متاح الآن! بحث تيليغرام 2025 — أهم رؤى العام 
LinuxSkill - Сводки с прода и Шпаргалки
الذهاب إلى القناة على Telegram
Следим за новостями Linux, DevOps и ИБ, чтобы быть готовым к любым факапам. Бонусом — плотные шпаргалки и чеклисты для ежедневной работы в терминале. 📩 По всем вопросам: @chorapov Зеркало в MAX: https://max.ru/LinuxSkill РКН https://vk.cc/cMUwm4
إظهار المزيد📈 نظرة تحليلية على قناة تيليجرام LinuxSkill - Сводки с прода и Шпаргалки
تُعد قناة LinuxSkill - Сводки с прода и Шпаргалки (@linuxskill) في القطاع اللغوي الروسية لاعباً نشطاً. يضم المجتمع حالياً 10 943 مشتركاً، محتلاً المرتبة 11 401 في فئة التكنولوجيات والتطبيقات والمرتبة 59 993 في منطقة روسيا.
📊 مؤشرات الجمهور والحراك
منذ تأسيسه في невідомо، حقق المشروع نمواً سريعاً وجمع 10 943 مشتركاً.
بحسب آخر البيانات بتاريخ 12 يونيو, 2026، تحافظ القناة على نشاط مستقر. خلال آخر 30 يوماً تغيّر عدد الأعضاء بمقدار -69، وفي آخر 24 ساعة بمقدار -4، مع بقاء الوصول العام مرتفعاً.
- حالة التحقق: غير موثّقة
- معدل التفاعل (ER): يبلغ متوسط تفاعل الجمهور 17.10%. وخلال أول 24 ساعة من النشر يحصد المحتوى عادةً 6.15% من ردود الفعل نسبةً إلى إجمالي المشتركين.
- وصول المنشورات: يحصل كل منشور على متوسط 1 871 مشاهدة. وخلال اليوم الأول يجمع عادةً 673 مشاهدة.
- التفاعلات والاستجابة: يتفاعل الجمهور بانتظام؛ متوسط التفاعلات لكل منشور يبلغ 7.
- الاهتمامات الموضوعية: يركز المحتوى على مواضيع رئيسية مثل docker, linux, bash, devops, скрипт.
📝 الوصف وسياسة المحتوى
يصف المؤلف القناة بأنها مساحة للتعبير عن الآراء الذاتية:
“Следим за новостями Linux, DevOps и ИБ, чтобы быть готовым к любым факапам.
Бонусом — плотные шпаргалки и чеклисты для ежедневной работы в терминале.
📩 По всем вопросам: @chorapov
Зеркало в MAX: https://max.ru/LinuxSkill
РКН https://vk.cc/cMUwm4”
بفضل وتيرة التحديث المرتفعة (أحدث البيانات بتاريخ 13 يونيو, 2026) تحافظ القناة على حداثتها ومستوى وصول مرتفع. وتُظهر التحليلات تفاعلاً نشطاً من الجمهور، ما يجعلها نقطة تأثير مهمة ضمن فئة التكنولوجيات والتطبيقات.
10 943
المشتركون
-424 ساعات
-157 أيام
-6930 أيام
جاري تحميل البيانات...
القنوات المماثلة
لا توجد بيانات
هل تواجه مشاكل؟ يرجى تحديث الصفحة أو الاتصال بمدير الدعم الخاص بنا.
سحابة العلامات
الإشارات الواردة والصادرة
---
---
---
---
---
---
جذب المشتركين
يونيو '26
يونيو '26
+4
في 0 قنوات
مايو '26
+57
في 0 قنوات
Get PRO
أبريل '26
+47
في 0 قنوات
Get PRO
مارس '26
+26
في 0 قنوات
Get PRO
فبراير '26
+257
في 0 قنوات
Get PRO
يناير '26
+49
في 2 قنوات
Get PRO
ديسمبر '25
+70
في 6 قنوات
Get PRO
نوفمبر '25
+76
في 0 قنوات
Get PRO
أكتوبر '25
+230
في 0 قنوات
Get PRO
سبتمبر '25
+367
في 0 قنوات
Get PRO
أغسطس '25
+505
في 0 قنوات
Get PRO
يوليو '25
+238
في 1 قنوات
Get PRO
يونيو '25
+89
في 0 قنوات
Get PRO
مايو '25
+539
في 1 قنوات
Get PRO
أبريل '25
+193
في 0 قنوات
Get PRO
مارس '25
+192
في 0 قنوات
Get PRO
فبراير '25
+159
في 0 قنوات
Get PRO
يناير '25
+187
في 1 قنوات
Get PRO
ديسمبر '24
+503
في 4 قنوات
Get PRO
نوفمبر '24
+1 144
في 0 قنوات
Get PRO
أكتوبر '24
+1 744
في 0 قنوات
Get PRO
سبتمبر '24
+782
في 0 قنوات
Get PRO
أغسطس '24
+874
في 0 قنوات
Get PRO
يوليو '24
+912
في 0 قنوات
Get PRO
يونيو '24
+1 949
في 0 قنوات
Get PRO
مايو '24
+416
في 0 قنوات
Get PRO
أبريل '24
+581
في 0 قنوات
Get PRO
مارس '24
+359
في 0 قنوات
Get PRO
فبراير '24
+1 227
في 0 قنوات
| التاريخ | نمو المشتركين | الإشارات | القنوات | |
| 13 يونيو | 0 | |||
| 12 يونيو | 0 | |||
| 11 يونيو | 0 | |||
| 10 يونيو | 0 | |||
| 09 يونيو | +1 | |||
| 08 يونيو | +1 | |||
| 07 يونيو | 0 | |||
| 06 يونيو | 0 | |||
| 05 يونيو | 0 | |||
| 04 يونيو | 0 | |||
| 03 يونيو | +2 | |||
| 02 يونيو | 0 | |||
| 01 يونيو | 0 |
منشورات القناة
💀 Забудь про тормоза strace: мониторим процессы через eBPF
Привычный strace безжалостно тормозит приложения, прерывая их на каждом системном вызове. Сейчас покажу, как фильтровать события прямо в ядре через bcc-tools, ловить короткоживущие процессы и отлаживать I/O с нулевым оверхедом.
