Ситуации бывают разные. Например, Вам экстренно понадобилось запустить DHCP- сервер на Linux. Не спрашивайте почему вдруг возникла такая странная необходимость. Ну вот так сложились обстоятельства. Что делать? Сейчас всё покажу!
Я буду рассматривать установку DHCP-сервера на примере Ubuntu или Debian, так как они наиболее распространены. Выполните вот такую команду:
2. Вся необходимая настройка выполняется в файле dhcpd.conf. Это основной файл конфигурации DHCP-сервера, в котором нужно указать настройки: подсети, диапазоны IP-адресов, шлюзы, DNS-серверы и т. д.
3. В файле dhcpd.conf определите подсети и диапазоны IP-адресов, доступные для выдачи.
Например, для подсети 192.168.1.0/24 и диапазона IP-адресов от 192.168.1.10 до 192.168.1.100, добавляем вот такие строки в файл dhcpd.conf:
range 192.168.1.10 192.168.1.100;
}
4. В файле dhcpd.conf можно так же указать и другие настройки. Например, шлюзы (routers), DNS-серверы (domain-name-servers) и другие параметры.
5. Перед запуском DHCP-сервера убедитесь, что настройки в файле dhcpd.conf указаны правильно.
Чтобы проверить конфигурационный файл — выполните команду:
6. Если проверка не выявила ошибок — запустите DHCP-сервер. В Ubuntu/Debian это делается так:
Сегодня я хочу рассказать про очень полезную консольную утилиту для сбора информации о железе в Linux — dmidecode. Чем же она хороша? Среди прочих подобных типа lshw, hwinfo или inxi, она выделяется тем, что не опрашивает оборудование напрямую, а читает таблицу DMI/SMBIOS, где уже содержится вся необходимая информация. Оттого и работает dmidecode практически мгновенно и без лишней нагрузки на систему.
Ещё один несомненный плюс — утилита частенько уже предустановлена во многих дистрибутивах Линукс, а потому устанавливать её вручную почти никогда не требуется.
Как пользоваться dmidecode
Команда максимально простая. Вы можете указать тип устройства (по номеру или имени). Например, давайте выведем информацию о процессоре:
dmidecode -t 4
Либо так:
dmidecode -t processor
Вот другие, часто используемые ключи:
Тип оборудования Ключ -t
1 или system — Система
2 или baseboard — Материнская плата
3 или chassis — Корпус
4 или processor — Процессор
7 или cache — Кэш
8–9 и выше — Порты, слоты и т.д.
17 или memory — Память
Запрашиваем конкретные параметры. Если нужно получить только конкретные поля — например, модель или частоту процессора:
dmidecode -s processor-version dmidecode -s processor-frequency
Чтобы увидеть все доступные ключи:
dmidecode -s
Полезно: Ключ -q (quiet) скрывает лишнюю техническую информацию вроде Handle и мета-описаний:
dmidecode -q -t processor
Сегодня я хочу рассказать как установить веб-сервер Angie на хост под управлением разных версий Linux, в том числе и Ubuntu. Последнее время Энжи всё активнее и активнее используется веб-мастерами и, думаю, эта тенденция будет расти в сторону увеличения.
Веб-сервер Angie появился в 2022 году после ухода из России компании F5, главного разработчика Nginx. Была создана компания ООО «Веб-сервер», которая приступила к разработке форка Nginx. В итоге, в октябре 2022 года появился Angie OSS (Open Source), а немного позже — коммерческая версия Angie PRO. С первого релиза Angie принёс большое количество новых возможностей, часть из которых повторяли фичи Nginx Plus, но уже в открытом продукте.
В случае, если ранее Вы активно использовали Nginx Plus и желаете переехать на Angie, то стоит рассмотреть Angie PRO, где реализовано большинство фич коммерческого Nginx Plus. Основные отличия платной и бесплатной версий находятся в области балансировки и проксирования.
