🛡 Linux Security: Базовый аудит SSH за 5 минут
SSH — главная дверь в ваш сервер. Если она открыта слишком широко, ждите гостей (ботов). Вот 5 настроек в /etc/ssh/sshd_config, которые нужно проверить прямо сейчас.
1. Запрещаем вход от root Администратор должен заходить под своим пользователем и повышать привилегии через sudo.
2. Отключаем вход по паролям Только SSH-ключи. Пароли брутфорсятся, ключи — нет (в разумные сроки).
3. Меняем стандартный порт (Опционально, но полезно) Это не защита от целенаправленной атаки, но снизит шум в логах от 99% скрипт-кидди и ботов.
4. Ограничиваем пользователей Если на сервере 10 юзеров, а по SSH ходить нужно только двоим — укажите их явно.
5. Отключаем X11 Forwarding Если вы не запускаете графические приложения удаленно (а на сервере вы этого делать не должны), закрываем вектор атаки.
📌 Финал: Проверяем конфиг и перезапускаем службу:
#linux #security #ssh #чеклисты #adminfuture
SSH — главная дверь в ваш сервер. Если она открыта слишком широко, ждите гостей (ботов). Вот 5 настроек в /etc/ssh/sshd_config, которые нужно проверить прямо сейчас.
1. Запрещаем вход от root Администратор должен заходить под своим пользователем и повышать привилегии через sudo.
PermitRootLogin no
2. Отключаем вход по паролям Только SSH-ключи. Пароли брутфорсятся, ключи — нет (в разумные сроки).
PasswordAuthentication no
PubkeyAuthentication yes
3. Меняем стандартный порт (Опционально, но полезно) Это не защита от целенаправленной атаки, но снизит шум в логах от 99% скрипт-кидди и ботов.
Port 2222 # Не забудьте открыть порт в firewall перед рестартом!
4. Ограничиваем пользователей Если на сервере 10 юзеров, а по SSH ходить нужно только двоим — укажите их явно.
AllowUsers admin_user deploy_bot
5. Отключаем X11 Forwarding Если вы не запускаете графические приложения удаленно (а на сервере вы этого делать не должны), закрываем вектор атаки.
X11Forwarding no
📌 Финал: Проверяем конфиг и перезапускаем службу:
sshd -t
systemctl restart sshd
#linux #security #ssh #чеклисты #adminfuture
🗿3
🌐 DNS: Шпаргалка архитектора. Не только A-записи
На картинке — база, которую должен знать любой Junior. Но архитектор отличается тем, что знает не только «что это», но и «как это не сломать».
Разберем основные типы записей с точки зрения граблей и Best Practices.
🔹 A / AAAA (Address) Классика. Связь имени и IP.
Pro Tip: Если внедряете IPv6, всегда следите за паритетом. Если есть A, но нет AAAA, некоторые клиенты могут «тупить» при попытке подключения по v6, ожидая таймаута.
🔹 CNAME (Canonical Name) Алиас. Одно имя ссылается на другое.
⚠️ Главное табу: Никогда не вешайте CNAME на корневой домен (APEX / @). Это ломает почту (MX) и другие записи.
Исключение: CNAME Flattening (или ALIAS records) у продвинутых провайдеров типа Cloudflare, которые «притворяются» A-записью.
🔹 MX (Mail Exchange) Указывает, куда слать почту.
Pro Tip: Цифра приоритета (10, 20) важна. Чем меньше число, тем выше приоритет. Резервный сервер всегда должен иметь число больше.
🔹 SRV (Service) Самая загадочная запись для новичков, но критическая для Windows-админов.
Зачем: Указывает не только хост, но и порт + вес сервиса.
Где живет: Active Directory держится на SRV. Если клиенты «теряют» домен, а пинги ходят — 99% проблема в битых SRV-записях в _msdcs.
🔹 TXT (Text) На слайде нет, но в 2025 году это маст-хэв.
Зачем: Это уже не просто заметки. Это безопасность почты (SPF, DKIM, DMARC) и верификация владения доменом для SSL/Google/Microsoft.
🛠 Инструмент для проверки: Забудьте про nslookup. Используйте мощь:
Windows (PowerShell):
Linux / macOS:
Сохраняй шпаргалку, чтобы не путать CNAME с A-записью в пятницу вечером. 😉
#dns #network #basics #troubleshooting #шпаргалка #adminfuture
На картинке — база, которую должен знать любой Junior. Но архитектор отличается тем, что знает не только «что это», но и «как это не сломать».
Разберем основные типы записей с точки зрения граблей и Best Practices.
🔹 A / AAAA (Address) Классика. Связь имени и IP.
Pro Tip: Если внедряете IPv6, всегда следите за паритетом. Если есть A, но нет AAAA, некоторые клиенты могут «тупить» при попытке подключения по v6, ожидая таймаута.
🔹 CNAME (Canonical Name) Алиас. Одно имя ссылается на другое.
⚠️ Главное табу: Никогда не вешайте CNAME на корневой домен (APEX / @). Это ломает почту (MX) и другие записи.
Исключение: CNAME Flattening (или ALIAS records) у продвинутых провайдеров типа Cloudflare, которые «притворяются» A-записью.
🔹 MX (Mail Exchange) Указывает, куда слать почту.
Pro Tip: Цифра приоритета (10, 20) важна. Чем меньше число, тем выше приоритет. Резервный сервер всегда должен иметь число больше.
🔹 SRV (Service) Самая загадочная запись для новичков, но критическая для Windows-админов.
Зачем: Указывает не только хост, но и порт + вес сервиса.
Где живет: Active Directory держится на SRV. Если клиенты «теряют» домен, а пинги ходят — 99% проблема в битых SRV-записях в _msdcs.
🔹 TXT (Text) На слайде нет, но в 2025 году это маст-хэв.
Зачем: Это уже не просто заметки. Это безопасность почты (SPF, DKIM, DMARC) и верификация владения доменом для SSL/Google/Microsoft.
🛠 Инструмент для проверки: Забудьте про nslookup. Используйте мощь:
Windows (PowerShell):
Resolve-DnsName -Name domain.com -Type ALL
Linux / macOS:
dig domain.com ANY +noall +answer
Сохраняй шпаргалку, чтобы не путать CNAME с A-записью в пятницу вечером. 😉
#dns #network #basics #troubleshooting #шпаргалка #adminfuture
🔥3