Тем временем мой курс «Хардкорная веб-разработка» продолжает набор обучающихся - course.to.digital Вжух!

Я всё задавался вопросом куда же ты пропал? А он оказывается кушал 😂😂 Очень рад что ты вернулся.

Вот пристали-то "поправился", "растолстел","в кадр не влезешь", человеку даже к бабушке уже нельзя съездить что-ли? Хорошего человека должно быть много. Алексей молодец, главное - чтоб здоровье было хорошее, а остальное - ерунда. Благодаря ему работаю девопсом. Спасибо большое за информацию в простой и понятной форме. Алексей, желаю конского здоровья и стальных нервов.

Не прекращай радовать видосиками! Самый ламповый и толковый блогер по теме разработки ❤

Благодарю за то, что когда-то дали комментарий по резюме, когда вам требовался сотрудник, это помогло продолжать путь, и в итоге устроился на первую работу год назад примерно) В целом все видосы оч полезные

Можно ещё прикрутить fail2ban, чтобы блокировать IP после нескольких неправильных попыток входа

Ого, офигеть, магия б**ь, просто гениальная технология, прям как гномьи двери в Мории, которые не видно) Огромное спасибо за ваш канал, всегда много полезного узнаю

Темы топ, подача топ. Видосы по линуксу просто мастхев 👍

Предлагаю в качестве следующей темы для видео рассмотреть механизм защиты "honey pot".

Уже давно использую доступ к порту ssh только со своего ip и вот если вдруг ip изменится, будет очень неприятно 😅 В качестве подстраховки надо будет настроить, однажды может пригодится Полезная инфа! Спасибо! 👍👍👍

Вообще огонь! Только на днях думал, как защитить ssh-сервер, смотрящий в интернет. Google что уже научился мысли читать?!

Как по мне, вот этого набора правил, будет вполне достаточно, чтобы никакой ебобо, не смог подключиться к серваку: - Port 0 - 65536 - LoginGraceTime 10s - AllowUsers Username - StrictModes yes - MaxAuthTries 1 - MaxSessions 1 - PubkeyAuthentication yes - PasswordAuthentication no - PermitRootLogin no - PermitEmptyPasswords no

Браво!!! Обалденное видео, сам работаю с линуксом почти 20 лет, и порт накинг это не новое и известное но в видео показано как это просто сделать. к сожалению 99.9% админов этим не заморачиваются, дай б-г чтобы хотя бы вырубили доступ по паролю )))) А уже защищать ssh ключи паролем, не говоря уже про порт нокинг это уже космос :))

Старенькая, но приколная затычка, которая биндится на дефолтовый 22 порт, прикидывается ssh и при коннекте начинает отмораживаться, но коннект не разрывает. Эдакий honeypot. Первый же вопрос на подбор пароля вязнет и вечно ожидает завершения :) endlessh

Очень полезно и информативно, не хватает еще bash-скриптяги, чтобы перед ссш автоматически вызывалась команда простукивания! Спасибо!

За грамотное склонение числительных - отдельный респект! ))

Алексей, благодарю за видео! Подскажи, пожалуйста, какой shell используешь на своем mac? ZSH с OhMyZSH? Я бы с удовольствием от тебя посмотрел бы гайд на тему настройки и кастомизации оболочки.

Не потолстел, а съел Питона =) С нетерпением ждем новое видео! А лучше выпускать хотя бы каждую неделю ) У вас хорошо получается донести информацию

ура главкотан вернулся) и сразу с нужной темой.

Рад тебя видеть старина!

Мануал просто огонь! Решил пойти немного дальше и создал скрипт с названием сервера. Скрипт запускает стуки в порты и потом сам же вводит нужное имя пользователя, айпи и порт. В итоге не нужно вспоминать какие порты открыл и какой у тебя там айпишник)

Потрясающе красивая картинка в 200 fps 😊

Еще можно повесить двухфакторку и otp пароли на вход по ssh. Вроде даже на том же хабре была статья (если ничего не путаю), там человек поднимал вопрос, что вход сертификатам это круто, но у тебя получается типа мастер-ключ (твой закрытый ключ) и тебе надо следить, где ты оставил открытый ключ, подчищать за собой и тп, двухфакторка позволяет избавиться от этого

По поводу как получить доступ к серверу когда потярял ключи, при условии что это ваш сервер и есть доступ к поставщеку услуг(на всех я не проверял, но в оракл это единственный способ вернуть доступ): 1) отмонтировать системный диск от ВМ 2) создать новую вм, примонтировать ей этот диск 3) зайти в созданную вм на примонтированный диск в дирректорию с вашими старыми ключами и добавить новый созданный ключ в разрешенные хосты 4) отмонтировать диск от созданной ВМ 5) примонтировать дск обратно на старую ВМ

ролик огонь , жаль сейчас knockd автоматом не закрывает порт, но все равно мощно, спасибо что такие вещи открываете а не, оказывается там есть два вида конфига

ИМХО - раз уж речь пошла про SSH и security, то можно было и рассказать про SSH Bastion (для множества серверов), что IP whitelisting для SSH через тот же IPTABLES. Последний пункт удобно реализовать через VPN на домашнем/офисном рутере со статичным ИП. В каждом случае, есть свои + и -, но про возможности самих сетей тоже не стоит забывать и на них забивать! :)

Я порт кнокинг делаю на ICMP с разным размером пакета - 3 пинга и порт открыт. Просто в тех же корп. сетях с большой вероятностью запросы на нестандартные порты будут дропать на фаерволе. Могут и пинг прибить, но чаще он работает -).