Как установить Angie на Ubuntu
Обновим систему и установим зависимости:
sudo apt update sudo apt install -y ca-certificates curl
Добавим ключ и репозиторий Angie:
sudo curl -o /etc/apt/trusted.gpg.d/angie-signing.gpg https://angie.software/keys/angie-signing.gpg echo "deb https://download.angie.software/angie/$(. /etc/os-release && echo "$ID/$VERSION_ID $VERSION_CODENAME") main" | sudo tee /etc/apt/sources.list.d/angie.list > /dev/null sudo apt update
Ставим сам веб-сервер:
sudo apt install -y angie
А заодно модули, если нужно сжатие и ускорение:
sudo apt install -y angie-module-zstd angie-module-brotli
Установка на AlmaLinux, CentOS, RHEL (через YUM)
Создаём репо-файл:
sudo nano /etc/yum.repos.d/angie.repo
Вставляем:
[angie] name=Angie repo baseurl=https://download.angie.software/angie/almalinux/$releasever/ gpgcheck=1 enabled=1 gpgkey=https://angie.software/keys/angie-signing.gpg.asc
Теперь установка:
sudo yum install -y angie angie-module-zstd angie-module-brotli sudo systemctl start angie sudo systemctl enable angie
Установка Angie PRO
если хотим прямо максимум:
У вас лицензия? Тогда нужно в приватное репо. Команда установки:
sudo apt install -y angie-pro angie-pro-module-zstd angie-pro-module-brotli
Проверить можно так:
angie -V
Или:
ps afx | grep angieThe post Установка веб-сервера Angie на разные версии Linux first appeared on Как настроить?.]]>
Защита SSH (Secure Shell) от взлома — это критически важная задача, особенно если сервер доступен из интернета или используется в локальной сети с потенциальными уязвимостями. SSH предоставляет удалённый доступ к серверу, и если злоумышленник получит доступ к вашему SSH, он сможет полностью контролировать систему, что может привести к серьёзным последствиям. Давайте разберём, почему это так важно и какие риски возникают при отсутствии защиты.
Почему SSH нужно защищать?
SSH — это «входная дверь» в ваш сервер
SSH часто используется для управления серверами, особенно в Linux/Unix-системах. Если злоумышленник взломает SSH, он получит полный доступ к серверу, включая возможность:
-
- Устанавливать вредоносное ПО (например, майнеры криптовалюты или ransomware).
- Удалять или изменять важные данные.
- Использовать сервер как плацдарм для атак на другие системы (например, в рамках ботнета).
- Получить доступ к конфиденциальной информации (пароли, ключи, данные пользователей).
Популярность атак на SSH
SSH-серверы — одна из самых частых целей для автоматизированных атак. Боты постоянно сканируют интернет в поисках открытых портов SSH (по умолчанию это порт 22) и пытаются подобрать пароли методом перебора (brute-force). Например:
-
- По данным исследований, таких как отчёт F5 Labs за 2023 год, SSH-серверы подвергаются миллионам атак ежедневно.
- Если у вас слабый пароль (например, «admin123»), его могут подобрать за считанные минуты с помощью инструментов вроде Hydra или Medusa.
Риск утечки данных
Если злоумышленник получит доступ через SSH, он сможет скачать все данные, хранящиеся на сервере. Это особенно опасно, если сервер содержит:
-
- Персональные данные пользователей (например, в соответствии с GDPR или другими законами о защите данных).
- Коммерческую информацию (контракты, финансовые данные).
- Ключи доступа к другим системам (например, API-ключи, приватные ключи для других серверов).
Компрометация всей сети
Если сервер находится в локальной сети, взлом SSH может стать точкой входа для атаки на другие устройства в сети. Злоумышленник может:
-
- Использовать сервер для сканирования сети.
- Распространять вредоносное ПО на другие машины.
- Перехватывать трафик (например, через ARP-спуфинг).
Репутационные и финансовые потери
Если ваш сервер взломают, это может привести к:
-
- Утечке данных клиентов, что подорвёт доверие к вашей компании.
- Штрафам за нарушение законов о защите данных (например, GDPR может наложить штраф до 20 млн евро или 4% годового оборота).
- Простоям в работе, что приведёт к финансовым убыткам.
Основные угрозы для SSH
- Brute-force атаки
Злоумышленники используют автоматизированные инструменты для подбора паролей. Если у вас слабый пароль или стандартные учётные данные (например, «root» с паролем «password»), сервер будет взломан очень быстро. - Утечка ключей
Если вы используете SSH-ключи для аутентификации, но приватный ключ попал в руки злоумышленника (например, из-за компрометации вашего компьютера), он сможет подключиться к серверу без пароля. - Уязвимости в SSH
Старые версии SSH (например, устаревшие реализации OpenSSH) могут содержать уязвимости, которые злоумышленники могут эксплуатировать. Например, в 2019 году была обнаружена уязвимость CVE-2019-6111, позволяющая перезаписывать файлы через SCP. - Перехват трафика (man-in-the-middle)
Если SSH настроен неправильно (например, отключена проверка ключей хоста), злоумышленник может подменить сервер, и вы подключитесь к фальшивому серверу, передав свои учётные данные. - Социальная инженерия
Злоумышленники могут обманом заставить администратора раскрыть пароль или ключ, например, через фишинговые атаки.
Как защитить SSH
1️⃣ Отключаем root-доступ. Вход под пользователем root — это частая цель атак. Запретите его в /etc/ssh/sshd_config:
PermitRootLogin no
2️⃣ Меняем стандартный порт.
Port 10022
3️⃣ Используем SSH-ключи вместо паролей! Аутентификация по ключам гораздо безопаснее, чем по паролю. Отключите вход по паролю в /etc/ssh/sshd_config:
PasswordAuthentication no PubkeyAuthentication yes
После этого сгенерируйте пару ключей:
ssh-keygen -t rsa -b 4096
И скопируйте публичный ключ на сервер:
ssh-copy-id user@server
Всё, теперь можно «заряжать» ключ в ssh-клиент и пользоваться!