❗️❗️❗️ Нравится формат? Ставь 👍
👉 Рубрика: #шпаргалка@LinuxSkill
#Linux #eBPF #BCC #DevOps #Security
| 2 | 🔪 Забудь про grep: ультимативная шпаргалка по journalctl
Обычные текстовые логи отнимают время. Переходи на journalctl, чтобы находить причины сбоев мгновенно по бинарным метаданным, без лишнего мусора.
❗️❗️❗️ Нравится формат? Ставь 👍
👉 Рубрика: #шпаргалка@LinuxSkill
#Linux #Systemd #Journalctl #DevOps #SysAdmin | 1 014 |
| 3 | 💣 find -delete сносит всё? Исправляем фатальные ошибки зачистки
Наивный конвейер с xargs rm легко ломается о пробелы и кавычки в именах файлов, удаляя нужные данные. Показываю, как безопасно зачищать систему и работать со списками файлов, не боясь кривых имен.
❗️❗️❗️ Нравится формат? Ставь 👍
👉 Рубрика: #шпаргалка@LinuxSkill
#Linux #Bash #xargs #rm #find | 1 354 |
| 4 | ⏱ Таймеры systemd: продвинутая альтернатива cron
Они требуют чуть больше строчек, чем crontab, но из коробки дают защиту от наслаивания процессов, контроль зависимостей и мощное логирование в journald.
❗️❗️❗️ Нравится формат? Ставь 👍
👉 Рубрика: #шпаргалка@LinuxSkill
#Linux #Systemd #DevOps #Timers #SysAdmin | 1 756 |
| 5 | 🛡 Железобетонный SSH: харденинг без ошибок
Внедряй эти параметры в свои пайплайны, и твой сервер станет неприступной крепостью.
❗️❗️❗️ Нравится формат? Ставь 👍
👉 Рубрика: #шпаргалка@LinuxSkill
#Linux #SSH #Security #Hardening #SysAdmin #DevOps | 1 862 |
| 6 | ⚠️ Хватит плодить хрупкие скрипты и оставлять дыры для троянов. Пора писать пуленепробиваемый инфраструктурный код.
🎥 Приглашаем на вебинар - Продвинутый Bash
На вебинаре вы узнаете:
- Связка set -euo pipefail навсегда исключит тихое проглатывание ошибок и потерю данных в конвейерах.
- Нативные подстановки Bash заменят тысячи ресурсоемких вызовов sed и сэкономят CPU.
- Регулярный мониторинг системных профилей защитит продакшен от перехвата команд троянами.
- Грамотный перехват сигналов через trap обеспечит безопасное сворачивание процессов при сбоях.
В результате вебинара вы:
- Замените многоуровневые костыли лаконичной логикой на базе ассоциативных массивов.
- Исключите утечки глобальных переменных через жесткую изоляцию областей видимости в функциях.
- Внедрите нативную построчную трассировку скриптов вместо примитивного дебага echo-принтами.
- Начнете напрямую пробрасывать переменные окружения в SystemD-юниты для надежного старта сервисов.
🧠 Открытый урок проходит в преддверии старта курса «Администратор Linux. Продвинутый уровень»
👉 Для участи зарегистрируйтесь: https://otus.pw/7CHT/
Реклама. ООО «Отус онлайн-образование», ОГРН 1177746618576, www.otus.ru | 1 853 |
| 7 | 💣 Cron для сеньоров: защита от дублей и правильные логи
Держи концентрат боевых примеров для crontab, которые нужны на реальном продакшене.
❗️❗️❗️ Нравится формат? Ставь 👍
👉 Рубрика: #шпаргалка@LinuxSkill
#Linux #Cron #DevOps #Bash #SysAdmin | 1 384 |
| 8 | 🎥 Вебинар: Введение в Docker: контейнеризация приложений в Linux
На вебинаре вы узнаете:
- Как контейнеры делят одно ядро хоста без тормозов гипервизора и навсегда избавляют от конфликта зависимостей.
