🐳 Docker vs UFW: Почему ваш брандмауэр вам «лжет»?

Вы когда-нибудь замечали, что после ufw deny 8080 порт контейнера всё равно остается доступным извне? 😱 Это не баг и не взлом - это штатное поведение Docker, о котором многие забывают (или не знают вовсе).

В новой статье на ROADIT.ru разбираем "подкапотную" магию сетевого стека Linux и учим Docker играть по правилам вашего брандмауэра.

Внутри гайда:
➡️ Механизм обхода: Как Docker вклинивается в цепочки iptables раньше, чем их успевает обработать UFW.

➡️ Патч DOCKER-USER: Пошаговая настройка after.rules, которая возвращает контроль над трафиком системному администратору.

➡️ Новая логика: Почему ufw allow больше не работает для контейнеров и как правильно использовать ufw route.

➡️ Безопасная архитектура: Пакетный паттерн «Reverse Proxy + 127.0.0.1» - почему это самый надежный способ защиты сервисов.

➡️ Взгляд в 2026: Что меняется с приходом экспериментального бэкенда nftables в последних релизах Docker.

Если вы держите в Docker базы данных, Redis или внутренние API - этот материал обязателен к изучению.

🔗 Читать полную статью: Безопасность Docker: Как настроить UFW и не позволить контейнерам обходить брандмауэр.

#Docker #Security #Linux #UFW #DevOps #SRE #ROADIT

Netcat (nc) 🛠

Нужно быстро проверить, открыт ли порт на удаленном сервере, или даже перекинуть файл без настройки FTP/SSH? Netcat - твой лучший друг.

Проверка порта:

nc -zv 192.168.1.100 80

(Флаг -z - сканирование без передачи данных, -v - подробный вывод).

Быстрый чат между двумя машинами:
На первой: nc -l 1234
На второй: nc [IP_первой] 1234
Теперь всё, что ты вводишь в одном терминале, мгновенно появляется в другом. Просто, как пар в трубе.

Как поживает твой диск? 🫀

Диски имеют свойство умирать в самый неподходящий момент. Чтобы это не стало сюрпризом, проверяй параметры S.M.A.R.T. с помощью smartctl.

Команда:

sudo smartctl -a /dev/sda

На что смотреть:
Ищи параметр Reallocated_Sector_Ct. Если его значение больше нуля и растет - пора бежать за новым диском и делать бэкапы. Это "пульс" твоего накопителя.

Установка: sudo apt install smartmontools.

watch - автопилот для твоих команд ⏱️

Часто нужно проверять, как меняется вывод команды: например, сколько места осталось на диске в процессе загрузки или как прибывают файлы в папку. Не нажимай "стрелку вверх" и Enter каждую секунду!

Команда:

watch -n 1 -d df -h

Что это дает:

➡️ -n 1: обновляет вывод каждую секунду.

➡️ -d: подсвечивает изменения. Ты сразу увидишь, какая цифра изменилась.

Это идеальный способ следить за любым динамическим процессом без лишних движений.

Мгновенный HTTP-сервер одной командой

Тебе нужно быстро передать файл коллеге в локальной сети или потестить верстку, а поднимать Nginx или Apache лень? Если установлен Python, решение уже у тебя в кармане.

Команда:

python3 -m http.server 8080

Результат:
Текущая папка мгновенно становится доступна по адресу http://твой_ip:8080. Любой в твоей сети сможет зайти и скачать нужные файлы через браузер. Нажми Ctrl+C, чтобы остановить сервер.

sed - найти и заменить везде 🖋

Нужно поменять старый IP-адрес на новый сразу в десяти конфигах? Забудь про открытие каждого файла вручную. Тебе нужен sed (stream editor).

Команда:

sed -i 's/old_ip/new_ip/g' *.conf

Разбор магии:

➡️ -i: вносит изменения прямо в файл (in-place).

➡️ s: команда замены (substitute).

➡️ g: заменить все вхождения в строке (global).

Это один из самых мощных инструментов в арсенале админа. Один запуск - и работа часа выполнена за секунду.