Только сегодня встал вопрос о защите сервера, и сразу вышел Ваш видос)) Спасибо огромное!

Отличное видео, спасибо! Как раз последнее время думаю, как повысить безопасность продакшен серверов Буду рад, если будет видео про бронебойный nginx, что нужно, чтобы не пробился никто через веб приложения

Написать демон, который будет следить за демоном =D а за тем демоном другой демон, который будет следить за этими двумя, а второй и за третьим тоже ) Ещё в алгоритм стука можно включить открытие не SSH порта (возможно тоже динамически меняющегося), в который будет происходить соединение клиентского скрипта до серверного, да с обменом ключами с нестандартным хитровывернутым алгоритмом (а лучше в сочетании), при успешности которого уже потом будет открываться SSH порт. Чем больше нестандартных решений, тем меньше шансов взлома.

Круто, знал, но не юзал, любопытная штука. Однако, довольно опасная с точки зрения вероятного падения данной службы, но на простых серверах личного назначения вполне себе. Обычно, в дополнение к смене дeфолтного порта, отключения root и входа по паролю включаю ufw/iptables и даю доступ по ssh на кастомном порту в режиме лимита. Сам факт того, что у нас нет доступа по паролю и используется контрольная фраза, обеспечивает должный уровень безопасности. Респектую Алексею за то, что поднимает фундаментальные вопросы, которые на практике многие игнорируют. пс: автору предлагаю не обращать внимание на клоунов, которые привыкли судить людей по внешнему виду, это неуверенные в себе и закомплексованные создания, жизнь их уже наказала.

Здравствуйте! Хороший ролик, отдельное спасибо за конфиг(с автоудалением правила), в iptables вы использовали reject для порта ssh, у iptables есть возможность настройки политик поумолчанию input,forward,output, создавать запрещающее правило для каждого сервиса, особенно если таких много слишком громоздко и reject лучше использовать во внутренних сетях а во внешних drop, вообще iptables очень нравится, ufw слишком обрезан с точки зрения функционала(кто пользовался тот поймёт) То что я написал я думаю вы и так знаете) P.S сам когда-то пользовался ufw но потом перешёл на iptables и не пожалел ни разу)

Алексей, спасибо за информацию!!! Очень актуально и полезно!!! Красавчик.

Давно хотел сделать port knocking на nftables, без дополнительных утилит или ещё чего). Сегодня решил, чего ждать и запилил за вечер два видео с двумя вариантами, думаю ещё можно чего нибудь напридумывать на чистом nftables. Данной утилитой многие пользуются, моё мнение это не вариант. Да, в случае с iptables так будет проще, ни какой головной боли, но на nftables это решается гораздо проще и надёжнее).

Огонь! Тема для параноиков! Respect!

😂 в начале очень смешно объяснил, от души посмеялся. Полезная информация 😊 благодарю

Спасибо за видео! Лучший канал о ИТ на ютубе!

какие хорошие примеры рад что вы вернулись

Ты когда так покушать успел ?

Спасибо большое. Все понятно и лаконично.

Спасибо Алексей!

Спасибо за очередное полезное видео! Всегда понятное объяснение. Очень интересует настройка на ufw port knocking

Нормуль! Годно! Берём на вооружение. Спасибо!!!

Мега полезно 😊 Классно объясняешь!

Очень информативно, спасибо. Вопрос: а порты, которые ждут нокинг, можно задетектить nmap’ом или чем-то еще?

В дверь постучали 1500 раз. Брутфорс, подумал Штирлиц

Блестяще! Спасибо за видео. Я совершенно не спец в этой области, но хотел узнать: а нельзя ли в добавок ко всем манипуляциям, что Вы делали, создать на стандартном порте какой-либо "ложный сервер" (в настоящемсервере) - эдакую обманку для злоумышленника. Чтобы он думал, что взлом удался и он будет терять время зря? Заранее спасибо.

Ай спасибо мил человек! Очень полезное видео!

Будет видео про Mojo и Modular? Какие перспективы?

Отлично ! Огромное спасибо !

Спасибо, все круто, как всегда!)

Спасибо очень было интересно)

завтра попробую) уже 2 часа утра))

Сегодня практически нет необходимости открывать ssh-доступ через интернет. Для конфигурации есть другие способы, с помощью которых можно опять-таки открыть ssh, если очень понадобиться и потом его быстро закрыть.

Спасибо за видео !!!!

Клевая подача информации!

Алексей, нужно двигаться и меньше кушать. Трансформация в винни-пуха становится очевидной )

Ох, зима на моем лице оставила такой же жирный след

Спасибо за полезный контент!

