Одна из частых задач системного администратора — поднять локальный DNS-сервер для офиса, дома или тестовой среды. Конечно же всё это делать лениво и хочется легкий и быстрый способ это сделать. Их есть у меня! Обратите внимание на dnsmasq. Это компактная и мощная утилита, которая умеет делать следующее.

Резолвить домены локально (например, dev.local);
Кэшировать DNS-запросы;
Делать форвардинг к другим DNS-серверам;
Работать как DHCP-сервер (опционально).

Установка dnsmasq

Тут всё просто, сервер ставится как и любое другое приложение:

sudo apt install dnsmasq

Одна команда и всё. Ждём когда установка завершится, после чего приступаем к настройке.

Базовая конфигурация

Конфигурационный файл по умолчанию находится здесь: /etc/dnsmasq.conf. Вот пример минимальной конфигурации сервера:

# Основной DNS, к которому будут проксироваться внешние запросы

server=8.8.8.8

# Зона для кастомных записей

domain-needed
bogus-priv
no-resolv

# Свое доменное имя
domain=local

# Файл с кастомными DNS-записями
addn-hosts=/etc/dnsmasq.hosts

Ещё создаем файл кастомных записей:

sudo nano /etc/dnsmasq.hosts

Вот пример содержимого такого файла:

192.168.1.100 web.local
192.168.1.101 db.local

Запуск и автозапуск

Так. Сервер установили, сконфигурировали. Теперь перезапускаем:

sudo systemctl restart dnsmasq

Обязательно убедитесь, что он включен при старте:

sudo systemctl enable dnsmasq

Проверка работы сервера

Убедитесь, что DNS отвечает:

dig @127.0.0.1 web.local +short

Ответ в нашем примере должен быть таким: 192.168.1.100

Чтобы система использовала ваш dnsmasq:

sudo nano /etc/resolv.conf

И указать:

nameserver 127.0.0.1

NetworkManager может перезаписывать этот файл. В таком случае — настройте его отдельно через /etc/NetworkManager/conf.d/.

Представьте ситуацию: у вас сервер с двумя или четырьмя сетевыми картами. Каждая из них по отдельности не справляется с потоком данных — либо не хватает скорости, либо риски простоев слишком велики. Вот здесь и приходит на помощь агрегация каналов (LAG) с помощью протокола LACP (Link Aggregation Control Protocol).

Протокол стандартизирован в IEEE 802.3ad и позволяет объединять несколько физических соединений в единый виртуальный интерфейс. Для приложений и ОС он выглядит как одна сетевая карта, а «под капотом» работает несколько портов одновременно.

Зачем использовать LACP

• Увеличение пропускной способности. Несколько интерфейсов складывают свою скорость.

• Отказоустойчивость. Один порт «упал»? Остальные продолжают работу.

• Балансировка нагрузки. Трафик распределяется между линиями, снижая вероятность перегрузок.

Как это работает

1. Устройства на обеих сторонах (сервер и коммутатор) договариваются, какие порты войдут в группу.

2. LACP следит за состоянием соединений: выпал кабель — порт исключается из группы.

3. Для пользователя всё выглядит так, будто работает один интерфейс без перебоев.

Настройка LACP на практике

Теперь — самое интересное: как включить агрегацию на разных платформах.

Linux (пример для systemd-networkd)

В эпоху IPv6 все чаще звучит термин SLAAC — Stateless Address Autoconfiguration. Это удобный способ автоматической настройки IP-адресов, при котором устройства получают их без участия DHCP-сервера. Но стоит ли полагаться на автоматизацию без ограничений, особенно в корпоративной сети? Давайте разберёмся.

SLAAC: Автонастройка по-новому

Когда устройство подключается к IPv6-сети, оно выполняет несколько шагов:

• Получает префикс сети из Router Advertisement (RA) — специальных объявлений от ближайшего маршрутизатора.
• Формирует собственный глобальный IPv6-адрес, комбинируя этот префикс с уникальным идентификатором (например, MAC-адресом).
• Проверяет уникальность полученного адреса с помощью DAD (Duplicate Address Detection).

После этого устройство готово к работе в сети — без DHCP, без ручной настройки.

Чем SLAAC может быть опасен?

Хотя SLAAC и кажется идеальным решением, в некоторых сценариях он может принести больше проблем, чем пользы:

Потенциальный обход политики доступа

Устройства смогут выходить в интернет даже при отключенном DHCP — достаточно получить RA от маршрутизатора. Это усложняет контроль.

Ограниченные возможности управления

В отличие от DHCPv6, SLAAC не предоставляет расширенных настроек: нельзя централизованно задать DNS, lease time и другие параметры.

Уязвимость для атак

SLAAC подвержен угрозам, таким как RA spoofing — злоумышленник может раздавать поддельные RA-пакеты и перенаправлять трафик на себя.

Как контролировать SLAAC: Практические советы

Если вы администрируете корпоративную или чувствительную к безопасности сеть, стоит рассмотреть следующие меры:

1. Ограничьте работу SLAAC на маршрутизаторе

Вы можете:

• Полностью отключить RA-сообщения.
• Установить флаг Managed в RA, чтобы устройства использовали только DHCPv6 для получения адреса.

Применимо на устройствах Cisco, Mikrotik, Linux и др.

