В некоторых случаях требуется установить срок действия учетной записи пользователя в ОС Linux для того, чтобы она автоматически отключалась после определенного времени действия. Это крайне необходимо для временных учетных записей или обеспечения безопасности. Сейчас я подробно расскажу как можно установить срок действия учетной записи с помощью командной консоли Линукс.

Команды useradd, usermod и chage в консоли Linux позволяют гибко настраивать учетные записи , обеспечивая необходимый уровень контроля и защиты.

Использование useradd и usermod

При создании нового пользователя командой useradd, Вы  можете сразу установить срок действия учетной записи.

1️⃣ Создание пользователя с ограниченным сроком действия:

sudo useradd -e <YYYY-MM-DD> <имя_пользователя>

Например:

sudo useradd -e 2025-02-01 tempuser

2️⃣ Когда учётка уже создана, изменить срок действия пользователя можно командой usermod:

sudo usermod -e <YYYY-MM-DD> <имя_пользователя>

Использование команды chage

Команда chage позволяет управлять сроком действия пароля и учетной записи пользователя.

1️⃣ Просмотр текущих настроек учетной записи:
Чтобы узнать текущие параметры учетной записи, используйте следующую команду:

chage -l <имя_пользователя>

Эта команда выведет информацию о дате последнего изменения пароля, сроке действия и других параметрах.

2️⃣ Установка срока действия учетной записи:
Чтобы установить дату, после которой учетная запись будет отключена, используйте команду:

sudo chage -E <YYYY-MM-DD> <имя_пользователя>

Например, чтобы отключить учетную запись пользователя testuser 1 февраля 2025 года, выполните:

sudo chage -E 2025-02-01 testuser

3️⃣ Удаление срока действия учетной записи:
Если необходимо снять ограничение по сроку действия учетной записи, используйте:

sudo chage -E -1 <имя_пользователя>

Это отключит автоматическое отключение учетной записи.

Любой, кто часто работает в терминале любой операционной системы семейства Linux или на MacOS, знает, что частенько вызываемые команды, а чаще результаты их выполнения, могут полностью “засорить” весь экран и дальнейшая работа в консоли ОС становится полностью некомфортной. Я хочу показать шесть наиболее популярных и удобных способов быстрой очистки терминала в Linux.

1. Наиболее простой, быстрый и известный многим способ очистки терминала — это одна из следующих комбинаций клавиш ctrl+L или  Ctrl+Shift+K (control+L для MacOS).

2. Те, кто не любит комбинации (или не умеет ими пользоваться ;)) могут юзать не менее популярный метод очистки консоли — команду clear.

3. Третий по популярности у линуксоидов способ очистки терминала — это использование команды reset.

4. А теперь пошли менее известные и реже используемые команды. Начнём с вот такой команды:

printf "\033c"

Понятно, что набивать её каждый раз не очень удобно, потому лучше сделать алиас. Вот так:

alias cls='printf "\033c"'

Теперь пользоваться ей будет быстро и удобно — просто набери «cls» и терминал будет очищен.

5. В дистрибутивах с графической оболочкой KDE есть вот такая команда:

clear && echo -en "\e[3J"

Опять же, делаем под неё алиас:

alias cls='clear && echo -en "\e[3J"'

6. В дистрибутивах с графической оболочкой GNOME есть возможность самостоятельно назначить комбинацию клавиш. В том числе и отвечающую за очистку терминала. Например можно сделать такую комбинацию: Shift + ctrl + alt + c

По умолчанию весь DNS-трафик операционная система передаёт серверу через сеть в открытом виде. То есть, фактически любой,  у кого есть возможность как-то Ваш трафик перехватить, сможет увидеть какие сайты вы посещаете. Чтобы решить эту проблему в ОС Windows, компания Microsoft внедрила поддержку протокола DNS over HTTPS (сокращённо DoH) в Windows 11 и Windows Server 2022. И сейчас я хочу показать как этим пользоваться.

В этой инструкции я покажу как настроить DNS-over-HTTPS через интерфейс операционной системы и с помощью командной оболочки PowerShell. Использовать мы будем сервер Яндекс.DNS 77.88.8.8.

Настройка DNS over HTTPS в Windows 11

Самый простой способ включить шифрование DNS-запросов, с которым справится каждый, предоставляет нам интерфейс операционной системы.

Вам надо открыть параметры системы и открыть настройки сетевого интерфейса.
Ethernet-подключение:

Параметры => Сеть и Интернет => Ethernet => Назначение DNS-сервера => Изменить => Вручную

Беспроводная сеть Wi-Fi:

Параметры => Сеть и Интернет => Wi-Fi => Свойства => Назначение DNS-сервера => Изменить => Вручную

В моём примере я буду включать DoH на Wi-Fi подключении.

После нажатия на кнопку «Изменить» появится окно «Изменение параметров DNS для сети». Здесь обычно стоит значение «Автоматически (DHCP)», а мы меняем его на «Вручную» и включаем протокол IPv4. Если Вы активно используете уже IPv6, то включайте и настаивайте его.

Далее находим параметр «DNS по протоколу HTTPS», и включаем его. Тут есть два варианта. Первый — «Включено (автоматический шаблон)». Он используется для официально поддерживаемых DNS-серверов: Google, Cloudflare и Quad9. Как посмотреть весь этот список я покажу ниже. Мы же с Вами будем использовать второй вариант — «Включено (ручной шаблон)» и пропишем DNS-сервер от Яндекса: 77.88.8.8. Его шаблон протоколу HTTPS такой: https://common.dot.dns.yandex.net/dns-query. Нажимаем кнопку «Сохранить» для применения настроек.

