Защита SSH-сервера - порты, ключи, port knocking, iptables

  Рет қаралды 72,067

Диджитализируй!

Диджитализируй!

Күн бұрын

Пікірлер
@t0digital
@t0digital 9 ай бұрын
Тем временем мой курс «Хардкорная веб-разработка» продолжает набор обучающихся - course.to.digital Вжух!
@ivanselyt
@ivanselyt 9 ай бұрын
Прям просится запись где-нибудь в Notion оформленная с разделами, командами из видео) Если сделаешь, пингани меня тут в комментах, чтобы я заметил, спасибо)
@t0digital
@t0digital 9 ай бұрын
В описании к видео есть текст всех команд из видео
@Stalone13
@Stalone13 9 ай бұрын
@@t0digital Ты на MacBook Air M1 поставил macOS Соному ? Говорят намного быстрее разряжается после обновления на эту макос.
@t0digital
@t0digital 9 ай бұрын
@@Stalone13 не ставил. Не хочу ломать ничего в системе. На монтерей сижу
@Stalone13
@Stalone13 9 ай бұрын
@@t0digital Хах я на Ventura всё хорошо до этого на Monterey был. А вообще MacBook планируешь обновлять ? Или будешь всё время на монтерей сидеть ?:) Я решил вообще Соному пропустить буду сидеть на Вентуре до макос 15.6
@СтависВега
@СтависВега 9 ай бұрын
Я всё задавался вопросом куда же ты пропал? А он оказывается кушал 😂😂 Очень рад что ты вернулся.
@MakarenkoSasha
@MakarenkoSasha 9 ай бұрын
Такое ощущение, что его взяли в плен и пытали пельменями и шаурмой ))
@Денис-в5д5ь
@Денис-в5д5ь 9 ай бұрын
Да, располнел заметно ))
@СтависВега
@СтависВега 9 ай бұрын
@@MakarenkoSasha Я когда на лето к бабушке уезжал, таким же возвращался.
@saintkredo7673
@saintkredo7673 9 ай бұрын
да и вроде умный дядя 30+ а у него всё - здорова котаны....
@django8196
@django8196 8 ай бұрын
В яблочко😀
@kirillzh4798
@kirillzh4798 9 ай бұрын
Вот пристали-то "поправился", "растолстел","в кадр не влезешь", человеку даже к бабушке уже нельзя съездить что-ли? Хорошего человека должно быть много. Алексей молодец, главное - чтоб здоровье было хорошее, а остальное - ерунда. Благодаря ему работаю девопсом. Спасибо большое за информацию в простой и понятной форме. Алексей, желаю конского здоровья и стальных нервов.
@kirsanov2008
@kirsanov2008 9 ай бұрын
действительно, вот пристали, щас родит все пройдет
@t0digital
@t0digital 9 ай бұрын
​@@kirsanov2008двойню!
@ノーネームごみ
@ノーネームごみ 9 ай бұрын
Да мы его и таким любим, просто в глаза бросается, особенно на превьюшке) А для здоровья как раз таки "зимнего запаса" поменьше должно быть)
@bokoter
@bokoter 9 ай бұрын
Благодарю за то, что когда-то дали комментарий по резюме, когда вам требовался сотрудник, это помогло продолжать путь, и в итоге устроился на первую работу год назад примерно) В целом все видосы оч полезные
@vladislavske
@vladislavske 9 ай бұрын
Не прекращай радовать видосиками! Самый ламповый и толковый блогер по теме разработки ❤
@t0digital
@t0digital 9 ай бұрын
Спасибооо 💪💪💪
@pid625
@pid625 9 ай бұрын
Ого, офигеть, магия б**ь, просто гениальная технология, прям как гномьи двери в Мории, которые не видно) Огромное спасибо за ваш канал, всегда много полезного узнаю
@great_kombinator
@great_kombinator 9 ай бұрын
Ага, мне тоже напомнило: молви друг и войди
@NatureFitSport
@NatureFitSport 9 ай бұрын
Темы топ, подача топ. Видосы по линуксу просто мастхев 👍
@benjaminshtark5977
@benjaminshtark5977 9 ай бұрын
Браво!!! Обалденное видео, сам работаю с линуксом почти 20 лет, и порт накинг это не новое и известное но в видео показано как это просто сделать. к сожалению 99.9% админов этим не заморачиваются, дай б-г чтобы хотя бы вырубили доступ по паролю )))) А уже защищать ssh ключи паролем, не говоря уже про порт нокинг это уже космос :))
@NESTOWL
@NESTOWL 9 ай бұрын
Уже давно использую доступ к порту ssh только со своего ip и вот если вдруг ip изменится, будет очень неприятно 😅 В качестве подстраховки надо будет настроить, однажды может пригодится Полезная инфа! Спасибо! 👍👍👍
@NESTOWL
@NESTOWL 8 ай бұрын
Ну вот.. Этот день все-таки настал... И как обычно в самый не подходящий момент... ip изменился и я потерял доступ 🙃И сразу же вспомнил это видео 😅
@АркадийМамонтов-д4г
@АркадийМамонтов-д4г 9 ай бұрын
Рад тебя видеть старина!
@СтависВега
@СтависВега 9 ай бұрын
Старенькая, но приколная затычка, которая биндится на дефолтовый 22 порт, прикидывается ssh и при коннекте начинает отмораживаться, но коннект не разрывает. Эдакий honeypot. Первый же вопрос на подбор пароля вязнет и вечно ожидает завершения :) endlessh
@DrakoshaSStas
@DrakoshaSStas 9 ай бұрын
Интересная подлянка
@Dude.540
@Dude.540 3 ай бұрын
Зашел в коменты чтобы спросить как сделать такую штуку )
@alembiqueONE
@alembiqueONE 3 ай бұрын
видимо придётся гуглить.
@СтависВега
@СтависВега 3 ай бұрын
@@Dude.540 а оказывается такая уже есть :)
@СтависВега
@СтависВега 3 ай бұрын
@@alembiqueONE endlessh на гитхабе. Правда баловался давно. Как сейчас работоспособность не знаю.
@bakla_zhan
@bakla_zhan 9 ай бұрын
Вообще огонь! Только на днях думал, как защитить ssh-сервер, смотрящий в интернет. Google что уже научился мысли читать?!
@t0digital
@t0digital 9 ай бұрын
Учится понемногу:)
@lexor64
@lexor64 9 ай бұрын
Можно ещё прикрутить fail2ban, чтобы блокировать IP после нескольких неправильных попыток входа
@sammak3961
@sammak3961 9 ай бұрын
ура главкотан вернулся) и сразу с нужной темой.
@ЯрославМизгирев-р2р
@ЯрославМизгирев-р2р 9 ай бұрын
Алексей, спасибо за информацию!!! Очень актуально и полезно!!! Красавчик.
@Randy131098
@Randy131098 9 ай бұрын
Алексей, благодарю за видео! Подскажи, пожалуйста, какой shell используешь на своем mac? ZSH с OhMyZSH? Я бы с удовольствием от тебя посмотрел бы гайд на тему настройки и кастомизации оболочки.
@СергейЗеленин-з1з
@СергейЗеленин-з1з 9 ай бұрын
Предлагаю в качестве следующей темы для видео рассмотреть механизм защиты "honey pot".
@user-vito-kuk
@user-vito-kuk 9 ай бұрын
Как по мне, вот этого набора правил, будет вполне достаточно, чтобы никакой ебобо, не смог подключиться к серваку: - Port 0 - 65536 - LoginGraceTime 10s - AllowUsers Username - StrictModes yes - MaxAuthTries 1 - MaxSessions 1 - PubkeyAuthentication yes - PasswordAuthentication no - PermitRootLogin no - PermitEmptyPasswords no
@pokupki29
@pokupki29 9 ай бұрын
Красава
@lexxandr9349
@lexxandr9349 7 ай бұрын
А в чем смысл Port 0 - 65536 ?
@user-vito-kuk
@user-vito-kuk 7 ай бұрын
@@lexxandr9349 В известности портов
@ДенисПлахотя
@ДенисПлахотя 2 ай бұрын
Потрясающе красивая картинка в 200 fps 😊
@honsour72
@honsour72 9 ай бұрын
Очень полезно и информативно, не хватает еще bash-скриптяги, чтобы перед ссш автоматически вызывалась команда простукивания! Спасибо!
@null_day
@null_day 9 ай бұрын
Не потолстел, а съел Питона =) С нетерпением ждем новое видео! А лучше выпускать хотя бы каждую неделю ) У вас хорошо получается донести информацию
@Ланс-м1в
@Ланс-м1в 3 ай бұрын
Спасибо большое. Все понятно и лаконично.
@t0digital
@t0digital 3 ай бұрын
Спасибо!
@Vjidowkdkcpapqkfjfw
@Vjidowkdkcpapqkfjfw 9 ай бұрын
Ты когда так покушать успел ?
@t0digital
@t0digital 9 ай бұрын
на завтрак!
@temcodes
@temcodes 9 ай бұрын
Праздники делают с нами и не такое)
@tihon4979
@tihon4979 9 ай бұрын
Лол 😂
@dmitriiovsiannikov9605
@dmitriiovsiannikov9605 9 ай бұрын
Курс продается хорошо 😂
@ДенисКолчев-щ4с
@ДенисКолчев-щ4с 9 ай бұрын
Не, это когда наконец-то улыбнулся для обложки
@sandrzei
@sandrzei 5 ай бұрын
За грамотное склонение числительных - отдельный респект! ))
@TimurDE
@TimurDE 9 ай бұрын
Спасибо Алексей!
@malinichmalinka
@malinichmalinka 3 ай бұрын
ролик огонь , жаль сейчас knockd автоматом не закрывает порт, но все равно мощно, спасибо что такие вещи открываете а не, оказывается там есть два вида конфига
@serenitiSever
@serenitiSever 9 ай бұрын
😂 в начале очень смешно объяснил, от души посмеялся. Полезная информация 😊 благодарю
@alexwar6821
@alexwar6821 7 ай бұрын
Ай спасибо мил человек! Очень полезное видео!