- Правду о неидеальной изоляции Docker и рисках взлома сервера из-за скачивания левых образов от "Васи Пупкина".
- Почему сеть bridge режет скорость под нагрузкой и зачем базам данных нужны только проверенные файловые системы вроде ext4.
- Как правильно дробить монолит на микросервисы, соблюдая жесткое правило: один сервис — один контейнер.
В результате вебинара вы:
- Усвоите принцип эфемерности (stateless) и навсегда отучитесь лезть внутрь работающего контейнера для установки пакетов или правки конфигов.
- Научитесь железобетонно сохранять данные при перезапусках, отвязав их от жизненного цикла контейнера через docker volume и bind mount.
- Освоите реальную сетевую механику: от проброса портов через Docker Proxy до полного снятия изоляции в режиме host.
- Избавитесь от синдрома «на моей машине всё работало», научившись собирать неизменяемые слои образа через Dockerfile для развертывания инфраструктуры за секунды.
🧠 Открытый урок проходит в преддверии старта курса «Администратор Linux. Базовый уровень»
👉 Для участи зарегистрируйтесь: https://otus.pw/SpeOL/
Реклама. ООО «Отус онлайн-образование», ОГРН 1177746618576, www.otus.ru | 773 |
| 9 | 🛡️ SSH-туннель отваливается? Вечные соединения за секунду
Обычный SSH-туннель или прокси падает при малейшем сбое сети, оставляя тебя без связи. Утилита autossh решает эту проблему: она оборачивает SSH-соединение, мониторит его состояние и автоматически перезапускает при обрыве.
Ниже подробная шпаргалка, как поднять вечные туннели для любых задач.
1. Поднимаем постоянный локальный SSH-туннель (Local port forward)
Пробрасываем удаленный порт 80 на локальный 8080 с портом мониторинга 20000
autossh -M 20000 -N -L 8080:localhost:80 user@remote
2. Туннель без отдельного порта мониторинга
Полезно, если порты мониторинга закрыты (полагается на ServerAliveInterval)
autossh -M 0 -N -L 8080:localhost:80 user@remote
3. Поднимаем вечный обратный туннель (Reverse port forward)
Пробрасываем наш локальный порт 80 на удаленный порт 8080
autossh -M 20000 -N -R 8080:localhost:80 user@remote
4. Запуск в фоновом режиме
Ключ -f уводит процесс в фон сразу после аутентификации
autossh -f -M 20000 -N -L 8080:localhost:80 user@remote
5. Создаем неразрывный SOCKS-прокси
autossh -M 20000 -N -D 8080 user@remote
6. Управление через переменные окружения
Включаем отладку и задаем задержку перед первой проверкой (по умолчанию 30 сек)
AUTOSSH_DEBUG=1 AUTOSSH_GATETIME=10 autossh -M 20000 -N -D 8080 user@remote
Настрой это один раз, и твои пробросы портов больше никогда не умрут от смены IP или перезагрузки роутера. Проверь свои туннели прямо сейчас.
❗️❗️❗️ Нравится формат? Ставь 👍
👉 Рубрика: #шпаргалка@LinuxSkill
#SSH #Autossh #Linux #DevOps #SysAdmin | 1 986 |
| 10 | 🧨 Твои скрипты падают на проде? 43 команды Bash, которые спасут твою репутацию
Скрипт отработал с ошибкой, но не остановился и удалил половину нужных файлов? Или CI/CD пайплайн споткнулся о пустую переменную? Я отжал воду из огромных справочников и оставил ровно 50 самых хардкорных и важных конструкций Bash, которые жизненно необходимы.
1. Безопасность и запуск (Strict Mode)
Эти настройки — стандарт де-факто для любых production-скриптов. Они отлавливают ошибки на раннем этапе.
# Указать интерпретатор (лучшая практика переносимости)
#!/usr/bin/env bash
# Сделать скрипт исполняемым
chmod +x script.sh
# "Strict Mode" (выход при ошибке, ошибке переменной или в пайплайне)
set -euo pipefail
# Выйти немедленно при ошибке
set -e
# Режим отладки (выводить команды перед выполнением)
set -x
2. Продвинутая работа с переменными
Защита от пустых значений, которые могут сломать автоматизацию.
# Присвоить значение (строго без пробелов вокруг =)
VAR=value
# Безопасное чтение с кавычками (предотвращает word splitting)
"$VAR"
# Использовать по умолчанию, если переменная не задана (важно для Docker)
${VAR:-default}
# Назначить значение по умолчанию, если VAR не задана
${VAR:=default}
# Выйти с ошибкой, если переменная не задана (failsafe для деплоя)
${VAR:?error msg}
# Сделать переменную доступной только для чтения (константа)
readonly VAR
# Экспортировать переменную для дочерних процессов
export VAR
3. Системные переменные
Идентификаторы процессов и аргументы функций.
# Имя скрипта
$0
# Позиционные параметры (аргументы 1-9)
$1..$9
# Количество переданных аргументов
$#
# Все аргументы безопасно как отдельные слова
$@
# Статус выхода последней команды (0 - успех, иное - ошибка)
$?
