Bashdays
premium deactivated
Подборки

Безопасность

Практическая безопасность, hardening, фишинг, SSH, DNS, заголовки, атаки и защита.

security безопасность фишинг phishing ssh ddos dns root уязвимость атака hardening

Подборка про угрозы, защиту и реальные инженерные меры без академической пыли.

23 материала в подборке

  1. Как я собирал «урожай» фишинга и обучал защиту

    security

    Я собрал сотни фишинговых писем на специально созданных ящиках и обучил систему распознавать их в реальном времени. Анализ показал что почти все атаки умирают в спаме ещё до входа в аккаунт. Я расскажу какие детали писем позволяют быстро отсеять подделки и как построить собственный детектор. Читай если хочешь превратить попытки хакеров в бесплатный источник разведданных.

  2. Termix бесплатный менеджер серверов. Обзор

    devops, self-hosted, soft

    Я потыкал Termix, бесплатный аналог Termius. И Termix выигрывает в открытости, поддержке SSH туннелей и возможности управлять файлами из браузера. Минусы – нестабильный VNC, странные анимации панели и наверное необходимость ручных патчей. Если твоя инфраструктура в основном состоит из Linux‑серверов, Termix может стать отличной заменой.

  3. Тайна вызова Less в Linux утилитах

    linux, security

    Знаешь этот бесконечный скролл в git log? Кто-то привык к пагинации, кто-то тупо шпарит grep. Я расскажу тебе как git управляет выводом истории коммитов через внешнюю утилиту less. И да, если её убить — простыня посыплется без остановки. Я даже strace подключил чтобы убедиться. А под конец вскрою тему переменной PAGER — ты можешь туда воткнуть что угодно, хоть vim, хоть lolcat. И это жирный вектор атаки, который пентестеры обожают.

  4. Массовый SSH‑скан в своей Wi‑Fi сети

    security, workflow

    Как я поймал скрытый SSH трафик с Android и iPhone через opnSense. Люди до сих пор думают, что угрозы это когда хакер в худи ломает Пентагон. На деле твой смартфон сам бодро шатает чужие SSH порты пока ты листаешь мемы. Я проверил свою сеть и процент зараженных устройств оказался таким, что захотелось перекрестить роутер святой водой. Особенно весело владельцам дешевых маршрутизаторов. Там логов нет, контроля нет, зато есть сюрпризы и цифровой сифилис по DHCP.

  5. Твой сайт — решето! Или как не обосраться

    security, devops

    Показываю на реальном примере, как проверить безопасность своего сайта через Mozilla Observatory и почему у тебя, скорее всего, там позорный рейтинг. Разбираем, что означают эти буквы A–F, какие заголовки реально важны и как с помощью пары правок в nginx быстро поднять оценку с D до вменяемого уровня.

  6. Как получить root на любом Linux сервере

    security, linux

    Сегодня расскажу как пентестеры и черношляпы повышают привилегии на Linux машинах и получают root доступ. Без уязвимостей и эксплоитов.

  7. Как превратить DNS-сервер в пушку для DDoS-атаки

    security, devops

    Разбираем механику DNS Amplification атак и выясняем, почему использование ANY-запросов превращает твой сервер в инструмент для DDoS. Узнай, как работают векторы усиления трафика и как правильно настроить защиту на BIND и Unbound.

  8. Startpage приватная альтернатива DuckDuckGo

    security, services

    Приватный поиск это хорошо, но кто гарантирует анонимность? Рассказываем, как работает Startpage, какие данные он собирает и когда может их выдать.

  9. Браузерный киберпанк-симулятор хакера — DeepNet

    games, security

    Забудьте про графику, в DeepNet всё построено на терминале и командах Bash. Игра очень атмосферная, с онлайн-миром и кучей возможностей для прокачки. Я залип на ней надолго, советую всем, кто любит подобные симуляторы.

  10. Как бесплатно спрятать IP сервера и защититься от атак

    security, linux, dev

    Раньше с Cloudflare всё было просто, а теперь бесплатных вариантов почти нет. Я расскажу, как сам прячу IP сервера и защищаю приложения с помощью NetBird и Safeline.

  11. Безопасное управление секретами в скриптах и приложениях

    dev, security

    Часто в скриптах приходится работать с паролями и ключами, но как не оставить их на диске? Делюсь простым приемом на Bash и более надежным вариантом на C с блокировкой памяти. Погнали!

  12. Капсула времени с помощью TLock

    security

    Если ты умер и хочешь чтобы твой отпрыск получил по наследству пароли от золотой коллекции прона, этот пост для тебя.

  13. Настройка Yubikey + WSL2 + SSH

    security

    Как подключить физический YubiKey к WSL2, чтобы использовать его для SSH без паролей и SMS. Разберёмся с проблемами прокидывания USB в WSL и сделаем автоматический скрипт, который решит баги с повторным подключением ключа.

  14. Поднимаем свой поисковик или Fuck The Google!

    security

    Хватит доверять Google! Я поднял свой приватный поисковик, который не хранит твои данные и спокойно работает через прокси. Простой гайд и мои впечатления от SearXNG. Зацени, очень крутая штука!

  15. Как быстро скачать файл с сервера

    linux, security, devops

    Часто нужно быстро скачать файл с сервера, а настроить что-то сложное лень? Я расскажу, как с помощью одной команды Python поднять простой веб-сервер и скачать любой файл за пару секунд.

  16. Как тебя вычисляют по шрифтам, правда о browser fingerprint

    security

    Думаешь, что инкогнито спасет твою приватность? А вот и нет! Сегодня разбираемся, как браузеры узнают тебя по шрифтам и canvas-хешу, даже если куки отключены. Делюсь своими экспериментами и советами, как запутать слежку.

  17. Интимность данных. Как вернуть контроль над своей приватностью

    security, soft

    О том, как данные пользователей разлетаются по интернету и почему я решил полностью отказаться от сервисов Google. Делюсь крутым инструментом, который помогает легко и прозрачно защитить свою приватность на всех популярных ОС. Если устал от слежки — этот пост для тебя.

  18. Стабилизация реверс-шелла — советы из практики

    security, linux

    В пентесте реверс-шелл часто превращается в головную боль. Вот проверенный способ, который помогает быстро привести его в порядок и забыть про ошибки.

  19. Stop Using Pi-Hole – Technitium DNS Is Better

    self-hosted, linux, devops

    Если ты устал от сложных настроек DNS и хочешь кластер «из коробки», расскажу, как я быстро развернул Technitium DNS с минимальными усилиями.

  20. Как прокачать Minecraft сервер с помощью Angie

    devops, security, games

    Как мы мигрировали minecraft сервер на выделенный сервер и защитились от ботов с помощью Angie, просто и эффективно.

  21. Шифруем заметки в Obsidian

    security, workflow

    Выбираем и включаем плагин шифрования в Obsidian, чтоб критичные данные нигде не светились.

  22. Про DNS, домены и хостинги

    networks

    Выстраеваем понимание что есть домен, что есть хостинг, отделаем мух от котлет.

  23. Не меняется 22 порт после замены в ssh_config

    linux

    Разбираемся почему перестал меняться дефолтный ssh порт, залазием в кишочки и обнаруживаем интересное поведение.