@SWS-LINK
@SWS-LINK 9 ай бұрын
Я порт кнокинг делаю на ICMP с разным размером пакета - 3 пинга и порт открыт. Просто в тех же корп. сетях с большой вероятностью запросы на нестандартные порты будут дропать на фаерволе. Могут и пинг прибить, но чаще он работает -).
@MrVernuk
@MrVernuk 9 ай бұрын
Мега полезно 😊 Классно объясняешь!
@Sanek060782
@Sanek060782 9 ай бұрын
Огонь! Тема для параноиков! Respect!
@ВикторНеземцев
@ВикторНеземцев 9 ай бұрын
какие хорошие примеры рад что вы вернулись
@NatureFitSport
@NatureFitSport 9 ай бұрын
Спасибо за видео! Лучший канал о ИТ на ютубе!
@dmitrykuksenok9308
@dmitrykuksenok9308 9 ай бұрын
Еще можно повесить двухфакторку и otp пароли на вход по ssh. Вроде даже на том же хабре была статья (если ничего не путаю), там человек поднимал вопрос, что вход сертификатам это круто, но у тебя получается типа мастер-ключ (твой закрытый ключ) и тебе надо следить, где ты оставил открытый ключ, подчищать за собой и тп, двухфакторка позволяет избавиться от этого
@DrakoshaSStas
@DrakoshaSStas 9 ай бұрын
Еще можно разделить, на свои и чужие сервера. То есть иметь два три сертификата, чтобы не пересекались. Но otp и port knocking это доп защита. Только например с мобильных сетей port knocking не очень
@vasya_pipkin
@vasya_pipkin 9 ай бұрын
@@DrakoshaSStas ага, а теперь у тебя этих серверов скажем так около 100 (хотя бы) и зайти надо сразу так скажем на 10)) вот будет интересно))). port knocking как по мне больше баловство, для своих каких песочниц)) Если уж и делать, то бастион хост (аля джамп хост) где SSH с OTP и потом уже к виртуалкам с не публичными адресами.
@tihon4979
@tihon4979 9 ай бұрын
Нормуль! Годно! Берём на вооружение. Спасибо!!!
@Владимир-ц3л5ц
@Владимир-ц3л5ц 9 ай бұрын
Спасибо, все круто, как всегда!)
@markostr
@markostr 9 ай бұрын
Отлично ! Огромное спасибо !
@disasstor
@disasstor 9 ай бұрын
По поводу как получить доступ к серверу когда потярял ключи, при условии что это ваш сервер и есть доступ к поставщеку услуг(на всех я не проверял, но в оракл это единственный способ вернуть доступ): 1) отмонтировать системный диск от ВМ 2) создать новую вм, примонтировать ей этот диск 3) зайти в созданную вм на примонтированный диск в дирректорию с вашими старыми ключами и добавить новый созданный ключ в разрешенные хосты 4) отмонтировать диск от созданной ВМ 5) примонтировать дск обратно на старую ВМ
@invilso4051
@invilso4051 9 ай бұрын
@@Ihor33ssон итак знает)))
@АлександрВин-ж6э
@АлександрВин-ж6э 9 ай бұрын
​@@Ihor33ssзашифруй диск, проблем то
@invilso4051
@invilso4051 9 ай бұрын
@@Ihor33ss можно зашифровать отдельно раздел с важными данными, и монтировать его куда нужно. Не обязательно же шифровать все файлы.
@Charlie-bb2oq
@Charlie-bb2oq 4 ай бұрын
Мануал просто огонь! Решил пойти немного дальше и создал скрипт с названием сервера. Скрипт запускает стуки в порты и потом сам же вводит нужное имя пользователя, айпи и порт. В итоге не нужно вспоминать какие порты открыл и какой у тебя там айпишник)
@san_cristobal
@san_cristobal 4 ай бұрын
Да, я тоже сделал, разобрался как это реализовать на Винде, короче удобная и практичная штука!
@fantasy3469
@fantasy3469 8 ай бұрын
Алексей, здравствуйте. Скажите пожалуйста, как вы справляетесь с тем, что во время набора русских текстов в nvim приходится переключать раскладку? Или все таки переключаете? Очень бы хотелось писать/редактировать русский текст также удобно как и английский. Спасибо!
@Oleksii-o9v
@Oleksii-o9v 8 ай бұрын
Я тебя полюбил. Я не знаю сколько это стоит, но я тебя люблю. Спасибо.
@РинатГалиулин-й2у
@РинатГалиулин-й2у 9 ай бұрын
Клевая подача информации!
@t0digital
@t0digital 9 ай бұрын
Спасибо!
