Как правильно запретить весь исходящий трафик,чтобы защитить свою сеть от доступа извне и оставить себе при этом доступ в интернет?

R O, DNS можно пускать только через TCP, остальному UDP не нужен. Порты поменять нельзя - потому что Вы обращаетесь на удаленные порты, которые открыты кем-то где-то. Порты исходящего трафика хацкеры использовать не могут.

Как создать initrd?

Вадим Алиев, есть :) systemd был придуман вовсе не для упрощения жизни - а наоборот для ее усложнения. Правда, сейчас, когда жизнь вдруг усложнилась сама по себе - возможно от него будут отказываться как от целого, будут резать на куски и по кускам внедрять то немногое полезное, что из него можно взять.

logind, sessiond, tmpfiles.d - это еще можно исполльзовать, хотя даже это на сервере сомнительно (но на рабочей станции пойдет). Главное зло - это инициатор задач и бинарные логи. Люди теряют понимание того, как работает система, как она стартует задачи и их вынуждают использовать какие-то сторонние инструменты для работы с логами.

Как создать initrd?

Вадим Алиев, В прошлом году бодался с запуском Байкала, написал небольшую заметочку про initrd. На самом деле версия initrd и ядра - они особо могут и не коррелировать - я был немало удивлен, когда обнаружил, что в некоторых инитах попадаются даже "куски" systemd! :)
Ядро 6.x еще ни разу не запускал, не знаю, но вполне может быть.

Как создать initrd?

Вадим Алиев, Это не микроядро - ядро так одно и то же, это скорее "микросистема", которая должна проверить железо и запустить нужные дрова. Если есть уже разобранный initrd - можно тупо заменить в нем что надо и запаковать обратно, только паковать тем пакером, который ядро поддерживает, а то не распакуется :)

Распаковка и упаковка файлов initrd/initramfs

initrd - это просто cpio-архив, упакованый одним из компрессоров (GZip, Zstd, XZ, LZMA и т.д.) или же неупакованный ничем. Тип компрессии определяется командой file:

# file initramfs-2.6.32-754.11.1.el6.centos.plus.x86_64.img
initramfs-2.6.32-754.11.1.el6.centos.plus.x86_64.img: gzip compressed data, from Unix, last modified: Wed Mar 6 15:55:52 2019, max compression
# file initramfs-5.10.22-calculate.img
initramfs-5.10.22-calculate.img: ASCII cpio archive (SVR4 with no CRC)
# file initramfs-5.10.32-calculate.img
initramfs-5.10.32-calculate.img: Zstandard compressed data (v0.8+), Dictionary ID: None
# file initramfs-4.19.34-calculate.img
initramfs-4.19.34-calculate.img: XZ compressed data

Для распаковки используется конвейер, где первым элементом будет распаковщик компрессора, который использовался для упаковки, а вторым - собственно распаковка через cpio :

zcat initramfs-2.6.32-754.11.1.el6.centos.plus.x86_64.img | cpio -i --make-directories
cat initramfs-5.10.22-calculate.img | cpio -idmv
zstdcat initramfs-5.10.32-calculate.img | cpio -idmv
xz -dc < initramfs-4.19.34-calculate.img | cpio -idmv

(флаги cpio означают следующее:

-i - команда распаковки. Обязательный параметр.
-d - создать подкаталоги
-m - сохранить время модификации, записанное в архиве (а иначе будет проставлено текущее)
-v - выводить подробную информацию при распаковке)

Если при распаковке выдается сообщение об ошибке - это означает, что перед нами "новый" формат initramfs, в начале которого записан небольшой stub, который обычно пропускается программой skipcpio:

/usr/lib/dracut/skipcpio initramfs-3.10.0-229.el7.x86_64.img | zcat | cpio -ivdm

(Если образ упаковывался не gzip, то для распаковки вместо zcat указать соответствующий декомпрессор!)

После распаковки в том каталоге, где находился файл образа будет создана структура каталогов, заложенная в образе, использующая текущий каталог в качестве корневого, поэтому обычно файл образа распаковывают в создаваемом для этого пустом каталоге. Сейчас можно вносить изменения. При внесении изменений не следует забывать того, что в каталоге /sbin образа обязательно должен находиться файл ld-linux-_архитектура_.so.*N*, где архитектура - это x86-64 для Intel/AMD и aarch64 для ARM64, а N можно узнать по команде file на любом исполняемом файле внутри распакованной структуры:

# file bash
bash: ELF 64-bit LSB pie executable, x86-64, version 1 (SYSV), dynamically linked, interpreter /lib64/ld-linux-x86-64.so.2, for GNU/Linux 3.2.0, stripped
# file dmesg
dmesg: ELF 64-bit LSB pie executable, ARM aarch64, version 1 (SYSV), dynamically linked, interpreter /lib/ld-linux-aarch64.so.1, for GNU/Linux 3.7.0, stripped

Этот файл должен указывать на находящийся тут же файл загрузчика:

# ls -la
...
-rwxr-xr-x 1 root root 179032 Jun 3 14:57 ld-2.32.so
lrwxrwxrwx 1 root root 10 Jul 21 11:22 ld-linux-aarch64.so.1 -> ld-2.32.so

Если данного линка не будет, он будет указывать на несуществующий загрузчик либо загрузчик будет недоступен - возникнет kernel panic с диагностикой error -2 failed to execute /init.