# PID текущего процесса shell
$$
4. Парсинг строк (без вызова awk/sed)
Молниеносные встроенные манипуляции с путями и текстом.
# Удалить самое короткое совпадение паттерна с начала
${VAR#pattern}
# Удалить самое короткое совпадение с конца (удобно для расширений файлов)
${VAR%pattern}
# Заменить все вхождения подстроки
${VAR//old/new}
# Перевести все символы в нижний регистр
${VAR,,}
5. Условия и мощные проверки
Используй `[[ ]]` вместо старого `[ ]` — это безопаснее и поддерживает регулярные выражения.
# Проверить существование файла и вывести результат
if [[ -f "file.txt" ]]; then echo "exists"; fi
# Проверка по регулярному выражению
=~
# Конструкция case (идеально для стартовых скриптов systemd)
case "$1" in start) echo "Starting";; stop) echo "Stopping";; *) echo "Usage: $0 {start|stop}";; esac
# Файл существует и является обычным
-f file
# Файл существует и является директорией
-d file
# Строка пустая
-z string
# Строка не пустая
-n string
# Строковое равенство и неравенство
==
!=
# Числовое равенство и неравенство
-eq
-ne
6. Массивы и словари
Незаменимо для перебора IP-адресов, списков серверов и портов.
# Объявить индексированный массив
arr=(a b c)
# Получить все элементы массива
${arr[@]}
# Узнать количество элементов в массиве
${#arr[@]}
# Объявить ассоциативный массив (словарь)
declare -A map
# Добавить значение по ключу
map[key]="value"
7. Математика, Ввод/Вывод и Сигналы
Форматирование вывода для дашбордов и правильная очистка мусора за скриптом.
# Арифметика: сложение
$((a + b))
# Арифметическое присваивание
let "a += 5"
# Прочитать строку в массив
read -r -a items <<< "a b c"
# Форматированный вывод (надежнее чем echo)
printf "Name: %s, Age: %d\n" "$name" "$age"
# Многострочный ввод (Here document) для генерации конфигов
cat <<EOF
Lines of text go here.
Variables like $HOME are expanded.
$ EOF
# Завершить скрипт с кодом успеха
exit 0
# Завершить скрипт с кодом ошибки
exit 1
# Выполнить очистку (например, удалить лок-файл) при любом выходе
trap ' rm -f /tmp/mylock' EXIT
Теперь твой код готов к нагрузкам. Сохраняй шпаргалку, чтобы не плодить костыли, и применяй правильный синтаксис!
❗️❗️❗️ Нравится формат? Ставь 👍
👉 Рубрика: #шпаргалка@LinuxSkill
⭐️ Зеркало в MAX
#Linux #Bash #DevOps #Sysadmin #ShellScripting #CLI | 2 227 |
| 11 | 🚨 Экстренно меняем токены: атака Megalodon ломает GitHub-репозитории
Масштабная автоматизированная supply-chain атака Megalodon всего за шесть часов поразила более 5500 репозиториев на GitHub. Злоумышленники внедряют вредоносные рабочие процессы в CI/CD и сливают критичные секреты инфраструктуры. Разберем механику взлома и официальные шаги по защите.
Аналитики Hudson Rock подтвердили: источником заражения стали обычные инфостилеры на рабочих компьютерах разработчиков. Украденные учетные данные позволили хакерам получить доступ к репозиториям.
Как действует эксплойт:
- Атакующие используют поддельные имена авторов, маскируясь под легитимных ботов (build-bot, auto-ci, ci-bot, pipeline-bot).
- В GitHub Actions внедряется вредоносный workflow с полезной нагрузкой на bash в кодировке Base64.
- Скрипт собирает переменные окружения, ключи AWS, SSH, токены Kubernetes, Docker, Vault и Terraform, после чего отправляет их на C2-сервер атакующих.
Опасность в том, что атака активируется автоматически при каждом пуше (вариант SysDiag) или ждет ручного запуска через workflow_dispatch (вариант Optimize-Build), гарантируя хакерам максимальный охват.
Поскольку проблема кроется в утечке доступов, готовых bash-скриптов для очистки нет — зараженные пайплайны нужно вычищать вручную. Платформа npm уже начала принудительно аннулировать скомпрометированные ключи и выпустила официальную инструкцию по сдерживанию угрозы:
Официальные меры по защите от атаки в экосистеме npm
1. Немедленно аннулировать гранулярные токены доступа с правами на запись, которые обходят двухфакторную аутентификацию (2FA).
2. Перевести публикацию пакетов на механизм Trusted Publishing, чтобы снизить зависимость от статических токенов.
Машина разработчика с трояном — это прямой бэкдор в твой продакшен. Проверь историю коммитов на предмет странных ботов и отзови старые токены прямо сегодня.
