Начало
В целом зачем этот канал - я до сих пор не определился, но думаю буду тут описывать какие-то штуки из своей работы, делиться опытом и всяким разным.
Вообще желание делиться чем-то новым для себя у меня пошло с рабочей wiki, которую я поднял по сути чисто для себя, чтобы стараться описывать там все проекты с которыми я работаю, там уже целые статьи выросли готовые к постингу на хабр, но хабр скатился и теперь там обсуждают темы в стиле "новая_нейронка_нейм убьет всю IT" или "Как я навайбкодил сервис который купили за 10ккк". Кстати, это не отменяет того, что я что-то напишу на хабре, надо же как-то аудиторию собирать, думаю и насру тоже чет хайпажорское.
В общем буду описывать свои будни и что-то техническое.
В целом зачем этот канал - я до сих пор не определился, но думаю буду тут описывать какие-то штуки из своей работы, делиться опытом и всяким разным.
Вообще желание делиться чем-то новым для себя у меня пошло с рабочей wiki, которую я поднял по сути чисто для себя, чтобы стараться описывать там все проекты с которыми я работаю, там уже целые статьи выросли готовые к постингу на хабр, но хабр скатился и теперь там обсуждают темы в стиле "новая_нейронка_нейм убьет всю IT" или "Как я навайбкодил сервис который купили за 10ккк". Кстати, это не отменяет того, что я что-то напишу на хабре, надо же как-то аудиторию собирать, думаю и насру тоже чет хайпажорское.
В общем буду описывать свои будни и что-то техническое.
🎉2
SSH & SSH KEY
Поговорим немного о базовом функционале при аренде VDS/VPS. Понятное дело, что оставаться под рутовым юзером дурной тон, но опустим этот момент, я еще не сталкивался с проблемами в этом плане(надеюсь и не столкнусь).
Первым делом нам необходимо сгенерить ключик через который мы впоследствии будем заходить на наш сервер через SSH. Атака на алгоритмы шифрования сложнее (этим почти не занимаются, какой псих будет задействовать квантовые вычисления, чтобы зайти на ваш сервак), чем на пароли.
1. Создаем ssh key:
-t указывает на тип ключа, -b на его битность, а -С комментарий, полезно при большой кол-ве ключей, либо менять название файлика на осознанное.
Соглашаемся на стандартное расположение файла. Когда дело дойдет до "Enter passphrase" рекомендую указать парольную фразу для ключа. Впоследствии при подключении по ключу необходимо будет указать и парольную фразу, это защитит в случае утечки ключа. Вообще рекомендуется и тут ставить сложный пароль, но вы намучаетесь его запоминать. Думаю можно использовать сложный, если вы используете keepass или что-то подобное, чтобы быстро скопировать и вставить. Я стараюсь в этом плане не усложнять и генерирую/придумываю пароль ~10 символов. Типов ключей тоже масса, но это уже для отдельного поста, в целом RSA сейчас достаточно, можно еще использовать ED25519 он безопасней за счет схемы подписи на эллиптической кривой🥳 .
2. Добавим .pub в authorized_keys файл. SSH служба считывает публичный ключ именно от туда, если не указан явно другой файл.
Это команда отправляет вывод из id_rsa.pub в authorized_keys (если он не создан, то создаст файл) и назначает необходимые права, чтобы ключик работал без ошибок, если права не назначить, вы столкнетесь с проблемой безопасности, ssh откажется считывать его. Насчет прав в linux думаю тоже напишу небольшой гайд-подсказку.
3. Необходимо отредактировать конфиг файл ssh, чтобы включить авторизацию по ssh key.
В файлике необходимо раскомментировать строку:
и убрать авторизацию по паролю, сменив yes на no:
Для поиска в nano воспользуйтесь хоткеем ctrl+w
После редактирования закрываем и сохраняем файлик используя ctrl+x, соглашаемся на внесение изменений нажимая Y, далее не изменяя имя файла нажимаем enter.
4. Копируем ssh ключ себе, моя основная ОС это Windows, в моем случае есть несколько способов, начнем с самого простого.
4.1 Выводим catом и вставляем в текстовый файл в винде
копируем вывод в текстовый файл в windows и удаляем расширение .txt у файла. Переносим в папку .ssh
4.2 Воспользуемся winSCP, заходим на сервер и переносим файл в винду в .ssh
Теперь самое главное, чтобы не потерять доступ к серверу мы сперва убедимся что у нас есть доступ через kvm или remote console. В целом достаточно не закрывать текущее соединение, ибо перезапуск службы ssh не завершит нашу сессию.
5. Перезапускаем службу ssh:
6. Проверяем соединение, если вы из под винды, то следующим образом, открываем второе соединение не закрывая первое:
Еще для проверки, что мы точно убрали авторизацию по паролю попробуем пропустить парольную фразу, если вывод будет следующим, то все норм:
Поздравляю, вы молодец! Теперь вам доступна более безопасная авторизация по ssh ключу!😏
Поговорим немного о базовом функционале при аренде VDS/VPS. Понятное дело, что оставаться под рутовым юзером дурной тон, но опустим этот момент, я еще не сталкивался с проблемами в этом плане(надеюсь и не столкнусь).
