Тем временем мой курс «Хардкорная веб-разработка» продолжает набор обучающихся - course.to.digital Вжух!

Я всё задавался вопросом куда же ты пропал? А он оказывается кушал 😂😂 Очень рад что ты вернулся.

Вот пристали-то "поправился", "растолстел","в кадр не влезешь", человеку даже к бабушке уже нельзя съездить что-ли? Хорошего человека должно быть много. Алексей молодец, главное - чтоб здоровье было хорошее, а остальное - ерунда. Благодаря ему работаю девопсом. Спасибо большое за информацию в простой и понятной форме. Алексей, желаю конского здоровья и стальных нервов.

Не прекращай радовать видосиками! Самый ламповый и толковый блогер по теме разработки ❤

Благодарю за то, что когда-то дали комментарий по резюме, когда вам требовался сотрудник, это помогло продолжать путь, и в итоге устроился на первую работу год назад примерно) В целом все видосы оч полезные

Темы топ, подача топ. Видосы по линуксу просто мастхев 👍

Можно ещё прикрутить fail2ban, чтобы блокировать IP после нескольких неправильных попыток входа

Ого, офигеть, магия б**ь, просто гениальная технология, прям как гномьи двери в Мории, которые не видно) Огромное спасибо за ваш канал, всегда много полезного узнаю

Рад тебя видеть старина!

Браво!!! Обалденное видео, сам работаю с линуксом почти 20 лет, и порт накинг это не новое и известное но в видео показано как это просто сделать. к сожалению 99.9% админов этим не заморачиваются, дай б-г чтобы хотя бы вырубили доступ по паролю )))) А уже защищать ssh ключи паролем, не говоря уже про порт нокинг это уже космос :))

Старенькая, но приколная затычка, которая биндится на дефолтовый 22 порт, прикидывается ssh и при коннекте начинает отмораживаться, но коннект не разрывает. Эдакий honeypot. Первый же вопрос на подбор пароля вязнет и вечно ожидает завершения :) endlessh

Предлагаю в качестве следующей темы для видео рассмотреть механизм защиты "honey pot".

ура главкотан вернулся) и сразу с нужной темой.

Уже давно использую доступ к порту ssh только со своего ip и вот если вдруг ip изменится, будет очень неприятно 😅 В качестве подстраховки надо будет настроить, однажды может пригодится Полезная инфа! Спасибо! 👍👍👍

Как по мне, вот этого набора правил, будет вполне достаточно, чтобы никакой ебобо, не смог подключиться к серваку: - Port 0 - 65536 - LoginGraceTime 10s - AllowUsers Username - StrictModes yes - MaxAuthTries 1 - MaxSessions 1 - PubkeyAuthentication yes - PasswordAuthentication no - PermitRootLogin no - PermitEmptyPasswords no

Алексей, спасибо за информацию!!! Очень актуально и полезно!!! Красавчик.

Спасибо за видео! Лучший канал о ИТ на ютубе!

какие хорошие примеры рад что вы вернулись

Потрясающе красивая картинка в 200 fps 😊

Огонь! Тема для параноиков! Respect!

Вообще огонь! Только на днях думал, как защитить ssh-сервер, смотрящий в интернет. Google что уже научился мысли читать?!

Спасибо Алексей!

Очень полезно и информативно, не хватает еще bash-скриптяги, чтобы перед ссш автоматически вызывалась команда простукивания! Спасибо!

Не потолстел, а съел Питона =) С нетерпением ждем новое видео! А лучше выпускать хотя бы каждую неделю ) У вас хорошо получается донести информацию

Ты когда так покушать успел ?

Спасибо большое. Все понятно и лаконично.

Нормуль! Годно! Берём на вооружение. Спасибо!!!

Ай спасибо мил человек! Очень полезное видео!

Мега полезно 😊 Классно объясняешь!

Алексей, благодарю за видео! Подскажи, пожалуйста, какой shell используешь на своем mac? ZSH с OhMyZSH? Я бы с удовольствием от тебя посмотрел бы гайд на тему настройки и кастомизации оболочки.

За грамотное склонение числительных - отдельный респект! ))

Отлично ! Огромное спасибо !

Спасибо, все круто, как всегда!)

Клевая подача информации!

Спасибо за полезный контент!

Спасибо очень было интересно)

Как же это круто!

Супер, спасибо за лекбез

Спасибо за видео !!!!

Благодарю, очень полезно.

Только сегодня встал вопрос о защите сервера, и сразу вышел Ваш видос)) Спасибо огромное!

Большое спасибо!

😂 в начале очень смешно объяснил, от души посмеялся. Полезная информация 😊 благодарю

Еще можно повесить двухфакторку и otp пароли на вход по ssh. Вроде даже на том же хабре была статья (если ничего не путаю), там человек поднимал вопрос, что вход сертификатам это круто, но у тебя получается типа мастер-ключ (твой закрытый ключ) и тебе надо следить, где ты оставил открытый ключ, подчищать за собой и тп, двухфакторка позволяет избавиться от этого

По поводу как получить доступ к серверу когда потярял ключи, при условии что это ваш сервер и есть доступ к поставщеку услуг(на всех я не проверял, но в оракл это единственный способ вернуть доступ): 1) отмонтировать системный диск от ВМ 2) создать новую вм, примонтировать ей этот диск 3) зайти в созданную вм на примонтированный диск в дирректорию с вашими старыми ключами и добавить новый созданный ключ в разрешенные хосты 4) отмонтировать диск от созданной ВМ 5) примонтировать дск обратно на старую ВМ

Отличное видео, спасибо! Как раз последнее время думаю, как повысить безопасность продакшен серверов Буду рад, если будет видео про бронебойный nginx, что нужно, чтобы не пробился никто через веб приложения

ролик огонь , жаль сейчас knockd автоматом не закрывает порт, но все равно мощно, спасибо что такие вещи открываете а не, оказывается там есть два вида конфига

Я порт кнокинг делаю на ICMP с разным размером пакета - 3 пинга и порт открыт. Просто в тех же корп. сетях с большой вероятностью запросы на нестандартные порты будут дропать на фаерволе. Могут и пинг прибить, но чаще он работает -).

В дверь постучали 1500 раз. Брутфорс, подумал Штирлиц

ИМХО - раз уж речь пошла про SSH и security, то можно было и рассказать про SSH Bastion (для множества серверов), что IP whitelisting для SSH через тот же IPTABLES. Последний пункт удобно реализовать через VPN на домашнем/офисном рутере со статичным ИП. В каждом случае, есть свои + и -, но про возможности самих сетей тоже не стоит забывать и на них забивать! :)

Написать демон, который будет следить за демоном =D а за тем демоном другой демон, который будет следить за этими двумя, а второй и за третьим тоже ) Ещё в алгоритм стука можно включить открытие не SSH порта (возможно тоже динамически меняющегося), в который будет происходить соединение клиентского скрипта до серверного, да с обменом ключами с нестандартным хитровывернутым алгоритмом (а лучше в сочетании), при успешности которого уже потом будет открываться SSH порт. Чем больше нестандартных решений, тем меньше шансов взлома.

Мануал просто огонь! Решил пойти немного дальше и создал скрипт с названием сервера. Скрипт запускает стуки в порты и потом сам же вводит нужное имя пользователя, айпи и порт. В итоге не нужно вспоминать какие порты открыл и какой у тебя там айпишник)

завтра попробую) уже 2 часа утра))

Круто, знал, но не юзал, любопытная штука. Однако, довольно опасная с точки зрения вероятного падения данной службы, но на простых серверах личного назначения вполне себе. Обычно, в дополнение к смене дeфолтного порта, отключения root и входа по паролю включаю ufw/iptables и даю доступ по ssh на кастомном порту в режиме лимита. Сам факт того, что у нас нет доступа по паролю и используется контрольная фраза, обеспечивает должный уровень безопасности. Респектую Алексею за то, что поднимает фундаментальные вопросы, которые на практике многие игнорируют. пс: автору предлагаю не обращать внимание на клоунов, которые привыкли судить людей по внешнему виду, это неуверенные в себе и закомплексованные создания, жизнь их уже наказала.

Здравствуйте! Хороший ролик, отдельное спасибо за конфиг(с автоудалением правила), в iptables вы использовали reject для порта ssh, у iptables есть возможность настройки политик поумолчанию input,forward,output, создавать запрещающее правило для каждого сервиса, особенно если таких много слишком громоздко и reject лучше использовать во внутренних сетях а во внешних drop, вообще iptables очень нравится, ufw слишком обрезан с точки зрения функционала(кто пользовался тот поймёт) То что я написал я думаю вы и так знаете) P.S сам когда-то пользовался ufw но потом перешёл на iptables и не пожалел ни разу)

Давно хотел сделать port knocking на nftables, без дополнительных утилит или ещё чего). Сегодня решил, чего ждать и запилил за вечер два видео с двумя вариантами, думаю ещё можно чего нибудь напридумывать на чистом nftables. Данной утилитой многие пользуются, моё мнение это не вариант. Да, в случае с iptables так будет проще, ни какой головной боли, но на nftables это решается гораздо проще и надёжнее).

Спасибо!

Алексей, здравствуйте. Скажите пожалуйста, как вы справляетесь с тем, что во время набора русских текстов в nvim приходится переключать раскладку? Или все таки переключаете? Очень бы хотелось писать/редактировать русский текст также удобно как и английский. Спасибо!

мощно ！

Я тебя полюбил. Я не знаю сколько это стоит, но я тебя люблю. Спасибо.

Спасибо за очередное полезное видео! Всегда понятное объяснение. Очень интересует настройка на ufw port knocking

я себе закрыл все порты кроме 80 и 443 на основном сервере, а для SSH завел дешевый VPS в той же локалке как впн и разрешил доступ к 22 порту основной машины только из внутренней сети. 1 - трафик шифрован по впн тоннелю, 2 - только зная айпи моего впн сервера-затычки можно что-то вообще пытаться, т.е. без перехвата моего трафика чтобы узнать айпи сервера-затычки попытки доступа к ssh имеют кпд 0)

Очень классно, не слышал о таком.

Очень информативно, спасибо. Вопрос: а порты, которые ждут нокинг, можно задетектить nmap’ом или чем-то еще?

Алексей, нужно двигаться и меньше кушать. Трансформация в винни-пуха становится очевидной )

Будет видео про Mojo и Modular? Какие перспективы?

здраствйте.добры вечер.скажите пожалуйста как сделать такую консоль как у вас.спасибо

Блестяще! Спасибо за видео. Я совершенно не спец в этой области, но хотел узнать: а нельзя ли в добавок ко всем манипуляциям, что Вы делали, создать на стандартном порте какой-либо "ложный сервер" (в настоящемсервере) - эдакую обманку для злоумышленника. Чтобы он думал, что взлом удался и он будет терять время зря? Заранее спасибо.

Ура, видосик

лайк авансом!)

Подскажите, а в чем смысл создавать юзера для использования вместо root и тут же давать ему доступ к sudo? От чего таким образом мы защищаемся?

Как правильно постучится в порты на windows, через тот же PowerShell? Цикл for там не воспринимается, возможно есть какая-то альтернатива. А, то теперь на сервер не могу попасть 😂

Возможно ли использовать аппаратные ключи, по технологии FIDO?

Александр, спасибо. полезно, интересно, наглядно :))))

А почему Crontab, а не systemd для запуска службы?

Круто

Поправился немного за это время

Can you do a video and recommend us some books? thank's!

Сегодня практически нет необходимости открывать ssh-доступ через интернет. Для конфигурации есть другие способы, с помощью которых можно опять-таки открыть ssh, если очень понадобиться и потом его быстро закрыть.

класс , дико извиняюсь линукс пока не использую на какой сбори линукс такое SSH реализуемо и возможно ли на винде?

Привет. Расскажи как поживает макбук? Уже достаточно долго им пользуешься.

Привет, можешь снять видео про neovim, мысли твои про него, почему ты бы рекомендовал или не рекомендовал его, чем он лучше или хуже за vim или любой другой редактор или ide

добрый день!скажите пожалуйста как называется терминал?

А по смс можно сделать? Как это называется - двухфакторная авторизация?

Добрый день. Спасибо за видео! Чуть дополню здесь в правилах лучше использовать DROP а не Reject. Так как стучащийся не будет получать информацию есть ли за этим портом что-то или нет. В дополнение к защите.

Также вопрос: почему мы на сервере перезапускаем ssh, а не sshd, после изменения конфига sshd?

Здраствуйте. Вы можете показать как правильно настроить, применить правила nftables в дистрибутиве: voidlinux Ранее работали, но теперь видимо что то voidlinux поменяли.

Насчет веб хостеров: у них есть сброс пароля всегда, даже если ты сменил пароль админа у своей VDS. Как это работает? Через доступ к фс обнуляют /etc/passwd?

не ну как бы первый!

Недавно обнаружил, что у роутеров TP link активен ssh и об этом в официальной документации и мануалах ничего не сказано, и как ее выключить тоже не ясно. только на форуме нашел информацию что он активен для приложения Tether от TP-Link.

Ох, зима на моем лице оставила такой же жирный след

Нуждаюсь в вашем совете! Купил микротик лдф6 лте. При настройке и обновлении оборудования. Оператор узнает ли что симка не в смартфоне? Как быть , тариф для смартфона и экономный. Неохото потерять

Ты на MacBook Air M1 поставил macOS Соному ? Говорят намного быстрее разряжается после обновления на эту макос.

Если мы используем port knocking, то пропадает смысл переносить ssh на другой порт?

Ну, тут вопрос о рисках, у меня vds простоял пол года без какой либо защиты, просто ssh по паролю без ключей(ну разве что вход от рута отключен) и… 0 заходов, 350 тысяч попыток авторизации

Недавно мой мой сервак взломали и закинули на него майнер) Заметил я это очень просто. Через 10 минут после запуска сервера, загруженность процессора у него подлетала до 100%. Это был мой первый пет проект ( тг бот), и мне кажется проникли на него через докер контейнер редиса с неправильной конфигурацией. Хотелось бы узнать, как правильно (безопасно) поднимать на серваке докер контейнеры, чтобы подобное не случалось)

Можно узнать, какой смысл создавать пользователя и выключать авторизацию на сервере для root, ведь если хакер получит доступ к юзеру, он же из под него так же сможет спокойно запускать команды с sudo, разве нет?

а почему reject? drop нужно использовать ! погуглите разницу

лучше будет этот порт для ssh сервера сделать env переменной

Странная ситуация. на одной vps все заработало, как в видео. а на другой парольный доступ для нового пользователя все равно продолжает работать. и если у первой vps при попытке подключиться по руту он просто пишет, что такой возможности нет. то вторая просит пароль, но при этом не пускает по верному паролю. всю голову сломал, не знаю, где еще отключить парольный доступ.