Темы
Разделы
Интересы
Top 20
 |
После прочтения на Хабре недавних статей, посвящённых теме безопасности линукс систем, у меня возникло желание поделиться своей точкой зрения на этот вопрос.
Статья в целом рассчитана на начинающих администраторов, поэтому в ней изложены очевидные для хорошего специалиста вещи. Ценные дополнения и замечания приветствуются.
Копи-пейст выдержки из конфиг файлов я почти не буду приводить по трём причинам:
Это приведёт с излишнему разрастанию статьи
Маны и гугл никто не отменял
Пункт 2 очень полезен для развития специалиста
Итак, как повысить безопасность и надёжность сервера (да и рабочей станции) на базе линукс?
Читать дальше → habrahabr.ru »
|
|
Информация будет особенно полезна тем, кто начинает свою карьеру. Обычно первое резюме пугающе пустое, кроме образования, практики и дипломной работы – в нём ничего нет. Практический опыт отсутствует, но есть энтузиазм и жажда знаний. Предлагаю вашему вниманию возможность не только получить знания, но и подтвердить их сертификатом, который можно будет приложить к резюме, добавив ему веса.
Читать дальше → habrahabr.ru » | Так повелось, что фильтр U32 в подсистеме управления трафиком ядра Linux считается простым и понятным, а потому в подробном документировании не нуждается. Например, в LARTC (Linux Advanced Routing and Traffic Control) про него лишь несколько абзацев. Но на самом деле U32 устроен гораздо сложнее и интереснее, но и в использовании он не так прост, как может показаться. Под катом статья по этому фильтру с примерами использования и подробными пояснениями.
Читать дальше → habrahabr.ru » | PSGI — это интерфейс между perl приложением и веб сервером, позволяющий абстрагироваться от реализации подключения к веб серверу. PSGI приложения хорошо масштабируются, особенно при использовании Nginx в качестве фронтенда и балансировщика нагрузки.
В этой небольшой заметке я расскажу как развернуть небольшое PSGI приложение. Если приложение будет большим, вероятно, и заметка потребуется побольше.
Читать дальше → habrahabr.ru » | Многим известны книги Томаса Лимончелли по системному администрированию, очень ценные для админа книжки. На его сайте тоже немало интересного, среди прочего нашёл такую статью: «A list of dumb things to check». На русском языке она, к сожалению, не нагуглилась, переводил сам. После допилинга под свои условия буду использовать как часть КМБ у себя в отделе, а первоначальный перевод выкладываю тут.
Читать дальше → habrahabr.ru » | С вирусами стало сложно. С эксплойтами сложно. Антивиры помогают конечно, но машину грузят, да и надежность срабатывания не позволяет расслабиться. Но это еще ладно, вирусы это внешние факторы. А сама операционка? Раздел winsxs почистить невозможно (я нашел всего одну полурабочую тулзу) растет он по 1 гигу в месяц и размер его ввиду сплошных ссылок — сплошное же вранье. Реестр полон грязи от всевозможных левых, полулевых и очень даже правых программ. И качественно зачистить его тоже никто не может.
Однажды я понял, что лучше не будет, это технология. Регулярные чистки не помогают, антивирусы молчат. Пришлось искать другой выход. С год назад выход был установлен и опробован. Тоже, в общем технология, одним действием дело не ограничивается. Но один раз настроив — таки да можно реально расслабиться. Ничего принципиально нового, у меня просто хватило терпения довести дело до конца. Дальше — описание. Читать дальше → habrahabr.ru » | ![Системное администрирование / [Из песочницы] Перспектива системного администратора и облачные сервисы](http://img13.imageshost.ru/img/2012/02/01/image_4f295b6b2abc1.png) Мы знаем, что с изобретением фабричного конвейера, который позволил автоматизировать ручной труд, произошло массовое сокращение рабочих мест, вместе с тем повысив общие требования к квалификации персонала.
С приходом облачных технологий ситуация повторяется.
В данной статье будет идти речь о перспективах профессионального развития Windows-ориентированного системного администратора.
