====== Как защитить систему от случайного отключения ======

==== Установка ====

Установить пакет Molly-Guard.

<code bash>
$ sudo apt install molly-guard

</code>

Она в основном отменяет следующие утилиты :''halt'' ''shutdown'' ''poweroff'' ''reboot''

// Можно также переопределить утилиты ''pm-hibernate'', ''pm-suspend'' и ''pm-suspend-hybrid'', но это потребует дополнительных операций //

Конфигурация хранится в каталоге /etc/molly-guard/.

==== Тестирование в демонстрационном режиме ====

Конфигурация по умолчанию защитит от случайных операций.

<code bash>
itsecforu@example:~$ sudo reboot --molly-guard-do-nothing
I: demo mode; molly-guard will not do anything due to --molly-guard-do-nothing.
W: molly-guard: SSH session detected!
Please type in hostname of the machine to reboot: example
molly-guard: would run: /lib/molly-guard/reboot
itsecforu@example:~$ sudo reboot --molly-guard-do-nothing
I: demo mode; molly-guard will not do anything due to --molly-guard-do-nothing.
W: molly-guard: SSH session detected!
Please type in hostname of the machine to reboot: x
Good thing I asked; I won't reboot example ...
W: aborting reboot due to 30-query-hostname exiting with code 1.

</code>

Осторожно, вы можете использовать более прямой подход к перезагрузке сервера.

<code bash>
$ ssh itsecforu@example sudo reboot --molly-guard-do-nothing
I: demo mode; molly-guard will not do anything due to --molly-guard-do-nothing.
molly-guard: would run: /lib/molly-guard/reboot

</code>

==== Создание дополнительных сообщений ====

Вы можете создавать сообщения для определенных операций и сохранить их в каталоге /etc/molly-guard/messages.d.

Определите сообщение для операции перезагрузки.

<code bash>
$ echo -e "\nТы чего там удумал, старый...\n" | sudo tee /etc/molly-guard/messages.d/reboot

</code>

Любая другая операция без определенного сообщения будет использовать файл по умолчанию, если он существует.
<code bash>

$ echo -e "\nСообщите команде DevSecOps .\n" | sudo tee /etc/molly-guard/messages.d/default

</code>

Следующие примеры иллюстрируют это поведение.
<code bash>

itsecforu@example:~$ sudo reboot --molly-guard-do-nothing
I: demo mode; molly-guard will not do anything due to --molly-guard-do-nothing.

Ты чего там удумал, старый...

W: molly-guard: SSH session detected!
Please type in hostname of the machine to reboot: example
molly-guard: would run: /lib/molly-guard/reboot
itsecforu@example:~$ sudo shutdown --molly-guard-do-nothing
I: demo mode; molly-guard will not do anything due to --molly-guard-do-nothing.

Сообщите команде DevSecOps

W: molly-guard: SSH session detected!
Please type in hostname of the machine to reboot: example
molly-guard: would run: /lib/molly-guard/shutdown

</code>

==== Создание дополнительных проверок ====

Требовать, чтобы stdin открывался на терминале, чтобы не позволять выполнять какие-либо из этих операций при неинтерактивном использовании SSH.

Создайте проверку 20-require-stdin в каталоге /etc/molly-guard/run.d/.

<code bash>
#!/bin/sh
#
# 20-require-stdin - require stdin opened on a terminal
#
set -eu

# require an interactive terminal connected to stdin
if [ ! -t 0 ]; then
  echo "STDIN is not opened on a terminal; I won't $MOLLYGUARD_CMD ...">&2
  exit 1
fi

</code>

Убедитесь, что к этому файлу применены надлежащие права.

В следующем примере эта проверка будет использоваться для защиты системы от случайной перезагрузки.

<code bash>
$ ssh ansible@example sudo reboot --molly-guard-do-nothing
I: demo mode; molly-guard will not do anything due to --molly-guard-do-nothing.

Ты чего там удумал, старый...

STDIN is not opened on a terminal; I wont reboot...
W: aborting reboot due to 20-require-stdin exiting with code 1.
ansible@example:~$ sudo reboot --molly-guard-do-nothing
I: demo mode; molly-guard will not do anything due to --molly-guard-do-nothing.

Ты чего там удумал, старый...

W: molly-guard: SSH session detected!
Please type in hostname of the machine to reboot: example
molly-guard: would run: /lib/molly-guard/reboot

</code>