Первым делом нам необходимо сгенерить ключик через который мы впоследствии будем заходить на наш сервер через SSH. Атака на алгоритмы шифрования сложнее (этим почти не занимаются, какой псих будет задействовать квантовые вычисления, чтобы зайти на ваш сервак), чем на пароли.
1. Создаем ssh key:
ssh-keygen -t rsa -b 4096 -C "My server"
-t указывает на тип ключа, -b на его битность, а -С комментарий, полезно при большой кол-ве ключей, либо менять название файлика на осознанное.
Соглашаемся на стандартное расположение файла. Когда дело дойдет до "Enter passphrase" рекомендую указать парольную фразу для ключа. Впоследствии при подключении по ключу необходимо будет указать и парольную фразу, это защитит в случае утечки ключа. Вообще рекомендуется и тут ставить сложный пароль, но вы намучаетесь его запоминать. Думаю можно использовать сложный, если вы используете keepass или что-то подобное, чтобы быстро скопировать и вставить. Я стараюсь в этом плане не усложнять и генерирую/придумываю пароль ~10 символов. Типов ключей тоже масса, но это уже для отдельного поста, в целом RSA сейчас достаточно, можно еще использовать ED25519 он безопасней за счет схемы подписи на эллиптической кривой
2. Добавим .pub в authorized_keys файл. SSH служба считывает публичный ключ именно от туда, если не указан явно другой файл.
sudo cat ~/.ssh/id_rsa.pub >> ~/.ssh/authorized_keys | sudo chmod 600 ~/.ssh/authorized_keys
Это команда отправляет вывод из id_rsa.pub в authorized_keys (если он не создан, то создаст файл) и назначает необходимые права, чтобы ключик работал без ошибок, если права не назначить, вы столкнетесь с проблемой безопасности, ssh откажется считывать его. Насчет прав в linux думаю тоже напишу небольшой гайд-подсказку.
3. Необходимо отредактировать конфиг файл ssh, чтобы включить авторизацию по ssh key.
sudo nano /etc/ssh/sshd_config
В файлике необходимо раскомментировать строку:
PubkeyAuthentication yesи убрать авторизацию по паролю, сменив yes на no:
PasswordAuthentication noДля поиска в nano воспользуйтесь хоткеем ctrl+w
После редактирования закрываем и сохраняем файлик используя ctrl+x, соглашаемся на внесение изменений нажимая Y, далее не изменяя имя файла нажимаем enter.
4. Копируем ssh ключ себе, моя основная ОС это Windows, в моем случае есть несколько способов, начнем с самого простого.
4.1 Выводим catом и вставляем в текстовый файл в винде
sudo cat ~/.ssh/id_rsa
копируем вывод в текстовый файл в windows и удаляем расширение .txt у файла. Переносим в папку .ssh
4.2 Воспользуемся winSCP, заходим на сервер и переносим файл в винду в .ssh
Теперь самое главное, чтобы не потерять доступ к серверу мы сперва убедимся что у нас есть доступ через kvm или remote console. В целом достаточно не закрывать текущее соединение, ибо перезапуск службы ssh не завершит нашу сессию.
5. Перезапускаем службу ssh:
sudo systemctl restart ssh.service
6. Проверяем соединение, если вы из под винды, то следующим образом, открываем второе соединение не закрывая первое:
ssh [email protected] -i C:\Users\Admin\.ssh/id_rsa
Еще для проверки, что мы точно убрали авторизацию по паролю попробуем пропустить парольную фразу, если вывод будет следующим, то все норм:
Permission denied (publickey).
Поздравляю, вы молодец! Теперь вам доступна более безопасная авторизация по ssh ключу!
Please open Telegram to view this post
VIEW IN TELEGRAM
❤🔥3🔥1
ВЗЯЛ БАЗУ ВЫКАТИЛ, ЭТО ВСЕ ЗНАЮТ! 😠
Ничего, дальше о защите с помощью Fail2Ban...
Ничего, дальше о защите с помощью Fail2Ban...
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥3❤🔥1
Присматриваюсь сейчас к сервисам бэкапов PostgreSQL кластеров, понравился этот проект (https://pgbarman.org/), пока смотрю альтернативы. Прикольно что может лить бэкап на smb шару, а если еще лить на СХД с сжатием...