@funkytapir
@funkytapir 9 ай бұрын
Спасибо очень было интересно)
@sedelnikovsergey
@sedelnikovsergey 9 ай бұрын
Супер, спасибо за лекбез
@rabotavsem_biz
@rabotavsem_biz 9 ай бұрын
Спасибо за очередное полезное видео! Всегда понятное объяснение. Очень интересует настройка на ufw port knocking
@konstantinselivanov8513
@konstantinselivanov8513 9 ай бұрын
Обнови /etc/knockd.conf: start_command = ufw allow from %IP% to any port 22 stop_command = ufw delete allow from %IP% to any port 22 Открой порты 7000, 8000 и 9000 в ufw (замени порты на свои)
@LinuxbyDmitry
@LinuxbyDmitry 9 ай бұрын
Давно хотел сделать port knocking на nftables, без дополнительных утилит или ещё чего). Сегодня решил, чего ждать и запилил за вечер два видео с двумя вариантами, думаю ещё можно чего нибудь напридумывать на чистом nftables. Данной утилитой многие пользуются, моё мнение это не вариант. Да, в случае с iptables так будет проще, ни какой головной боли, но на nftables это решается гораздо проще и надёжнее).
@АлексейВ.Т-т1о
@АлексейВ.Т-т1о Ай бұрын
А почему Crontab, а не systemd для запуска службы?
@dev-workshop
@dev-workshop 9 ай бұрын
Отличное видео, спасибо! Как раз последнее время думаю, как повысить безопасность продакшен серверов Буду рад, если будет видео про бронебойный nginx, что нужно, чтобы не пробился никто через веб приложения
@user-slbog
@user-slbog 9 ай бұрын
Спасибо за видео !!!!
@СаняСуриков
@СаняСуриков 9 ай бұрын
Как же это круто!
@ruslan_swd
@ruslan_swd 9 ай бұрын
ИМХО - раз уж речь пошла про SSH и security, то можно было и рассказать про SSH Bastion (для множества серверов), что IP whitelisting для SSH через тот же IPTABLES. Последний пункт удобно реализовать через VPN на домашнем/офисном рутере со статичным ИП. В каждом случае, есть свои + и -, но про возможности самих сетей тоже не стоит забывать и на них забивать! :)
@ItDeLorean
@ItDeLorean 9 ай бұрын
Подскажите, а в чем смысл создавать юзера для использования вместо root и тут же давать ему доступ к sudo? От чего таким образом мы защищаемся?
@t0digital
@t0digital 9 ай бұрын
Рутом мы можем зайти и случайно сделать непоправимое для системы. Простым пользователем случайно сделать непоправимое для системы не получится, так как явно надо будет добавить sudo и ввести пароль от текущего пользователя. Также каждый юзер с sudo вводит свой пароль, никакой пароль на root не шарится между группой пользователей, это безопаснее. К тому же этим можно гибко управлять, давать пользователям sudo-права, забирать их, ведётся логирование попыток получить sudo-права конкретными пользователями и тд.
@ItDeLorean
@ItDeLorean 9 ай бұрын
​@@t0digital Дело в том что если мы даем sudo пользователю, то этот пользователь может изменить пароль root пользователю и войти уже через него. А если мы привыкаем вводить команды через sudo на сервере, то нет особой разницы сделаем мы непоправимое из под root или через нашего пользователя с sudo. Поправьте меня, если я не прав.
@linxuil
@linxuil 9 ай бұрын
​@@ItDeLorean - тут важно что вы отключив доступ по root извне - даете вторую степень свободы у своей защиты. Для того чтобы зайти на ваш сервер - вам сначала нужно понять к какому вообще юзеру нужно подбирать пароль. Поменяв порт - вы уже даете 1-2 часа на подбор порта злоумышленнику. Никто не будет сканировать 2 часа рандомный ip в интернете. Но если вы засветите порт или просто его отсканируют - как они узнают какой вообще пользователь кроме root (который мы отключили) есть на вашем серевере?
@LazerShrk
@LazerShrk 9 ай бұрын
Только сегодня встал вопрос о защите сервера, и сразу вышел Ваш видос)) Спасибо огромное!
@Lexx365
@Lexx365 9 ай бұрын
Круто, знал, но не юзал, любопытная штука. Однако, довольно опасная с точки зрения вероятного падения данной службы, но на простых серверах личного назначения вполне себе. Обычно, в дополнение к смене дeфолтного порта, отключения root и входа по паролю включаю ufw/iptables и даю доступ по ssh на кастомном порту в режиме лимита. Сам факт того, что у нас нет доступа по паролю и используется контрольная фраза, обеспечивает должный уровень безопасности. Респектую Алексею за то, что поднимает фундаментальные вопросы, которые на практике многие игнорируют. пс: автору предлагаю не обращать внимание на клоунов, которые привыкли судить людей по внешнему виду, это неуверенные в себе и закомплексованные создания, жизнь их уже наказала.
@ИльяИванов-м6з
@ИльяИванов-м6з 2 ай бұрын
Здравствуйте! Хороший ролик, отдельное спасибо за конфиг(с автоудалением правила), в iptables вы использовали reject для порта ssh, у iptables есть возможность настройки политик поумолчанию input,forward,output, создавать запрещающее правило для каждого сервиса, особенно если таких много слишком громоздко и reject лучше использовать во внутренних сетях а во внешних drop, вообще iptables очень нравится, ufw слишком обрезан с точки зрения функционала(кто пользовался тот поймёт) То что я написал я думаю вы и так знаете) P.S сам когда-то пользовался ufw но потом перешёл на iptables и не пожалел ни разу)
@neuro-cinema
@neuro-cinema 2 ай бұрын
А nftables кто нибудь юзал? Стоит ли переходить с iptables?
