Решил обновить весь цикл статей про почтовый сервер. Начал с самой актуальной - настройка Fail2Ban для защиты от перебора учёток и прочих паразитных соединений:

⇨ Защита почтового сервера Postfix + Dovecot с помощью Fail2Ban

Инструкция получилась универсальная, потому что и для Postfix, и для Dovecot пришлось писать свой шаблон под формат текущих логов свежих версий. Так что материал будет актуален для любого сервиса с текстовыми логами.

В очередной раз хотел сходить по лёгкому пути и попросил ИИ написать шаблоны. ChatGPT не справился совершенно. Мучал его минут 15, пока не понял, что это бесполезно и проще разобраться самому. Он постоянно обещал теперь точно рабочую версию, но всё мимо. PerplexityPro тоже не помогла.

Я пока спокоен за своё будущее трудоустройство. Современные ИИшки никаким интеллектом не обладают и даже имея документацию и похожие примеры не могут родить новое уникальное решение, которое ещё нигде не подсмотрели. У них хорошо получается с bash, думал и с другими вещами так же будет, но нет.

Fail2Ban очень старое, простое и эффективное средство. За столько лет у него не появилось аналогов, кроме CrowdSec, но он сильно навороченнее и движется в сторону масштабного сервиса, а не простой утилиты для одиночного сервера. При этом Fail2Ban, несмотря на свою простоту и топорный подход анализа логов, работает нормально и эффективно там, где нет больших нагрузок. Я его повсеместно использую.

Помню как-то даже шутку придумал:

«Если я усну и проснусь через сто лет и меня спросят, что сейчас настраивают системные администраторы Linux, я отвечу: блокировку SSH с помощью Fail2Ban».

Это придумано в контексте того, что сам я лично для SSH никогда не ставлю Fail2Ban. В этом просто нет большого смысла.

❗️Если заметка вам полезна, не забудьте 👍 и забрать в закладки.

———
ServerAdmin: 📱 Telegram | 🌐 Сайт | 📲 MAX

#fail2ban #mailserver #postfix #dovecot

⇨ Поднимаем свой сайт на Hugo с публикацией контента через Obsidian
Подробное руководство по настройке Hugo для ведения сайта. Модный последнее время движок статической генерации. Хорошо ложится в концепцию CI/CD с хранением материалов в GIT, так что многими используется просто из любви в конвейерам.

⇨ Как защитить пароли Active Directory от утечек
Установка и настройка Lithnet Password Protection для защиты и проверки паролей учёток. С её помощью можно обнаружить утёкшие в сеть пароли и предотвратить их использование в будущем.

⇨ Как добавить дополнительный контроллер домена в существующий домен
Немного теории и пошаговое руководство по добавлению ещё одного КД в домен. Я абсолютно всегда использовал минимум 2 КД в домене и вам того же советую. Но видел, что некоторые с одним сидят, бэкапят и думают, что всё будет нормально.

⇨ Как проверить роли FSMO в Active Directory
⇨ Как перенести роли FSMO в Active Directory
Ещё немного про AD. Из названий понятно, о чём там речь. В статьях пошаговые руководства.

⇨ Пишем скрипт на java перемещающий курсор раз в минуту.
Не знаю, зачем это реально может быть нужно, поэтому оставлю комментарий автора статьи:

"Когда у тебя нет прав на выполнение bat скриптов и стоит запрет на выполнение всех программ, кроме разрешенных. И тебя раздражает, что через пару минут экран блокируется. Хочется сделать шалость и сделать жизнь немного проще и лучше."

⇨ Бесплатный ИИ-ассистент для разработки на базе Gemini CLI и Kilo Code
Автор подключает Gemini CLI в VS Code для работы в виде ИИ агента. Столько всяких ИИ появилось, что даже и не знаешь, чем пользоваться. Я по-прежнему ИИ использую только как мощный поисковик и средство написания небольшой готовой функциональности, чтобы самому не вспоминать синтаксис.

⇨ Пишем скрипт для генерации контекста для AI
Небольшой код на Java, который собирает сводную информацию по проекту и формирует один txt файл, который можно скормить ИИ для погружение его в контекст проекта.

⇨ Diun — уведомления об обновлениях Docker-образов
Обзор небольшой утилиты Duin для отслеживания обновлений образов. Удобная штука, я ранее писал про неё.

⇨ Раздельный DNS - гайд от LinuxServer.io
По названию не понял сразу, о чём будет речь. На самом деле там про разные ответы разным клиентам. Если не ошибаюсь, это называется DNS Views. Я такое в Bind ещё лет 15 назад настраивал, когда свои сервера держал. Внутренним пользователям локальные адреса отдаёшь, а внешним - внешние.

⇨ Первоначальная настройка Authentik
Базовая настройка Authentik. У автора серия статей по этому продукту. Одна из самых популярных бесплатных IDP (система управления идентификацией и доступом).

⇨ Теоретические вопросы: Что такое OIDC и что такое Proxy Provider в Authentik
Продолжение темы с Authentik.

⇨ Базовая настройка Nftables в Linux с помощью Bash-скрипта
Подробно и с примерами про Nftables. Я уже и изучал их, и статьи, заметки писал. В целом всё понятно, удобно, но по старинке использую везде Iptables.

⇨ Где получить навыки red и blue team?
Авторский взгляд на онлайн площадки по обучению пентесту.
⇨ Роль сканера в процессе управления уязвимостями
Рассуждения автора на тему автоматических сканеров, подходов к их использованию, разных режимов работы и т.д. без привязки к конкретным решениям.
⇨ Роль киберразведки в защите инфраструктуры компании
Авторский взгляд на Threat intelligence или Киберразведку, в том числе на платные и бесплатные сервисы на эту тему.

⇨ Forced command в SSH: запуск только одной команды без доступа к оболочке
Полезная возможность по ограничению команд по SSH. Писал когда-то об этом и использую.

⇨ Подготовка образа виртуальной машины qcow2 на примере Debian
Не знал, что уже готовый образ qcow2 можно изменять с помощью консольной virt-customize без загрузки самой ОС из образа.

⇨ Организация собственного реестра Docker образов с помощью Harbor
Краткая инструкция по настройке Harbor.

❗️Если заметка вам полезна, не забудьте 👍 и забрать в закладки.

———
ServerAdmin: 📱 Telegram | 🌐 Сайт | 📲 MAX

#статьи

Пока в голове свежа тема почтового сервера, плюс тут в комментариях было много обсуждений по этой теме, выскажу некоторые свои мысли по поводу покупки почты как сервиса.

С точки зрения системного администратора, особенно того, кто не знаком с почтовыми серверами или по какой-то причине не любит их, проще и удобнее купить услугу как сервис и снять с себя все вопросы, связанные с настройкой и эксплуатацией. В целом, мне тоже нравится такой подход 😁. Если что-то упало или не работает, как надо, ты не при чём. Это всё сервис глючит.

На поверхности лежат основные минусы этого подхода:

➖ Можно потерять доступ к услуге или почте в целом по различным причинам, как техническим, так и юридическим. Забыли проплатить, вас забанили по ошибке, сервис упал или повысил стоимость и т.д.

➖ Могут быть неочевидны вопросы бэкапа и централизованного управления большой инфраструктурой. Последнее, кстати, актуально. Мне как-то довелось управлять большим количеством ящиков в Google Workspace. Они тогда вроде G-Suite назывались. Не было, к примеру, простой возможности всем добавить какое-то правило сортировки почты. Надо было либо инструкцию пользователям писать, либо в каждый ящик заходить. И таких моментов там много было.

➖ Чаще всего нет инструментов для анализа каких-то непонятных ситуаций. Пользователь может намудрить с правилами и письмо куда-то пропадает. Он жалуется, что почта не ходит. Поди разберись, в чём причина. Либо просто письмо не приходит, или он его сразу удалил. Ты тут можешь только развести руками.

➖ Нет возможности сделать какие-то гибкие настройки. Например, кому-то запретить заходить в ящик не из офиса. Запретить отправку на конкретные домены или наоборот разрешить переписываться только с определёнными доменами. Сделать централизованное автоудаление писем с какой-то конкретной темой. Я за свою работу много разных примеров видел, когда от почты хотелось немного больше, чем просто переписка.

❗️Это всё технические моменты. Но есть не менее важные и некоторые другие. Я не раз слышал такое мнение от руководителей и обеспеченных людей. Они не хотят светить свою переписку как личную, так и всей компании, в публичном сервисе, где она наверняка в обязательном порядке анализируется ИИ и подшивается к чему-то.

В итоге условный Яндекс или Мейл знает про тебя всё - где живёшь, сколько налогов платишь, какие накопления и инвестиции есть, где какие счета открыты, какая недвижимость, куда летаешь отдыхать и т.д. И по компании то же самое - вся твоя деятельность как на ладони: контрагенты, цены, условия, сотрудники, используемые сервисы и подписки и т.д. И всё это в режиме реального времени. Для кого-то это может быть несущественно, а какой-то бизнес может и пострадать из-за этого и даже не узнать об этом. Мы можем только предполагать, куда дальше утекают эти данные.

Если раньше до массового внедрения ИИ ещё были какие-то сложности с анализом всего этого, то теперь уже точно нет. И вот тебе продают услуги, назначают тарифы по цене x2 от той, которая могла бы быть, если бы о тебе ничего не знали. А может какие-то современные рейдеры в законе приходят с предложением, от которого невозможно отказаться.

☝️Так что вопрос это не такой простой, как может показаться на первый взгляд. И лежит не только в технической плоскости. Активная деловая переписка содержит много различной информации, причём уже в готовом виде. Это не СУБД по модели SaaS, где ещё ковыряться в данных надо. Возможно не стоит её вот так опрометчиво отдавать кому-то. Запустил свой сервер где угодно, настроил Thunderbird пользователям в офисе. И твоя переписка теперь только у тебя. Не такая уж большая переплата за это.

Понятно, что это вопрос не к техническим специалистам, и не им решать, где и как будет жить почта. Я не увидел вообще обсуждений в подобном ключе, поэтому решил лишний раз напомнить, что есть и такие нюансы.

#mailserver