Читать дальше → habrahabr.ru » | Хочу рассказать об одном из своих первых опытов общения с FreeBSD и настройке IPSEC для связи с D-Link DI-804HV и проблемах, которые возникли при этом. Надеюсь, это поможет народу не наступать на мои грабли.
Так получилось, что когда я пришел на новую работу, то в мою сферу ответственности попал сервер с FreeBSD, который был шлюзом в Интернет — на нем крутился почтовый сервер и файерволл. По предыдущей работе был опыт работы с Линуксами, но FreeBSD до этого в глаза не видел. И вот одна из первых задач на новой работе была настроить соединение с удаленным офисом через инет, для этого туда прикупили железку D-Link DI-804HV. Решено было соединить это все хозяйство через IPSEC.
Читать дальше → habrahabr.ru » | ![Системное администрирование / [Из песочницы] Thinstation — «худеем» с тонкими клиентами до версии 2.5](http://www.dutyfree58.ru/userfiles/9531.jpg)
Доброго времени суток, Хабр!
Относительно недавно в свет вышла новая версия популярного тонкого клиента Thinstation, а именно 2.5. И, конечно же, несет в себе как новые плюшки, так и новые грабли плюс минимум документации по новой версии.
В этой статье (а она расчитана на новичков, особенно для тех, кто слабо знаком с Linux) я опишу как быстро собрать тонкого клиента и сделать его использование достаточно безопасным. Под хабракатом использование смарт-карт, RDP-клиент фирмы 2X и хэппи-энд. Добро пожаловать!
Читать дальше → habrahabr.ru » | Многие знают, что Amazon предоставляет возможность автоматически наращивать мощность вашего пула (увеличивать количество виртуальных серверов) в зависимости от нагрузки. Однако я не сумел найти в русскоязычном сегменте сети толкового описания практической реализации такой схемы. Рискну представить на суд общественности итог моих штудий на данную тему.
Итак, вводные данные. Наш сервер, судя по кривой посещаемости, в скором времени начнёт испытывать весьма суровые нагрузки, особенно в пиковые моменты. Для эффективной обработки трафика, а также во избежание отказов в обслуживании было решено использовать механизмы, предоставляемые Amazon, позволяющие в реальном времени запускать необходимое количество серверов. При этом, когда нагрузка спадает, получившийся пул должен «сбавлять обороты», автоматически уменьшаясь в размерах, и тем самым уменьшать финансовые затраты на проект.
Читать дальше → habrahabr.ru » | Жил да был сервер в далекой стране. По техническим характеристикам для своего времени он был не плох — Intel Core Quad Q6600 2.4GHz 8GB RAМ Intel DQ965GF motherboard, 3ware7xxx/8xxx raid controller и 2 SATA диска по 300GB в raid 1 масcиве.
И вот однажды решил на этом сервере один из дисков в raid умереть — а раз решил, то и умер. Естественно было предположить, где один диск умер, там и второй умереть может — надо менять. Да и расширить дисковое пространство не помешает, подумали мы.
Кое-как с грехом пополам купили новые 2TB диски — кризис и в далеких буржуйских странах был с жесткими дисками. Сервер был критически важным, но выключать и мучать его можно было некоторое время — были дублеры.
Решили мы обновить и программное обеспечение…
Читать дальше → habrahabr.ru » | Доброго времени суток.
В моем доме пока нет возможности подключить интернет. Если вывесить Wi-Fi адаптер за окно можно поймать несколько сетей кафе с бесплатным интернетом. Однако хочется чтобы Интернет был по всей квартире. Можно из Wi-Fi роутера сделать репитер, но тогда домашняя сеть оказывается открытой для других. В результате копаний Интернета и бесед на форуме было найдено решение как брать Интернет из открытой беспроводной сети и раздавать его в закрытой сети с шифрованием.
Читать дальше → habrahabr.ru » | После настройки MySQL репликации master-master, следующий логический шаг это настройка проверки этой системы. Читая туториалы по интернету стало ясно, что подобная репликация — дело популярное, а слетает оно на раз два три. Поэтому решил вставить проверку — а работает ли репликация до сих пор, или что-нибудь произошло и все слетело.