Супер, спасибо за лекбез

Большое спасибо!

Как же это круто!

Благодарю, очень полезно.

Подскажите, а в чем смысл создавать юзера для использования вместо root и тут же давать ему доступ к sudo? От чего таким образом мы защищаемся?

Спасибо!

я себе закрыл все порты кроме 80 и 443 на основном сервере, а для SSH завел дешевый VPS в той же локалке как впн и разрешил доступ к 22 порту основной машины только из внутренней сети. 1 - трафик шифрован по впн тоннелю, 2 - только зная айпи моего впн сервера-затычки можно что-то вообще пытаться, т.е. без перехвата моего трафика чтобы узнать айпи сервера-затычки попытки доступа к ssh имеют кпд 0)

Алексей, здравствуйте. Скажите пожалуйста, как вы справляетесь с тем, что во время набора русских текстов в nvim приходится переключать раскладку? Или все таки переключаете? Очень бы хотелось писать/редактировать русский текст также удобно как и английский. Спасибо!

Добрый день. Спасибо за видео! Чуть дополню здесь в правилах лучше использовать DROP а не Reject. Так как стучащийся не будет получать информацию есть ли за этим портом что-то или нет. В дополнение к защите.

Привет, можешь снять видео про neovim, мысли твои про него, почему ты бы рекомендовал или не рекомендовал его, чем он лучше или хуже за vim или любой другой редактор или ide

Поправился немного за это время

А почему Crontab, а не systemd для запуска службы?

Привет. Расскажи как поживает макбук? Уже достаточно долго им пользуешься.

класс , дико извиняюсь линукс пока не использую на какой сбори линукс такое SSH реализуемо и возможно ли на винде?

это не магия - это кунг-фу!!!

Очень классно, не слышал о таком.

мощно ！

Я тебя полюбил. Я не знаю сколько это стоит, но я тебя люблю. Спасибо.

Также вопрос: почему мы на сервере перезапускаем ssh, а не sshd, после изменения конфига sshd?

Вот ты брат, растолстел. Привет из оракла.

Возможно ли использовать аппаратные ключи, по технологии FIDO?

Ты на MacBook Air M1 поставил macOS Соному ? Говорят намного быстрее разряжается после обновления на эту макос.

А по смс можно сделать? Как это называется - двухфакторная авторизация?

Здраствуйте. Вы можете показать как правильно настроить, применить правила nftables в дистрибутиве: voidlinux Ранее работали, но теперь видимо что то voidlinux поменяли.

Как правильно постучится в порты на windows, через тот же PowerShell? Цикл for там не воспринимается, возможно есть какая-то альтернатива. А, то теперь на сервер не могу попасть 😂

Ну, тут вопрос о рисках, у меня vds простоял пол года без какой либо защиты, просто ssh по паролю без ключей(ну разве что вход от рута отключен) и… 0 заходов, 350 тысяч попыток авторизации

лайк авансом!)

Нуждаюсь в вашем совете! Купил микротик лдф6 лте. При настройке и обновлении оборудования. Оператор узнает ли что симка не в смартфоне? Как быть , тариф для смартфона и экономный. Неохото потерять

а почему reject? drop нужно использовать ! погуглите разницу

Can you do a video and recommend us some books? thank's!

Недавно обнаружил, что у роутеров TP link активен ssh и об этом в официальной документации и мануалах ничего не сказано, и как ее выключить тоже не ясно. только на форуме нашел информацию что он активен для приложения Tether от TP-Link.

Катанелла, как ты постарел за год. Как думаешь, лишние кило уйдут за лето?

еще надо fail2ban поставить, и настроить jail для sshd

Круто

Можно узнать, какой смысл создавать пользователя и выключать авторизацию на сервере для root, ведь если хакер получит доступ к юзеру, он же из под него так же сможет спокойно запускать команды с sudo, разве нет?

Недавно мой мой сервак взломали и закинули на него майнер) Заметил я это очень просто. Через 10 минут после запуска сервера, загруженность процессора у него подлетала до 100%. Это был мой первый пет проект ( тг бот), и мне кажется проникли на него через докер контейнер редиса с неправильной конфигурацией. Хотелось бы узнать, как правильно (безопасно) поднимать на серваке докер контейнеры, чтобы подобное не случалось)

Насчет веб хостеров: у них есть сброс пароля всегда, даже если ты сменил пароль админа у своей VDS. Как это работает? Через доступ к фс обнуляют /etc/passwd?

Александр, спасибо. полезно, интересно, наглядно :))))

Ура, видосик

А можно разные SSH-ключи хранить на USB-флешке, чтобы эта "ключница" всегда была с собой и чтобы можно было ею пользоваться с разных компьютеров?

Странная ситуация. на одной vps все заработало, как в видео. а на другой парольный доступ для нового пользователя все равно продолжает работать. и если у первой vps при попытке подключиться по руту он просто пишет, что такой возможности нет. то вторая просит пароль, но при этом не пускает по верному паролю. всю голову сломал, не знаю, где еще отключить парольный доступ.