4️⃣ Ограничиваем доступ по IP. Тут можно просто ограничить вход только с доверенных IP через AllowUsers или AllowGroups:
AllowUsers [email protected]
А можно настроить соответствующее правило в фаерволе. Вот пример для ufw:
sudo ufw allow from 192.168.1.0/24 to any port 10022 sudo ufw deny 10022
5️⃣ Включаем защиту от brute-force атак. В этом нам поможет утилита fail2ban, которая блокируют IP-адреса после нескольких неудачных попыток входа. Установка fail2ban:
apt install fail2ban # Debian/Ubuntu yum install fail2ban # CentOS/RHEL
Прописываем настройки в файле: /etc/fail2ban/jail.local:
[sshd] enabled = true maxretry = 3 findtime = 10m bantime = 1h
6️⃣ Отключаем X11 Forwarding и пустые пароли
X11Forwarding no PermitEmptyPasswords no
После сохранения изменений в файле sshd_config, не забывайте перезапускать службу sshd, чтобы изменения вступили в силу.
$: sudo systemctl restart sshd
P.S.:
Защита SSH — это не просто рекомендация, а необходимость, особенно для серверов, доступных из интернета. Взлом SSH может привести к катастрофическим последствиям: от утечки данных до полной компрометации инфраструктуры. Внедрение базовых мер безопасности, таких как смена порта, использование ключей, настройка файрвола и мониторинг, значительно снижает риски. Однако важно помнить, что безопасность — это непрерывный процесс, и нужно регулярно обновлять настройки и следить за новыми угрозами.
The post Базовая защита SSH — обязательный минимум конфигурации first appeared on Как настроить?.]]>
Firewalld — это отличная альтернатива iptables. Её используют сейчас в большинстве дистрибутивов Linux: RHEL, CentOS, Fedora. Firewalld предоставляет простой, удобный и значительно более гибкий способ управления правилами файрволла, нежели привычный многим iptables, который уже значительно устарел. Да, для простейших случаев настройка iptables — дело вроде бы несложное. Но вот если брать более сложные сети и большое количеством правил, то тут уже может серьёзно поплохеть. Иногда, чтобы изучить все настройки и понять, как это работает, нужно потратить значительно количество время. Давайте посмотрим в чем firewalld отличается iptables и как его настроить.
Плюсы firewalld
- Динамическая настройка — изменения применяются без перезапуска служб и потери соединений.
- Зональная модель безопасности — можно настроить разные уровни защиты для интерфейсов.
- Поддержка rich rules и сервисов — удобнее управлять сложными правилами.
- Интеграция с D-Bus — позволяет управлять файрволлом программным образом.
Минусы firewalld
- Меньший контроль — iptables даёт более низкоуровневый доступ к правилам.
- Сложнее отладки — из-за зональной модели иногда сложно понять, какие правила срабатывают.
- Привычка к iptables — многим администраторам привычнее классическая iptables.
Примеры настройки firewalld
1⃣ Открываем порт. Открываем порт 80 для HTTP:
sudo firewall-cmd --permanent --add-port=80/tcp sudo firewall-cmd --reload
2⃣ Закрываем порт. Закрываем порт 22 (SSH):
sudo firewall-cmd --permanent --remove-port=22/tcp sudo firewall-cmd --reload
3⃣ Добавляем сервис. Firewalld поддерживает предопределённые сервисы. Например, открываем SSH:
sudo firewall-cmd --permanent --add-service=ssh sudo firewall-cmd --reload
Посмотреть список доступных сервисов можно так:
firewall-cmd --get-services
4⃣ Используем зоны безопасности. Firewalld использует зоны для управления трафиком. Например, перемещаем интерфейс eth0 в зону «public»:
sudo firewall-cmd --permanent --zone=public --change-interface=eth0 sudo firewall-cmd --reload
Посмотреть текущую зону интерфейса:
firewall-cmd —get-active-zones
5⃣ Создаём кастомное правило. Блокируем весь трафик с IP 192.168.1.100:
sudo firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="192.168.1.100" drop' sudo firewall-cmd --reload
6⃣ Временные правила. Можно временно открыть порт (например, на 5 минут):
sudo firewall-cmd --add-port=8080/tcp --timeout=300
После истечения времени правило удалится автоматически.
Конвертация iptables в firewalld. Если у вас уже настроен iptables, можно конвертировать его правила в формат firewalld:
iptables-save > rules.v4 iptables-restore < rules.v4
Затем вручную перенести правила в firewalld, используя firewall-cmd.
The post Используем firewalld вместо iptables — реальный пример настройки first appeared on Как настроить?.]]>