Первые же несколько гугл запросов показали, что верить «SHOW SLAVE STATUS\G» нельзя: Штука хорошая, но врет часто и помногу. Немного подумав, я пришел к следующему решению:
Читать дальше → habrahabr.ru » | Бэкап важной информации — каждый системный администратор сталкивается с такой задачей. Задача казалось бы тривиальная и у многих читателей интереса не вызовет. Но, например, мне бы такая статья в определенный момент помогла бы весьма сильно, поэтому считаю, что этой статье быть.
Задача: Бэкап данных в локальную директорию и на отдельный сервер, с использованием минимума стороннего ПО, логированием и оповещением администратора в jabber при сбоях. Все основные функции большинства ПО для автоматического бэкапа, но без установки оного, а следовательно без его багов (что, собственно, и привело к подобной идее).
Читать дальше → habrahabr.ru » | Введение
Эта статья – скорее из разряда «для самых маленьких», чем «для умудренных опытом», но она призвана повышать профессиональную культуру системных администраторов.
В силу специфики работы мне «по наследству» достается самый разнообразный облачный ад, который приходится разгребать, оптимизировать, приводить в чувство и делать прозрачным и красивым. Эти заметки, пожалуй, иллюстрация к тем моментам, которые вообще недопустимы в системном администрировании.
В причинах, которыми порождаются эти анти-паттерны, можно разбираться очень долго: дедлайны, законы и темпы бизнеса, да и просто идиотизм, наконец. Но цель статьи другая. Мне бы хотелось породить конструктивную дискуссию. А вот уже её результаты и являются основной целью статьи.
Читать дальше → habrahabr.ru » | Каждый знает о загрузочных флешках, и многие имеют карточку с несколькими системами. Но при их использовании возникает множество неудобств, например:
Медленная загрузка с iso-образов
Путаница в файлах нескольких систем(попробуйте разделить Ubuntu и BackTrack без костылей!)
Невозможность поставить несколько однотипных систем(опять же, не используя костыли)
И конечно, весь этот балаган мешается под рукой, когда нужно просто перекинуть несколько файлов.
Сегодня я вам расскажу, как избежать все эти минусы удобно и относительно быстро.
Читать дальше → habrahabr.ru » | Понадобилось начальству в своё время организовать своими силами видео-наблюдение за некоторыми вещами и уложиться в минимальное финансирование. Задача автоматизировать это легла на плечи системного администратора, то есть – меня.
Дано: N – видео-камер D-Link 2102, физический двух-юнитовый сервер под сервер видео-наблюдения и удаленное файло-хранилище.
Результатом должна быть возможность пускать некоторых пользователей на сервер видеонаблюдения в онлайн режиме и организовать архив видеозаписей.
Под катом несколько скриптов, которые сильно помогли мне понять, как лучше писать код, зачем нужны многие вещи и как они решаются, а так же навести порядок в своей голове и очень надеюсь, что они помогут кому-то еще.
Проект писался достаточно сложно — настолько сильно я shell(bash) скрипты не изучал — не было надобности до этого.
Но, когда задача поставлена и в голове есть алгоритм решения — все скрипты были переделаны так, чтобы читая их через пол года у меня и моего преемника не было вопросов и желания переписать все с нуля.
Читать дальше → habrahabr.ru » | Предисловие
В этой статье я хотел рассказать о своем опыте построения отказоустойчивого Web-сервиса. Я разрабатывал внутреннюю систему управления предприятием на PHP+MySQL (корпоративный портал), и, так как почти вся жизнь предприятия зависит от работоспособности этой системы, вопросы отказоустойчивости приобретают большое значение. Вместе с тем предприятие небольшое, соответственно, позволить себе дорогое железо и технологии оно не может, да и простой системы в несколько часов для него тоже не смертелен. Поэтому я старался решить эту задачу с минимальными денежными вложениями и обходясь своими силами и небольшими знаниями в области администрирования. Читать дальше → habrahabr.ru » | На просторах хабра мне попалась пара статей «Mikrotik Router OS, скрипт для динамического деления скорости». А поскольку этой проблемой я занимаюсь уже не первый год, я решил поделиться своими знаниями.
Прежде всего, эта статья пригодится тем, кто имеет желание «справедливо делить интернет» между несколькими клиентами сети. Однако решение подойдет и для разделения канала связи нескольких офисов или доступа к отдельным ресурсам, и для шейпинга.