Магия Zram 🧠

Если у тебя сервер с небольшим объемом RAM или старый ноутбук, попробуй Zram. Это модуль ядра, который создает в оперативной памяти сжатый swap-раздел.

В чем выгода:
Вместо того чтобы "сбрасывать" данные на медленный диск, когда память кончается, система сжимает их прямо в RAM. Процессор тратит доли секунды на сжатие, зато система работает в разы быстрее, чем при обычном свопе на HDD/SSD.

Установка в Ubuntu/Debian: sudo apt install zram-config. Всё остальное система сделает сама.

Забываем про пароли с ssh-copy-id 🔑

Вводить пароль при каждом входе на сервер - это прошлый век и небезопасно. Настрой вход по ключам за одно действие.

Команда:

ssh-copy-id user@remote_host

Как это работает:

Утилита сама возьмет твой публичный ключ и правильно пропишет его в файл authorized_keys на сервере. После этого ты сможешь заходить мгновенно.

Важно: для максимальной защиты не забудь потом отключить вход по паролю в настройках sshd!

duf - диски в стиле "хай-тек"

Стандартная команда df -h выводит данные сухими колонками. Если хочется наглядности, установи duf.

Команда:

duf

Почему это круто:

Она рисует красивые прогресс-бары прямо в терминале, автоматически группирует устройства и использует разные цвета для заполненных разделов. Намного приятнее для глаз, особенно если ты проводишь в консоли весь день.

Установка: sudo apt install duf или sudo dnf install duf.

Возвращаем удаленную строку в Vim ↩️

Работа в Vim часто пугает новичков, но знание пары горячих клавиш превращает тебя в ниндзя. Удалил нужную строку случайно?

Клавиши:

➡️ u - (undo) отменить последнее действие.

➡️ Ctrl + r - (redo) вернуть отмененное действие назад.

А если хочешь удалить строку и сразу перейти в режим вставки, нажми cc. Маленькие знания - большая продуктивность.

MySQL из командной строки Linux

Кому пригодится: сисадминам, DevOps-инженерам, бэкенд-разработчикам и всем, кто хочет автоматизировать работу с базами данных.

Внутри - от простого к сложному:

➡️ Выполнение запросов через флаг -e
➡️ Перенаправление ввода и Here Documents
➡️ Оптимизация вывода для скриптов (-N, -s, разделители)
➡️ Bash-переменные в SQL и подводные камни
➡️ Безопасное хранение паролей (mysql_config_editor, ~/.my.cnf)
➡️ Современный клиент mycli и заметки о PostgreSQL/NoSQL

🧩 Бонус: как быстро выгрузить CSV и читать длинные строки через \G.

📎 Читать: Как выполнять MySQL-запросы прямо из командной строки Linux: Руководство по автоматизации

Делитесь в комментариях своими лайфхаками по работе с MySQL в терминале! 👇
#MySQL #MariaDB #CLI #Bash #Linux #Автоматизация #СУБД #DevOps #RoadIT

Быстрая смена MAC-адреса с macchanger 🕵️‍♂️

Иногда для тестирования безопасности или обхода ограничений в публичных сетях нужно скрыть реальный физический адрес твоего сетевого адаптера.

Команда:

sudo macchanger -r eth0

Что произойдет:
Флаг -r сгенерирует полностью случайный MAC-адрес для интерфейса eth0. Чтобы вернуть всё как было, используй флаг -p. Это базовый инструмент для тех, кто заботится о своей приватности в "диких" сетях.

Установка: sudo apt install macchanger

🆕 Collabora Office 25.04 в Linux — новый интерфейс, меньше зависимостей и… есть нюансы

Collabora выпустила десктопную версию своего офисного пакета — с интерфейсом как в облачном Collabora Online и ядром LibreOffice.

Разбираемся:

➡️ чем он отличается от обычного LibreOffice
➡️ действительно ли лучше совместимость с Microsoft Office
➡️ зачем убрали Java
➡️ и как установить через Flatpak

В статье:
✔️ новый веб-интерфейс на десктопе
✔️ плюсы и ограничения версии 25.04
✔️ реальная ситуация с установкой
✔️ кому это вообще нужно в 2026 году

👉 Читать: Новый взгляд на офисные задачи: Collabora Office 25.04

Забудь про cd с утилитой z

Если тебе надоело бесконечно вводить длинные пути вроде cd /var/www/html/projects/my_site, пора установить z (или его современный аналог zoxide).

