Основы команды SCP в Linux – безопасное копирование файлов

SCP (Secure Copy) — это команда для безопасного копирования файлов между системами Linux или Unix через зашифрованное соединение SSH. Благодаря этому данные остаются защищёнными даже при попытках перехвата.

Примеры использования SCP
1️⃣Копирование файлов с локального на удалённый сервер
Чтобы скопировать файл test.txt в каталог /location2 на удалённом сервере:

scp test.txt username@destination:/location2

2️⃣ Копирование всех файлов определённого типа
Для передачи всех файлов .txt из домашнего каталога в удалённую систему:

scp ~/files/*.txt username@destination:/location/

3️⃣ Переименование файлов во время копирования
Чтобы скопировать файл test.txt и сохранить его на удалённой системе под новым именем:

scp test.txt username@destination:/location/renamed_file.txt

4️⃣ Использование нестандартного порта
Если сервер SSH настроен на порт 1234:

scp -P 1234 test.txt username@destination:/location2/

Советы по использованию SCP
⏺Будьте осторожны с перезаписью файлов: SCP автоматически перезаписывает файлы с одинаковым именем в каталоге назначения.
⏺Контроль разрешений: Убедитесь, что у вас есть права на чтение/запись в исходной и целевой системах.

Для стабильной передачи больших файлов используйте SCP в сочетании с терминальным мультиплексором, например, tmux, чтобы избежать потери прогресса при разрыве соединения.

💬 Вопрос на собеседовании для DevOps-инженера

Давайте разберем один из частых вопросов, который может быть задан на собеседовании и как на него отвечать.

❓Вопрос: Что такое “Canary Deployment” и как оно помогает в процессе развертывания?

✅Ответ: Canary Deployment — это стратегия развертывания, при которой новая версия приложения сначала внедряется на небольшом числе серверов (canary-серверах), чтобы протестировать её на реальных пользователях перед полномасштабным развертыванием.

Принцип работы:
• Сначала новая версия развертывается на ограниченной группе пользователей.
• Мониторинг производительности и ошибок помогает определить, стоит ли расширять развертывание на всю инфраструктуру.

Три полезные команды для работы с SSH в Linux

SSH — не только инструмент для удалённого доступа, но и основа множества полезных команд, которые значительно упрощают работу администратора.

Разберём три менее популярные, но крайне удобные команды для управления через SSH.

1️⃣ssh-copy-id — Быстрая настройка ключей SSH

Чтобы не вводить пароль каждый раз при подключении к удалённому серверу, можно использовать SSH-ключи. Команда ssh-copy-id автоматизирует процесс их передачи.

Пример использования:

ssh-copy-id username@remote_host

После выполнения этой команды ваш публичный SSH-ключ будет добавлен в файл ~/.ssh/authorized_keys на удалённом сервере. Теперь вы можете подключаться без ввода пароля.

Почему полезно:
• Ускоряет настройку серверов.
• Устраняет необходимость в ручной передаче ключей.

2️⃣ sshfs — Монтирование удалённой файловой системы

С помощью sshfs можно монтировать удалённый сервер в локальную файловую систему. Это позволяет работать с файлами так, как будто они находятся на вашем компьютере.

Установка:

sudo apt install sshfs  # Для Debian/Ubuntu  
sudo yum install sshfs  # Для CentOS/RHEL  

Пример монтирования:

sshfs username@remote_host:/remote/directory /local/mountpoint

Чтобы размонтировать файловую систему:

fusermount -u /local/mountpoint

Почему полезно:
• Удобно для работы с файлами на сервере без использования SCP или SFTP.
• Подходит для редактирования конфигураций напрямую.

3️⃣ autossh — Перезапуск соединения при обрывах

При работе с нестабильными соединениями команда autossh автоматически восстанавливает разрывы. Это особенно полезно для туннелирования или долгосрочных подключений.

