NetworkAdmin.ru

Глубоко погрузился в проблему, детально изучил и решил ее #юмор 🧑‍💻 NetworkAdmin

🔒 Конфигурации nftables для защиты сервера nftables - это замена iptables, встроенная в ядро linux. Она объединяет фильтрацию, NAT и маршрутизацию в единую подсистему и считается более быстрой и удобной. Разберемся, как можно построить базовую защиту сервера. ▪️ Минимальная конфигурация. Создадаем новый ruleset с таблицей для фильтрации трафика:

    
        
sudo nft add table inet filter
sudo nft 'add chain inet filter input { type filter hook input priority 0; policy drop; }'{}
    

Мы сразу задали policy drop, то есть по умолчанию все запрещено. Теперь разрешим только нужное. ▪️ Разрешаем базовое

    
        
sudo nft add rule inet filter input ct state established,related accept
sudo nft add rule inet filter input iif lo accept
sudo nft add rule inet filter input ip protocol icmp accept
sudo nft add rule inet filter input tcp dport {22,80,443} accept{}
    

Что тут происходит: принимаем все соединения в состоянии ESTABLISHED и RELATED разрешаем локальный интерфейс (lo) разрешаем ping (ICMP) открываем SSH, HTTP и HTTPS

▪️ Защита SSH. Ограничим количество соединений по SSH, чтобы усложнить перебор паролей:

    
        
sudo nft add rule inet filter input tcp dport 22 ct state new limit rate 10/minute accept
sudo nft add rule inet filter input tcp dport 22 drop{}
    

Теперь на SSH можно будет открыть не более 10 новых подключений в минуту. ▪️ Блокируем сканеров и мусор. Пример простого анти-сканера:

    
        
# блокируем пакеты без флагов (NULL scan)
sudo nft add rule inet filter input tcp flags == 0 drop

# блокируем XMAS-скан
sudo nft add rule inet filter input tcp flags & (fin|psh|urg) == (fin|psh|urg) drop{}
    

▪️ Проверка и сохранение. Посмотреть активные правила:

    
        
sudo nft list ruleset{}
    

Сохранить конфиг:

    
        
sudo sh -c "nft list ruleset > /etc/nftables.conf"
sudo systemctl enable nftables
sudo systemctl restart nftables{}
    

#nftables #security 🧑‍💻 NetworkAdmin

Перед тем как что-то настраивать, я делаю бэкап. Потому что в Linux одно не то sudo — и привет, восстановление из пепла 🙂

Этот курс — для тех, кто уже знаком с Linux, но хочет понять, как всё устроено по-настоящему: как работают права, процессы, логи, мониторинг, резервное копирование и конфигурация ядра ✔️ Всё по полочкам: от базовой навигации в консоли до уверенного администрирования Без лишней теории, без скучных видео — только то, что реально пригодится в работе 👌 💡 В течение всего обучения вы будете выполнять сквозной проект. Это помогает сразу увидеть, как всё связано между собой 💬 С поддержкой и фидбэком от Кирилла Казарина (DevOps and SRE global manager в RingCentral Inc.) 💰 Сейчас можно попасть по ранней цене — минус 25 000 ₽ от полной стоимости 📆 Старт курса «Администрирование Linux» — 17 ноября Зайдите на сайт и посмотрите пример лекции📎

Доставка пакетов #юмор 🧑‍💻 NetworkAdmin

🖥 Неочевидные возможности ethtool для работы с сетевыми интерфейсами ethtool - это не только утилита для просмотра информации о сетевой карте. С ее помощью можно управлять сетевыми интерфейсами в linux: от настройки скорости линка до оптимизации производительности под конкретные задачи. ▪️ Проверка состояния интерфейса

    
        
ethtool eth0{}
    

Покажет: скорость, дуплекс, поддержку offload-функций, драйвер, версию прошивки и т.д. ▪️ Управление скоростью и режимом. Принудительная установка скорости 100 Мбит/с в full-duplex:

    
        
ethtool -s eth0 speed 100 duplex full autoneg off{}
    

Можно использовать для тестов или если автосогласование работает некорректно. ▪️ Offload-функции (ускорение или отладка) Проверить поддержку:

    
        
ethtool -k eth0{}
    

Отключить контрольную сумму (будет полезно для отладки):

    
        
ethtool -K eth0 tx off rx off{}
    

Также можно управлять GRO, LRO, TSO и другими функциями. ▪️ Диагностика линка Проверка кабеля и физики:

    
        
ethtool --test eth0
ethtool -t eth0 offline{}
    

А команда:

    
        
ethtool eth0 | grep detected{}
    

покажет, есть ли линк и его скорость. ▪️ Статистика и дропы пакетов

    
        
ethtool -S eth0{}
    

Выводит счётчики ошибок, дропов, коллизий. Это помогает отлавливать проблемы на низком уровне. ▪️ Управление очередями и ring buffer. Посмотреть текущие значения:

    
        
ethtool -g eth0{}
    

Изменить глубину очереди при интенсивной нагрузке:

    
        
ethtool -G eth0 rx 4096 tx 4096{}
    

▪️ Блокировка Wake-on-LAN. Если не используете WoL — отключите:

    
        
ethtool -s eth0 wol d{}
    

#network #ethtool 🧑‍💻 NetworkAdmin

🔧 Для системных администраторов и IT-специалистов! Ищете надежный источник знаний и поддержки? Тогда вам к нам! 📚 Что у нас есть: - Книги по Cisco Systems, Mikrotik, VoIP, Linux и Windows Server - Руководства по сетевым технологиям - 📽 Видеоуроки на актуальные темы - 🤝 Поддержка от сообщества Присоединяйтесь к нашему сообществу профессионалов: @sysadmin1

❌ Отключение лишних сервисов через systemd Одна из полезных практик на пути к оптимизации - переодически смотреть, а что вообще запускается и что из этого действительно нужно, а что можно отключить. Это будет полезно не только для оптимизации, но и для безопасности тоже. 1️⃣ Смотрим активные сервисы

    
        
systemctl list-unit-files --state=enabled{}
    

Команда покажет список всех юнитов, которые стартуют при загрузке. Также полезно посмотреть реально работающие процессы:

    
        
systemctl list-units --type=service{}
    

2️⃣ Отключение ненужного. Чтобы сервис не запускался при старте системы:

    
        
systemctl disable avahi-daemon.service{}
    

Чтобы остановить прямо сейчас:

    
        
systemctl stop avahi-daemon.service{}
    

Если сервис не нужен вообще - можно замаскировать, чтобы исключить случайный запуск:

    
        
systemctl mask avahi-daemon.service{}
    

(при этом запуск будет невозможен даже вручную, пока не сделаете unmask). Примеры сервисов, которые часто не используются: avahi-daemon.service - autodiscovery (не нужен на сервере) bluetooth.service - если нет блютуза ModemManager.service - если не используется мобильный модем rpcbind.service - устаревший RPC, не нужен большинству Далее уже зависит конкретно от Ваших потребностей и ситуации. 3️⃣ Проверка. После внесенных изменений убедитесь, что лишние службы не стартуют:

    
        
systemctl list-unit-files --state=enabled{}
    

#linux #systemd 🧑‍💻 NetworkAdmin

Встречайте AIOps в INFRAX — виртуального инженера, который работает прямо внутри карточки инцидента: - анализирует логи, - предлагает команды, - помогает устранять неполадки быстрее и надёжнее. 🔐 Все действия прозрачны и безопасны: журналируются в инциденте и выполняются строго в рамках ваших политик доступа. Что такое INFRAX? Это: 🖥 Мультиметричный мониторинг — CPU, память, диски, трафик, доступность узлов, интерактивные графики и гибкие алерты. 🎫 Helpdesk — управление тикетами, статусы, приоритеты, исполнители и комментарии, портал самообслуживания для пользователей. 🤖 Автоматизация — агенты для Windows/Linux, запуск скриптов по расписанию, планировщик задач, автодетект узлов. 🔐 Удалённые подключения — RDP, SSH, VNC прямо из веба или нативных клиентов, видеозапись сессий для аудита. 📚 База знаний — статьи, категории, контроль публикаций, статистика по популярности. 👥 Управление пользователями — детальная система прав, интеграция с IAM, аудит действий, изоляция данных. 📊 Дашборды — мониторинг, техподдержка, удалённые подключения с realtime-обновлением. 🔥 Infrax — это ситуационный центр вашей ИТ-инфраструктуры. Всё, что нужно для стабильной и безопасной работы сервисов, в одном решении. #реклама О рекламодателе

👩‍🎨 Шпаргалка по debsums ▪️ Основные ключи Проверить все пакеты:

    
        
debsums{}
    

Показать только измененные файлы:

    
        
debsums --changed{}
    

Проверять только конфиги (/etc):

    
        
debsums --config{}
    

Только измененные конфиги:

    
        
debsums --config --changed{}
    

Показать отсутствующие файлы пакета:

    
        
debsums --missing{}
    

Игнорировать отсутствующие файлы (проверять только существующие):

    
        
debsums --ignore-missing{}
    

Проверка конкретного пакета

    
        
debsums nginx{}
    

▪️ Примеры Найти какие конфиги менялись руками:

    
        
debsums --config --changed{}
    

Проверить целостность пакета OpenSSH:

    
        
debsums openssh-server{}
    

🌟 debsums берет эталонные хэши из пакета, поэтому иногда нужна переустановка пакета, если контрольные суммы недоступны. #linux #audit 🧑‍💻 NetworkAdmin

ЧЕБУРНЕТУ БЫТЬ!🤭

Медный купол по-немногу накрывает, а ты даже не знаешь как действовать?

Ниже даю список каналов спецов из сферы кибербеза, которые уже придумали все за тебя: HACK WARRIOR. – парни уже давно сели на измену и активно постируют контент на тему защиты своих личных данных в интернете, чтобы не сел ты. secure sector – канал безопасника однажды сильно пострадавшего от халатного отношения к своей интернет-гигиене. Собственно, поэтому и стал безопасником... INFOSEC LIZARD – твой личный криптонит от любых кибер-угроз в сети. Я бы не хотел, чтобы в будущем ты пожалел о том, что пролистал этот пост. Оставайся в безопасности.