В чем магия:

Эта утилита запоминает папки, которые ты посещаешь чаще всего. Теперь, чтобы попасть в ту самую папку, тебе достаточно ввести:

z my_site

Инструмент сам поймет, куда ты хочешь попасть, основываясь на истории переходов. Это сокращает время навигации по системе в десятки раз.

Установка: sudo apt install zoxide (после установки добавь eval "$(zoxide init bash)" в свой .bashrc).

"Бесконечная" история команд 📜

По умолчанию история команд в Linux ограничена (обычно 500-1000 записей). Но зачем удалять то, что может пригодиться через год?

Что сделать:
Добавь эти строки в свой ~/.bashrc:

export HISTSIZE=100000
export HISTFILESIZE=200000
export HISTCONTROL=ignoredups

В чем профит:
Теперь твой терминал будет помнить до 100 тысяч команд и игнорировать дубликаты (чтобы не забивать список одинаковыми ls). Теперь поиск через Ctrl+R станет твоей персональной базой знаний за годы работы.

Файл, который не удалит даже root 🛡

Думаешь, если ты зашел под root, ты можешь всё? Попробуй команду chattr. Она позволяет изменять атрибуты файлов на уровне файловой системы (ext4).

Команда:

sudo chattr +i important_config.conf

Что произошло:
Флаг +i делает файл неизменяемым (immutable). Его нельзя удалить, переименовать или отредактировать даже с правами суперпользователя, пока атрибут не будет снят (-i). Это идеальный способ защитить критически важные конфиги от случайного удаления или взлома.

ncdu — визуализатор дискового пространства 🗄

Если стандартный du выдает слишком много текста, а хочется "побродить" по папкам и найти, кто именно съел место, используй ncdu.

Команда:

ncdu /

Почему это удобно:
Это интерактивный консольный интерфейс. Ты можешь перемещаться по папкам стрелками, видеть размер каждой в реальном времени и удалять ненужное прямо из программы клавишей d. Быстро, просто и наглядно.

glances — когда htop уже мало 🛸

Если тебе нужно видеть всё и сразу в одном окне, попробуй Glances. Это монитор системы, написанный на Python, который выводит информацию максимально плотно.

Что он показывает:

➡️ Загрузку CPU, RAM и Swap.
➡️ Скорость чтения/записи дисков.
➡️ Сетевую активность по интерфейсам.
➡️ Температуру датчиков и состояние Docker-контейнеров.

Главная фишка: Он может работать в режиме сервера, позволяя тебе смотреть статистику через браузер.

lsof — список открытых файлов

В Linux "всё есть файл". Хочешь узнать, какой процесс читает конфиг прямо сейчас или какое приложение держит открытым твой USB-накопитель?

Команда:

lsof /media/user/usb_drive

Зачем это нужно:
Она покажет имя процесса и его PID. Это самый быстрый способ понять, почему флешка "занята" и не дает себя извлечь. Также lsof -i покажет все активные сетевые соединения — маст-хэв для проверки системы на "подозрительную" активность.

Проверка скорости интернета в консоли ⚡️

Зачем заходить на Speedtest в браузере, если можно сделать это быстрее прямо в терминале?

Команда:

curl -s https://raw.githubusercontent.com/sivel/speedtest-cli/master/speedtest.py | python3 -

Результат:
Скрипт автоматически найдет ближайший сервер и выдаст честные цифры пинга, загрузки и отдачи. Никакой рекламы и тяжелых скриптов — только чистые данные.

Выполнение команды «тихо» через nohup 🤫

Нужно запустить скрипт и закрыть терминал, но tmux или screen устанавливать лень?

Команда:

nohup ./long_script.sh &

Как это работает:

nohup (no hang up) заставляет процесс игнорировать сигнал закрытия терминала. Весь вывод (stdout) будет автоматически записываться в файл nohup.out. Ты можешь спокойно выходить из системы — процесс дойдет до конца.