@ИльяИванов-м6з
@ИльяИванов-м6з 2 ай бұрын
@@neuro-cinema у меня не было опыта с nftables, а iptables вам уже не хватает?)) или хотите для всестороннего развития?))
@neuro-cinema
@neuro-cinema 2 ай бұрын
@@ИльяИванов-м6з для развития
@АртурЗарипов-б2й
@АртурЗарипов-б2й 8 ай бұрын
Большое спасибо!
@tatianabagaeva
@tatianabagaeva 21 күн бұрын
здраствйте.добры вечер.скажите пожалуйста как сделать такую консоль как у вас.спасибо
@goodvinsk8
@goodvinsk8 9 ай бұрын
Спасибо за полезный контент!
@АндрейПерцев-ь7ъ
@АндрейПерцев-ь7ъ 9 ай бұрын
Будет видео про Mojo и Modular? Какие перспективы?
@zatochiSiberian
@zatochiSiberian 9 ай бұрын
Благодарю, очень полезно.
@sharksgangs
@sharksgangs 5 ай бұрын
мощно !
@ВладимирМалобродский
@ВладимирМалобродский 9 ай бұрын
Блестяще! Спасибо за видео. Я совершенно не спец в этой области, но хотел узнать: а нельзя ли в добавок ко всем манипуляциям, что Вы делали, создать на стандартном порте какой-либо "ложный сервер" (в настоящемсервере) - эдакую обманку для злоумышленника. Чтобы он думал, что взлом удался и он будет терять время зря? Заранее спасибо.
@ВладимирМалобродский
@ВладимирМалобродский 9 ай бұрын
Это я к тому, что взломщик решив, что вломал сервер, будет "красть" ложные данные с фейковой области сервера, тихо радоваться и при этом тратить время впустую. Основной же сервер будет не тронутым.
@kalobyte
@kalobyte 9 ай бұрын
@@ВладимирМалобродский chroot называется только возни много ломают не для кражи данных, а для установки впн серверов или спам софта или агентов ддос данные рандомного васи никому не нужны
@san_cristobal
@san_cristobal 8 ай бұрын
Как правильно постучится в порты на windows, через тот же PowerShell? Цикл for там не воспринимается, возможно есть какая-то альтернатива. А, то теперь на сервер не могу попасть 😂
@slmuim9745
@slmuim9745 9 ай бұрын
Очень информативно, спасибо. Вопрос: а порты, которые ждут нокинг, можно задетектить nmap’ом или чем-то еще?
@__username__
@__username__ 9 ай бұрын
Ответ: нет. Они могут (и должны) быть закрыты, нокинг сработает и в этом случае. Стоит помнить, что во всех серьёзных мануалах написано, что нокинг - это слабая мера безопасности и не должна быть единственной. Также могу сказать, что на SSH-порт моего домашнего роутера, который висит на нестандартном порту, за более чем 10 лет не было ни единой попытки коннекта. Это я знаю достоверно, т.к. у меня есть скрипт (работоспособность которого проверена, конечно), оповещающий о неудачной попытке логина. Так что просто смени порт и кол-во потенциальных угроз снизится на порядки. Ну и ключ с паролем, само собой.
@WhiteBear141981
@WhiteBear141981 4 ай бұрын
Спасибо!
@TheShpriest
@TheShpriest 3 ай бұрын
Странная ситуация. на одной vps все заработало, как в видео. а на другой парольный доступ для нового пользователя все равно продолжает работать. и если у первой vps при попытке подключиться по руту он просто пишет, что такой возможности нет. то вторая просит пароль, но при этом не пускает по верному паролю. всю голову сломал, не знаю, где еще отключить парольный доступ.
@TheShpriest
@TheShpriest 3 ай бұрын
нашел проблему )) в конфиге стояла строчка на Include /etc/ssh/sshd_config.d/*conf и в том файле была единственная запись - PermitAuthentication yes вот подстава ) закоментил и все заработало.
@Randy131098
@Randy131098 9 ай бұрын
Также вопрос: почему мы на сервере перезапускаем ssh, а не sshd, после изменения конфига sshd?
@bak1necWWE
@bak1necWWE 9 ай бұрын
ssh и sshd в убунте оба смотрят на sshd
@neuro-cinema
@neuro-cinema 2 ай бұрын
В Бубунте это старая лапша тянется с древних времён когда система инициализации была не SystemD. В последней сервис правильно называется - sshd
@asura963
@asura963 9 ай бұрын
Здраствуйте. Вы можете показать как правильно настроить, применить правила nftables в дистрибутиве: voidlinux Ранее работали, но теперь видимо что то voidlinux поменяли.
