NetworkAdmin.ru

🔒 Конфигурации nftables для защиты сервера nftables - это замена iptables, встроенная в ядро linux. Она объединяет фильтрацию, NAT и маршрутизацию в единую подсистему и считается более быстрой и удобной. Разберемся, как можно построить базовую защиту сервера. ▪️ Минимальная конфигурация. Создадаем новый ruleset с таблицей для фильтрации трафика:

sudo nft add table inet filter
sudo nft 'add chain inet filter input { type filter hook input priority 0; policy drop; }'

Мы сразу задали policy drop, то есть по умолчанию все запрещено. Теперь разрешим только нужное. ▪️ Разрешаем базовое

sudo nft add rule inet filter input ct state established,related accept
sudo nft add rule inet filter input iif lo accept
sudo nft add rule inet filter input ip protocol icmp accept
sudo nft add rule inet filter input tcp dport {22,80,443} accept

Что тут происходит: принимаем все соединения в состоянии ESTABLISHED и RELATED разрешаем локальный интерфейс (lo) разрешаем ping (ICMP) открываем SSH, HTTP и HTTPS

▪️ Защита SSH. Ограничим количество соединений по SSH, чтобы усложнить перебор паролей:

sudo nft add rule inet filter input tcp dport 22 ct state new limit rate 10/minute accept
sudo nft add rule inet filter input tcp dport 22 drop

Теперь на SSH можно будет открыть не более 10 новых подключений в минуту. ▪️ Блокируем сканеров и мусор. Пример простого анти-сканера:

# блокируем пакеты без флагов (NULL scan)
sudo nft add rule inet filter input tcp flags == 0 drop

# блокируем XMAS-скан
sudo nft add rule inet filter input tcp flags & (fin|psh|urg) == (fin|psh|urg) drop

▪️ Проверка и сохранение. Посмотреть активные правила:

sudo nft list ruleset

Сохранить конфиг:

sudo sh -c "nft list ruleset > /etc/nftables.conf"
sudo systemctl enable nftables
sudo systemctl restart nftables

#nftables #security 🧑‍💻 NetworkAdmin

♥️ Что такое blackhole в сети Часто говорят, что при DDoS провайдер отправляет трафик в blackhole. Это не метафора - blackhole (или nullroute) - реальная запись в таблице маршрутизации, которая заставляет ядро молчаливо отбрасывать пакеты к указанному адресу/сети. ▪️ Создание черной дыры для одного IP:

ip route add blackhole 10.20.30.40
ip route show | grep blackhole

Теперь все пакеты к 10.20.30.40 будут просто выброшены, без попытки доставить и без ICMP-ответа. Для сети:

ip route add blackhole 203.0.113.0/24

Для IPv6:

ip -6 route add blackhole 2001:db8::/32

▪️ Удаление:

ip route del blackhole 203.0.113.0/24

▪️ Отличия blackhole от unreachable и от prohibit blackhole - молча дропает пакеты (никаких ICMP). prohibit - отсылает ICMP administratively prohibited (полезно, если нужно, чтобы источник получил уведомление). unreachable - возвращает host unreachable. Команды выглядят похоже:

ip route add prohibit 10.0.0.0/8
ip route add unreachable 10.0.0.0/8

Выбор зависит от сценария: для имитации «исчезновения» хоста - blackhole, чтобы сигнализировать отправителю - prohibit/unreachable. ▪️ Где это реально используют Провайдеры - при крупном DDoS обычно ставят null-route на адрес жертвы на своей инфраструктуре. Это позволяет дропать трафик до границ сети провайдера, защищая инфраструктуру дальше по пути. #network #blackhole 🧑‍💻 NetworkAdmin

Перед тем как что-то настраивать, я делаю бэкап. Потому что в Linux одно не то sudo — и привет, восстановление из пепла 🙂

Этот курс — для тех, кто уже знаком с Linux, но хочет понять, как всё устроено по-настоящему: как работают права, процессы, логи, мониторинг, резервное копирование и конфигурация ядра ✔️ Всё по полочкам: от базовой навигации в консоли до уверенного администрирования Без лишней теории, без скучных видео — только то, что реально пригодится в работе 👌 💡 В течение всего обучения вы будете выполнять сквозной проект. Это помогает сразу увидеть, как всё связано между собой 💬 С поддержкой и фидбэком от Кирилла Казарина (DevOps and SRE global manager в RingCentral Inc.) 💰 Сейчас можно попасть по ранней цене — минус 25 000 ₽ от полной стоимости 📆 Старт курса «Администрирование Linux» — 17 ноября Зайдите на сайт и посмотрите пример лекции📎