Кто-то работал с ним? Veam backup к сожалению не умеет работать с кластерами, как написано у них в доке🤕
Кто-то работал с ним? Veam backup к сожалению не умеет работать с кластерами, как написано у них в доке
Veeam Agent does not support high availability cluster configurations and replication setups of PostgreSQL servers.Please open Telegram to view this post
VIEW IN TELEGRAM
Barman
Allows your company to implement disaster recovery solutions for PostgreSQL databases with high requirements of business continuity.Taking an online hot backup of PostgreSQL is now as easy as ordering a good espresso coffee.Version 3.17.0 (07 Jan 2026)| Release…
Вау, спасибо https://t.iss.one/satontdev 🥰 😍
Всем привет и спасибо! Хоть кто-то будет читать и возможно писать комментарии, а то я тут как шизофреник рассуждаю сам с собой))
Всем привет и спасибо! Хоть кто-то будет читать и возможно писать комментарии, а то я тут как шизофреник рассуждаю сам с собой))
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥1
Некст пост будет про fail2ban, но это так, затравочка! Потом поговорим про firewall и управление доступом в docker контейнеры 📖
Параллельно попробую готовить крупный пост на несколько частей по одному из важнейших сервисов в инфраструктуре! На работе у нас 3 цода…
Параллельно попробую готовить крупный пост на несколько частей по одному из важнейших сервисов в инфраструктуре! На работе у нас 3 цода…
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥4
Пока пишу технический пост, поделюсь впечатлениями о уже пройденной конференции PHDays. Вообще нас в последнее время часто куда-то приглашают, но в основном лень куда-то ехать. В этот раз такую масштабную конфу пропускать не хотелось, особенно которая специализирована для специалистов ИБ. Я хоть и не ибшник, но мне было интересно (мне до DevSecOps еще сто лет). Хотя докладов я послушал там ровно нихуя, но зато много поболтал под бокальчик сухого. Встретился с бывшими коллегами. Для меня это прошло просто как локальная тусовка и повод встретиться с теми, с кем сложно увидеться в обычный день. Организаторам вообще огромное уважение, встретили как своих, у нас была випка, переговорка и скатерть самобранка. Провели нам экскурсию по всем доступным активностям на территории Лужников. Конечно больше всего впечатлений вызвала их киберарена. Если вы слышали про standoff, то это по сути тоже самое, только в офлайне и круче. Как нам рассказывали, под капотом там реальные контроллеры и сервера, по сути они воссоздают реальную инфраструктуру, в которой уже ищут уязвимость и проводят постэксплуатацию. Мой товарищ из Solar там даже поучаствовал в красной команде, он pen-tester, набрал немного баллов, которые потом обменял на мерч. Вообще у них даже есть задачки с багбаунти и турниры.
Есть тут те, кто связан с ИБ? Вы как, ходили на какие-то конфы в этом году?
Есть тут те, кто связан с ИБ? Вы как, ходили на какие-то конфы в этом году?
🔥4❤3👍2
Всем привет! Месяц выдался сложным, сперва отпуска коллег, а на работе много проектов. Теперь вот недавно переехал в новую квартиру. Сейчас заказываю себе все необходимое для кайфовой жизни!
Помню, что обещал написать пост, но все немного сдвинулось (обещания живут 3 дня🥹 ).
Пока я осваиваюсь в новой квартире и пишу пост, небольшой подгончик все равно оформлю. Недавно ездил в ЦОД. Да-да, настоящий девопсер должен уметь и в железо. Отремонтировали контроллер СХД OceanStore. Накинули ssd диски на хосты под проект. Одного мамонта вывезли. Вообще в ЦОД попасть целая история, пришлось обучаться месяц в сумме. Для доступа необходима третья группа по электробезопасности (не спрашивайте меня нахуя, бюрократия она такая). Досмотр тоже приличный, все девайсы с экранами включаешь, воду сдаешь, бахилы надел и вперед.
Вот вчера на OceanStore собрал рейд и сделал лун, сделал датастор в vcenter. Все гоняется по fc через san switch. Кстати, видимо скоро это будет забытая технология более развитой цивилизации. В основном все отечественные СХД уже гуляют по iSCSI. А это уже надо настраивать всю цепочку до хостов на свитчах с поддержкой Jumbo-фреймов. Ладно, ниже немного цодовской эстетики. Подснять смог только наши стойки. Чужое клиентское оборудование снимать нельзя понятное дело. Всем хорошего вечера!
Помню, что обещал написать пост, но все немного сдвинулось (обещания живут 3 дня
Пока я осваиваюсь в новой квартире и пишу пост, небольшой подгончик все равно оформлю. Недавно ездил в ЦОД. Да-да, настоящий девопсер должен уметь и в железо. Отремонтировали контроллер СХД OceanStore. Накинули ssd диски на хосты под проект. Одного мамонта вывезли. Вообще в ЦОД попасть целая история, пришлось обучаться месяц в сумме. Для доступа необходима третья группа по электробезопасности (не спрашивайте меня нахуя, бюрократия она такая). Досмотр тоже приличный, все девайсы с экранами включаешь, воду сдаешь, бахилы надел и вперед.
Вот вчера на OceanStore собрал рейд и сделал лун, сделал датастор в vcenter. Все гоняется по fc через san switch. Кстати, видимо скоро это будет забытая технология более развитой цивилизации. В основном все отечественные СХД уже гуляют по iSCSI. А это уже надо настраивать всю цепочку до хостов на свитчах с поддержкой Jumbo-фреймов. Ладно, ниже немного цодовской эстетики. Подснять смог только наши стойки. Чужое клиентское оборудование снимать нельзя понятное дело. Всем хорошего вечера!
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
🤓4❤2