Примеры популярных адаптеров:

Mellanox ConnectX-5/6 (например, ConnectX-5 EN, ConnectX-6 Dx).

Broadcom NetXtreme-E (например, BCM57414).

Intel Ethernet 800 Series (например, E810-CQDA2).

Примеры коммутаторов:

Mellanox Spectrum (например, Spectrum-2).

Cisco Nexus 9000 Series.

Arista 7050X/7060X Series.

Серверы должны иметь:

Современные процессоры (например, Intel Xeon Scalable или AMD EPYC).

Поддержку PCIe 3.0/4.0 для подключения сетевых адаптеров.

Операционную систему с поддержкой NVMe-oF и RoCEv2 (например, Linux с ядром 4.12+ или Windows Server 2019+).

Примеры:

Pure Storage FlashArray//X.

Dell EMC PowerMax.

NetApp AFF A-Series.

ibv_devinfo

nvme connect -t rdma -n <nqn> -a <target_ip> -s 4420

interface ethernet 1/1
   priority-flow-control mode on
   priority-flow-control priority 3 on

ibv_devinfo

fio --filename=/dev/nvme0n1 --rw=read --bs=4k --iodepth=32 --runtime=60 --name=test

Blockchain (Блокчейн) - в переводе "цепочка блоков". Это децентрализованная база данных, где информация хранится в блоках, связанных в строгую последовательность через хеш-сумму предыдущего блока - непрерывно до первого "генезис" блока, а все данные дублируются на тысячах нод (узлов).

sudo apt update && apt upgrade -y

sudo apt-get install iptables ipset net-tools vim rsync parted -y

sudo apt install fail2ban -y

vim /etc/fail2ban/jail.local

vim, vi - самый распространённый текстовый редактор linux. Режим редактирования включается кнопкой i, выход из редактирования кнопка esc. Чтобы выйти без сохранения надо ввести ":q!" (без кавычек), выход с сохранением - ":wq!"

[sshd]
enabled = true
port = ssh
filter = sshd
logpath = /var/log/auth.log
maxretry = 7
bantime = 1d

sudo systemctl restart fail2ban

sudo systemctl enable --now fail2ban

sudo apt install wireguard -y

cd /etc/wireguard/

wg genkey | tee privatekey | wg pubkey | tee publickey

echo "[Interface]
PrivateKey = $(cat privatekey)
Address = 10.0.0.1/24
ListenPort = 54545" > wg0.conf

в Putty текст вставляется правой кнопкой мыши. В vim через Putty - клавиша shift+правая кнопка мыши. А для переноса больших объёмов текста в веб-консоль, у меня есть пара удобных инструментов - typewriter и infill.

INTERFACE=$(ip route | grep default | awk '{print $5}' | head -n1); sudo tee -a wg0.conf <<EOF
PostUp = iptables -A FORWARD -i wg0 -j ACCEPT
PostUp = iptables -t nat -A POSTROUTING -o $INTERFACE -j MASQUERADE
PostDown = iptables -D FORWARD -i wg0 -j ACCEPT
PostDown = iptables -t nat -D POSTROUTING -o $INTERFACE -j MASQUERADE
EOF

[Peer]
PublicKey = uJWPI0zpKSB7C4G9LLdy4VMX2bPXs33g7nfdo2CVanw=
AllowedIPs = 10.10.10.30/32

[Interface]
Address = 10.10.10.1/24

ListenPort = 21212

PrivateKey = qPSUFPcGiHUQkOo2RHPGWeb3XmSjfiSWqSMuPd3SnCs=

PostUp = iptables -A FORWARD -i wg0 -j ACCEPT
PostUp = iptables -t nat -A POSTROUTING -o ens3 -j MASQUERADE
PostDown = iptables -D FORWARD -i wg0 -j ACCEPT
PostDown = iptables -t nat -D POSTROUTING -o ens3 -j MASQUERADE

[Peer]
PublicKey = uJWPI0zpKSB7C4G9LLdy4VMX2bPXs33g7nfdo2CVanw=
AllowedIPs = 10.10.10.30/32