Доставка пакетов #юмор 🧑‍💻 NetworkAdmin

🖥 Неочевидные возможности ethtool для работы с сетевыми интерфейсами ethtool - это не только утилита для просмотра информации о сетевой карте. С ее помощью можно управлять сетевыми интерфейсами в linux: от настройки скорости линка до оптимизации производительности под конкретные задачи. ▪️ Проверка состояния интерфейса

ethtool eth0

Покажет: скорость, дуплекс, поддержку offload-функций, драйвер, версию прошивки и т.д. ▪️ Управление скоростью и режимом. Принудительная установка скорости 100 Мбит/с в full-duplex:

ethtool -s eth0 speed 100 duplex full autoneg off

Можно использовать для тестов или если автосогласование работает некорректно. ▪️ Offload-функции (ускорение или отладка) Проверить поддержку:

ethtool -k eth0

Отключить контрольную сумму (будет полезно для отладки):

ethtool -K eth0 tx off rx off

Также можно управлять GRO, LRO, TSO и другими функциями. ▪️ Диагностика линка Проверка кабеля и физики:

ethtool --test eth0
ethtool -t eth0 offline

А команда:

ethtool eth0 | grep detected

покажет, есть ли линк и его скорость. ▪️ Статистика и дропы пакетов

ethtool -S eth0

Выводит счётчики ошибок, дропов, коллизий. Это помогает отлавливать проблемы на низком уровне. ▪️ Управление очередями и ring buffer. Посмотреть текущие значения:

ethtool -g eth0

Изменить глубину очереди при интенсивной нагрузке:

ethtool -G eth0 rx 4096 tx 4096

▪️ Блокировка Wake-on-LAN. Если не используете WoL — отключите:

ethtool -s eth0 wol d

#network #ethtool 🧑‍💻 NetworkAdmin

🔧 Для системных администраторов и IT-специалистов! Ищете надежный источник знаний и поддержки? Тогда вам к нам! 📚 Что у нас есть: - Книги по Cisco Systems, Mikrotik, VoIP, Linux и Windows Server - Руководства по сетевым технологиям - 📽 Видеоуроки на актуальные темы - 🤝 Поддержка от сообщества Присоединяйтесь к нашему сообществу профессионалов: @sysadmin1

❌ Отключение лишних сервисов через systemd Одна из полезных практик на пути к оптимизации - переодически смотреть, а что вообще запускается и что из этого действительно нужно, а что можно отключить. Это будет полезно не только для оптимизации, но и для безопасности тоже. 1️⃣ Смотрим активные сервисы

systemctl list-unit-files --state=enabled

Команда покажет список всех юнитов, которые стартуют при загрузке. Также полезно посмотреть реально работающие процессы:

systemctl list-units --type=service

2️⃣ Отключение ненужного. Чтобы сервис не запускался при старте системы:

systemctl disable avahi-daemon.service

Чтобы остановить прямо сейчас:

systemctl stop avahi-daemon.service

Если сервис не нужен вообще - можно замаскировать, чтобы исключить случайный запуск:

systemctl mask avahi-daemon.service

(при этом запуск будет невозможен даже вручную, пока не сделаете unmask). Примеры сервисов, которые часто не используются: avahi-daemon.service - autodiscovery (не нужен на сервере) bluetooth.service - если нет блютуза ModemManager.service - если не используется мобильный модем rpcbind.service - устаревший RPC, не нужен большинству Далее уже зависит конкретно от Ваших потребностей и ситуации. 3️⃣ Проверка. После внесенных изменений убедитесь, что лишние службы не стартуют:

systemctl list-unit-files --state=enabled

#linux #systemd 🧑‍💻 NetworkAdmin

Встречайте AIOps в INFRAX — виртуального инженера, который работает прямо внутри карточки инцидента: - анализирует логи, - предлагает команды, - помогает устранять неполадки быстрее и надёжнее. 🔐 Все действия прозрачны и безопасны: журналируются в инциденте и выполняются строго в рамках ваших политик доступа. Что такое INFRAX? Это: 🖥 Мультиметричный мониторинг — CPU, память, диски, трафик, доступность узлов, интерактивные графики и гибкие алерты. 🎫 Helpdesk — управление тикетами, статусы, приоритеты, исполнители и комментарии, портал самообслуживания для пользователей. 🤖 Автоматизация — агенты для Windows/Linux, запуск скриптов по расписанию, планировщик задач, автодетект узлов. 🔐 Удалённые подключения — RDP, SSH, VNC прямо из веба или нативных клиентов, видеозапись сессий для аудита. 📚 База знаний — статьи, категории, контроль публикаций, статистика по популярности. 👥 Управление пользователями — детальная система прав, интеграция с IAM, аудит действий, изоляция данных. 📊 Дашборды — мониторинг, техподдержка, удалённые подключения с realtime-обновлением. 🔥 Infrax — это ситуационный центр вашей ИТ-инфраструктуры. Всё, что нужно для стабильной и безопасной работы сервисов, в одном решении. #реклама О рекламодателе

