Тем временем мой курс «Хардкорная веб-разработка» продолжает набор обучающихся - course.to.digital Вжух!
@ivanselyt9 ай бұрын
Прям просится запись где-нибудь в Notion оформленная с разделами, командами из видео) Если сделаешь, пингани меня тут в комментах, чтобы я заметил, спасибо)
@t0digital9 ай бұрын
В описании к видео есть текст всех команд из видео
@Stalone139 ай бұрын
@@t0digital Ты на MacBook Air M1 поставил macOS Соному ? Говорят намного быстрее разряжается после обновления на эту макос.
@t0digital9 ай бұрын
@@Stalone13 не ставил. Не хочу ломать ничего в системе. На монтерей сижу
@Stalone139 ай бұрын
@@t0digital Хах я на Ventura всё хорошо до этого на Monterey был. А вообще MacBook планируешь обновлять ? Или будешь всё время на монтерей сидеть ?:) Я решил вообще Соному пропустить буду сидеть на Вентуре до макос 15.6
@СтависВега9 ай бұрын
Я всё задавался вопросом куда же ты пропал? А он оказывается кушал 😂😂 Очень рад что ты вернулся.
@MakarenkoSasha9 ай бұрын
Такое ощущение, что его взяли в плен и пытали пельменями и шаурмой ))
@Денис-в5д5ь9 ай бұрын
Да, располнел заметно ))
@СтависВега9 ай бұрын
@@MakarenkoSasha Я когда на лето к бабушке уезжал, таким же возвращался.
@saintkredo76739 ай бұрын
да и вроде умный дядя 30+ а у него всё - здорова котаны....
@django81968 ай бұрын
В яблочко😀
@kirillzh47989 ай бұрын
Вот пристали-то "поправился", "растолстел","в кадр не влезешь", человеку даже к бабушке уже нельзя съездить что-ли? Хорошего человека должно быть много. Алексей молодец, главное - чтоб здоровье было хорошее, а остальное - ерунда. Благодаря ему работаю девопсом. Спасибо большое за информацию в простой и понятной форме. Алексей, желаю конского здоровья и стальных нервов.
@kirsanov20089 ай бұрын
действительно, вот пристали, щас родит все пройдет
@t0digital9 ай бұрын
@@kirsanov2008двойню!
@ノーネームごみ9 ай бұрын
Да мы его и таким любим, просто в глаза бросается, особенно на превьюшке) А для здоровья как раз таки "зимнего запаса" поменьше должно быть)
@bokoter9 ай бұрын
Благодарю за то, что когда-то дали комментарий по резюме, когда вам требовался сотрудник, это помогло продолжать путь, и в итоге устроился на первую работу год назад примерно) В целом все видосы оч полезные
@vladislavske9 ай бұрын
Не прекращай радовать видосиками! Самый ламповый и толковый блогер по теме разработки ❤
@t0digital9 ай бұрын
Спасибооо 💪💪💪
@pid6259 ай бұрын
Ого, офигеть, магия б**ь, просто гениальная технология, прям как гномьи двери в Мории, которые не видно) Огромное спасибо за ваш канал, всегда много полезного узнаю
@great_kombinator9 ай бұрын
Ага, мне тоже напомнило: молви друг и войди
@NatureFitSport9 ай бұрын
Темы топ, подача топ. Видосы по линуксу просто мастхев 👍
@benjaminshtark59779 ай бұрын
Браво!!! Обалденное видео, сам работаю с линуксом почти 20 лет, и порт накинг это не новое и известное но в видео показано как это просто сделать. к сожалению 99.9% админов этим не заморачиваются, дай б-г чтобы хотя бы вырубили доступ по паролю )))) А уже защищать ssh ключи паролем, не говоря уже про порт нокинг это уже космос :))
@NESTOWL9 ай бұрын
Уже давно использую доступ к порту ssh только со своего ip и вот если вдруг ip изменится, будет очень неприятно 😅 В качестве подстраховки надо будет настроить, однажды может пригодится Полезная инфа! Спасибо! 👍👍👍
@NESTOWL8 ай бұрын
Ну вот.. Этот день все-таки настал... И как обычно в самый не подходящий момент... ip изменился и я потерял доступ 🙃И сразу же вспомнил это видео 😅
@АркадийМамонтов-д4г9 ай бұрын
Рад тебя видеть старина!
