📂 Напоминалка по архитектуре Linux!

Например, ядро управляет процессами, памятью, устройствами, сетью и файловыми системами — именно эти подсистемы обеспечивают работу всей операционной системы.

На картинке — 5 основных компонентов ядра, которые важно понимать разработчикам, DevOps-инженерам и системным администраторам.

Сохрани, чтобы держать базовую архитектуру Linux под рукой!

➡️ DevOps Ready | #ресурс

✍️ Ryan’s Tutorials — системное руководство по командной строке Linux!

Это подробный курс, который последовательно проводит от самых основ до уверенного использования системы. Материал разбит на разделы с примерами команд, пояснениями и практическими приёмами работы с файлами, процессами и окружением. Особое внимание уделено Bash и тому, как с помощью терминала автоматизировать задачи и управлять системой без графического интерфейса.

📌 Оставляю ссылочку: ryanstutorials.net

➡️ DevOps Ready | #сайт

Знали, что Linux умеет реагировать на события файловой системы в реальном времени?

Ядро через inotify сообщает, когда файл изменился, создан или заменён.

Команда блокируется и просыпается только при событии, поэтому почти не расходует CPU:

inotifywait -e close_write config.yaml

Можно отслеживать целую директорию (важно, если редактор сохраняет через temp-файл + rename) и автоматизировать любые действия - перезапуск сервисов, сборку проекта или бэкап:

inotifywait -m -e create,delete,modify,moved_to ./src

Очень удобно для авто-reload без Docker, IDE и сторонних инструментов:

while inotifywait -e close_write app.py; do
  pkill -f "python app.py"; python app.py &
done

🔥 Такой прием пригодится для CI-скриптов, авторазвертывания, hot-reload и администрирования.

🚪 Linux Ready | #совет

✍️ Awesome DevSecOps Russia — полезная русскоязычная подборок по DevSecOps и безопасной разработке!

В репозитории собраны статьи, доклады, инструменты, стандарты, курсы и реальные практики внедрения безопасности в процесс разработки, от анализа кода до защиты контейнеров и облаков. Здесь можно найти материалы по SAST/DAST, безопасности Docker и Kubernetes, IaC-сканированию, compliance-подходам и другим важным аспектам современной инфраструктуры.

Оставляю ссылочку: GitHub 📱

➡️ DevOps Ready | #репозиторий

📂 Топ инструментов кибербезопасности!

Это подборка must-have инструментов с краткими описаниями. Охватывает сканирование, анализ, эксплуатацию, мониторинг и защиту — от сетей до malware.

Идеально для пентестера или админа, чтобы быстро выбрать инструмент под задачу.

➡️ DevOps Ready | #ресурс

Переменные окружения в Linux: управление поведением процессов!

Переменные окружения (environment variables) задают контекст выполнения программ. Через них настраиваются shell, компиляторы, интерпретаторы, библиотеки и большинство CLI-утилит. Это базовый механизм конфигурации в Unix-подобных системах.

Посмотреть все переменные окружения текущего процесса (shell):

printenv

или:

env

Обе команды выводят окружение текущего процесса (экспортированные переменные). env также часто используют для запуска команды с заданными переменными.

Посмотреть значение конкретной переменной:

echo "$PATH"

Кавычки важны при подстановке переменных: они предотвращают нежелательное разбиение на слова и обработку спецсимволов (особенно если значение содержит пробелы или символы glob).

Временная переменная для одного запуска программы:

DEBUG=true ./app

Переменная будет доступна только процессу ./app и его дочерним процессам. В текущем shell она не сохранится.

Экспорт переменной в текущей сессии shell:

export NODE_ENV=production

После export переменная становится частью окружения текущего shell и наследуется всеми дочерними процессами, но не влияет на другие терминалы и будущие входы в систему.

Удаление переменной:

unset NODE_ENV

Удаляет переменную из текущего shell и его окружения.

Постоянные переменные пользователя - задаются в конфигурационных файлах shell и применяются при старте сессии. Для Bash обычно используют: ~/.bashrc — интерактивные shell; ~/.profile или ~/.bash_profile — login-shell

Конкретный файл зависит от способа запуска shell в системе.

Пример:

export EDITOR=vim
export PATH="$HOME/bin:$PATH"

После изменения применить настройки можно:

source ~/.bashrc

или просто открыть новый терминал.

Глобальные переменные для всех пользователей - можно задать в файле:

/etc/environment

Этот файл обычно обрабатывается при входе в систему через PAM. Он поддерживает только простые присваивания без shell-синтаксиса, экспорта и подстановок.

Пример:

JAVA_HOME=/usr/lib/jvm/java-17

Посмотреть окружение конкретного запущенного процесса:

cat /proc/<PID>/environ | tr '\0' '\n'

Переменные хранятся в памяти процесса как строки, разделённые нулевым байтом. Обычно доступно только для своих процессов или с правами root (может ограничиваться настройками безопасности).

Порядок PATH критичен - поиск исполняемых файлов идёт слева направо:

echo "$PATH"

Будет запущена первая найденная программа с совпадающим именем.

🔥 Переменные окружения передаются процессам через механизм fork/exec, существуют только в памяти процесса и наследуются его потомками. Они не изменяют систему глобально сами по себе и являются стандартным способом управления поведением программ в Linux.

🚪 Linux Ready | #практика

💡 How To Secure A Linux Server — пошаговое руководство по защите Linux-сервера!

Репозиторий представляет собой подробный чек-лист по хардненингу системы: настройка безопасного SSH-доступа, файрвола, ограничение прав пользователей, аудит действий, антивирусная защита и другие меры повышения безопасности. Материал ориентирован на реальные сценарии эксплуатации серверов и может применяться как для домашних, так и для облачных систем.

Оставляю ссылочку: GitHub 📱

➡️ DevOps Ready | #репозиторий

Знали, что DNS-запросы могут работать как скрытый канал связи?

DNS-туннелирование и эксфильтрация данных через TXT-записи позволяют обходить брандмауэры, так как стандартный UDP-трафик на порт 53 редко блокируется.

Злоумышленники кодируют секретную информацию в поддомены или значения TXT-записей, незаметно отправляя её на подконтрольный сервер.

Проверить TXT-записи любого домена на наличие странных строк или кодированного текста можно одной командой:

dig +short TXT target-domain.com

Выводит все TXT-записи домена (часто там скрыты ключи или инструкции для малвари).

Если нужно автоматизировать мониторинг подозрительно длинных ответов, используйте фильтрацию:

tcpdump -vvv -s 0 'udp port 53' | grep 'TXT?'

Перехватывает и отображает DNS-запросы типа TXT в реальном времени для анализа аномалий.

🔥 Для обнаружения скрытых каналов обращайте внимание на записи, содержащие Base64 или имеющие аномальную длину (более 200 символов).

➡️ DevOps Ready | #совет

📂 Напоминалка по Bash-символам!

Например, () запускает команды в subshell, {} выполняет их в текущем процессе, а [[ ]] даёт более гибкие проверки условий по сравнению с [ ].

На картинке — ключевые конструкции Bash, база для написания скриптов, автоматизации и DevOps-задач.

Сохрани, чтобы не забыть!

➡️ DevOps Ready | #ресурс

ACL в Linux: расширенные права доступа (setfacl / getfacl)!

Стандартная модель прав rwx учитывает только владельца файла, его группу и остальных пользователей, без возможности выдавать права точечно. ACL (Access Control Lists) позволяют выдавать точечные права отдельным пользователям и группам, не меняя владельца файла и не трогая основную группу.

Просмотр ACL файла или каталога:

getfacl file.txt

Показывает обычные права доступа и все дополнительные записи ACL, включая маску (mask), которая может ограничивать реальные (effective) права.

Выдать пользователю права чтения и записи:

setfacl -m u:alice:rw file.txt

Пользователь alice получит доступ независимо от основной группы файла. Если фактические права оказались меньше ожидаемых, проверьте маску ACL в выводе getfacl.

Выдать группе права чтения:

setfacl -m g:devs:r file.txt

Удобно для совместного доступа к файлам проекта. Для каталогов обычно требуется также право выполнения (x), иначе нельзя открыть каталог и работать с его содержимым.

Удалить ACL для конкретного пользователя:

setfacl -x u:alice file.txt

Удаляет только дополнительную запись ACL, не затрагивая стандартные права владельца и группы.

Рекурсивно применить ACL к каталогу:

setfacl -R -m u:alice:rwx /shared/data

Права будут установлены для всех вложенных файлов и подкаталогов.
Используйте аккуратно: команда изменит доступ ко всему содержимому дерева.

Задать ACL по умолчанию для новых объектов в каталоге:

setfacl -d -m u:alice:rwx /shared/data

Такие права будут автоматически наследоваться новыми файлами и папками, создаваемыми внутри каталога. Уже существующие объекты не изменяются.

Удалить все расширенные ACL (вернуться к обычным правам):

setfacl -b file.txt

Удаляет все дополнительные записи ACL и оставляет только стандартные rwx.

Удалить наследуемые (default) ACL у каталога:

setfacl -k /shared/data

Убирает правила наследования для новых объектов внутри каталога.

🔥 ACL — крутой инструмент тонкой настройки доступа в многопользовательских системах, когда стандартной модели прав недостаточно, а менять владельцев или группы нежелательно.

➡️ DevOps Ready | #практика