[Peer]
PublicKey = YXnyogyq5930eFdueaFivCqpJCRMEmawJrpP1lcGEDc=
AllowedIPs = 10.10.10.20/32

sudo modprobe wireguard

echo module wireguard +p | sudo tee /sys/kernel/debug/dynamic_debug/control

sudo bash -c 'echo -e "[Definition]\nfailregex = ^.Invalid handshake from <HOST>:\\d+.\nignoreregex =" > /etc/fail2ban/filter.d/wireguard.conf'

sudo bash -c 'echo -e "\n[wireguard]\nenabled = true\nport = $(grep -oP "ListenPort\s*=\s*\K\d+" /etc/wireguard/wg0.conf)\nfilter = wireguard\nlogpath = /var/log/syslog\nmaxretry = 5\nbantime = 30d\nfindtime = 7d" >> /etc/fail2ban/jail.local'

vim /etc/sysctl.conf

sudo systemctl enable wg-quick@wg0

sudo reboot

sudo mkdir -p /etc/apt/keyrings/

apt-get install gpg -y

wget -q -O - https://apt.grafana.com/gpg.key | gpg --dearmor | sudo tee /etc/apt/keyrings/grafana.gpg > /dev/null

echo "deb [signed-by=/etc/apt/keyrings/grafana.gpg] https://apt.grafana.com stable main" | sudo tee /etc/apt/sources.list.d/grafana.list

sudo apt update && sudo apt install -y prometheus grafana

sudo iptables -A INPUT -i wg0 -j ACCEPT

sudo iptables -A OUTPUT -o wg0 -j ACCEPT

curl https://sh.rustup.rs -sSf | sh

source $HOME/.cargo/env

sudo apt install cargo build-essential -y

cargo install clap --version 4.0.26

exec bash

cargo install prometheus_wireguard_exporter

vim /etc/prometheus/prometheus.yml

global:
scrape_interval: 15s

scrape_configs:
- job_name: wireguard
scrape_interval: 10s
static_configs:
- targets: ['127.0.0.1:9586']

sudo cp /root/.cargo/bin/prometheus_wireguard_exporter /usr/local/bin/

sudo chmod +x /usr/local/bin/prometheus_wireguard_exporter

vim  /etc/systemd/system/wireguard-exporter.service

[Unit]
Description=Prometheus WireGuard Exporter
After=network-online.target
Wants=network-online.target

[Service]
Type=simple
ExecStart=/usr/local/bin/prometheus_wireguard_exporter --interfaces wg0
Restart=on-failure

User=root
Environment=PATH=/usr/local/bin:/usr/bin:/bin

[Install]
WantedBy=multi-user.target

sudo sed -i "/http_addr/s/^[[:space:]]*http_addr[[:space:]]*=[[:space:]]*.*/http_addr = $(ip -4 -o addr show wg0 2>/dev/null | awk '{print $4}' | cut -d'/' -f1)/" /etc/grafana/grafana.ini

sudo systemctl daemon-reload

sudo systemctl enable --now grafana-server

sudo systemctl enable --now wireguard-exporter.service

rate(wireguard_received_bytes_total[10m])

sudo apt install parted btrfs-progs -y

sudo parted /dev/sda

resizepart 1 → указываем новый размер: 4.8GB.

mkpart primary btrfs 4.8GB 100% → создаем /dev/sda2 из оставшегося места.

print → проверяем, что получилось.

q

sudo mkdir /mnt/btrfs_backup

sudo mount /dev/sda2 /mnt/btrfs_backup

sudo rsync -aAXv --delete --exclude={"/dev/","/proc/","/sys/","/tmp/","/run/","/mnt/","/media/*","/lost+found"} / /mnt/btrfs_backup/

sudo mkdir /mnt/btrfs_backup/{dev,proc,sys,tmp,run,mnt,media}

sudo sed -i "| / |c UUID=$(sudo blkid -s UUID -o value /dev/sda2) / btrfs defaults,compress=zstd,noatime 0 1" /mnt/btrfs_backup/etc/fstab