Как включить шифрование DNS запросов через PowelShell

Шаг 1. Выбор DNS-сервера

В Windows уже есть встроенный список публичных DNS-серверов с поддержкой DoH, например:

Quad9 - 9.9.9.9
Google — 8.8.8.8
Cloudflare — 1.1.1.1
и т.д.

Вывести этот список в командной оболочке PowerShell Вам поможет команда Get-DNSClientDohServerAddress.

Вы можете использовать любой DNS из предложенного системой списка или добавить в него DNS-сервер от Яндекса — 77.88.8.8. Кроме его IP адреса, нам нужно указать и его URL-адрес — «https://common.dot.dns.yandex.net/dns-query«. Добавляем сервер в список

$DNSServer="77.88.8.8"
Add-DnsClientDohServerAddress -ServerAddress $DNSServer -DohTemplate "https://dns.yandex.ru/dns-query" -AllowFallbackToUdp $False -AutoUpgrade $True

Шаг 2. Включение DNS over HTTPS на сетевом интерфейсе

Задаём IP Яндекс.DNS как предпочтительный для адаптера Ethernet0:

Set-DnsClientServerAddress Ethernet0 -ServerAddresses ($DNSServer)

Если у Вас имя адаптера отличается от указанного в примере, то в командах надо будет внести соответствующие исправления.

Включаем  DoH для интерфейса Ethernet0:

$i = Get-NetAdapter -Physical -Name Ethernet0
$s1 = "HKLM:System\CurrentControlSet\Services\Dnscache\InterfaceSpecificParameters\" + $i.InterfaceGuid + "\DohInterfaceSettings\Doh\$DNSServer"
New-Item -Path $s1 -Force | New-ItemProperty -Name "DohFlags" -Value 1 -PropertyType QWORD
Clear-DnsClientCache

Теперь можно проверять шифруются ли наши DNS-запросы или нет.

Как проверить работает DNS-over-HTTPS или нет

Проверить работу DNS-over-HTTPS можно несколькими способами. Первый — это разнообразные сервисы в Интернете. Например, DNS leak best. Заходим на сайт, нажимаем кнопку «Extended test» и ждём пока пройдёт тестирование.

В результатах Вы должны будете увидеть указанные DNS в столбце ISP. В моём примере всё верно. Если бы DoH не работала, то вместо Яндекса там «светились» бы серверы провайдера.

Второй способ проверить работу DoH — это использование встроенного в Windows анализатора сетевого трафика Packetmon. Нам нужны всего три команды:

1. Сброс всех фильтров пакетов сетевого трафика:

pktmon filter remove

2. Добавление своего фильтра:

pktmon filter add -p 53

Packetmon будет ловить все пакеты на 53-ем TCP порту

3. Запуск анализа трафика:

pktmon start --etw -m real-time

Теперь надо в браузере открыть несколько разных сайтов, а потом посмотреть в вывод Packetmon’а:

А здесь, как мы видим, ничего нет. Запросы через обычный DNS не бегают.  Чего мы и добивались! Теперь все DNS-запросы ходят только через зашифрованное HTTPS-соединение и отследить их практически невозможно!

В этой статье мы поговорим о команде history, которая позволяет просматривать список ранее выполненных команд, искать по списку и манипулировать файлом истории. Запустить её на выполнение — половина дела. Если Вы — системный администратор, то эти несколько настроек точно пригодятся для управления историей команд в Bash и значительно повысят удобство и эффективность. Погнали!

Записываем введённые команды сразу в файл:

PROMPT_COMMAND='history -a'

Добавляем метку времени к каждой команде. Используем формат: ГГГГ-ММ-ДД ЧЧ:ММ:СС:

export HISTTIMEFORMAT='%F %T '

По умолчанию в Bash хранится всего 500 последних команд.  Давайте увеличим этот лимит до 10 000:

export HISTSIZE=10000

Исключим, при необходимости, простейшие команды вроде ls или pwd. Вот так:

export HISTIGNORE="ls:pwd:history:w:htop:top"

Наверное каждый пользователь Linux знает, что если перед вводом команды поставить пробел — она не попадёт в историю:

export HISTCONTROL=ignorespace

После того, как Вы внесли настройки в ~/.bashrc — примените их:

source ~/.bashrc

Во время поиска в истории Вы можете использовать фильтрацию через «grep» или Ctrl+r:

history | grep 'apt install'

Регулярная смена пароля учётной записи через определённые промежуток времени — это стандартная практика по соблюдению информационной безопасности в компаниях. Некоторые нерадивые системные администраторы эти пренебрегают, включая так называемый  «бессрочный пароль». Это в корне неправильно. В крайнем случае, если пользователи очень сильно просят, можно  продлить срок действия пароля в Active Directory. И сейчас я покажу как это сделать!

Как правило, для продления пароля, обновляют дату смены пароля с помощью команды PowerShell за два простых шага. Вот так:

1. Установить значение pwdLastSet на 0:

Эта команда устанавливает атрибут pwdLastSet в значение 0. Для системы это значит, что пользователь должен немедленно сменить пароль.

2. Установить значение pwdLastSet обратно на -1:

Эта команда обновляет атрибут pwdLastSet на текущее время, продлевая таким образом срок действия пароля.

Profit! Для системы эти простые действия выглядит так, как будто пользователь только что изменил пароль и срок его использования будет отсчитываться с момента выполнения этих команд! Быстро и просто!