❗️❗️❗️ Нравится формат? Ставь 👍
👉 Рубрика: #News@LinuxSkill
⭐️ Зеркало в MAX
#GitHub #Security #CICD #Megalodon #DevOps | 2 380 |
| 12 | 🚨 Останови захват root через кэш. Защищаем сервер от Fragnesia
Не успели мы выдохнуть после патчей для Dirty Frag, как исследователь William Bowling из команды V12 выкатил продолжение — уязвимость «Fragnesia» (CVE-2026-46300). Давай разберем механику угрозы и посмотрим на официальные методы защиты.
Новый баг — это непреднамеренный побочный эффект от патчей, которыми ранее закрывали прошлую дыру Dirty Frag. Проблема находится в подсистеме ядра XFRM, отвечающей за обработку ESP-in-TCP (поддержка IPsec).
Опасность Fragnesia кроется в трех факторах:
- Логическая ошибка позволяет произвольно записывать байты в кэш страниц ядра (page cache) для файлов, доступных только для чтения.
- Опубликованный эксплойт успешно модифицирует бинарник /usr/bin/su прямо в оперативной памяти, открывая root-оболочку без изменения файла на диске.
- Эксплойт абсолютно предсказуем. В отличие от старых багов вроде Dirty COW, он вообще не полагается на состояния гонки (Race Conditions), что делает его сверхнадежным.
Такие вендоры, как Ubuntu, RHEL, Debian, SUSE и Amazon Linux, уже оценивают масштабы проблемы по всем поддерживаемым версиям ядер. Microsoft предупреждает: эксплойт позволяет модифицировать любой читаемый юзером файл, включая /etc/passwd
Что делать прямо сейчас? Инженеры уже подготовили патч из двух строк для файла skbuff.c, но пока он едет в стабильные ветки дистрибутивов (Ubuntu, Debian, RHEL, SUSE и др.), разработчики AlmaLinux выпустили официальную рекомендацию по защите:
«Если твой сервер не использует IPsec/ESP, жесткое отключение этих модулей ядра поможет срезать вектор атаки до установки финального патча. Следи за пакетным менеджером и обновляйся.»
👉 Патч тут
❗️❗️❗️ Нравится формат? Ставь 👍
👉 Рубрика: #News@LinuxSkill
⭐️ Зеркало в MAX
#Linux #Security #Fragnesia #CVE #Root | 2 693 |
| 13 | 🧠 Закипел мозг от конфигов? 10 скрытых игр прямо в терминале
Устал парсить бесконечные логи и ждать завершения долгого деплоя? Есть легальный способ выдохнуть, не сворачивая любимую консоль. Держи шпаргалку по 10 олдскульным играм, которые запускаются прямо в терминале.
1. Знаменитая головоломка 2048.
$ 2048
2. Классический сапёр (mines)
$ nbmines
$ freesweep
3. Текстовое приключение (adventure).
$ adventure
4. Лунный багги (moon-buggy).
$ moon-buggy
5. Классическая ролевая игра (angband).
$ angband
6. Подземелья Мории (moria).
$ moria
7. Симулятор авиадиспетчера (atc).
$ atc
8. Легендарный рогалик (nethack).
$ nethack-console
9. Нарды в консоли (backgammon).
$ backgammon
10. Космические захватчики (ninvaders).
$ ninvaders
Сохрани этот пост, чтобы быстро переключиться и дать мозгу отдохнуть, пока шеф думает, что ты упорно дебажишь ядро.
❗️❗️❗️ Нравится формат? Ставь 👍
👉 Рубрика: #шпаргалка@LinuxSkill
⭐️ Зеркало в MAX
#Linux #Terminal #CLI #Games #Sysadmin #DevOps | 2 663 |
| 14 | 🚨 Останови кражу root-файлов без перезагрузки сервера
Любой локальный пользователь без привилегий прямо сейчас может прочитать твои приватные SSH-ключи и хеши паролей из /etc/shadow. Давай закроем брешь CVE-2026-46333 на уровне ядра строго по рекомендациям Red Hat.
Ошибка кроется в функции __ptrace_may_access(). Во время завершения процесса ядро освобождает память до закрытия файловых дескрипторов. Возникает состояние гонки. Успешная эксплуатация опирается на использование вызова pidfd_getfd(2). Под ударом RHEL 8, 9, 10 и зависимые продукты (RHEL CoreOS, OpenShift, OpenStack, Red Hat Virtualization).
Официальный бюллетень Red Hat не предоставляет готовых bash-скриптов, но описывает два варианта изоляции угрозы:
1. Option 1: Admin-only scope (Безопасный режим)
Необходимо установить ptrace_scope в значение 2. Это ограничит ptrace только для процессов с правами CAP_SYS_PTRACE и заблокирует известные векторы атак.
Важно: это не позволит обычным пользователям использовать отладчики (gdb, strace -p) для своих собственных процессов.
2. Option 2: Most restrictive scope (Радикальный режим)
Необходимо установить ptrace_scope в значение 3. Это полностью отключит любые операции ptrace для всех, включая root.
Важно: сломаются любые инструменты мониторинга, опирающиеся на ptrace. Требуется жесткое тестирование.
Для отката любого из этих вариантов (Mitigation removal) вендор дает следующую прямую инструкцию:
delete /etc/sysctl.d/ptrace-restrict.conf and run sysctl --system
Помни, что изменения ptrace блокируют только известные эксплойты. Полностью уязвимость закроет только официальный патч ядра.
