GolovinDS Jan 13 2023 at 17:09

Сетевая безопасность Linux: Best practices и баш скрипты

7 min

9.4K

OTUS corporate blogConfiguring Linux*

Recovery Mode

Comments 18

Samhuawei Jan 13 2023 at 17:46

Использование надежных паролей.

Как мне кажется ещё лучше не использовать паролей вообще. Сгенерить ключик, забрать себе публичную часть и ходить на сервак исключительно через ssh.

Ну и в целом колхоз какой-то.

+10

select26 Jan 13 2023 at 23:18

Тоже покоробило. Заголовок "Сетевая безопасность Linux: Best practices". И первая же рекомендация: "Использование надежных паролей". Хотя давно уже: "Не использовать пароли вообще". И речь даже не про новомодный zero trust, хотя бы классический RSA ssh key.
Дальше читать даже не стал.

Мне вот интересно: это Контент-маркетолог Дмитрий Головин такой бестолковый или IBM Senior DevOps Engineer & Integration Architect, Официальный DevOps ментор и коуч в IBM Рустем Галиев (зато титул прямо как у Великого Князя)?

ivan386 Jan 15 2023 at 11:20

Я помню что gnupg при генерации ключа вроде как предлагает его зашифровать паролем.

TyVik Jan 13 2023 at 20:49

Bash прост в освоении и использовании

Вот здесь, конечно, посмеялся. А потом поплакал. Мои студенты первые 2 пары в шоке от синтаксиса. Но увы, это стандарт, так что приходится проходить.

DollyPapper Jan 13 2023 at 21:31

Тоже посмеялся с этого пункта. Где-то в интернете есть поверие, что баш скрипты одноразовые. Потому что после написания, через пару дней легче написать новый скрипт, чем отладить существующий.

-1

AVX Jan 13 2023 at 21:59

Не обязательно. Можно на пять строчек скрипта написать 40 строк комментариев с подробным разбором того, что там делается и зачем. А вот если там более-менее сложный регэксп... к скрипту полагается прикладывать как минимум бутылочку коньяка и письмо с извинениями в адрес человека, кто будет в этом разбираться.

DollyPapper Jan 13 2023 at 22:22

А на 10 строчек 80 строк коментов. Что-то это противоречит утверждению о простоте языка. Ну так в целом с маленькими скриптами я согласен, проблем нет. Недавно пришлось отлаживать скрипт на 2000 строк, который впн ставит и конфигурирует. Плюнул - переписал в итоге.

-1

LevOrdabesov Jan 14 2023 at 16:50

Кто в cmd писал, в bash-e радуется..

Samhuawei Jan 18 2023 at 10:59

Это да. У нас многое девопсовское на баш скриптах. Вы не представляете какой это гемор экранировать параметры, имена файлов и прочее прочее. Нет, на уровне детского сада конечно просто, но если делать по уму чтобы работало всегда - это задача как минимум хорошего инженера который отлично разбирается в системе.

garwall Jan 13 2023 at 23:48

Bash-скрипты переносимы
---
apt что-то там

«На берегу Рио-Пьедра села я и заплакала»

garwall Jan 13 2023 at 23:53

Ну и в /etc/shadow хэш чтоль на сложность проверяется? Брависсимо

mc2 Jan 14 2023 at 00:51

Теперь остался только один вопрос: если такая девопсия, куда можно отправить резюме)

saboteur_kiev Jan 14 2023 at 03:23

Какое жуткое непонимание bash и всего остального ;)
После фразы "простые баш скрипты" идет регулярка на 63 символа с использованием продвинутых конструкций типа look ahead, или с условиями. Это не часть баша, в такие регулярки не каждый сисадмин сходу осилит.

То что там сделано со sticky бит вообще за такое руки отрывать. По умолчанию практически ВСЕ каталоги в линуксе - доступны на запись. Для рута. То есть на все каталоги, включая /dev, и включая /proc выставить стики бит? Отличненько, Автор проверял лично на своей системе, лучше сразу в продакшене что произойдет?

Очень, очень многие не понимают, что баш - это шелл для операционной системы.
Это действительно довольно простой язык и интересный язык, с богатыми возможностями даже в POSIX стандарте, без башизмов.

Но его реальное использование глубоко связано с пониманием администрирования линукс да и архитектуры *nix вообще. Без этого понимания, попытки сделать что-то полезное и отличающееся от hello world на bash будут постоянно спотыкаться на непонятные глюки, проблемы и ненадежность. А этим страдает огромное количество разработчиков, которые по непонятной мне лично причине, не разбираются в базовой архитектуре операционных систем. Даже таких базовых вещах как что такое environment variable или stdout/stderr (капец, да?).

Та же самая переносимость обеспечивается не баш скриптами, а posix-совместимыми скриптами. Конечно, если быть уверенным, что вам не нужно будет запускать его где-нить в урезанном аналоге busybox, то да, можно юзать и баш с хеш массивами и кучей variable expansion.

Короче. Как человек, который может себе позволить сказать что "я более чем неплохо знаю bash", я скажу, что статья мне не понравилась некорректными утверждениями.

Очевидно, что автор либо не писал эти скрипты сам, либо не имел опыта работы хотя бы с несколькими разными дистрибутивами.

MiGuSan Jan 14 2023 at 03:59

Зачем вы проверяете хэш паролей в /etc/passwd ? это вам ничего не даст
Настройка firewall в том, чтобы включить SSH ? а что, так можно было ? ))

kaasnake Jan 14 2023 at 10:27

Автор, найдите время почитать про Ansible.

shalamberidze Jan 15 2023 at 19:50

Ну и плюс ко всему двухфакторная авторизация. Предупреждать надо чо это гоогле а то кто нибудь запустит это и останется без доступа к системе.

Boti4ello Jan 20 2023 at 11:03

Скачал fail2ban, запустил с дефолтом и вот ты в безопасности :)

Остальное уже и без меня разобрали по косточкам :)

Думал увижу что нить для себя. Хоть я только учусь, но статья улыбнула. Жаль, если такие вот писатели еще и на курсах такому же учат :(

vldmrmlkv Jan 20 2023 at 14:39

Как влияет на нагрузку и пропускную способность сети эти sysctl.conf hardenings?