@t0digital
@t0digital 9 ай бұрын
Синтаксис самого nftables должен быть одинаковым везде вроде, едва ли они это меняли в дистрибутиве
@asura963
@asura963 9 ай бұрын
@@t0digital аз не про синтаксис nftable. А про установку и запуск его в дистрибутиве voidlinux) Раниее устанавливал так и все было хорошо: # xbps-install nftables runit-nftables cd voidlinux cp nftables /usr/local/bin/ cd /usr/local/bin/ chmod 755 nftables nft flush ruleset nano /usr/local/bin/nftables nftables echo '#!/usr/sbin/nft -f' > /etc/nftables.conf echo 'flush ruleset' >> /etc/nftables.conf nft list ruleset >> /etc/nftables.conf cat /etc/nftables.conf sv up nftables Все проходит успешно, кроме последней команды запуска, выкидывает такую ошибку: fail: nftables: unable to change to service directory: file does not exist Рание такого небыло.
@asura963
@asura963 9 ай бұрын
@@t0digital разобрался
@SuperEuro
@SuperEuro 9 ай бұрын
Возможно ли использовать аппаратные ключи, по технологии FIDO?
@mishuha
@mishuha 9 ай бұрын
Насчет веб хостеров: у них есть сброс пароля всегда, даже если ты сменил пароль админа у своей VDS. Как это работает? Через доступ к фс обнуляют /etc/passwd?
@enotroma
@enotroma 9 ай бұрын
я себе закрыл все порты кроме 80 и 443 на основном сервере, а для SSH завел дешевый VPS в той же локалке как впн и разрешил доступ к 22 порту основной машины только из внутренней сети. 1 - трафик шифрован по впн тоннелю, 2 - только зная айпи моего впн сервера-затычки можно что-то вообще пытаться, т.е. без перехвата моего трафика чтобы узнать айпи сервера-затычки попытки доступа к ssh имеют кпд 0)
@Max-Sparrow
@Max-Sparrow 7 ай бұрын
Написать демон, который будет следить за демоном =D а за тем демоном другой демон, который будет следить за этими двумя, а второй и за третьим тоже ) Ещё в алгоритм стука можно включить открытие не SSH порта (возможно тоже динамически меняющегося), в который будет происходить соединение клиентского скрипта до серверного, да с обменом ключами с нестандартным хитровывернутым алгоритмом (а лучше в сочетании), при успешности которого уже потом будет открываться SSH порт. Чем больше нестандартных решений, тем меньше шансов взлома.
@jenykoo
@jenykoo 9 ай бұрын
завтра попробую) уже 2 часа утра))
@tatianabagaeva
@tatianabagaeva 25 күн бұрын
добрый день!скажите пожалуйста как называется терминал?
@t0digital
@t0digital 25 күн бұрын
Привет! Alacritty
@Сергей-ч6щ6е
@Сергей-ч6щ6е 9 ай бұрын
Добрый день. Спасибо за видео! Чуть дополню здесь в правилах лучше использовать DROP а не Reject. Так как стучащийся не будет получать информацию есть ли за этим портом что-то или нет. В дополнение к защите.
@t0digital
@t0digital 9 ай бұрын
зависит от того как работают остальные порты. Если остальные ведут себя как DROP, то и наш надо на DROP, если остальные ведут себя как REJECT, то и наш на REJECT. Иначе он будет палиться отличным от других поведением
@Сергей-ч6щ6е
@Сергей-ч6щ6е 9 ай бұрын
@@t0digital Согласен. Тогда все лучше дропать. Зачем кому-то знать что его отвергли ) Еще раз спасибо!
@VVS1900
@VVS1900 9 ай бұрын
Нуждаюсь в вашем совете! Купил микротик лдф6 лте. При настройке и обновлении оборудования. Оператор узнает ли что симка не в смартфоне? Как быть , тариф для смартфона и экономный. Неохото потерять
@t0digital
@t0digital 9 ай бұрын
да, в общем случае оператор узнаёт. Чтобы не узнал надо проводить дополнительные настройки и не на всех устройствах их можно провести, не в курсе про микроток. Надёжным вариантом будет симка для модема с нормальным тарифом, такие есть.
@VVS1900
@VVS1900 9 ай бұрын
@@t0digital спасибо Вам за ответ! 🤝 Речь о MikroTik LDF LTE6 kit (RBLDFR&R11e-LTE6)
@t0digital
@t0digital 9 ай бұрын
нужная настройка это смена ttl, надо искать, есть ли такая возможность на этом устройстве, я не знаю
@VVS1900
@VVS1900 9 ай бұрын
@@t0digital спасибо Вам🤝
@sergeyn5504
@sergeyn5504 9 ай бұрын
А по смс можно сделать? Как это называется - двухфакторная авторизация?
@DrakoshaSStas
@DrakoshaSStas 9 ай бұрын
Можно, но лучше otp, его легче сделать и без дополнительных затрат на sms.
@gnompirogov9259
@gnompirogov9259 9 ай бұрын
Александр, спасибо. полезно, интересно, наглядно :))))
@bakla_zhan
@bakla_zhan 9 ай бұрын
А если сервер находится за NAT, т.е. за роутером с внешним IP-адресом, тогда как можно защитить сервер?
@ivanselyt
@ivanselyt 9 ай бұрын
Можно узнать, какой смысл создавать пользователя и выключать авторизацию на сервере для root, ведь если хакер получит доступ к юзеру, он же из под него так же сможет спокойно запускать команды с sudo, разве нет?