sudo mount --bind /dev /mnt/btrfs_backup/dev

sudo mount --bind /proc /mnt/btrfs_backup/proc

sudo mount --bind /sys /mnt/btrfs_backup/sys

sudo chroot /mnt/btrfs_backup

update-grub

grub-install /dev/sda

exit

sudo reboot

sudo mkfs.btrfs -f /dev/sda1

sudo mkdir /mnt/sda1

sudo mount /dev/sda1 /mnt/sda1

sudo rsync -aAXv --delete --exclude={"/dev/","/proc/","/sys/","/tmp/","/run/","/mnt/","/media/*","/lost+found"} / /mnt/sda1/

sudo mount --bind /dev /mnt/sda1/dev

sudo mount --bind /proc /mnt/sda1/proc

sudo mount --bind /sys /mnt/sda1/sys

sudo chroot /mnt/sda1

update-grub

grub-install /dev/sda

exit

sudo reboot

sudo sed -i "s/^UUID=[^ ]* / btrfs/UUID=(blkid -s UUID -o value(findmnt -n -o SOURCE /)") / btrfs/" /etc/fstab

ls

ls (hd0,gpt2)/boot/

set root=(hd0,gpt2)

set prefix=(hd0,gpt2)/boot/grub

insmod normal

normal

sudo mkdir /snapshots

sudo btrfs subvolume snapshot / /snapshots/root_$(date +%Y-%m-%d_%H-%M)

sudo btrfs subvolume list /

sudo btrfs subvolume set-default $(sudo btrfs subvolume list / | sort -n -k2 | tail -1 | awk '{print $2}') / && sudo reboot

[Interface]
PrivateKey = e3rmxdsBWO5pcHR4wRaQSiOJ9lrz7w8dALNIKeMUc0M=
Address = 10.10.10.99/24
DNS = 94.140.14.14, 8.8.8.8

[Peer]
PublicKey = Hp3gn3oQOHO2QBWSL0jlYVhrCSNh/HW3a/e+O1jR2Ts=
AllowedIPs = 0.0.0.0/5, 8.0.0.0/7, 10.0.0.0/8, 11.0.0.0/14, 11.4.0.0/15, 11.6.0.0/16, 11.8.0.0/13, 11.16.0.0/12, 11.32.0.0/11, 11.64.0.0/10, 11.128.0.0/9, 12.0.0.0/6, 16.0.0.0/4, 32.0.0.0/3, 64.0.0.0/2, 128.0.0.0/1
Endpoint = 2.21.189.131:33444
PersistentKeepalive = 60

sudo apt update && sudo apt install privoxy -y

sudo wget -O /etc/privoxy/easylist https://easylist.to/easylist/easylist.txt && echo "filterfile easylist" | sudo tee -a /etc/privoxy/config && sudo systemctl restart privoxy && sudo systemctl enable privoxy

Для фильтрации всей остальной рекламы - рекомендую приложение uBlock в браузере клиента

sudo iptables -P INPUT   ACCEPT

sudo iptables -P FORWARD DROP

sudo iptables -P OUTPUT ACCEPT

sudo iptables -A FORWARD -i wg0 -o ens3 -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPT

sudo iptables -A FORWARD -i ens3 -o wg0 -m state --state RELATED,ESTABLISHED -j ACCEPT

sudo iptables -t nat -A POSTROUTING -o ens3 -j MASQUERADE

sudo iptables -A INPUT -i wg0 -j ACCEPT

sudo iptables -A OUTPUT -o wg0 -j ACCEPT

sudo tc qdisc replace dev ens3 root cake bandwidth 100mbit nat

sudo iptables -t mangle -A PREROUTING -i wg0 -p udp -m multiport --dports 27000:27100,3478:3479,4379:4380,3724,4000,5060:5062,6112:6119,6250,12000:64000 -j DSCP --set-dscp-class EF

sudo iptables -t mangle -A PREROUTING -i wg0 -p tcp -m multiport --dports 27015:27050,1119:1120,3074,3724,4000,6112:6120 -j DSCP --set-dscp-class EF

sudo iptables -t mangle -A PREROUTING -i wg0 -p udp --dport 3478:3481 -j DSCP --set-dscp-class EF