@СтависВега9 ай бұрын
Старенькая, но приколная затычка, которая биндится на дефолтовый 22 порт, прикидывается ssh и при коннекте начинает отмораживаться, но коннект не разрывает. Эдакий honeypot. Первый же вопрос на подбор пароля вязнет и вечно ожидает завершения :) endlessh
@DrakoshaSStas9 ай бұрын
Интересная подлянка
@Dude.5403 ай бұрын
Зашел в коменты чтобы спросить как сделать такую штуку )
@alembiqueONE3 ай бұрын
видимо придётся гуглить.
@СтависВега3 ай бұрын
@@Dude.540 а оказывается такая уже есть :)
@СтависВега3 ай бұрын
@@alembiqueONE endlessh на гитхабе. Правда баловался давно. Как сейчас работоспособность не знаю.
@bakla_zhan9 ай бұрын
Вообще огонь! Только на днях думал, как защитить ssh-сервер, смотрящий в интернет. Google что уже научился мысли читать?!
@t0digital9 ай бұрын
Учится понемногу:)
@lexor649 ай бұрын
Можно ещё прикрутить fail2ban, чтобы блокировать IP после нескольких неправильных попыток входа
@sammak39619 ай бұрын
ура главкотан вернулся) и сразу с нужной темой.
@ЯрославМизгирев-р2р9 ай бұрын
Алексей, спасибо за информацию!!! Очень актуально и полезно!!! Красавчик.
@Randy1310989 ай бұрын
Алексей, благодарю за видео! Подскажи, пожалуйста, какой shell используешь на своем mac? ZSH с OhMyZSH? Я бы с удовольствием от тебя посмотрел бы гайд на тему настройки и кастомизации оболочки.
@СергейЗеленин-з1з9 ай бұрын
Предлагаю в качестве следующей темы для видео рассмотреть механизм защиты "honey pot".
@user-vito-kuk9 ай бұрын
Как по мне, вот этого набора правил, будет вполне достаточно, чтобы никакой ебобо, не смог подключиться к серваку: - Port 0 - 65536 - LoginGraceTime 10s - AllowUsers Username - StrictModes yes - MaxAuthTries 1 - MaxSessions 1 - PubkeyAuthentication yes - PasswordAuthentication no - PermitRootLogin no - PermitEmptyPasswords no
@pokupki299 ай бұрын
Красава
@lexxandr93497 ай бұрын
А в чем смысл Port 0 - 65536 ?
@user-vito-kuk7 ай бұрын
@@lexxandr9349 В известности портов
@ДенисПлахотя2 ай бұрын
Потрясающе красивая картинка в 200 fps 😊
@honsour729 ай бұрын
Очень полезно и информативно, не хватает еще bash-скриптяги, чтобы перед ссш автоматически вызывалась команда простукивания! Спасибо!
@null_day9 ай бұрын
Не потолстел, а съел Питона =) С нетерпением ждем новое видео! А лучше выпускать хотя бы каждую неделю ) У вас хорошо получается донести информацию
@Ланс-м1в3 ай бұрын
Спасибо большое. Все понятно и лаконично.
@t0digital3 ай бұрын
Спасибо!
@Vjidowkdkcpapqkfjfw9 ай бұрын
Ты когда так покушать успел ?
@t0digital9 ай бұрын
на завтрак!
@temcodes9 ай бұрын
Праздники делают с нами и не такое)
@tihon49799 ай бұрын
Лол 😂
@dmitriiovsiannikov96059 ай бұрын
Курс продается хорошо 😂
@ДенисКолчев-щ4с9 ай бұрын
Не, это когда наконец-то улыбнулся для обложки
@sandrzei5 ай бұрын
За грамотное склонение числительных - отдельный респект! ))
@TimurDE9 ай бұрын
Спасибо Алексей!
@malinichmalinka3 ай бұрын
ролик огонь , жаль сейчас knockd автоматом не закрывает порт, но все равно мощно, спасибо что такие вещи открываете а не, оказывается там есть два вида конфига
@serenitiSever9 ай бұрын
😂 в начале очень смешно объяснил, от души посмеялся. Полезная информация 😊 благодарю
@alexwar68217 ай бұрын
Ай спасибо мил человек! Очень полезное видео!
@SWS-LINK9 ай бұрын
Я порт кнокинг делаю на ICMP с разным размером пакета - 3 пинга и порт открыт. Просто в тех же корп. сетях с большой вероятностью запросы на нестандартные порты будут дропать на фаерволе. Могут и пинг прибить, но чаще он работает -).
@MrVernuk9 ай бұрын
Мега полезно 😊 Классно объясняешь!
@Sanek0607829 ай бұрын
Огонь! Тема для параноиков! Respect!
@ВикторНеземцев9 ай бұрын
какие хорошие примеры рад что вы вернулись
@NatureFitSport9 ай бұрын
Спасибо за видео! Лучший канал о ИТ на ютубе!
@dmitrykuksenok93089 ай бұрын
Еще можно повесить двухфакторку и otp пароли на вход по ssh. Вроде даже на том же хабре была статья (если ничего не путаю), там человек поднимал вопрос, что вход сертификатам это круто, но у тебя получается типа мастер-ключ (твой закрытый ключ) и тебе надо следить, где ты оставил открытый ключ, подчищать за собой и тп, двухфакторка позволяет избавиться от этого
@DrakoshaSStas9 ай бұрын
Еще можно разделить, на свои и чужие сервера. То есть иметь два три сертификата, чтобы не пересекались. Но otp и port knocking это доп защита. Только например с мобильных сетей port knocking не очень
@vasya_pipkin9 ай бұрын
@@DrakoshaSStas ага, а теперь у тебя этих серверов скажем так около 100 (хотя бы) и зайти надо сразу так скажем на 10)) вот будет интересно))). port knocking как по мне больше баловство, для своих каких песочниц)) Если уж и делать, то бастион хост (аля джамп хост) где SSH с OTP и потом уже к виртуалкам с не публичными адресами.
@tihon49799 ай бұрын
Нормуль! Годно! Берём на вооружение. Спасибо!!!
@Владимир-ц3л5ц9 ай бұрын
Спасибо, все круто, как всегда!)
@markostr9 ай бұрын
Отлично ! Огромное спасибо !
@disasstor9 ай бұрын
По поводу как получить доступ к серверу когда потярял ключи, при условии что это ваш сервер и есть доступ к поставщеку услуг(на всех я не проверял, но в оракл это единственный способ вернуть доступ): 1) отмонтировать системный диск от ВМ 2) создать новую вм, примонтировать ей этот диск 3) зайти в созданную вм на примонтированный диск в дирректорию с вашими старыми ключами и добавить новый созданный ключ в разрешенные хосты 4) отмонтировать диск от созданной ВМ 5) примонтировать дск обратно на старую ВМ
@invilso40519 ай бұрын
@@Ihor33ssон итак знает)))
@АлександрВин-ж6э9 ай бұрын
@@Ihor33ssзашифруй диск, проблем то
@invilso40519 ай бұрын
@@Ihor33ss можно зашифровать отдельно раздел с важными данными, и монтировать его куда нужно. Не обязательно же шифровать все файлы.
@Charlie-bb2oq4 ай бұрын
Мануал просто огонь! Решил пойти немного дальше и создал скрипт с названием сервера. Скрипт запускает стуки в порты и потом сам же вводит нужное имя пользователя, айпи и порт. В итоге не нужно вспоминать какие порты открыл и какой у тебя там айпишник)
@san_cristobal4 ай бұрын
Да, я тоже сделал, разобрался как это реализовать на Винде, короче удобная и практичная штука!
@fantasy34698 ай бұрын
Алексей, здравствуйте. Скажите пожалуйста, как вы справляетесь с тем, что во время набора русских текстов в nvim приходится переключать раскладку? Или все таки переключаете? Очень бы хотелось писать/редактировать русский текст также удобно как и английский. Спасибо!
@Oleksii-o9v8 ай бұрын
Я тебя полюбил. Я не знаю сколько это стоит, но я тебя люблю. Спасибо.
@РинатГалиулин-й2у9 ай бұрын
Клевая подача информации!
@t0digital9 ай бұрын
Спасибо!
@funkytapir9 ай бұрын
Спасибо очень было интересно)
@sedelnikovsergey9 ай бұрын
Супер, спасибо за лекбез
@rabotavsem_biz9 ай бұрын
Спасибо за очередное полезное видео! Всегда понятное объяснение. Очень интересует настройка на ufw port knocking
@konstantinselivanov85139 ай бұрын
Обнови /etc/knockd.conf: start_command = ufw allow from %IP% to any port 22 stop_command = ufw delete allow from %IP% to any port 22 Открой порты 7000, 8000 и 9000 в ufw (замени порты на свои)
@LinuxbyDmitry9 ай бұрын
Давно хотел сделать port knocking на nftables, без дополнительных утилит или ещё чего). Сегодня решил, чего ждать и запилил за вечер два видео с двумя вариантами, думаю ещё можно чего нибудь напридумывать на чистом nftables. Данной утилитой многие пользуются, моё мнение это не вариант. Да, в случае с iptables так будет проще, ни какой головной боли, но на nftables это решается гораздо проще и надёжнее).
