💡 How To Secure A Linux Server — пошаговое руководство по защите Linux-сервера!

Репозиторий представляет собой подробный чек-лист по хардненингу системы: настройка безопасного SSH-доступа, файрвола, ограничение прав пользователей, аудит действий, антивирусная защита и другие меры повышения безопасности. Материал ориентирован на реальные сценарии эксплуатации серверов и может применяться как для домашних, так и для облачных систем.

Оставляю ссылочку: GitHub 📱

➡️ DevOps Ready | #репозиторий

Знали, что DNS-запросы могут работать как скрытый канал связи?

DNS-туннелирование и эксфильтрация данных через TXT-записи позволяют обходить брандмауэры, так как стандартный UDP-трафик на порт 53 редко блокируется.

Злоумышленники кодируют секретную информацию в поддомены или значения TXT-записей, незаметно отправляя её на подконтрольный сервер.

Проверить TXT-записи любого домена на наличие странных строк или кодированного текста можно одной командой:

dig +short TXT target-domain.com

Выводит все TXT-записи домена (часто там скрыты ключи или инструкции для малвари).

Если нужно автоматизировать мониторинг подозрительно длинных ответов, используйте фильтрацию:

tcpdump -vvv -s 0 'udp port 53' | grep 'TXT?'

Перехватывает и отображает DNS-запросы типа TXT в реальном времени для анализа аномалий.

🔥 Для обнаружения скрытых каналов обращайте внимание на записи, содержащие Base64 или имеющие аномальную длину (более 200 символов).

➡️ DevOps Ready | #совет

📂 Напоминалка по Bash-символам!

Например, () запускает команды в subshell, {} выполняет их в текущем процессе, а [[ ]] даёт более гибкие проверки условий по сравнению с [ ].

На картинке — ключевые конструкции Bash, база для написания скриптов, автоматизации и DevOps-задач.

Сохрани, чтобы не забыть!

➡️ DevOps Ready | #ресурс

ACL в Linux: расширенные права доступа (setfacl / getfacl)!

Стандартная модель прав rwx учитывает только владельца файла, его группу и остальных пользователей, без возможности выдавать права точечно. ACL (Access Control Lists) позволяют выдавать точечные права отдельным пользователям и группам, не меняя владельца файла и не трогая основную группу.

Просмотр ACL файла или каталога:

getfacl file.txt

Показывает обычные права доступа и все дополнительные записи ACL, включая маску (mask), которая может ограничивать реальные (effective) права.

Выдать пользователю права чтения и записи:

setfacl -m u:alice:rw file.txt

Пользователь alice получит доступ независимо от основной группы файла. Если фактические права оказались меньше ожидаемых, проверьте маску ACL в выводе getfacl.

Выдать группе права чтения:

setfacl -m g:devs:r file.txt

Удобно для совместного доступа к файлам проекта. Для каталогов обычно требуется также право выполнения (x), иначе нельзя открыть каталог и работать с его содержимым.

Удалить ACL для конкретного пользователя:

setfacl -x u:alice file.txt

Удаляет только дополнительную запись ACL, не затрагивая стандартные права владельца и группы.

Рекурсивно применить ACL к каталогу:

setfacl -R -m u:alice:rwx /shared/data

Права будут установлены для всех вложенных файлов и подкаталогов.
Используйте аккуратно: команда изменит доступ ко всему содержимому дерева.

Задать ACL по умолчанию для новых объектов в каталоге:

setfacl -d -m u:alice:rwx /shared/data

Такие права будут автоматически наследоваться новыми файлами и папками, создаваемыми внутри каталога. Уже существующие объекты не изменяются.

Удалить все расширенные ACL (вернуться к обычным правам):

setfacl -b file.txt

Удаляет все дополнительные записи ACL и оставляет только стандартные rwx.

Удалить наследуемые (default) ACL у каталога:

setfacl -k /shared/data

Убирает правила наследования для новых объектов внутри каталога.