👩‍🎨 Шпаргалка по debsums ▪️ Основные ключи Проверить все пакеты:

debsums

Показать только измененные файлы:

debsums --changed

Проверять только конфиги (/etc):

debsums --config

Только измененные конфиги:

debsums --config --changed

Показать отсутствующие файлы пакета:

debsums --missing

Игнорировать отсутствующие файлы (проверять только существующие):

debsums --ignore-missing

Проверка конкретного пакета

debsums nginx

▪️ Примеры Найти какие конфиги менялись руками:

debsums --config --changed

Проверить целостность пакета OpenSSH:

debsums openssh-server

🌟 debsums берет эталонные хэши из пакета, поэтому иногда нужна переустановка пакета, если контрольные суммы недоступны. #linux #audit 🧑‍💻 NetworkAdmin

ЧЕБУРНЕТУ БЫТЬ!🤭

Медный купол по-немногу накрывает, а ты даже не знаешь как действовать?

Ниже даю список каналов спецов из сферы кибербеза, которые уже придумали все за тебя: HACK WARRIOR. – парни уже давно сели на измену и активно постируют контент на тему защиты своих личных данных в интернете, чтобы не сел ты. secure sector – канал безопасника однажды сильно пострадавшего от халатного отношения к своей интернет-гигиене. Собственно, поэтому и стал безопасником... INFOSEC LIZARD – твой личный криптонит от любых кибер-угроз в сети. Я бы не хотел, чтобы в будущем ты пожалел о том, что пролистал этот пост. Оставайся в безопасности.

📌 Проверка изменений системных конфигов в Debian/Ubuntu Когда попадаешь на чужой сервер - никогда не знаешь, какие изменения там вносили. Один из быстрых способов разобраться - использовать утилиту debsums, которая есть в базовых репозиториях:

apt install debsums

❓ Что делает debsums Утилита сравнивает MD5-суммы файлов из пакетов с эталонными значениями. Это помогает: 📍проверить целостность пакетов; 📍выявить модифицированные файлы; 📍понять, какие стандартные конфиги редактировались.

▪️ Пример: проверка конфигов. Особенно полезно искать изменения в конфигурационных файлах:

debsums --config --changed

Результат может быть таким:

/etc/ssh/ssh_config
/etc/default/ssh

То есть видно, что системные конфиги OpenSSH редактировались. ▪️ debsums проверяет: файлы из базовой системы (/etc/default, /etc/pam.d, /etc/grub.d); юниты systemd; конфиги сервисов вроде nginx, mariadb, apache2. #linux #audit 🧑‍💻 NetworkAdmin

Ты сказал, что ты шаришь в этой теме! 🐧 А за Ansible шаришь? 😏

Один пропущенный шаг — и конфигурация ломается. Члены команды выполняют задачи по-своему, документация не помогает. Добавление новых серверов — это боль и часы работы 👎

Как этого избежать? Мы научим вас работать с Ansible с новой версией курса: ⚫️ Полностью обновлённая теория и 11 свежих видеоуроков ⚫️ Новый модуль по созданию кастомных модулей на Python ⚫️ Практические задания на обновлённых стендах ⚫️ Глоссарии и дополнительные материалы для систематизации знаний 💥 Плюс: ⭐️ Итоговая сертификация с комплексным заданием ⭐️ Воркшоп по применению AI-инструментов в автоматизации ⭐️ Разбор реальных кейсов и промпт-инжиниринг для DevOps 📅 Старт: 10 ноября ⚙️ Уровень: от «я вроде в теме» до «автоматизирую всё, что дышит» 🎓 После курса вы сможете уверенно строить инфраструктуру как код, писать роли и модули под себя и не бояться деплоя в пятницу 😁 ➡️ Апгрейд своих навыков — по ссылке

Чтобы рабочие будни были веселее #юмор 🧑‍💻 NetworkAdmin

✉️ Отправка почты через curl Многие для отправки писем из консоли ставят дополнительные утилиты вроде mailx или mutt. Но часто этого не нужно - все умеет curl. ▪️ Простейшая отправка письма

curl -v \
  --url "smtp://smtp.networkadmin.ru:587" \
  --mail-from "admin@networkadmin.ru" \
  --mail-rcpt "user@domain.ru" \
  --user "admin@networkadmin.ru:MySecurePass" \
  --upload-file ~/letter.txt

Пример letter.txt:

From: "Admin" <admin@networkadmin.ru>
To: "User" <user@domain.ru>
Subject: Test mail from curl

Hello from curl!