@АлексейВ.Т-т1оАй бұрын
А почему Crontab, а не systemd для запуска службы?
@dev-workshop9 ай бұрын
Отличное видео, спасибо! Как раз последнее время думаю, как повысить безопасность продакшен серверов Буду рад, если будет видео про бронебойный nginx, что нужно, чтобы не пробился никто через веб приложения
@user-slbog9 ай бұрын
Спасибо за видео !!!!
@СаняСуриков9 ай бұрын
Как же это круто!
@ruslan_swd9 ай бұрын
ИМХО - раз уж речь пошла про SSH и security, то можно было и рассказать про SSH Bastion (для множества серверов), что IP whitelisting для SSH через тот же IPTABLES. Последний пункт удобно реализовать через VPN на домашнем/офисном рутере со статичным ИП. В каждом случае, есть свои + и -, но про возможности самих сетей тоже не стоит забывать и на них забивать! :)
@ItDeLorean9 ай бұрын
Подскажите, а в чем смысл создавать юзера для использования вместо root и тут же давать ему доступ к sudo? От чего таким образом мы защищаемся?
@t0digital9 ай бұрын
Рутом мы можем зайти и случайно сделать непоправимое для системы. Простым пользователем случайно сделать непоправимое для системы не получится, так как явно надо будет добавить sudo и ввести пароль от текущего пользователя. Также каждый юзер с sudo вводит свой пароль, никакой пароль на root не шарится между группой пользователей, это безопаснее. К тому же этим можно гибко управлять, давать пользователям sudo-права, забирать их, ведётся логирование попыток получить sudo-права конкретными пользователями и тд.
@ItDeLorean9 ай бұрын
@@t0digital Дело в том что если мы даем sudo пользователю, то этот пользователь может изменить пароль root пользователю и войти уже через него. А если мы привыкаем вводить команды через sudo на сервере, то нет особой разницы сделаем мы непоправимое из под root или через нашего пользователя с sudo. Поправьте меня, если я не прав.
@linxuil9 ай бұрын
@@ItDeLorean - тут важно что вы отключив доступ по root извне - даете вторую степень свободы у своей защиты. Для того чтобы зайти на ваш сервер - вам сначала нужно понять к какому вообще юзеру нужно подбирать пароль. Поменяв порт - вы уже даете 1-2 часа на подбор порта злоумышленнику. Никто не будет сканировать 2 часа рандомный ip в интернете. Но если вы засветите порт или просто его отсканируют - как они узнают какой вообще пользователь кроме root (который мы отключили) есть на вашем серевере?
@LazerShrk9 ай бұрын
Только сегодня встал вопрос о защите сервера, и сразу вышел Ваш видос)) Спасибо огромное!
@Lexx3659 ай бұрын
Круто, знал, но не юзал, любопытная штука. Однако, довольно опасная с точки зрения вероятного падения данной службы, но на простых серверах личного назначения вполне себе. Обычно, в дополнение к смене дeфолтного порта, отключения root и входа по паролю включаю ufw/iptables и даю доступ по ssh на кастомном порту в режиме лимита. Сам факт того, что у нас нет доступа по паролю и используется контрольная фраза, обеспечивает должный уровень безопасности. Респектую Алексею за то, что поднимает фундаментальные вопросы, которые на практике многие игнорируют. пс: автору предлагаю не обращать внимание на клоунов, которые привыкли судить людей по внешнему виду, это неуверенные в себе и закомплексованные создания, жизнь их уже наказала.
@ИльяИванов-м6з2 ай бұрын
Здравствуйте! Хороший ролик, отдельное спасибо за конфиг(с автоудалением правила), в iptables вы использовали reject для порта ssh, у iptables есть возможность настройки политик поумолчанию input,forward,output, создавать запрещающее правило для каждого сервиса, особенно если таких много слишком громоздко и reject лучше использовать во внутренних сетях а во внешних drop, вообще iptables очень нравится, ufw слишком обрезан с точки зрения функционала(кто пользовался тот поймёт) То что я написал я думаю вы и так знаете) P.S сам когда-то пользовался ufw но потом перешёл на iptables и не пожалел ни разу)
@neuro-cinema2 ай бұрын
А nftables кто нибудь юзал? Стоит ли переходить с iptables?