2. Используйте RA Guard на коммутаторах

RA Guard позволяет блокировать нежелательные RA-пакеты от клиентов. Это защищает сеть от подмены маршрутизаторов и атаки типа «человек посередине».

3. Перейдите на DHCPv6 для полной управляемости

С DHCPv6 вы получаете:

• Централизованную выдачу IP-адресов
• Гибкое управление настройками
• Журналы событий и аудит

4. Мониторьте активность NDP

Используйте инструменты, такие как:

• ndpmon
• scapy
• Wireshark

Они помогут выявить устройства, работающие по SLAAC, и анализировать поведение в сети.

Вывод

SLAAC — удобный, но «свободолюбивый» механизм, который не всегда подходит для сетей с жесткими требованиями к безопасности и управляемости. Чтобы сохранить контроль, стоит ограничивать его использование и внедрять защитные меры — особенно в корпоративной среде.

Если вы хоть немного работали с Linux, возможно, сталкивались с загадочной аббревиатурой SELinux. А может, даже пробовали его отключить, когда что-то «вдруг не работает». Давайте разберёмся, что это за механизм, почему его не стоит игнорировать — и как он помогает сделать систему намного безопаснее.

SELinux — это не просто защита, а усиленная безопасность

Security-Enhanced Linux (SELinux) — это система контроля доступа, встроенная прямо в ядро Linux. Её изначально разработали в NSA (Агентство национальной безопасности США) совместно с Red Hat, и главная её задача — добавить дополнительный уровень защиты поверх стандартных прав доступа.

То есть даже если у процесса есть root-доступ, SELinux всё равно может его остановить. Да, настолько серьёзно.

DAC vs MAC: в чём разница?

Обычная модель прав в Linux называется DAC (Discretionary Access Control) — это когда пользователь или админ сам решает, кто и что может делать с файлами.

А вот SELinux использует MAC (Mandatory Access Control) — модель, в которой права задаются централизованной политикой безопасности. И эта политика обязательна для всех — даже для root. Это позволяет гораздо точнее управлять поведением приложений и процессов в системе.

Контексты безопасности — ключ к пониманию SELinux

Каждому процессу и файлу SELinux присваивает контекст безопасности. Он включает:

тип объекта, например: httpd_sys_content_t — контент для веб-сервера;

роль и домен процесса, например: httpd_t — сам веб-сервер.

Когда процесс пытается обратиться к файлу, SELinux проверяет: разрешает ли политика такие действия с учётом их контекстов. Если нет — доступ блокируется. И неважно, что пользователь root.

Почему SELinux так важен?

Представьте, что злоумышленник получил доступ к системе. В обычной Linux-модели он может делать почти всё, если взломал пользователя с нужными правами. А SELinux не даст этому «всё» произойти, потому что процессы не смогут выйти за пределы строго определённых правил.

Это особенно критично на серверах с публичным доступом — веб-серверы, почтовики, базы данных. Там SELinux помогает изолировать процессы, минимизировать последствия уязвимостей и сдерживать вредоносные действия.

Главная отрицательная черта системы — несколько «кривая» обучения, мешающая «работать как привыкли», если не иметь понимать, как SELinux устроен. Ошибки конфигурации могут блокировать нужные процессы, а диагностика требует навыков чтения журналов (/var/log/audit/audit.log).

Режимы работы SELinux:

Enforcing — политика активна, запрещенные действия блокируются
Permissive — действия не блокируются, но журналируются:
Disabled — SELinux отключен

Проверить режим можно так:

Или через:

Вывод:

SELinux — мощный инструмент для усиления защиты Linux-систем. Он может показаться сложным и даже мешающим на первых порах, но на деле — это один из самых эффективных способов ограничить потенциальный ущерб от уязвимостей и ошибок конфигурации.

Если вы работаете с сервером — не спешите его отключать. Лучше понять, как он работает. А в следующих постах я расскажу, как настраивать SELinux-политики и разбирать ошибки доступа

Ситуации бывают разные. Например, Вам экстренно понадобилось запустить DHCP- сервер на Linux. Не спрашивайте почему вдруг возникла такая странная необходимость. Ну вот так сложились обстоятельства. Что делать? Сейчас всё покажу!

Я буду рассматривать установку DHCP-сервера на примере Ubuntu или Debian, так как они наиболее распространены. Выполните вот такую команду:

2. Вся необходимая настройка  выполняется в файле dhcpd.conf. Это основной файл конфигурации DHCP-сервера, в котором нужно указать настройки: подсети, диапазоны IP-адресов, шлюзы, DNS-серверы и т. д.

3. В файле dhcpd.conf определите подсети и диапазоны IP-адресов, доступные для выдачи.
Например, для подсети 192.168.1.0/24 и диапазона IP-адресов от 192.168.1.10 до 192.168.1.100, добавляем вот такие строки в файл dhcpd.conf:

4. В файле dhcpd.conf можно так же указать и другие настройки. Например, шлюзы (routers), DNS-серверы (domain-name-servers) и другие параметры.

5. Перед запуском DHCP-сервера убедитесь, что настройки в файле dhcpd.conf указаны правильно.
Чтобы проверить конфигурационный файл — выполните команду:

6. Если проверка не выявила ошибок — запустите DHCP-сервер. В Ubuntu/Debian это делается так: