Valentin Barbolin

С помощью systemd
Создайте файл `myscript.service`

[Unit]
Description=Мой скрипт

[Service]
ExecStart=/путь/к/вашему/скрипту.sh

2. Создайте таймер для запуска скрипта `myscript.timer`

[Unit]
Description=Таймер для моего скрипта

[Timer]
OnCalendar=*-*-* 00:00:00
RandomizedDelaySec=3600

[Install]
WantedBy=timers.target

3. Активируйте и запустите таймер.

sudo systemctl daemon-reload
sudo systemctl enable myscript.timer
sudo systemctl start myscript.timer

Параметр `RandomizedDelaySec` устанавливает случайную задержку в секундах между запусками.

sw - явно указывает использовать опции монтирования для swap.
defaults - использовать опции монтирования по умолчанию (defaults) для ранее указанной файловой системы (swap).

По факту одно и тоже. Да debian и ubuntu похожи... но не во всем.

Тоже самое, ни разу не пригодился. Было пару пробитых серверов, ради интереса гонял на них разные антивирусы и скрипты, пытался найти трояна или зараженный файл - все глухо.

Для себя сделал вывод, что это бестолковщина для linux сервера.

По логике, антивирус в основном сканирует скачиваемые пользователем файлы и блокирует потенциально опасные действия пользователей. Но непосредственно на самом сервере пользователь не работает, а только запрашивает с него данные, а следовательно никаких привилегий на сервере не имеет.

Вот, что реально помогает, это правильно настроенный firewall и fail2ban. Так же хорошей практикой является запускать процессы которые слушают порты от безправных учеток. В Fail2ban уже заложено множество шаблонов под разные сервисы, их достаточно просто включить.

Универсальной статьи нет, так как настройка зависит от ПО которое крутиться на сервере.
Есть общие рекомендации:
- настроить firewall, открывать только нужные порты
- для SSH использовать ключи, изменить порт (например 2324), ограничить доступ с определенных IP
- запретить вход от root на сервер по паролю
- не использовать имена учетных записей которые попадают в перебор (типа admin, super, cisco и т.д.)
- запускать сервисы от непривилегированных учетных записей
- настроить бекапы
- настроить контроль версий etckeeper
- настроить fail2ban

Следующий уровень паранои, это уже решения по типу Suricata IDS-IPS

For lease expires -19418 day left

Кажется в это строке не хватает домена, или у тебя пустая строка в конце списка.

grep -iE 'expir.*date|expir.*on'

Вот этот фильтр может не работать, еще может быть просто expires: или free-date:, а может и вообще этого поля не быть в whois.

Попробуй вот так

expdate=$(whois "$domain" | grep -iE 'expir.*date|expir.*on|expires|free-date' | head -1 | grep -oE '[^ ]+$')

Все достаточно просто.

Недолюбливаю я ufw, мне больше по душе ferm
Не забываем про
sudo sysctl -w net.ipv4.ip_forward=1

Сносим ufw и cтавим надстройку ferm над firewall
sudo apt install ferm

Правим конфиг ferm
sudo vim /etc/ferm/ferm.conf

@def $WAN_IP1 = 1.1.1.1; # На этом разрешаем входящие
@def $WAN_IP2 = 1.1.1.2; # Через этот выходим
@def $DEV_WAN = ens1s0;
@def $VPN_NETS = (10.10.10.0/24 10.10.20.0/24); # Сети VPN клиентов


domain (ip ip6) {
    table filter {
        chain INPUT {
            policy DROP; # Политика поумолчанию, если нет разрешающего правила значит запрещено

            # connection tracking
            mod state state INVALID LOG log-prefix '[FERM] INVALID INPUT DROP: ';
            mod state state INVALID DROP;
            mod state state (ESTABLISHED RELATED) ACCEPT;

            # allow local packet
            interface lo ACCEPT;

             # respond to ping
             #proto icmp ACCEPT;
            
            daddr $WAN_IP1 {

                # respond to ping
                proto icmp ACCEPT;

                # allow SSH connections
                proto tcp dport 22 ACCEPT;

                # allow WEB connections
                proto tcp dport (http https) ACCEPT;

                # allow VPN wireguard connections
                proto udp dport 51820 ACCEPT;
            }


        }
        chain OUTPUT {
            policy ACCEPT;

            # connection tracking
            #mod state state INVALID DROP;
            mod state state (ESTABLISHED RELATED) ACCEPT;
        }
        
        chain FORWARD {
            policy DROP; 