@ИльяИванов-м6з2 ай бұрын
@@neuro-cinema у меня не было опыта с nftables, а iptables вам уже не хватает?)) или хотите для всестороннего развития?))
@neuro-cinema2 ай бұрын
@@ИльяИванов-м6з для развития
@АртурЗарипов-б2й8 ай бұрын
Большое спасибо!
@tatianabagaeva21 күн бұрын
здраствйте.добры вечер.скажите пожалуйста как сделать такую консоль как у вас.спасибо
@goodvinsk89 ай бұрын
Спасибо за полезный контент!
@АндрейПерцев-ь7ъ9 ай бұрын
Будет видео про Mojo и Modular? Какие перспективы?
@zatochiSiberian9 ай бұрын
Благодарю, очень полезно.
@sharksgangs5 ай бұрын
мощно !
@ВладимирМалобродский9 ай бұрын
Блестяще! Спасибо за видео. Я совершенно не спец в этой области, но хотел узнать: а нельзя ли в добавок ко всем манипуляциям, что Вы делали, создать на стандартном порте какой-либо "ложный сервер" (в настоящемсервере) - эдакую обманку для злоумышленника. Чтобы он думал, что взлом удался и он будет терять время зря? Заранее спасибо.
@ВладимирМалобродский9 ай бұрын
Это я к тому, что взломщик решив, что вломал сервер, будет "красть" ложные данные с фейковой области сервера, тихо радоваться и при этом тратить время впустую. Основной же сервер будет не тронутым.
@kalobyte9 ай бұрын
@@ВладимирМалобродский chroot называется только возни много ломают не для кражи данных, а для установки впн серверов или спам софта или агентов ддос данные рандомного васи никому не нужны
@san_cristobal8 ай бұрын
Как правильно постучится в порты на windows, через тот же PowerShell? Цикл for там не воспринимается, возможно есть какая-то альтернатива. А, то теперь на сервер не могу попасть 😂
@slmuim97459 ай бұрын
Очень информативно, спасибо. Вопрос: а порты, которые ждут нокинг, можно задетектить nmap’ом или чем-то еще?
@__username__9 ай бұрын
Ответ: нет. Они могут (и должны) быть закрыты, нокинг сработает и в этом случае. Стоит помнить, что во всех серьёзных мануалах написано, что нокинг - это слабая мера безопасности и не должна быть единственной. Также могу сказать, что на SSH-порт моего домашнего роутера, который висит на нестандартном порту, за более чем 10 лет не было ни единой попытки коннекта. Это я знаю достоверно, т.к. у меня есть скрипт (работоспособность которого проверена, конечно), оповещающий о неудачной попытке логина. Так что просто смени порт и кол-во потенциальных угроз снизится на порядки. Ну и ключ с паролем, само собой.
@WhiteBear1419814 ай бұрын
Спасибо!
@TheShpriest3 ай бұрын
Странная ситуация. на одной vps все заработало, как в видео. а на другой парольный доступ для нового пользователя все равно продолжает работать. и если у первой vps при попытке подключиться по руту он просто пишет, что такой возможности нет. то вторая просит пароль, но при этом не пускает по верному паролю. всю голову сломал, не знаю, где еще отключить парольный доступ.
@TheShpriest3 ай бұрын
нашел проблему )) в конфиге стояла строчка на Include /etc/ssh/sshd_config.d/*conf и в том файле была единственная запись - PermitAuthentication yes вот подстава ) закоментил и все заработало.
@Randy1310989 ай бұрын
Также вопрос: почему мы на сервере перезапускаем ssh, а не sshd, после изменения конфига sshd?
@bak1necWWE9 ай бұрын
ssh и sshd в убунте оба смотрят на sshd
@neuro-cinema2 ай бұрын
В Бубунте это старая лапша тянется с древних времён когда система инициализации была не SystemD. В последней сервис правильно называется - sshd
@asura9639 ай бұрын
Здраствуйте. Вы можете показать как правильно настроить, применить правила nftables в дистрибутиве: voidlinux Ранее работали, но теперь видимо что то voidlinux поменяли.