@ivanselyt
@ivanselyt 9 ай бұрын
а, тут еще добавляет сложность в том, что надо подобрать(угадать) имя пользователя для того, чтобы дальнейшие попытки перебора пароля и т.п. имели смысл?
@kalobyte
@kalobyte 9 ай бұрын
@@ivanselyt подбирают пароль рута как дефолтного пользователя, потому что другие неизвестны бывают те, кто меняет конфиг ссх и разрешает вход для рута по сети на таких и рассчитаны переборы пароля
@ivanselyt
@ivanselyt 9 ай бұрын
@@kalobyte ​ а нельзя убрать пароль у рута и сделать авторизацию под ним только с ssh ключом? А вообще как будто, если использовать port knocking, то он перекрывает все предыдущие защиты​ и смысл в них есть, только если каким то чудом смогут обойти port knocking
@kalobyte
@kalobyte 9 ай бұрын
​@@ivanselyt можно сделать вход под рутом с ключом без пароля стучалка по портам это просто дополнительная опция защиты и не только ссх например proxmox работает от рута и если пароль подберут через вебморду, то будет очень плохо поэтому можно так же закрыть порт 8006 и открывать его только по стуку
@ZlobniyTapoG
@ZlobniyTapoG 9 ай бұрын
Алексей, нужно двигаться и меньше кушать. Трансформация в винни-пуха становится очевидной )
@mishuha
@mishuha 9 ай бұрын
А голос-то какой! Прям мимимишный.
@yjjx
@yjjx 9 ай бұрын
Ну, тут вопрос о рисках, у меня vds простоял пол года без какой либо защиты, просто ssh по паролю без ключей(ну разве что вход от рута отключен) и… 0 заходов, 350 тысяч попыток авторизации
@t0digital
@t0digital 9 ай бұрын
350 тыс попыток авторизации это несколько хуже, чем ноль. Зачем гонять трафик на свой сервер, занимать вычислительные ресурсы этим, ну и рисковать, разумеется. Мини-риск хуже, чем микро-риск, и значительно хуже, чем нано-риск:)
@ivanselyt
@ivanselyt 9 ай бұрын
Если мы используем port knocking, то пропадает смысл переносить ssh на другой порт?
@Stalone13
@Stalone13 9 ай бұрын
Ты на MacBook Air M1 поставил macOS Соному ? Говорят намного быстрее разряжается после обновления на эту макос.
@t0digital
@t0digital 9 ай бұрын
Не ставил. Сижу на Монтерей и не планирую обновлять. Опять поломается всё нахрен. К сожалению, нет доверия больше маковским обновам. Обновлятели купертиновские хуевы, в прошлый раз пол дня убил на переустановку всего необходимого.
@Stalone13
@Stalone13 9 ай бұрын
@@t0digital Хах я на Ventura всё хорошо до этого на Monterey был. А вообще MacBook планируешь обновлять ? Или будешь всё время на монтерей сидеть ?:) Я решил вообще Соному пропустить буду сидеть на Вентуре до макос 15.6
@laushkin1
@laushkin1 8 ай бұрын
Привет, можешь снять видео про neovim, мысли твои про него, почему ты бы рекомендовал или не рекомендовал его, чем он лучше или хуже за vim или любой другой редактор или ide
@madmax2872
@madmax2872 6 ай бұрын
класс , дико извиняюсь линукс пока не использую на какой сбори линукс такое SSH реализуемо и возможно ли на винде?
@t0digital
@t0digital 6 ай бұрын
Я говорю о сервере на Linux. Если сервер на Windows - настройка будет какая-то другая вероятно, не работал с серверами на Windows.
@beremour
@beremour 9 ай бұрын
надо для nftables... iptables чо-то не видно давно
@sikelmon
@sikelmon 9 ай бұрын
Привет. Расскажи как поживает макбук? Уже достаточно долго им пользуешься.
@t0digital
@t0digital 9 ай бұрын
Нормально. Краска потерлась слева-справа от тачпада, аккум 81% емкости осталось, около 465 циклов зарядки. Нормас
@aleksraa
@aleksraa 9 ай бұрын
а почему reject? drop нужно использовать ! погуглите разницу
@t0digital
@t0digital 9 ай бұрын
Нет, это не всегда так. Если все остальные порты работают как reject, то и наш порт стоит настроить на reject. Если все на drop, то и наш на drop. Иначе он палится своим поведением.
@aleksraa
@aleksraa 9 ай бұрын
@@t0digitalя согласен, это логично. Но с точки зрения расхода ресурсов тратится ресурсы на ответ, понятное дело, что 1,2,10 ответов не стоят ничего даже для слабой машины, но если мы говорим о безопасности и защите от потенциальных атак, ведь запросов могут быть тысячи или сотни тысяч в случае атаки, что будет серьезной нагрузкой, drop же в этом случае не будет тратить силы на ответ
@akiro3522
@akiro3522 9 ай бұрын
Ура, видосик
@ohmygoodness4653
@ohmygoodness4653 9 ай бұрын
В дверь постучали 1500 раз. Брутфорс, подумал Штирлиц
@anonymousgt625
@anonymousgt625 3 ай бұрын
Недооцененный коммент. Я бы еще добавил: в дверь под номером 22
@andrejaga3003
@andrejaga3003 9 ай бұрын
А можно разные SSH-ключи хранить на USB-флешке, чтобы эта "ключница" всегда была с собой и чтобы можно было ею пользоваться с разных компьютеров?