            # connection tracking
            mod state state INVALID DROP;
            mod state state (ESTABLISHED RELATED) ACCEPT;

            saddr $VPN_NETS ACCEPT; # Разрешаем трафику от VPN клиентов проходить в любом направлении
        }
    }
    table nat {
        chain POSTROUTING {
            saddr $VPN_NETS outerface $DEV_WAN SNAT to $WAN_IP2; # Маскируем-натим исходящий трафик от VPN клиентов вторым IP
        }
    }
}

@include ferm.d/;

Применяем конфиг
sudo ferm -i /etc/ferm/ferm.conf

Два варианта
- bridge
- Неужели придётся каждый внешний ip прописывать в интерфейсе а потом в iptables прописывать правило?)

Второй вариант более правильный с точки зрения безопасности, т.к. при использовании bridge белый адрес будет назначаться непосредственно на ПК, соответственно ПК станет уязвим из интернета.

Как сбросить пароль root в mysql

https://serverfault.com/questions/777875/how-to-do...

https://github.com/bg111/asterisk-chan-dongle/wiki...

#!/bin/bash

Red='\033[0;31m'
Green='\033[0;32m'
NC='\033[0m' # No Color

number=0
for symbol in {a..i}
do
    disk="/dev/sd$symbol"
    let number++
    echo "Device" $number
    if  test -b $disk
    then
        echo -e ${Green} `hddtemp $disk` ${NC}
    else
        echo -e ${Red} Device not installed ${NC}
    fi
done

https://stackoverflow.com/questions/5609192/how-to...

https://stackoverflow.com/questions/10694246/bash-...

Попробуй так

tail -f /run/test/1.log | grep --line-buffered  "искомые стоки" >> /var/www/html/1.log

sudo apt install unbound

sudo nano /etc/unbound/unbound.conf

server:
        verbosity: 1
        interface: 0.0.0.0
        do-ip4: yes
        access-control: 0.0.0.0/0 allow
        chroot: ""
        hide-version: yes
        key-cache-size: 0
        cache-max-ttl: 0

        private-address: 10.0.0.0/8
        private-address: 172.16.0.0/12
        private-address: 192.168.0.0/16

        private-domain: "example.com"

        local-zone: "10.in-addr.arpa." nodefault
        local-zone: "16.172.in-addr.arpa." nodefault
        local-zone: "168.192.in-addr.arpa." nodefault
        local-data: "ntp.example.com IN A 10.10.10.10"


stub-zone:
        name: "habr.com"
        stub-addr: 8.8.8.8
        stub-addr: 8.8.4.4

stub-zone:
        name: "10.in-addr.arpa"
        stub-addr: 10.10.10.5
       
forward-zone:
        name: "ocn.net.cn"
        forward-host: ns02.example.com

forward-zone:
        name: "."
        forward-addr: 1.1.1.1
        forward-addr: 8.8.8.8

У меня вот такая дичь.

echo "100 	vpn" >> /etc/iproute2/rt_tables
echo 1 > /proc/sys/net/ipv4/ip_forward

export VPN_NET="10.10.10.0/24"
export VPN_IFACE="tun1"
export VPN_OFACE="tun2s1"

iptables -t nat -A PREROUTING -s $VPN_NET -i $VPN_IFACE -m conntrack --ctstate RELATED,ESTABLISHED -j CONNMARK --restore-mark --nfmask 0xffffffff --ctmask 0xffffffff
iptables -t nat -A PREROUTING -s $VPN_NET -j MARK --set-xmark 0x1/0xffffffff
iptables -t nat -A PREROUTING -s $VPN_NET -j CONNMARK --save-mark --nfmask 0xffffffff --ctmask 0xffffffff

iptables -t nat -A POSTROUTING -s $VPN_NET -o $VPN_OFACE -j MASQUERADE

ip rule add fwmark 1 table vpn
ip route add default dev $VPN_OFACE table vpn
ip route flush cache

https://g.zeos.in/?q=ubuntu%20wake%20up%20without%...

Ляп-ляп и в продакшен) Не понятно где-что-куда создал-скопировал)

Тебе надо
- сгенерить пару ключей (приватный и публичный).
- положить публичный ключь на сервер в /home/${USER}/.ssh/authorized_keys

Потоп попробовать зайти через putty (ssh) с помощью приватного ключа, если все ОК, то настраивать rsync.

https://github.com/guisousanunes/sipcmd2