Установка:

sudo apt install autossh  # Debian/Ubuntu  
sudo yum install autossh  # CentOS/RHEL  

Пример использования:

autossh -M 0 -f -N -L 8080:remote_host:80 username@remote_host

Эта команда создаёт туннель через порт 8080 и поддерживает его активным.

Почему полезно:
• Устраняет необходимость ручного восстановления соединения.
• Надёжно работает даже в условиях плохой сети.

Команда at — Запуск задач по расписанию в Linux

at — это команда для одноразового планирования задач. В отличие от cron, который работает с повторяющимися заданиями, at позволяет запустить задачу в точно указанное время.

Основные примеры использования

1️⃣Запуск задачи через определённое время

Чтобы запланировать выполнение команды через 10 минут:

echo "sudo apt update" | at now + 10 minutes

После этого система обновит список пакетов через 10 минут.

2️⃣Запуск задачи в конкретное время

Например, чтобы запустить скрипт в 18:30:

echo "/path/to/script.sh" | at 18:30

Скрипт выполнится ровно в указанное время.

3️⃣ Просмотр запланированных задач

Чтобы увидеть список всех задач, выполните:

atq

Команда покажет ID задач и время их выполнения.

4️⃣ Удаление запланированной задачи

Для отмены задачи используйте её ID, который показывает atq:

atrm <task_id>

Почему at полезна?
• Удобно для одноразовых задач, например, перезагрузки сервера ночью.
• Не требует настройки сложных расписаний, как в cron.
• Легко управлять через команды atq и atrm.

Пример реального применения

Системный администратор может использовать at для автоматического перезапуска службы после ночных обновлений:

echo "systemctl restart nginx" | at 02:00

Задача выполнится без необходимости присутствия администратора.

💬Вопрос на собеседовании для сисадмина

Давайте разберем один из частых вопросов, который может быть задан на собеседовании и как на него отвечать.

❓Вопрос: Как работает Consistent Hashing, и почему оно важно в распределенных системах?

✅Ответ: Consistent Hashing — это алгоритм, обеспечивающий равномерное распределение данных между узлами в системе, минимизируя перестановку данных при изменении количества узлов.

Принцип работы:
• Хэш-пространство представляется в виде кольца. Узлы и ключи мапируются на это кольцо.
• Ключ передается ближайшему узлу по часовой стрелке.

RAID-технологии в Windows Server

#RAID (Redundant Array of Independent Disks) — это метод объединения нескольких физических дисков в одно логическое хранилище с целью повышения производительности, надежности или их комбинации.

⏺RAID 0

Стрипирование данных, где информация разделяется и записывается на два или более дисков.

Это увеличивает производительность чтения и записи данных, но отсутствует резервное копирование, что делает этот уровень менее надежным в случае отказа одного из дисков.

⏺RAID 1

Зеркалирование данных, при котором каждый диск имеет точную копию другого. 

Это обеспечивает высокий уровень надежности, так как данные остаются доступными, даже если один из дисков откажет. Однако для хранения данных потребуется вдвое больше места.

⏺RAID 5

Полосовое распределение данных с паритетной информацией.

Этот уровень предоставляет баланс между производительностью и надежностью. Если один диск откажет, данные можно восстановить из информации о паритете.

⏺RAID 6

Расширенная версия RAID 5 с двойной паритетностью.

Он обеспечивает защиту данных от отказов до двух дисков, делая хранилище еще надежнее.

⏺RAID 10 (или 1+0)

Это комбинация RAID 1 и RAID 0. Данные стрипируются (как в RAID 0) и зеркалируются (как в RAID 1). 

Это обеспечивает высокую производительность и высокий уровень надежности, но требует минимум четырех дисков.

Создание собственного WIM-образа Windows

WIM (Windows Imaging Format) — это формат файлов, используемый для хранения образов операционных систем Windows.

Он позволяет гибко управлять компонентами и упрощает процесс развертывания.