Заголовки (From, Subject и др.) задаются прямо в файле, и можно указывать любые значения. ▪️ Как спрятать пароль Хранить пароль в команде небезопасно. Вместо этого используем ~/.netrc:

machine smtp.networkadmin.ru login admin@networkadmin.ru password MySecurePass
machine smtp.another.ru login user@another.ru password StrongPass123

Теперь команда проще и безопаснее:

curl -v \
  --url "smtp://smtp.networkadmin.ru:587" \
  --mail-from "admin@networkadmin.ru" \
  --mail-rcpt "user@domain.ru" \
  --netrc \
  --upload-file ~/letter.txt

▪️ Работа с шифрованием 📍 Требовать TLS:

curl --ssl-reqd ...

📍 Автоматически использовать TLS, если поддерживается:

curl --ssl ...

📍 Для SMTPS (порт 465) достаточно:

curl --url "smtps://smtp.networkadmin.ru" ...

▪️ Указание HELO/EHLO. Можно явно задать имя клиента:

curl --url "smtp://smtp.networkadmin.ru/myhost.domain.ru" ...

#SMTP #curl 🧑‍💻 NetworkAdmin

Степаныч, выкидывай этот верхний ящик. Мне лежать то как? 🐈 #юмор 🧑‍💻 NetworkAdmin

📘 На Stepik вышел курс — «DevOps-инженер: От основ до продакшена» Хотите автоматизировать деплой, управлять инфраструктурой как кодом и выстраивать надёжные CI/CD процессы? Этот курс — полный путь DevOps-инженера. • CI/CD: Jenkins, GitLab CI/CD, GitHub Actions, стратегии развёртывания (Blue-Green, Canary), rollback • Контейнеризация: Docker (образы, Compose, networking), Podman, оптимизация и безопасность контейнеров • Kubernetes: архитектура, Pods, Services, Deployments, Helm, RBAC, Service Mesh (Istio/Linkerd) • Infrastructure as Code: Terraform, Ansible (playbooks, vault), Packer, ArgoCD и Flux для GitOps • Облака: AWS (EC2, EKS, Lambda), GCP, Azure, Yandex Cloud, cost optimization• Мониторинг: Prometheus, Grafana, ELK Stack, Jaeger, OpenTelemetry, SLI/SLO/SLA • Безопасность: SAST/DAST, Vault, Zero Trust, Policy as Code, incident response • Продакшен практики: High Availability, Disaster Recovery, Chaos Engineering, on-call management 🎓 Сертификат — добавьте в резюме или LinkedIn 🚀 Скидка 25%, действует 48 часов 👉 Пройти курс на Stepik

⬆️ Netplan в ubuntu - альтернативный способ настройки сетей Ubuntu давно перешла от классического /etc/network/interfaces к новому инструменту - netplan. Он появился начиная с ubuntu 17.10 и стал основным способом настройки сетевых интерфейсов.

❗️ Netplan - это уровень абстракции для сетевых конфигураций. Использует YAML-файлы в /etc/netplan/. Работает через рендереры: systemd-networkd - для серверов и headless-систем. NetworkManager - для десктопов. Позволяет централизованно и декларативно описывать сеть.

▪️ Где лежат конфиги Все настройки находятся в /etc/netplan/*.yaml. По умолчанию обычно есть файл 01-netcfg.yaml или 50-cloud-init.yaml. ▪️ Примеры конфигураций 1️⃣ DHCP (получение адреса автоматически)

network:
  version: 2
  renderer: networkd
  ethernets:
    ens33:
      dhcp4: true

2️⃣ Статический IP

network:
  version: 2
  renderer: networkd
  ethernets:
    ens33:
      addresses:
        - 192.168.1.100/24
      gateway4: 192.168.1.1
      nameservers:
        addresses: [8.8.8.8, 1.1.1.1]

3️⃣ Несколько IP на одном интерфейсе

network:
  version: 2
  ethernets:
    ens33:
      addresses:
        - 192.168.1.101/24
        - 192.168.1.102/24