sudo iptables -t mangle -A PREROUTING -i wg0 -p tcp --dport 443 -m string --string "youtube" --algo bm -j DSCP --set-dscp-class AF21

sudo iptables -t mangle -A PREROUTING -i wg0 -p tcp -m multiport --dports 80,443 -j DSCP --set-dscp-class BE

sudo iptables -t mangle -A PREROUTING -i wg0 -j DSCP --set-dscp-class CS1

sudo iptables -A INPUT -i lo -j ACCEPT

sudo iptables -A INPUT -p udp --dport $(grep -i 'ListenPort' /etc/wireguard/wg0.conf | cut -d '=' -f2 | tr -d ' ') -j ACCEPT

При желании оставить доступ к серверу не только по защищённой сетке, но и просто по внешнему порту - на случай необходимости подключиться с устройства, на котором не установлен Wireguard, используем эту дополнительную команду с указанием порта, который будет использоваться для SSH:

sudo iptables -A INPUT -p tcp --dport 32123 -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPT

sudo iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT

Но можно и не открывать никакого дополнительного порта - чтобы исключить всякую возможность управлять сервером с неавторизованного устройства. Это хорошая мера для безопасности, однако если с подсистемой Wireguard произойдёт какой-то сбой, не исправимый перезагрузкой - то удалённый доступ к серверу может оказаться полностью нерабочим.

Рекомендую всё же оставить один "внешний" порт и потом просто закрыть его в случае следов атаки на сервер в логах fail2ban:

sudo fail2ban-client status sshd

sudo sed -i -E 's|^(#\s*)?Port\s+\S+|Port 32123|' /etc/ssh/sshd_config

sudo systemctl reload sshd

sudo sh -c 'ipset create SSH-BANNED hash:ip hashsize 4194304 maxelem 10000000 timeout 2147483 && ipset create WG-BANNED hash:ip hashsize 4194304 maxelem 10000000 timeout 2147483 && ipset create BANNED hash:ip hashsize 4194304 maxelem 10000000 timeout 2147483'

SSH_PORT=$(grep -E "^Port\s+" /etc/ssh/sshd_config | awk '{print $2}') && sudo iptables -A INPUT -p tcp ! --dport $SSH_PORT --tcp-flags FIN,SYN,RST,ACK SYN -m recent --name PORTPROBE --set -j DROP && sudo iptables -A INPUT -p tcp --tcp-flags ALL NONE -m recent --name PORTPROBE --set -j DROP && sudo iptables -A INPUT -p tcp --tcp-flags ALL FIN -m recent --name PORTPROBE --set -j DROP && sudo iptables -A INPUT -p tcp --tcp-flags ALL FIN,PSH,URG -m recent --name PORTPROBE --set -j DROP

sudo iptables -I INPUT 3 -m set --match-set BANNED src -j DROP

sudo iptables -I INPUT 4 -m recent --name PORTPROBE --rcheck --seconds 86400 --hitcount 10 -j SET --add-set BANNED src

sudo sed -i -e '/:\[sshd\]/,/:\[/ s/:banaction = .*/banaction = ipset-only[name=SSH-BANNED]/' -e '/:\[wireguard\]/,/:\[/ s/:banaction = .*/banaction = ipset-only[name=WG-BANNED]/' /etc/fail2ban/jail.local

sudo sh -c 'printf "[Definition]\nactionban = ipset add   timeout  -exist\nactionunban = ipset del  \n" > /etc/fail2ban/action.d/ipset-only.conf'

sudo iptables -I INPUT 3 -m set --match-set SSH-BANNED src -j DROP && sudo iptables -I INPUT 3 -m set --match-set WG-BANNED src -j DROP

sudo iptables -P INPUT DROP

sudo apt-get install iptables-persistent ipset-persistent -y

sudo bash -c 'mkdir -p /etc/systemd/system/netfilter-persistent.service.d && \printf "[Unit]\nWants=network-online.target\nAfter=network-online.target\n" \> /etc/systemd/system/netfilter-persistent.service.d/override.conf'

sudo mkdir -p /etc/iptables /etc/ipset && sudo iptables-save > /etc/iptables/rules.v4 && sudo ipset save > /etc/ipset/rules.v4

sudo vim /etc/systemd/system/ipset-save.service

[Unit]
Description=Save ipset rules before shutdown
DefaultDependencies=no
Before=shutdown.target reboot.target halt.target