Читать дальше → habrahabr.ru » | Все может быть, что данная заметка пригодится тем суркам-администраторам, которые до сих пор (о, ужас!) не перевели системные часы своих серверов, позволив умным машинам установить зимнее время. Да, конечно, мы-то с Вами к таким не относимся и вовремя пропатчили свою любимую ОС, под которой крутится успешно не один сайт.
Но все это касается операционных систем свежих версий, именно для них вовремя появились соответствующие обновления. Но что же делать с динозаврами, с теми машинами, которые испытанно, годами, служат нам верой и правдой, а мы так и не сподобились обновить на них ОС?
Обновим на них базу данных временных поясов вручную.
Это несложно и именно об этом пойдет речь в этой заметке.
Читать дальше → habrahabr.ru » | Хочу представить описание методики защиты корпоративной почты от спама, позволяющей использовать преимущества отдельных инструментов фильтрации адресов, избегая недостатков этих же методов.
Можно выделить, что эти приемы можно использовать на SMTP-прокси, закрывающем корпоративный почтовый сервер, находящийся в DMZ.
Зачастую администраторы избегают некоторых эффективных приемов фильтрации, из-за недостатков того или иного подхода. Например — фильтры DNSBL нередко дают ложные срабатывания на те узлы, которые попадают в него по ошибке — например, в составе всего блока адресов отдельного провайдера. Часто используемый способ фильтрации на основе простого определения PTR-записи тоже имеет свойство давать сбои в случаях, когда записи A и PTR — не совпадают, или просто возникли проблемы со службой DNS.
В этой статье я хочу показать, как разбивать отдельные способы фильтрации на более мелкие и оперировать фильтрацией по совокупности данных об отправляющем узле, а не только по результату одного запрещающего правила.
Данная методика существует давно, мне встречались разные реализации этой идеи разными специалистами, а эта вариация в более кратком виде была описана мною еще 5 лет назад в рассылке exim-users@exim.org (статью еще можно найти в архиве рассылки), но, несмотря на простоту реализации и наличие документации, сейчас они применяются почтовыми администраторами нечасто.
На примере почты компании «Horns'n'Hoofs» с доменом hornsnhoofs.com попробуем рассмотреть не выдуманные, а вполне работоспособные «в бою» приемы фильтрации.
Читать дальше → habrahabr.ru » | ![Системное администрирование / [Из песочницы] Системное администрирование. Как решить проблему конфликта приложений](http://habrastorage.org/storage1/730651ed/6382ef56/8ccd7c0d/438f026f.png)
Как установить две версии приложения на одном компьютере? Как решить проблему конфликта приложений? Как сделать приложение более безопасным для системы?
Как?
Читать дальше → habrahabr.ru » | День добрый.
Появилась необходимость в создании HotSpot точки. Как человек, немного знакомый с UNIX, я решил искать софтверные решения. Тем более что покупать специальное железо для этого дела не было возможности. Да и требования были весьма минимальными. А именно организовать раздачу WiFi так, как это сделано, к примеру, в сети McDonnalds. Т.е. пользователь пришел, подключился к сети и спокойной получил свои 30 минут интернета. Либо 15 мегабайт трафика.
Читать дальше → habrahabr.ru » | Для чего это нужно: Допустим вам нужно организовать пару тройку независимых удаленных рабочих столов. Не арендовать же под каждый rdp, отдельный сервер, можно арендовать один и сделать их там хоть 16 штук.
Арендовав пару серверов класса EX4 на hetzner.de я встал перед проблемой, в сервере установлено два диска по 3Tb и все. Есть известная проблема, что диски с таблицей разделов MBR могут адресовать только 2,2Тб. Было два варианта, либо настраивать MBR и отказываться от 800гигов дискового пространства, либо сделать таблицу GPT и попытаться загрузиться из неё, что весьма не тривиально, но по факту просто.
Плюс небольшой HOWTO как поставить Xen.