4️⃣ Bonding (для отказоустойчивости и агрегации)

network:
  version: 2
  bonds:
    bond0:
      interfaces: [ens33, ens34]
      parameters:
        mode: balance-rr
      addresses:
        - 192.168.1.200/24
      gateway4: 192.168.1.1

5️⃣ VLAN

network:
  version: 2
  vlans:
    vlan100:
      id: 100
      link: ens33
      addresses: [192.168.100.10/24]

▪️ Применение настроек После изменения файлов:

sudo netplan apply

Для теста перед применением можно использовать:

sudo netplan try

(дает 120 секунд на подтверждение, если сеть отвалилась - конфиг откатывается). #linux #netplan 🧑‍💻 NetworkAdmin

🎥 Вебинар по Kubernetes: "Kubernetes для непрерывной поставки (CI/CD). Интеграция с CI-сервисом" ☝️ На вебинаре вы узнаете: - Как Kubernetes используется в качестве среды для доставки и масштабирования приложений. - Интеграция Kubernetes с GitLab CI, GitHub Actions и другими популярными CI/CD-сервисами. - Лучшие практики построения пайплайнов, работающих с k8s. - Деплой приложений в кластер: helm, kubectl, ArgoCD и другие инструменты. - Типичные ошибки при организации CI/CD в Kubernetes и как их избежать. 💪 В результате вебинара вы: - Поймёте, как связать Kubernetes с CI/CD и зачем это нужно. - Научитесь строить эффективные пайплайны доставки для микросервисных приложений. - Получите практические примеры конфигураций и инструментов, которые можно применить сразу после занятия. 🎁 Все участники вебинара получат специальные условия на полное обучение курса "Инфраструктурная платформа на основе Kubernetes" 👉 Для участия зарегистрируйтесь: https://otus.pw/5h3K/ Реклама. ООО «Отус онлайн-образование», ОГРН 1177746618576, www.otus.ru

🏃 PowerShell шпаргалки для linux админа Админы, привыкшие к bash и linux, часто недооценивают powershell. А зря - это также неплохая оболочка, которая умеет не только выполнять команды, но и работать с объектами, сервисами и API windows. Ниже несколько полезных сценариев, которые пригодятся, если админите и linux, и windows. ▪️ Мониторинг процессов и портов. Аналог ps aux | grep и ss -tulpn:

# Процессы по имени
Get-Process | Where-Object { $_.ProcessName -like "*chrome*" }

# Открытые TCP-порты
Get-NetTCPConnection | Where-Object { $_.State -eq "Listen" }

▪️ Массовая работа с файлами. Аналог find + xargs:

# Найти все *.log файлы и удалить старше 7 дней
Get-ChildItem -Path "C:\Logs" -Filter *.log -Recurse |
  Where-Object { $_.LastWriteTime -lt (Get-Date).AddDays(-7) } |
  Remove-Item -Force

▪️ Проверка доступности хостов. Аналог ping + for:

$hosts = "8.8.8.8","1.1.1.1","networkadmin.ru"
foreach ($h in $hosts) {
  Test-Connection -ComputerName $h -Count 2 -Quiet |
    ForEach-Object { "$h -> $($_ -replace 'True','OK' -replace 'False','Fail')" }
}

▪️ Работа с сервисами. Аналог systemctl:

# Проверить статус службы
Get-Service -Name "Spooler"

# Перезапустить службу
Restart-Service -Name "Spooler"

▪️ Сетевые запросы и API. Аналог curl:

Invoke-RestMethod -Uri "https://api.ipify.org?format=json"

▪️ Сбор информации о системе. Аналог lshw и df -h:

# Системная информация
Get-ComputerInfo | Select-Object CsName, WindowsVersion, OsArchitecture

# Диски
Get-PSDrive -PSProvider FileSystem

#powershell #windows 🧑‍💻 NetworkAdmin

DFIR — учим реагировать и проводить расследование реальных кибератак. Как это сделать, расскажем на курсе: - разбор атак и расследование реальных кейсов; - работа с артефактами Windows, Linux и MacOS; - создание дампов оперативной памяти и их исследование при помощи Volatility; - отработка навыков реагирования на инциденты. Эксперты курса: Мирослава Ульянова - Incident response Team Lead, инженер по информационной безопасности. Олег Скулкин - руководитель BI.ZONE Threat Intelligence. Лада Антипова - Incident Response Team Lead, руководит командой по реагированию на инциденты с упором на криминалистику и анализ угроз. Даниил Григорян - старший специалист по реагированию на киберугрозы. 🗓 Старт: 25 октября Длительность: 8 недель Удостоверение о повышении квалификации с внесением в федеральный реестр. 👉Получить демодоступ