@t0digital9 ай бұрын
Синтаксис самого nftables должен быть одинаковым везде вроде, едва ли они это меняли в дистрибутиве
@asura9639 ай бұрын
@@t0digital аз не про синтаксис nftable. А про установку и запуск его в дистрибутиве voidlinux) Раниее устанавливал так и все было хорошо: # xbps-install nftables runit-nftables cd voidlinux cp nftables /usr/local/bin/ cd /usr/local/bin/ chmod 755 nftables nft flush ruleset nano /usr/local/bin/nftables nftables echo '#!/usr/sbin/nft -f' > /etc/nftables.conf echo 'flush ruleset' >> /etc/nftables.conf nft list ruleset >> /etc/nftables.conf cat /etc/nftables.conf sv up nftables Все проходит успешно, кроме последней команды запуска, выкидывает такую ошибку: fail: nftables: unable to change to service directory: file does not exist Рание такого небыло.
@asura9639 ай бұрын
@@t0digital разобрался
@SuperEuro9 ай бұрын
Возможно ли использовать аппаратные ключи, по технологии FIDO?
@mishuha9 ай бұрын
Насчет веб хостеров: у них есть сброс пароля всегда, даже если ты сменил пароль админа у своей VDS. Как это работает? Через доступ к фс обнуляют /etc/passwd?
@enotroma9 ай бұрын
я себе закрыл все порты кроме 80 и 443 на основном сервере, а для SSH завел дешевый VPS в той же локалке как впн и разрешил доступ к 22 порту основной машины только из внутренней сети. 1 - трафик шифрован по впн тоннелю, 2 - только зная айпи моего впн сервера-затычки можно что-то вообще пытаться, т.е. без перехвата моего трафика чтобы узнать айпи сервера-затычки попытки доступа к ssh имеют кпд 0)
@Max-Sparrow7 ай бұрын
Написать демон, который будет следить за демоном =D а за тем демоном другой демон, который будет следить за этими двумя, а второй и за третьим тоже ) Ещё в алгоритм стука можно включить открытие не SSH порта (возможно тоже динамически меняющегося), в который будет происходить соединение клиентского скрипта до серверного, да с обменом ключами с нестандартным хитровывернутым алгоритмом (а лучше в сочетании), при успешности которого уже потом будет открываться SSH порт. Чем больше нестандартных решений, тем меньше шансов взлома.
@jenykoo9 ай бұрын
завтра попробую) уже 2 часа утра))
@tatianabagaeva25 күн бұрын
добрый день!скажите пожалуйста как называется терминал?
@t0digital25 күн бұрын
Привет! Alacritty
@Сергей-ч6щ6е9 ай бұрын
Добрый день. Спасибо за видео! Чуть дополню здесь в правилах лучше использовать DROP а не Reject. Так как стучащийся не будет получать информацию есть ли за этим портом что-то или нет. В дополнение к защите.
@t0digital9 ай бұрын
зависит от того как работают остальные порты. Если остальные ведут себя как DROP, то и наш надо на DROP, если остальные ведут себя как REJECT, то и наш на REJECT. Иначе он будет палиться отличным от других поведением
@Сергей-ч6щ6е9 ай бұрын
@@t0digital Согласен. Тогда все лучше дропать. Зачем кому-то знать что его отвергли ) Еще раз спасибо!
@VVS19009 ай бұрын
Нуждаюсь в вашем совете! Купил микротик лдф6 лте. При настройке и обновлении оборудования. Оператор узнает ли что симка не в смартфоне? Как быть , тариф для смартфона и экономный. Неохото потерять
@t0digital9 ай бұрын
да, в общем случае оператор узнаёт. Чтобы не узнал надо проводить дополнительные настройки и не на всех устройствах их можно провести, не в курсе про микроток. Надёжным вариантом будет симка для модема с нормальным тарифом, такие есть.
@VVS19009 ай бұрын
@@t0digital спасибо Вам за ответ! 🤝 Речь о MikroTik LDF LTE6 kit (RBLDFR&R11e-LTE6)
@t0digital9 ай бұрын
нужная настройка это смена ttl, надо искать, есть ли такая возможность на этом устройстве, я не знаю
@VVS19009 ай бұрын
@@t0digital спасибо Вам🤝
@sergeyn55049 ай бұрын
А по смс можно сделать? Как это называется - двухфакторная авторизация?