🔥 ACL — крутой инструмент тонкой настройки доступа в многопользовательских системах, когда стандартной модели прав недостаточно, а менять владельцев или группы нежелательно.

➡️ DevOps Ready | #практика

😎 Bash Guide — подробное руководство по работе с Bash!

Репозиторий представляет собой структурированный гайд по командной строке и скриптингу на Bash. Собраны примеры основных команд Linux, операции с файлами и директориями, работа с переменными, функциями, условиями и др. Материал охватывает как базовые операции, так и практические приёмы написания скриптов.

Оставляю ссылочку: GitHub 📱

➡️ DevOps Ready | #ресурс

☕️ EC-RS — материалы по информационной безопасности и защите данных!

Сайт со статьями по информационной безопасности, где подробно разбираются киберугрозы, методы защиты, требования регуляторов и практические аспекты построения защищённых систем. Материалы охватывают широкий круг тем. Подойдёт всем, кто хочет глубже понять, как защищаются данные и информационные системы на практике.

📌 Оставляю ссылочку: ec-rs.ru

➡️ DevOps Ready | #сайт

Как уменьшать лог-файлы без перезапуска сервиса!

В Linux файловый дескриптор привязан к inode, а не к имени файла. Если процесс уже открыл лог и пишет в него, удаление файла не освободит место сразу.

Поэтому лог корректно очищать без удаления файла:

> application.log

Эта конструкция обнуляет содержимое, но сохраняет тот же inode и открытый дескриптор.

Если нужно урезать файл до конкретного размера, используется truncate:

truncate -s 1M application.log

Команда обрежет файл до 1MB. Она оставляет начало файла и удаляет хвост, то есть будут потеряны последние (самые новые) записи.

Если требуется сохранить последние записи, важно не менять inode файла.

Корректный вариант, перезаписать содержимое в тот же файл:

tail -n 1000 application.log > tmp.log && cat tmp.log > application.log && rm tmp.log

🔥 Так сохраняются последние 1000 строк, inode остаётся тем же, и сервис продолжит писать в текущий файл.

➡️ DevOps Ready | #совет

💡 Cheat Sheets — большая база шпаргалок по безопасности приложений!

Здесь собраны практические заметки и техники по анализу уязвимостей, эксплуатации ошибок и защите систем: веб-приложения, мобильные приложения, контейнеры, CI/CD, облачные сервисы и Linux-среды. Также рассматриваются распространённые сценарии атак, такие как конфигурационные ошибки и проблемы безопасности инфраструктуры.

Оставляю ссылочку: GitHub 📱

➡️ DevOps Ready | #репозиторий

Использование tmpfs для временных данных и ускорения I/O!

tmpfs — файловая система в оперативной памяти. Применяется для временных файлов, кешей, unix-сокетов и данных, которые не должны переживать перезагрузку.

Типичный сценарий — ускорить операции и убрать лишнюю нагрузку с диска, особенно на серверах с активным I/O.

Создание точки монтирования выполняется один раз:

mkdir -p /mnt/tmpfs

Монтирование tmpfs в память:

mount -t tmpfs -o size=1G,noatime tmpfs /mnt/tmpfs

Важно: параметр size задаёт верхний лимит, а не резервирует память заранее. Каталог начинает использовать RAM по мере записи (и swap при необходимости). Файлы размещаются в памяти, без прямых операций записи на диск.

Проверить, что файловая система действительно смонтирована:

df -hT /mnt/tmpfs

или более точно:

findmnt /mnt/tmpfs

Любые данные, созданные внутри, существуют только пока tmpfs смонтирован. После размонтирования или перезагрузки они будут утеряны — это ожидаемое поведение и ключевая особенность tmpfs.