Читать дальше → habrahabr.ru » | ![Системное администрирование / [Из песочницы] Roundcube + hMailServer или своя почта в маленькой организации](http://games.16mb.com/image/cover.jpg)
Читать дальше → habrahabr.ru » | Среди большого списка административных задач зачастую появляется необходимость в ограничении или блокировке определенному кругу пользователей доступа к своему ресурсу.
Существует просто огромное количество решений на эту тему. Но самое распространенное в Linux системах — это создание правил маршрутизации пакетов при помощи iptables.
На эту тему написано достаточное количество статей, а также переводы официальной документации.
Сегодня я хотел бы рассказать о том, как я реализовал одну нешаблонную задачу. Совместно с hdg700 мы написали небольшой, но полезный, как мне кажется, скрипт, который назвали gBlocker.
Главной задачей, возлагаемой на программу, является создание цепочки правил iptables на основе различных списков, содержащих ресурсы, над которыми необходимо произвести действия. Попутной задачей реализуем возможность логирования блокируемых пакетов для статистики и отображения в системе мониторинга Nagios.
Читать дальше → habrahabr.ru » | В моем примере я буду настраивать одностороннюю репликацию на уровне транзакций. Надо иметь ввиду, что существую и другие типы репликации данных SQL.
Предварительно необходимо удостовериться, что компонент SQL Server Replication установлен на обоих серверах.
1. На сервере-распространителе создаем локальную публикацию (local publication).
1.1. Указываем базу, данные которой мы хотим реплицировать на другой сервер
Читать дальше → habrahabr.ru » | VLAN
VLANs – это широковещательные домены или, если угодно, виртуальные сети, которые существуют на втором уровне модели OSI. То есть, вилан можно настроить на коммутаторе второго уровня. Если смотреть на вилан, абстрагируясь от понятия «виртуальные сети», то можно сказать, что VLAN – это просто метка в кадре, который передается по сети. Метка содержит номер вилана (его называют VLAN ID или VID), – на который отводится 12 бит, то есть, вилан может нумероваться от 0 до 4095. Первый и последний номера зарезервированы, их использовать нельзя. Рабочие станции о виланах ничего не знают. О них думают коммутаторы. На портах коммутаторов указывается в каком вилане они находятся. В зависимости от этого весь трафик, который выходит через порт помечается меткой, то есть виланом. Таким образом этот трафик может в дальнейшем проходить через другие порты коммутатора(ов), которые находятся в этом вилане и не пройдут через все остальные порты. В итоге, создается изолированная среда (подсеть), которая без дополнительного устройства (маршрутизатора) не может взаимодействовать с другими подсетями.
Читать дальше → habrahabr.ru » | В этой статье описывается, как изменить скорость пользователям под NAT, по времени суток с использованием демона планировщика.
Используется система FreeBSD 8.1, но этот вариант изменения скорости доступен и на всех остальных версиях, где есть ipfw и cron, а это значит — практически на всех ветках и релизах FreeBSD. Читать дальше → habrahabr.ru » | Где-то 3 месяца назад в нашей фирме поднялся вопрос о регистрации обращений пользователей в IT отдел. Мне было поручено просканить интернет на предмет системы учета заявок, такого себе хелпдеска. Требования были предъявлены следующие:
1. Бесплатность (да-да, платить за эту систему отказались).
2. Возможность сбора статистики (для больших боссов).
3. Сигнал на почту (не только админам, но и пользователям, а так же всем заинтересованным именно в этой заявке лицам).
4. FAQ и база знаний.
Сказано — сделано. Так как все эти системы для меня были в новинку, то по совету на каком то из форумов я выбрала GLPI. Тем более, что эта система обещала облегчить процесс инвентаризации, что является довольно неплохим бонусом!
Читать дальше → habrahabr.ru » | Доброго времени суток, уважаемые читатели.
Хочу поделиться своим опытом развертывания сетевых служб в маштабах малого офиса. Написанное далее разумеется не претендует на самый эффективный путь, однако эта схема себя оправдала с точки зрения отношения затраченных средств к производительности, гибкости и надежности.
Я думаю, что для тех, кто работал в обычной российской компании численностью менее 20-30, не секрет насколько руководство зажимает деньги на развитие IT. Так было и в компании X, где я работал. Читать дальше → habrahabr.ru » |
|
| |
|