@DrakoshaSStas9 ай бұрын
Можно, но лучше otp, его легче сделать и без дополнительных затрат на sms.
А если сервер находится за NAT, т.е. за роутером с внешним IP-адресом, тогда как можно защитить сервер?
@ivanselyt9 ай бұрын
Можно узнать, какой смысл создавать пользователя и выключать авторизацию на сервере для root, ведь если хакер получит доступ к юзеру, он же из под него так же сможет спокойно запускать команды с sudo, разве нет?
@ivanselyt9 ай бұрын
а, тут еще добавляет сложность в том, что надо подобрать(угадать) имя пользователя для того, чтобы дальнейшие попытки перебора пароля и т.п. имели смысл?
@kalobyte9 ай бұрын
@@ivanselyt подбирают пароль рута как дефолтного пользователя, потому что другие неизвестны бывают те, кто меняет конфиг ссх и разрешает вход для рута по сети на таких и рассчитаны переборы пароля
@ivanselyt9 ай бұрын
@@kalobyte а нельзя убрать пароль у рута и сделать авторизацию под ним только с ssh ключом? А вообще как будто, если использовать port knocking, то он перекрывает все предыдущие защиты и смысл в них есть, только если каким то чудом смогут обойти port knocking
@kalobyte9 ай бұрын
@@ivanselyt можно сделать вход под рутом с ключом без пароля стучалка по портам это просто дополнительная опция защиты и не только ссх например proxmox работает от рута и если пароль подберут через вебморду, то будет очень плохо поэтому можно так же закрыть порт 8006 и открывать его только по стуку
@ZlobniyTapoG9 ай бұрын
Алексей, нужно двигаться и меньше кушать. Трансформация в винни-пуха становится очевидной )
@mishuha9 ай бұрын
А голос-то какой! Прям мимимишный.
@yjjx9 ай бұрын
Ну, тут вопрос о рисках, у меня vds простоял пол года без какой либо защиты, просто ssh по паролю без ключей(ну разве что вход от рута отключен) и… 0 заходов, 350 тысяч попыток авторизации
@t0digital9 ай бұрын
350 тыс попыток авторизации это несколько хуже, чем ноль. Зачем гонять трафик на свой сервер, занимать вычислительные ресурсы этим, ну и рисковать, разумеется. Мини-риск хуже, чем микро-риск, и значительно хуже, чем нано-риск:)
@ivanselyt9 ай бұрын
Если мы используем port knocking, то пропадает смысл переносить ssh на другой порт?
@Stalone139 ай бұрын
Ты на MacBook Air M1 поставил macOS Соному ? Говорят намного быстрее разряжается после обновления на эту макос.
@t0digital9 ай бұрын
Не ставил. Сижу на Монтерей и не планирую обновлять. Опять поломается всё нахрен. К сожалению, нет доверия больше маковским обновам. Обновлятели купертиновские хуевы, в прошлый раз пол дня убил на переустановку всего необходимого.
@Stalone139 ай бұрын
@@t0digital Хах я на Ventura всё хорошо до этого на Monterey был. А вообще MacBook планируешь обновлять ? Или будешь всё время на монтерей сидеть ?:) Я решил вообще Соному пропустить буду сидеть на Вентуре до макос 15.6
@laushkin18 ай бұрын
Привет, можешь снять видео про neovim, мысли твои про него, почему ты бы рекомендовал или не рекомендовал его, чем он лучше или хуже за vim или любой другой редактор или ide
@madmax28726 ай бұрын
класс , дико извиняюсь линукс пока не использую на какой сбори линукс такое SSH реализуемо и возможно ли на винде?
@t0digital6 ай бұрын
Я говорю о сервере на Linux. Если сервер на Windows - настройка будет какая-то другая вероятно, не работал с серверами на Windows.
@beremour9 ай бұрын
надо для nftables... iptables чо-то не видно давно
@sikelmon9 ай бұрын
Привет. Расскажи как поживает макбук? Уже достаточно долго им пользуешься.
@t0digital9 ай бұрын
Нормально. Краска потерлась слева-справа от тачпада, аккум 81% емкости осталось, около 465 циклов зарядки. Нормас
@aleksraa9 ай бұрын
а почему reject? drop нужно использовать ! погуглите разницу
@t0digital9 ай бұрын
Нет, это не всегда так. Если все остальные порты работают как reject, то и наш порт стоит настроить на reject. Если все на drop, то и наш на drop. Иначе он палится своим поведением.