❗️❗️❗️ Нравится формат? Ставь 👍
👉 Рубрика: #News@LinuxSkill
⭐️ Зеркало в MAX
#Linux #Security #CVE #RHEL #Root | 2 887 |
| 15 | 🧠 Устал от взломов? 5 строчек SSH, которые спасут сервер
Оставляешь дефолтные настройки SSH и надеешься, что пронесет? Сейчас покажу, как грамотно защитить сервер и безопасно пробрасывать порты.
1. Бэкап конфигурации
Всегда делай резервную копию перед изменениями.
# Бэкап конфигурации SSH перед любыми изменениями
sudo cp /etc/ssh/sshd_config /etc/ssh/sshd_config.bkp
2. Хардэнинг сервера
Ограничь прослушиваемые адреса и отключи небезопасные методы аутентификации.
# Жестко прописываем IP адрес SSH сервера для защиты
ListenAddress 192.168.1.100 # ip ag-dc-1
# Отключаем пустые пароли и доверенные хосты
PermitEmptyPasswords no
IgnoreRhosts yes
HostbasedAuthentication no
3. Правильный проброс портов
Избегай лишних ключей и фоновых запусков через амперсанд, чтобы не сломать ввод пароля.
# Проброс удаленного порта на локальную машину
ssh -N -L 8000:example.com:80 user@bastion.example.com
4. Выполнение команд на лету
Запускай команды без входа в интерактивную сессию.
# Выполнение конкретной команды на сервере без входа в интерактивную сессию
ssh [user]@[host] [command]
5. Монтирование удаленных папок
Подключай директории прямо в свою систему для удобной работы.
# Монтирование удаленной директории через SSH в локальную систему
sshfs [user]@[host]:[remoteDir] [localDir]
Безопасность — это процесс, а не результат. Обнови конфиги прямо сейчас, чтобы спать спокойно.
❗️❗️❗️ Нравится формат? Ставь 👍
⭐️ Зеркало в MAX
#Linux #SSH #Security #Hardening #SysAdmin | 3 341 |
| 16 | 🛡 Тратишь часы на аудит сети? Эти 59 утилит сэкономят твои нервы
Подозреваешь дыры в безопасности или хочешь протестировать инфраструктуру на прочность? Хватит гуглить каждую тулзу — держи 59 базовых утилит для пентеста, сниффинга и форензики, которые должны быть под рукой при аудите.
1. Эксплуатация уязвимостей (Exploitation tools)
# Утилиты для поиска и эксплуатации брешей
$ yersinia
$ thc-ipv6
$ sqlmap
$ termineter
$ searchsploit
$ msfpc
$ msfconsole
$ beef-xss
$ setoolkit
2. Атаки на пароли (Password attacks)
# Инструменты для брутфорса, генерации словарей и подбора паролей
$ cewl
$ crunch
$ hashcat
$ john
$ medusa
$ ncrack
$ ophcrack
$ pyrit
$ rcrack
$ hydra
3. Компьютерная криминалистика (Forensics)
# Утилиты для расследования инцидентов и анализа дампов памяти
$ autopsy
$ binwalk
$ bulk_extractor
$ chkrootkit
$ foremost
$ galleta
$ hashdeep
$ volatility
4. Сниффинг и Спуфинг (Sniffing/Spoofing)
# Перехват и подмена трафика в сети
$ driftnet
$ ettercap
$ macchanger
$ mitmproxy
$ netsniff-ng
$ wireshark
5. Сбор информации (Information gathering)
# Разведка и сбор данных об инфраструктуре и хостах
$ dmitry
$ ike-scan
$ netdiscover
$ nmap
$ zenmap
6. Анализ уязвимостей (Vulnerability analysis)
# Сканирование системы и сети на наличие уязвимостей
$ lynis
$ nikto
$ nmap
7. Анализ веб-приложений (Web application analysis)
# Поиск брешей в веб-сайтах и дамп данных
$ httrack
$ skipfish
$ sqlmap
8. Базы данных (Databases)
# Тестирование безопасности баз данных
$ mdb-sql
$ sqlitebrowser
$ sqlmap
9. Атаки на беспроводные сети (Wireless attack)
# Взлом и аудит Wi-Fi, RFID и других беспроводных стандартов
$ cewl
$ aircrack-ng
$ chirpw
$ giskismet
$ kismet
$ mfoc
$ mfterm
$ reaver
$ wifite
10. Утилиты для отчетов (Reporting tools)
# Создание отчетов и фиксация результатов пентеста
$ cutycapt
$ keepnote
$ recordmydesktop
Сохрани этот арсенал, чтобы нужная утилита всегда была под рукой во время тестирования на проникновение.