Основные преимущества WIM-образов:

⏺Универсальные методы развертывания: WIM-файлы можно развернуть с USB-носителя, через сетевой ресурс или с помощью технологий WDS и SCCM.
⏺Редактируемость: Можно подключить образ для добавления или удаления компонентов, драйверов и обновлений.
⏺Обновляемость: Поддержка актуальных обновлений без полного захвата системы.

Структура установочного носителя Windows

На носителе Windows Server 2019 хранятся два ключевых WIM-файла:
• Boot.wim: отвечает за загрузку предустановочной среды.
• Install.wim: содержит образы ОС.

Например, в Install.wim могут быть сохранены сразу несколько редакций Windows Server 2019. Для работы с этими файлами часто требуется добавить драйверы или обновления.

Почему важно обновлять образы?

Актуальные образы ускоряют установку и сокращают сетевую нагрузку. 

Если образ не поддерживается в актуальном состоянии, установка обновлений и драйверов займет дополнительное время после развертывания системы.

🔥Чтобы работать с WIM-файлами, используется утилита DISM — инструмент для обслуживания образов Windows. В следующем посте мы рассмотрим, как с её помощью добавлять драйверы и обновления в WIM-образ.

Релиз Total Commander 11.50: что нового?

Начало 2025 года ознаменовалось выходом Total Commander 11.50 — одной из самых популярных программ для управления файлами.

Новая версия обновила встроенный FTP-клиент с поддержкой FXP, добавила улучшения для анализа дискового пространства, синхронизации файлов и работы с архивами (ZIP, RAR, TAR и другими).

Совместимость:
Total Commander 11.50 поддерживает Windows от версии 3.1 до Windows 11, что делает его универсальным инструментом как для современных, так и для старых систем.

Что нового?

Вот основные изменения и доработки:
⏺Секунды в поле даты: теперь можно отображать точное время изменения файла.
⏺Метки томов: за буквами дисков отображаются их названия для удобной навигации.
⏺Улучшенная корзина: исходное расположение удаленных файлов теперь видно в комментариях.
⏺Миниатюры ссылок: отображение целевых файлов вместо их ярлыков.
⏺Выбор метода контрольной суммы: полезно при работе с файлами, где требуется уточнение метода проверки.
⏺Интеграция с 7zip: сжатие теперь работает через библиотеку 7zip dll, что повышает стабильность.

Обслуживание и редактирование WIM-образов с помощью DISM

DISM (Deployment Image Servicing and Management) — это утилита командной строки для обслуживания образов Windows.

Она позволяет редактировать WIM-файлы, добавлять обновления, драйверы и компоненты, не развертывая ОС.

Основные возможности DISM:
• Просмотр и редактирование компонентов системы.
• Добавление и удаление драйверов.
• Интеграция обновлений.
• Подключение и отключение приложений в формате *.appx.

Шаги по редактированию WIM-образа

1️⃣Определение индекса образа

WIM-файл может содержать несколько образов ОС. Чтобы узнать их индексы, выполните команду:

Dism.exe /get-wiminfo /wimfile:D:\Images\sources\install.wim

В PowerShell:

Get-WindowsImage -ImagePath D:\Images\sources\install.wim

2️⃣ Монтирование образа

Для редактирования образа его нужно смонтировать:

Dism.exe /mount-image /imagefile:D:\Images\sources\install.wim /index:2 /mountdir:C:\mount

PowerShell:

Mount-WindowsImage -ImagePath D:\Images\sources\install.wim -Index 2 -Path C:\mount

Добавление драйверов и обновлений

Интеграция драйверов

Чтобы добавить драйверы из папки D:\Drivers в образ, выполните:

Dism.exe /image:C:\mount /Add-Driver /driver:D:\Drivers /recurse

PowerShell:

Add-WindowsDriver -Path C:\mount -Driver D:\Drivers -Recurse

Добавление обновлений

Скачайте обновления с каталога центра обновления Windows. Затем выполните команду:

Dism.exe /image:C:\mount /Add-Package /PackagePath:D:\Updates\update.msu

PowerShell:

Add-WindowsPackage -Path C:\mount -PackagePath D:\Updates\update.msu

Сохранение изменений

После внесения изменений сохраните их командой:

Dism.exe /Unmount-Wim /MountDir:C:\mount /commit

Для отмены изменений:

Dism.exe /Unmount-Wim /MountDir:C:\mount /discard

Тонкая настройка SSH для безопасности серверов

SSH — это основной инструмент удаленного управления серверами, но стандартные настройки часто становятся уязвимостью для атак.