Для постоянного использования tmpfs добавляется в /etc/fstab:

tmpfs   /mnt/tmpfs   tmpfs   size=1G,noatime,nodev,nosuid,noexec   0  0

Ограничение по размеру защищает систему от неконтролируемого потребления памяти, а nodev, nosuid и noexec повышают безопасность (если выполнение файлов не требуется).

После добавления запись можно активировать без перезагрузки:

mount /mnt/tmpfs

(при условии, что точка монтирования уже существует)

Частый вариант — использование tmpfs вместе с systemd-сервисами. systemd умеет автоматически создавать временные директории в памяти и очищать их при остановке сервиса:

[Service]
RuntimeDirectory=myapp

В этом случае каталог создаётся в /run/myapp (который находится в tmpfs) и живёт столько, сколько работает сервис. Поведение можно дополнительно настраивать через RuntimeDirectoryPreserve=.

Контроль использования памяти:

df -h | grep tmpfs

Важно учитывать, что tmpfs использует оперативную память и может задействовать swap. При неправильно выбранных лимитах это способно повлиять на всю систему.

🔥 tmpfs — простой и надёжный инструмент для временных данных, когда важны скорость, чистота окружения и предсказуемое поведение при рестартах.

➡️ DevOps Ready | #практика

📂 Напоминалка по ACL (Access Control Lists)!

ACL — это расширение обычных прав доступа в Linux. Если стандартные права (owner / group / other) позволяют управлять доступом только на базовом уровне, то ACL дает возможность назначать права конкретным пользователям и группам.

На картинке — базовые принципы работы ACL.

Сохрани, чтобы не забыть!

➡️ DevOps Ready | #ресурс

Проверяем, каким маршрутом ядро отправит пакет с помощью ip route get!

Когда на сервере несколько интерфейсов, VPN, policy routing или просто странное сетевое поведение, читать таблицы маршрутов бывает недостаточно. В таких случаях проще напрямую спросить у ядра, какой маршрут оно выберет для пакета до конкретного адреса.

Для этого есть ip route get. Команда показывает, какой маршрут будет выбран при поиске маршрута (route lookup), а также исходный адрес и интерфейс, через который пакет будет отправлен.

Проверить маршрут до конкретного IP:

ip route get 8.8.8.8

В выводе обычно видно via, dev и src — через какой следующий узел пойдёт трафик, через какой интерфейс и с какого исходного адреса он будет отправлен.

Пример:

8.8.8.8 via 192.168.1.1 dev eth0 src 192.168.1.10

Здесь видно, что пакет будет отправлен через eth0, следующий узел — 192.168.1.1, а исходным адресом будет 192.168.1.10.

Понять, какой маршрут выберется для конкретного исходного IP:

ip route get 8.8.8.8 from 192.168.1.10

Это полезно на серверах с несколькими IP-адресами, когда нужно проверить выбор маршрута для конкретного исходного адреса.

Проверить поиск маршрута с указанием интерфейса:

ip route get 8.8.8.8 oif eth0

Опция oif позволяет выполнить поиск маршрута с учётом указанного выходного интерфейса.

Можно также выполнить lookup так, как если бы пакет пришёл на определённый интерфейс:

ip route get 1.1.1.1 iif eth1

Опция iif указывает входной интерфейс и позволяет посмотреть, какой маршрут выберет ядро для форвардинга такого пакета. Это полезно при разборе асимметричной маршрутизации (asymmetric routing), policy-маршрутизации (policy routing) и правил, завязанных на интерфейсы.

Если нужно посмотреть таблицы маршрутизации:

ip route

Если используется policy-маршрутизация, полезно также проверить правила:

ip rule

А чтобы увидеть маршруты во всех таблицах:

ip route show table all

ip route показывает записи в таблицах маршрутизации, а ip route get — какой маршрут ядро реально выберет для конкретного пакета при route lookup.

🔥 Особенно полезно на серверах с несколькими интерфейсами, VPN-узлах и в сложных сетевых конфигурациях.

➡️ DevOps Ready | #практика