❗️❗️❗️ Нравится формат? Ставь 👍
👉 Рубрика: #шпаргалка@LinuxSkill
⭐️ Зеркало в MAX
#Linux #Security #Pentest #Sysadmin #DevOps #Hacking | 3 257 |
| 17 | 🚨 Спасаем Linux от рут-доступа без пароля: надежный патч
Любой локальный пользователь прямо сейчас может получить root-права на твоей машине из-за новых уязвимостей Dirty Frag и Copy Fail. В сети гуляют скрипты защиты, которые выдают ошибки доступа или пропускают часть уязвимых модулей. Сейчас покажу, как надежно заблокировать эту угрозу командами от Amazon и Microsoft.
Проблема кроется в подсистемах ядра IPsec (esp4/esp6/ipcomp4/ipcomp6) и RxRPC. Эксплойт перезаписывает кэш страниц и модифицирует бинарные файлы (например, /usr/bin/su) прямо в оперативной памяти. В итоге атакующий получает root-оболочку без ввода пароля.
Вот пошаговая инструкция для полной изоляции угрозы:
# 1. Проверяем наличие модулей в памяти
lsmod | grep -E "esp4|esp6|ipcomp4|ipcomp6|rxrpc"
# 2. Блокируем загрузку и пытаемся выгрузить текущие
sudo sh -c "printf 'install esp4 /bin/false\ninstall esp6 /bin/false\ninstall ipcomp4 /bin/false\ninstall ipcomp6 /bin/false\ninstall rxrpc /bin/false\n' > /etc/modprobe.d/dirtyfrag.conf"
# Пытаемся выгрузить модули (modprobe -r корректно обрабатывает зависимости)
sudo modprobe -r esp4 esp6 ipcomp4 ipcomp6 rxrpc 2>/dev/null || echo "Некоторые модули еще используются и не могут быть выгружены без перезагрузки"
# 3. Очищаем кэш (теперь с sudo)
sudo sh -c "echo 3 > /proc/sys/vm/drop_caches"
Важно: блокировка модулей esp и ipcomp полностью отключит поддержку IPsec (КВН, зашифрованные туннели). Если сервер использует их для связи, сеть упадет. Также обрати внимание: если модули уже были загружены и использовались, для надежной выгрузки потребуется перезагрузка сервера.
Теперь ты знаешь, как защитить инфраструктуру от свежих уязвимостей. Проверь свои серверы прямо сейчас.
❗️❗️❗️ Нравится формат? Ставь 👍
👉 Рубрика: #News@LinuxSkill
⭐️ Зеркало в MAX
#Linux #Security #DirtyFrag #Root #AWS | 3 239 |
| 18 | 🔥 14 ГБ оперативки на фаервол? Вся правда о порте Little Snitch на Linux
Не знаешь, какие процессы втихаря сливают телеметрию с твоего сервера? Сейчас покажу, как отследить и заблокировать их с помощью порта Little Snitch на Linux, и почему с ним нужно быть крайне осторожным.
rustup toolchain install stable
rustup toolchain install nightly --component rust-src
cargo install bpf-linker
Ставим зависимости. Без ночной сборки Rust линкер не справится, и eBPF-программы для ядра просто не соберутся. Также в системе должен быть установлен компилятор clang.
cargo build
cargo check
Запускаем сборку. Код очень капризный и проходит верификатор только на ядрах Linux от 6.12 до 7.0 (обязательна поддержка BTF) при сборке через Rust 1.93.0-nightly. На старых ядрах ты просто упрешься в лимит инструкций верификатора.
http://localhost:3031/
Именно здесь по умолчанию живет веб-интерфейс. В отличие от macOS-версии, традиционного десктопного приложения тут нет — демон поднимает локальный сервер, куда можно зайти даже с телефона или добавить его как PWA. При этом визуальные графики трафика на месте: они строятся внизу страницы и позволяют фильтровать историю соединений.
cp /var/lib/littlesnitch/config/web_ui.toml /var/lib/littlesnitch/overrides/config/
cp /var/lib/littlesnitch/config/main.toml /var/lib/littlesnitch/overrides/config/
Никогда не правь дефолтные конфиги напрямую. Скопируй их в директорию overrides и редактируй там. В main.toml можно сменить политику неизвестных соединений на deny, а в web_ui.toml — обязательно включить TLS и базовую аутентификацию, если интерфейс торчит наружу.
Запомни главное: на Linux это инструмент только для приватности, а не для безопасности. Под высокой сетевой нагрузкой eBPF-таблицы кэша тупо переполняются, и система перестает понимать, какой пакет какому процессу принадлежит. В довесок, пользователи на GitHub и Reddit уже вовсю репортят баги: этот полупроприетарный демон способен сожрать 13-14 ГБ памяти и повесить CPU на 100%.
Проект на github.com
❗️❗️❗️ Нравится формат? Ставь 👍
⭐️ Зеркало в MAX
#linux #ebpf #littlesnitch #firewall #devops #администрирование | 3 450 |
| 19 | 📦 Стыдно не знать эти 44 команды архивации, которые избавят тебя от рутины
Снова забыл, какой ключ нужен для извлечения файлов из архива tar.xz, или путаешься в современных форматах сжатия? Хватит каждый раз гуглить документацию — держи ультимативную шпаргалку ровно на 44 команды по всем видам архивов и компрессии в Linux.