Правильная конфигурация позволяет значительно повысить уровень безопасности.

Шаги по защите SSH

1️⃣Измените порт по умолчанию
Порт 22 — стандартная цель для брутфорс-атак. Чтобы усложнить задачу злоумышленникам, измените его на нестандартный:

sudo nano /etc/ssh/sshd_config  

Найдите строку Port 22 и укажите другой порт, например Port 2222. Затем перезапустите службу SSH:

sudo systemctl restart sshd  

2️⃣ Запретите вход для root
Вход под root-аккаунтом повышает риск компрометации. Чтобы его отключить, в файле sshd_config измените параметр:

PermitRootLogin no  

3️⃣ Используйте ключи вместо паролей
Аутентификация по ключам надежнее, чем по паролям. Создайте ключи с помощью команды:

ssh-keygen -t rsa -b 4096  

Затем добавьте публичный ключ на сервер:

ssh-copy-id user@server_ip  

Отключите аутентификацию по паролю:

PasswordAuthentication no  

4️⃣ Ограничьте доступ по IP
Если к серверу подключаются только с определенных адресов, настройте правила на стороне брандмауэра (например, с помощью UFW или iptables).

5️⃣ Настройте Fail2Ban
Этот инструмент блокирует IP-адреса, с которых происходят многочисленные неудачные попытки входа:

sudo apt install fail2ban  

После установки Fail2Ban автоматически начнет защищать сервер от брутфорса.

Как заставить curl игнорировать ошибки сертификата

Иногда при работе с curl возникает ошибка, связанная с недействительным или отсутствующим SSL-сертификатом у целевого сайта.

Хотя пропуск проверки сертификата может быть полезен в целях разработки, важно понимать, что такие действия повышают риск утечки данных. Используйте этот метод только на доверенных ресурсах.

Команда для игнорирования ошибок сертификата

Чтобы заставить curl игнорировать ошибки SSL, используйте одну из следующих команд:

curl --insecure [URL]  

или сокращенную версию:

curl -k [URL]  

Эти параметры отключают проверку SSL-сертификата и позволяют подключаться даже к сайтам с проблемными сертификатами.

Пример использования

Допустим, вы выполняете запрос:

curl myawesomewebsite.com  

Если у сайта недействительный сертификат, вы получите ошибку:

curl: (60) SSL: no alternative certificate subject name matches target host name 'myawesomewebsite.com'  

Это происходит, когда сертификат не может быть проверен известными центрами сертификации (CA).

Чтобы обойти проблему, выполните:

curl -k myawesomewebsite.com  

Теперь запрос будет выполнен без проверки сертификата, и вы получите содержимое сайта.

Флаги --insecure и -k работают аналогично параметру --no-check-certificate в утилите wget. 

Однако будьте осторожны: использование этих параметров на недоверенных ресурсах может привести к компрометации данных.

⚡️Всегда проверяйте, почему SSL-сертификат считается недействительным, и используйте параметр -k только в исключительных случаях.

💬 Вопрос на собеседовании для DevOps-инженера

Давайте разберем один из частых вопросов, который может быть задан на собеседовании и как на него отвечать.

❓Вопрос: Что такое Taints и Tolerations в Kubernetes и зачем они нужны?

✅Ответ: Taints и Tolerations — это механизмы в Kubernetes, которые ограничивают размещение Pod’ов на определенных узлах.

Taints применяются к узлам, чтобы предотвратить запуск на них Pod’ов, если они не обладают необходимыми Tolerations.