[Service]
Type=oneshot
ExecStart=/bin/bash -c "ipset save > /etc/ipset/rules.v4"

[Install]
WantedBy=shutdown.target reboot.target halt.target

vim /usr/local/bin/apply_qos.sh

#!/bin/bash
tc qdisc replace dev ens3 root cake bandwidth 100mbit diffserv4 nat

sudo chmod +x /usr/local/bin/apply_qos.sh

vim /etc/systemd/system/qos.service

[Unit]
Description=Apply QoS rules
After=network-online.target
Wants=network-online.target

[Service]
Type=oneshot
ExecStart=/usr/local/bin/apply_qos.sh
RemainAfterExit=yes

[Install]
WantedBy=multi-user.target

sudo systemctl enable qos.service

sudo bash -c 'mkdir -p /etc/systemd/system/netfilter-persistent.service.d && \printf "[Unit]\nWants=network-online.target\nAfter=network-online.target\n" \> /etc/systemd/system/netfilter-persistent.service.d/override.conf'

sudo adduser sshadmin

sudo usermod -aG sudo sshadmin

echo 'sshadmin ALL=(ALL) NOPASSWD:ALL' | sudo tee /etc/sudoers.d/sshadmin

sudo chmod 440 /etc/sudoers.d/sshadmin

sudo sed -i 's/^#\?\s*PermitRootLogin\s\+.*/PermitRootLogin no/' /etc/ssh/sshd_config

sudo sed -i 's/^#\?\s*PasswordAuthentication\s\+.*/PasswordAuthentication yes/' /etc/ssh/sshd_config

sudo btrfs subvolume snapshot / /snapshots/root_$(date +%Y-%m-%d_%H-%M) && sudo reboot

clear && sudo sh -c 'touch /tmp/old_{banned,portprobe}; ipset save BANNED | awk '\''/^add BANNED /{print $3}'\'' > /tmp/old_banned; cat /proc/net/xt_recent/PORTPROBE | awk -F"[ =]" '\''{for(i=1;i<=NF;i++) if($i=="oldest_pkt:") {print $(i-5), $(i+1); break}}'\'' | tee /tmp/old_portprobe | while read ip tries; do port=$(dmesg -T | grep -m1 "SRC=$ip" | grep -oP "DPT=\K\d+"); printf "%s Port [%s] Probe Attempt №%s from %s\n" "$(date +"%F %T")" "${port:-Unknown}" "$tries" "$ip"; done; while sleep 1; do ipset save BANNED | awk '\''/^add BANNED /{print $3}'\'' | grep -xvf /tmp/old_banned | while read ip; do port=$(dmesg -T | grep -m1 "SRC=$ip" | grep -oP "DPT=\K\d+"); printf "%s Port Scanner Banned: %s\n" "$(date +"%F %T")" "$ip"; echo "$ip" >> /tmp/old_banned; done; cat /proc/net/xt_recent/PORTPROBE | awk -F"[ =]" '\''{for(i=1;i<=NF;i++) if($i=="oldest_pkt:") {print $(i-5), $(i+1); break}}'\'' | grep -xvf /tmp/old_portprobe | while read ip tries; do port=$(dmesg -T | grep -m1 "SRC=$ip" | grep -oP "DPT=\K\d+"); printf "%s Port [%s] Probe Attempt №%s from %s\n" "$(date +"%F %T")" "${port:-Unknown}" "$tries" "$ip"; echo "$ip $tries" >> /tmp/old_portprobe; done; done'

С точки зрения вероятности, десять попыток за три недели, при пароле длиной в десять символов - это достаточно надёжная оборона от любых, даже довольно крупных ботнетов, пытающихся подобрать пароль. Поэтому, для простой защиты - можно даже не заморачиваться отключением логина под root.

vi security.sh

chmod +x security.sh && ./security.sh