1. Работа с архивами tar
Классический инструмент администратора. Создание, распаковка и просмотр содержимого.
# Создать tar архив
$ tar cf [archive].tar [files]
$ tar czf [archive].tar.gz [files]
$ tar cjf [archive].tar.bz2 [files]
$ tar cJf [archive].tar.xz [files]
# Извлечь tar архив
$ tar xf [archive].tar
$ tar xzf [archive].tar.gz
$ tar xjf [archive].tar.bz2
$ tar xJf [archive].tar.xz
# Извлечь в определенную директорию
$ tar xf [archive].tar -C [directory]
# Показать содержимое архива
$ tar tf [archive].tar
$ tar tzf [archive].tar.gz
2. Сжатие и распаковка (gzip и bzip2)
Базовые утилиты для работы с популярными форматами сжатия.
# Сжать с помощью gzip
$ gzip [file]
$ gzip -k [file]
$ gzip -9 [file]
# Распаковать gzip
$ gunzip [file].gz
$ zcat [file].gz
# Сжать с помощью bzip2
$ bzip2 [file]
$ bzip2 -k [file]
# Распаковать bzip2
$ bunzip2 [file].bz2
$ bzcat [file].bz2
3. Современное сжатие (xz и zstd)
Форматы, обеспечивающие высокую степень сжатия или невероятную скорость.
# Сжать с помощью xz
$ xz [file]
$ xz -k [file]
$ xz -9 [file]
# Распаковать xz
$ unxz [file].xz
$ xzcat [file].xz
# Сжать с помощью zstd
$ zstd [file]
$ zstd -k [file]
$ zstd -19 [file]
# Распаковать zstd
$ unzstd [file].zst
$ zstdcat [file].zst
4. Популярный формат zip
Управление классическими zip-архивами прямо из консоли.
# Создать zip архив
$ zip [archive].zip [files]
$ zip -r [archive].zip [directory]
$ zip -e [archive].zip [files]
# Извлечь zip архив
$ unzip [archive].zip
$ unzip [archive].zip -d [directory]
$ unzip -l [archive].zip
# Показать информацию о zip архиве
$ zipinfo [archive].zip
5. Другие форматы: 7z, cpio, rar, ar
Работа с экзотическими или специфичными форматами упаковки.
# Создать 7z архив
$ 7z a [archive].7z [files]
# Извлечь 7z архив
$ 7z x [archive].7z
# Показать содержимое 7z архива
$ 7z l [archive].7z
# Создать cpio архив
$ find . | cpio -o > [archive].cpio
# Извлечь cpio архив
$ cpio -id < [archive].cpio
# Извлечь rar архив
$ unrar x [archive].rar
# Создать ar архив
$ ar rcs [archive].a [files]
❗️❗️❗️ Нравится формат? Ставь 👍
👉 Рубрика: #шпаргалка@LinuxSkill
⭐️ Зеркало в MAX
#Linux #Bash #Archiving #DevOps #Sysadmin #CLI | 3 315 |
| 20 | 💥 Твой ИИ снесёт прод за 9 секунд. Ставим хард-лимиты для агентов
Слышал, как ИИ-агент Cursor (на базе Claude Opus 4.6) за 9 секунд удалил всю базу и бэкапы стартапа PocketOS? Давай разберем на их ошибках, почему текстовые запреты в промптах — это мусор, и как реально работает безопасность.
Как это было и как надо делать
curl -X POST https://backboard.railway.app/graphql/v2 \
-H "Authorization: Bearer [token]" \
-d '{"query":"mutation { volumeDelete(volumeId: \"3d2c42fb-...\") }"}'
Это реальный запрос, который агент отправил в Railway API, чтобы «починить» ошибку авторизации. Никакого подтверждения (типа "введите DELETE" или SMS) система не запросила.
Railway CLI token = Domain Management + volumeDelete permission
Агент нашел токен в файле, вообще не связанном с его задачей. Токен создавался только для управления доменами через CLI, но по факту давал root-права на весь GraphQL API без какого-либо RBAC.
"NEVER run destructive/irreversible git commands (like push --force, hard reset, etc) unless the user explicitly requests them."
Это кусок реального системного промпта агента PocketOS. Агент сам признался, что знал правило, но «угадал», что удаление безопасно, и проигнорировал его. Системные промпты — это советы, а не защита, модель может их обойти.
# Разрешенные команды (Cerbos Synapse):
git status
# Блокируемые команды:
rm -rf
Защита должна быть снаружи процесса агента. Как указывают спецы из Cerbos, HTTP-хуки перехватывают вызовы ИИ и блокируют деструктивные операции (например, rm -rf), не давая агенту права самому управлять своими разрешениями.
"Wiping a volume deletes all backups"
Это цитата из документации Railway, о которой не знал ИИ. Бэкапы лежали в том же томе, что и база, поэтому агент снес всё разом. Настоящие резервные копии должны лежать в другом радиусе поражения.
❗️❗️❗️ Нравится формат? Ставь 👍
👉 Рубрика: #News@LinuxSkill
⭐️ Зеркало в MAX
#ai #devops #sysadmin #security #incident | 3 417 |