@t0digital
@t0digital 9 ай бұрын
Можно. Шифрованный том можно на флешке создать даже. На котором будут ключи
@andrejaga3003
@andrejaga3003 9 ай бұрын
@@t0digital А не покажете, как это правильно сделать? Может, есть какие-то подводные камни? У меня в двух квартирах, на даче и на работе компьютеры, одна "ключница" сильно бы упростила жизнь. И можно вообще ключи копировать-перемещать в разные места? Нет там в зашифрованном ключе какой-нибудь привязки к конкретной машине, операционке и пр., которые зашифровываются при создании ключа?
@t0digital
@t0digital 9 ай бұрын
В ключе привязки к машине нет, копировать можно. Ключи стоит защитить паролем, чтобы в случае утечки ключей не потерять доступ к серверу. А по поводу криптоконтейнера вариантов много, в какой-то степени даже запароленный zip-архив с ключами тоже может играть такую роль:) Или можно воспользоваться VeraCrypt контейнером
@ТимофейЁлкин-о9е
@ТимофейЁлкин-о9е 9 ай бұрын
Может я не внимательно смотрел. Получается, что сгенерированный ssh-ключ одинаков для root и www?
@neuro-cinema
@neuro-cinema 2 ай бұрын
Он одинаков для всех вообще в мире куда он будет скопирован
@prozzy82
@prozzy82 9 ай бұрын
Недавно обнаружил, что у роутеров TP link активен ssh и об этом в официальной документации и мануалах ничего не сказано, и как ее выключить тоже не ясно. только на форуме нашел информацию что он активен для приложения Tether от TP-Link.
@Vova21rus
@Vova21rus 8 ай бұрын
Привет! У меня такой вопрос, все вроде бы настроил по инструкции, проверил, работает. Но после перезагрузки доступ к ssh пропал( В чем может быть причина?
@t0digital
@t0digital 8 ай бұрын
возможно правила iptables не сохранились. Они по умолчанию не сохраняются на постоянку. sudo apt install iptables-persistent sudo service netfilter-persistent save
@Vova21rus
@Vova21rus 8 ай бұрын
@@t0digital Частично разобрался. Для восстановления ssh доступа пришлось отключать диск и лазить по файловой системе, удалять правило в iptables. В итоге выяснил, что тупо knockd не запускался "knockd[2460]: could not open eth0: eth0: That device is not up". Вот здесь теперь не понятно, почему это устройство отображается в ifconfig, и прописано в конфигах, но сервис knockd падает при старте
@osada96
@osada96 9 ай бұрын
А каким образом можно настроить запрет пингов всем, кроме определенных хостов? Т.е., чтобы сделать исключение этим хостам и они могли всегда пинговать сервер?
@neuro-cinema
@neuro-cinema 2 ай бұрын
Ну также, впереди правил вставляешь разрешение с нужных IP
@Katar1x
@Katar1x Ай бұрын
Недавно мой мой сервак взломали и закинули на него майнер) Заметил я это очень просто. Через 10 минут после запуска сервера, загруженность процессора у него подлетала до 100%. Это был мой первый пет проект ( тг бот), и мне кажется проникли на него через докер контейнер редиса с неправильной конфигурацией. Хотелось бы узнать, как правильно (безопасно) поднимать на серваке докер контейнеры, чтобы подобное не случалось)
@extremecodegovno6306
@extremecodegovno6306 9 ай бұрын
а как это удобно сконфигурировать чтоб не стучать каждый раз? аля этакий ssh config knock manager
@neuro-cinema
@neuro-cinema 2 ай бұрын
Запхать всё в один bash сценарий
@vitaliedercaci8117
@vitaliedercaci8117 7 ай бұрын
Can you do a video and recommend us some books? thank's!
@Вячеслав-м8з2е
@Вячеслав-м8з2е 9 ай бұрын
лайк авансом!)
So Cute 🥰 who is better?
00:15
dednahype
Рет қаралды 19 МЛН
Quilt Challenge, No Skills, Just Luck#Funnyfamily #Partygames #Funny
00:32
Family Games Media
Рет қаралды 55 МЛН
Каха и дочка
00:28
К-Media
Рет қаралды 3,4 МЛН
REAL or FAKE? #beatbox #tiktok
01:03
BeatboxJCOP
Рет қаралды 18 МЛН
Похоже, власти готовятся к полному запрету VPN…
12:58
Вот что умеет SSH!!! Более 9 фичей!!!
21:51
Realtime User
Рет қаралды 49 М.
🍉Полный гайд настройки Windows + WSL для разработчика
1:18:07
👑 Шифруем файлы и пароли аки Царь с GPG и Pass!
26:53
Диджитализируй!
Рет қаралды 75 М.
So Cute 🥰 who is better?
00:15
dednahype
Рет қаралды 19 МЛН