🚪 SSH: Не пускай никого, кроме избранных (AllowUsers)
Все знают: надо отключать вход по паролю (
Допустим, у вас на сервере 50 пользователей (разработчики, сервис-аккаунты). Если у одного из них утечет ключ или пароль — хакер зайдет.
Сделайте так, чтобы по SSH могли заходить только админы.
Настройка
Фрагмент кода
Фишки:
1. Можно указать конкретные логины.
2. Можно привязать логин к IP (manager@IP).
3. Все остальные пользователи (даже если у них есть правильный пароль/ключ) получат "Permission denied".
Это железобетонная защита от случайных дыр в забытых аккаунтах.
#linux #ssh #security #hardening #bestpractice #config
Все знают: надо отключать вход по паролю (
PasswordAuthentication no ) и вход рута ( PermitRootLogin no ). Но есть еще один слой защиты, который часто игнорируют — Белый список пользователей.Допустим, у вас на сервере 50 пользователей (разработчики, сервис-аккаунты). Если у одного из них утечет ключ или пароль — хакер зайдет.
Сделайте так, чтобы по SSH могли заходить только админы.
Настройка
/etc/ssh/sshd_config : В конец файла добавьте:Фрагмент кода
# Разрешить вход ТОЛЬКО этим пользователям
AllowUsers admin deploy_bot manager@192.168.1.*
Фишки:
1. Можно указать конкретные логины.
2. Можно привязать логин к IP (manager@IP).
3. Все остальные пользователи (даже если у них есть правильный пароль/ключ) получат "Permission denied".
Это железобетонная защита от случайных дыр в забытых аккаунтах.
#linux #ssh #security #hardening #bestpractice #config
🔥2👍1
🛑 Alias: Ремень безопасности для админа (rm -i)
В пятницу вечером концентрация падает. Одно неловкое движение, и rm -rf * удаляет не временную папку, а продакшен. Сделайте так, чтобы Linux всегда спрашивал подтверждение перед удалением или перезаписью файлов.
Добавьте эти строки в свой ~/.bashrc (или .zshrc):
Как это спасет: Теперь, когда вы напишете
#linux #safety #alias #bestpractice #readonlyfriday #config
В пятницу вечером концентрация падает. Одно неловкое движение, и rm -rf * удаляет не временную папку, а продакшен. Сделайте так, чтобы Linux всегда спрашивал подтверждение перед удалением или перезаписью файлов.
Добавьте эти строки в свой ~/.bashrc (или .zshrc):
# Интерактивный режим (спрашивать "Вы уверены?")
alias rm='rm -i'
alias cp='cp -i'
alias mv='mv -i'
Как это спасет: Теперь, когда вы напишете
rm important_file , система спросит: remove regular file 'important_file' ? У вас будет секунда, чтобы подумать: "Ой, не тот сервер!".#linux #safety #alias #bestpractice #readonlyfriday #config
🐧 Sed: Хирург для твоих конфигов
Вам нужно поменять порт в конфиге Nginx на 50 серверах. Заходить на каждый и открывать
Синтаксис:
Примеры из жизни:
1. Заменить слово во всем файле (безопасно):
2. Раскомментировать строку (удалить # в начале):
3. Удалить пустые строки (чистка мусора):
Освойте
#linux #sed #bash #automation #config #cli
Вам нужно поменять порт в конфиге Nginx на 50 серверах. Заходить на каждый и открывать
nano ? Нет. Используйте sed (Stream Editor). Он умеет находить и заменять текст прямо в файлах.Синтаксис:
s/что_искать/на_что_менять/gПримеры из жизни:
1. Заменить слово во всем файле (безопасно):
# Создаст бэкап config.conf.bak перед изменением
sed -i.bak 's/DEBUG=true/DEBUG=false/g' config.conf
2. Раскомментировать строку (удалить # в начале):
sed -i 's/^#PermitRootLogin/PermitRootLogin/' /etc/ssh/sshd_config
3. Удалить пустые строки (чистка мусора):
sed -i '/^$/d' filename.txt
Освойте
sed , и Ansible вам станет понятнее, а скрипты — мощнее.#linux #sed #bash #automation #config #cli