После внесения исправлений образ следует запаковать обратно. Это можно сделать следующим образом:

(cd myinitramfs; find . | cpio -o -H newc | zstd -10) > myinitramfs.img

Здесь используется компрессор Zstd, для использования GZIP заменить zstd -10 жирным на gzip -9, для использования других компрессоров (XZ, LZMA) - соответствующим образом изменить командную строку. Кроме того, следует убедиться, что при сборке ядра в него был включен соответствующий компрессор/декомпрессор:

CONFIG_HAVE_KERNEL_GZIP=y
CONFIG_HAVE_KERNEL_BZIP2=y
CONFIG_HAVE_KERNEL_LZMA=y
CONFIG_HAVE_KERNEL_XZ=y
CONFIG_HAVE_KERNEL_LZO=y
CONFIG_HAVE_KERNEL_LZ4=y
CONFIG_HAVE_KERNEL_ZSTD=y

Для упаковки можно использовать приведенный ниже несложный скрипт:

#!/bin/sh

# Copyright 2006 Rob Landley and TimeSys Corporation.
# Licensed under GPL version 2

if [ $# -ne 2 ]
then
echo "usage: mkinitramfs directory imagename.cpio.gz"
exit 1
fi

if [ -d "$1" ]
then
echo "creating $2 from $1"
(cd "$1"; find . | cpio -o -H newc | zstd -10) > "$2"
else
echo "First argument must be a directory"
exit 1
fi

Используется упаковщик Zstd, для использования другого упаковщика заменить zstd -10 на вызов соответствующего упаковщика.

Какие ограничения по железу в proxmox и altlinux?

Удалил тег "серверное оборудование" - ну где оно здесь?

Где смотреть то, что нужну рынку труда в IT?

Северное Сияние,

сейчас не 90-е, ит-специалист больше не уникальное явление.

+100500. И даже больше - их сейчас слишком много развелось, считающих себя "уникальными явлениями"...

Где смотреть то, что нужну рынку труда в IT?

Просто придя с улицы или по знакомству

Я в конце 90-х фактически "с улицы" попал в ИТ-отдел мэрии, где успешно проработал полтора года (работал бы и больше, но сменился мэр, новый решил, что ему ИТ нафиг не нужно). А до этого, в начале 90-х я начальником отдела работал на заводе (на классическом таком советском заводе, он жив и до сих пор) без вышки.
А по знакомству - так и вообще можно сразу директором по направлению работать :) Раньше не было всей этой толпы макак, считавших, что "вайти в айти и грести бабло" :)

Работает ли сейчас DoH / DoT в России?

Danil Sapegin, Следующий шаг будет вовсе не от провайдера :)

Какой метод не дегая мышь нажимает по нужным координатам?

Хе-хе, мы такое еще в конце 90-х писали :) Но там курсор двигался

Как правильно запретить весь исходящий трафик,чтобы защитить свою сеть от доступа извне и оставить себе при этом доступ в интернет?

R O, У каждой игры свой порт, а то и несколько. Какие порты - обычно выясняют у саппорта игры.

Как правильно запретить весь исходящий трафик,чтобы защитить свою сеть от доступа извне и оставить себе при этом доступ в интернет?

R O, да, 53 порт конечно

Как правильно запретить весь исходящий трафик,чтобы защитить свою сеть от доступа извне и оставить себе при этом доступ в интернет?

R O, 80, 443. Этого как правило достаточно. Но можно встрять с браузерными играми например - они зачастую поддерживают коннект с серверами на нестандартных портах.

Как исправить ошибку [SSL: CERTIFICATE_VERIFY_FAILED]?

cartiolopy, нет, только для того компа, на котором он установлен

Смена роутера или танцы с бубном?

Можно и взять, если деньги лишние. Потому что РТК отправит далеко и надолго.

Как исправить ошибку [SSL: CERTIFICATE_VERIFY_FAILED]?

cartiolopy, Как выпустить самоподписанный сертификат - зиллион статей под любую ось. Хранилище довереных корневых в винде так и называется "Доверенные корневые сертификаты", в линухе - обычно - это /etc/ssl/certs, но это зависит от опций сборки openssl

Почему возникает ошибка на VPS при открытии phpmyadmin?

Теперь надо указать, что страницу надо интерпретировать, а не отображать :) Например вот так:

<IfDefine PHP>
        AddType application/x-httpd-php .php
        AddType application/x-httpd-php-source .phps
    </IfDefine>

Разумеется модуль php подгрузить не забыть :)

<IfModule !php7_module>
    LoadModule php7_module /usr/lib64/php7.4/apache2/libphp7.so
</IfModule>

Почему возникает ошибка на VPS при открытии phpmyadmin?

Руслан, Ну хорошо, перевел. А исправлять права доступа будет Пушкин Алескандр Сергеевич? :)

Почему возникает ошибка на VPS при открытии phpmyadmin?

А что, в гугле забанили и переводчик не работает? Трудно фразу you don't have permission перевести?

Как работать с parrot os?

Ростик Кальченко, Да нет, чувак, извини, ты сейчас выгядишь как полный ... чудак :)

Ставишь систему "для хакинга", при этом и в хакинге и в знании этой системы - не то, что нуль, а минус единица
Откровенно признаешься в своей лени
Не знаешь базовых вещей и не понимаешь, что прежде чем заниматься "хакингом" - нужно их выучить. Это примерно то же, что купить гоночный спорткар и пытаться на нем поехать, не умея водить машину :)

Дистрибы для безопасников - они жутко специализированные и рассчитаны на людей, которые знают, что делают. Тебе же стоит сначала просто дебиан поставить (раз уж выбрал дебовскую ветку) и научитьчя с ним работать.

Фильмы про хакеров, летчиков, моряков, военных...- это все, ну не то, чтобы совсем неправда... но весьма приукрашенная реальность...

Как сделать личную vpn сеть с isp?

Sowtame, Ну, я только микротики использовал для такого, а там все просто - поднял сервис, настроил его, настроил доступ, чтобы лишние не шлялись и работаешь. Многие соховские роутеры в принципе не умеют быть VPN-серверами, только клиентами - им это не надо.