@aleksraa9 ай бұрын
@@t0digitalя согласен, это логично. Но с точки зрения расхода ресурсов тратится ресурсы на ответ, понятное дело, что 1,2,10 ответов не стоят ничего даже для слабой машины, но если мы говорим о безопасности и защите от потенциальных атак, ведь запросов могут быть тысячи или сотни тысяч в случае атаки, что будет серьезной нагрузкой, drop же в этом случае не будет тратить силы на ответ
@akiro35229 ай бұрын
Ура, видосик
@ohmygoodness46539 ай бұрын
В дверь постучали 1500 раз. Брутфорс, подумал Штирлиц
@anonymousgt6253 ай бұрын
Недооцененный коммент. Я бы еще добавил: в дверь под номером 22
@andrejaga30039 ай бұрын
А можно разные SSH-ключи хранить на USB-флешке, чтобы эта "ключница" всегда была с собой и чтобы можно было ею пользоваться с разных компьютеров?
@t0digital9 ай бұрын
Можно. Шифрованный том можно на флешке создать даже. На котором будут ключи
@andrejaga30039 ай бұрын
@@t0digital А не покажете, как это правильно сделать? Может, есть какие-то подводные камни? У меня в двух квартирах, на даче и на работе компьютеры, одна "ключница" сильно бы упростила жизнь. И можно вообще ключи копировать-перемещать в разные места? Нет там в зашифрованном ключе какой-нибудь привязки к конкретной машине, операционке и пр., которые зашифровываются при создании ключа?
@t0digital9 ай бұрын
В ключе привязки к машине нет, копировать можно. Ключи стоит защитить паролем, чтобы в случае утечки ключей не потерять доступ к серверу. А по поводу криптоконтейнера вариантов много, в какой-то степени даже запароленный zip-архив с ключами тоже может играть такую роль:) Или можно воспользоваться VeraCrypt контейнером
@ТимофейЁлкин-о9е9 ай бұрын
Может я не внимательно смотрел. Получается, что сгенерированный ssh-ключ одинаков для root и www?
@neuro-cinema2 ай бұрын
Он одинаков для всех вообще в мире куда он будет скопирован
@prozzy829 ай бұрын
Недавно обнаружил, что у роутеров TP link активен ssh и об этом в официальной документации и мануалах ничего не сказано, и как ее выключить тоже не ясно. только на форуме нашел информацию что он активен для приложения Tether от TP-Link.
@Vova21rus8 ай бұрын
Привет! У меня такой вопрос, все вроде бы настроил по инструкции, проверил, работает. Но после перезагрузки доступ к ssh пропал( В чем может быть причина?
@t0digital8 ай бұрын
возможно правила iptables не сохранились. Они по умолчанию не сохраняются на постоянку. sudo apt install iptables-persistent sudo service netfilter-persistent save
@Vova21rus8 ай бұрын
@@t0digital Частично разобрался. Для восстановления ssh доступа пришлось отключать диск и лазить по файловой системе, удалять правило в iptables. В итоге выяснил, что тупо knockd не запускался "knockd[2460]: could not open eth0: eth0: That device is not up". Вот здесь теперь не понятно, почему это устройство отображается в ifconfig, и прописано в конфигах, но сервис knockd падает при старте
@osada969 ай бұрын
А каким образом можно настроить запрет пингов всем, кроме определенных хостов? Т.е., чтобы сделать исключение этим хостам и они могли всегда пинговать сервер?
@neuro-cinema2 ай бұрын
Ну также, впереди правил вставляешь разрешение с нужных IP
@Katar1xАй бұрын
Недавно мой мой сервак взломали и закинули на него майнер) Заметил я это очень просто. Через 10 минут после запуска сервера, загруженность процессора у него подлетала до 100%. Это был мой первый пет проект ( тг бот), и мне кажется проникли на него через докер контейнер редиса с неправильной конфигурацией. Хотелось бы узнать, как правильно (безопасно) поднимать на серваке докер контейнеры, чтобы подобное не случалось)
@extremecodegovno63069 ай бұрын
а как это удобно сконфигурировать чтоб не стучать каждый раз? аля этакий ssh config knock manager
@neuro-cinema2 ай бұрын
Запхать всё в один bash сценарий
@vitaliedercaci81177 ай бұрын
Can you do a video and recommend us some books? thank's!