DROP{}
    

Важно: правила читаются сверху вниз, поэтому разрешающие вставляем перед правилом DROP. Проверка:

    
        
ss -lntp | grep 8080     # Слушает ли порт{}
    

Если вывод пуст - порт больше не слушает «снаружи». Вывод: Docker по умолчанию открывает всё наружу, даже если UFW говорит, что порты закрыты. Если не нужен внешний доступ, не публикуй порты или публикуй на 127.0.0.1. Если доступ нужен - используй DOCKER-USER, чтобы жёстко ограничить доступ к нужным портам. LinuxCamp | #devops #docker #bymaga

Особенно обидно, когда windows раздел случайно затирается 🗣 LinuxCamp | #memes

Как найти процесс, который грузит сеть? В случае когда соединение начинает тормозить, а ты не понимаешь, кто именно грузит сеть. Может, какой-то скрипт что-то качает? Или случайно оставил curl в фоне? В таких случаях хочется просто одной командой увидеть, какой процесс активнее всех гоняет трафик. Для этого есть простая, но очень удобная утилита - nethogs. Она показывает, какой процесс сколько трафика использует в реальном времени. Интерфейс у неё похож на top, только вместо нагрузки на CPU - сетевой трафик. Установка:

    
        
sudo apt install nethogs{}
    

Использование: Запустить её можно вообще без параметров:

    
        
sudo nethogs{}
    

В этом случае она попытается определить интерфейс автоматически. Часто этого достаточно. Если ты точно знаешь, через какой интерфейс идёт трафик (чаще всего это eth0, но может быть ens18, enp0s3, wlan0, зависит от системы и типа подключения), то можешь указать его явно:

    
        
sudo nethogs eth0{}
    

После запуска ты увидишь список процессов, которые что-то скачивают или отдают. Указывается имя процесса, путь до исполняемого файла, пользователь, и скорость входящего/исходящего трафика. Всё обновляется в реальном времени, можно наблюдать за сетевой активностью прямо на лету. Если не уверен, какой интерфейс использовать, глянь список всех с помощью команды:

    
        
ip a{}
    

Команда покажет список всех интерфейсов. Обычно нужный - это тот, где есть IP-адрес из подсети (например, 192.168.*.* или 10.*.*.*), и видно state UP. Вывод: Так можно удобно на сервере быстро понять, кто шумит. Или локально, если подозреваешь, что какая-то программа активно лезет в интернет. Утилита nethogs не показывает домены, IP-адреса или порты, а только процессы и их скорость. Но для локальной отладки этого обычно хватает с головой. LinuxCamp | #utils