Tolerations добавляются к Pod’ам, чтобы они могли запускаться на узлах с соответствующими Taints.

Пример Taint:

kubectl taint nodes node1 key=value:NoSchedule  

Пример Toleration:

tolerations:  
  - key: "key"  
    operator: "Equal"  
    value: "value"  
    effect: "NoSchedule"

PowerShell против Bash: в чем разница?

PowerShell — это среда автоматизации от Microsoft, разработанная для управления конфигурациями и задачами.

Основная особенность PowerShell — работа с объектами через встроенные командлеты и модули, которые можно подключить из PowerShell Gallery. 

Эта среда тесно связана с .NET, что позволяет передавать данные между скриптами и приложениями в удобном формате.

Bash (Bourne Again Shell) — это классическая оболочка для систем Linux и Unix, которая появилась как преемник Bourne Shell.

Bash стал стандартом в Linux благодаря своей простоте, стабильности и открытости. 

Он широко используется для автоматизации задач, связанных с файлами, управлением правами доступа и резервным копированием.

Основные особенности

PowerShell:
⏺Передача данных в формате объектов.
⏺Интеграция с .NET для работы с Windows-компонентами.
⏺Возможность создавать интерфейсы и формы.
⏺Доступ к данным через подсистему WMI.

Bash:
⏺Ориентирован на текстовые строки.
⏺Поддерживает редактирование файлов, управление правами и резервное копирование.
⏺Работает на любой системе Linux и Unix.
⏺Отлично подходит для многопользовательской среды.

Релиз Tails 6.11

9 января 2025 года вышел Tails 6.11 — дистрибутив на базе Debian 12 для анонимного выхода в интернет.

Система работает через Tor, блокируя неанонимный трафик, и загружается с LiveCD или LiveUSB без следов на устройстве.

В новой версии обновлены Tor Browser 14.0.4 и Thunderbird 128.6.0, удалена поддержка аппаратных кошельков в Electrum, а также улучшена работа текстового редактора GNOME Text Editor.

⏺Исправлены уязвимости, выявленные при внешнем аудите безопасности: устранена проблема с Tails Upgrader, позволяющая установить модифицированные обновления, а также ликвидированы риски деанонимизации через приложения вроде Onion Circuits и Unsafe Browser.

Настройка и возможности Windows Terminal

Windows Terminal — мощный инструмент, объединяющий командную строку, PowerShell и WSL (Windows Subsystem for Linux). На выбор доступны две версии: основная (1.3) и предварительная (1.4).

Терминал поддерживает глубокую кастомизацию: можно изменять темы, цветовые схемы, фоны и даже добавлять свои профили. Установить его легко через Microsoft Store или по ссылке.

Основные функции
⏺Предустановленные профили: Сразу доступны Windows PowerShell, командная строка и облачная оболочка Azure. Если вы установите WSL, новые дистрибутивы добавятся автоматически.
⏺Гибкие настройки: Поддержка тем, цветовых схем, фонов и других параметров делает терминал максимально удобным для пользователя.

Настройка параметров

Чтобы открыть настройки, нажмите Ctrl+, или выберите «Параметры» в меню. Файл конфигурации settings.json позволяет управлять настройками всех профилей.
Пример глобальной настройки шрифта:

"profiles": {  
    "defaults": {  
        "fontFace": "Cascadia Code"  
    }  
}  

Цветовые схемы

Windows Terminal поставляется с базовыми цветовыми палитрами, но их можно заменить или дополнить.

Для этого используйте ресурсы вроде terminalsplash.com, где доступны готовые схемы для копирования.

Стили командной строки

С помощью Oh My Posh и Terminal-Icons можно настроить внешний вид командной строки, добавив иконки, цветовые акценты и стильные элементы.

Это упрощает визуальное восприятие команд. Установить или обновить Oh My Posh до последней версии можно так:

Update-Module -Name oh-my-posh -AllowPrerelease -Scope CurrentUser