Посоветуйте, домен или все таки нет?

[gardarea51]

PbI6A, многое из этого уже сделано или было обдумано и не сделано. Админю да, по VNC (сотрудникам на их 10 компов IP выдвется с привязкой по маку), остальные компы студентов - там все абсолютно идентично, так как развернуто из образа. Поэтому админить особо нечего. В образе же и обновления и софт и adblock. Студентам выдаются адреса свыше скажем 30го (192.168.2.31-192.168.2.254), для них на сквиде запрещено качать всякие .exe, но разрешено с серверов обновлений MS. Обновляю вручную когда время выдастся и делать нечего. Раньше еще стоял dansguardian, штука классная (имена файлов фильтров это жесть =), потом просто оставил прозрачный сквид, только 80й порт. Студенты умудрялись качать warface и играть, это дело конечно было пресечено. Внешний канал всего 2Мбит/с на всех. Хотел понакрутить шейпер с помощью iproute2, но по факту резать просто нечего, канал слишком узкий. Насчет авторизации просто на компе - да думал, но такая авторизация мне кажется полностью бесполезна без домена + она бы вызвала бурю негодования. В итоге сейчас авторизация есть, но только для шар и личных каталогов на самбе и она скрыта от юзера. Ибо требование начальства было (да и сейчас есть) "Никаких паролей". Однако, начальство можно и убедить в обратном, но нужно тогда дать вкусные плюшки взамен того, что есть и что просто работает. Насчет учений по горячей замене диска. Я уже наученный, было дело. А делать это для нового админа пока нет смысла, я пока никуда уходить не собираюсь, возможно через N-ное время уйду на неполный рабочий день (плавающий график), но это так, в перспективе.

rayanAyar, про бэкап я сразу думал, его конечно нужно делать.. но я его не сделал еще ни разу, наверное из-за банального попустительства. USB-Диск у меня есть (личный), естественно он не будет лежать рядом с сервером круглосуточно, ибо я всегда этажом выше и буду его забирать. Это не проблема, это скорее мое раздолбайство (да я знаю я плохой и нехороший). Схему бэкапов данных, пусть даже не системы, в любом случае придется в скором времени внедрять.

Тут еще дело в том, что мне не так давно наняли "напарника" (который и есть бывший админ). Мужик нормальный, правда в компах так то деревянный, зато в 1С шарит весьма. Он 1С-программист. Но есть у него печальный минус.. Бухает. Вот и сейчас он бухает, скорее всего будут увольнять. Я по наивности надеялся, что он разгрузит меня от части эникейской работы типа "Пришел новый модуль надо установить", "У нас ксерокс сломался", "А как тут табличку поправить", "У меня что-то не работает" и может быть я бы занялся чем-то более интересным. Но не вышло, чувак забухал и все идут ко мне. Я то понимаю, что это кузькина работа, бессмысленная и беспощадная, но делать ее приходится, а после этого в голову умные мысли уже не лезут. Да и уж если совсем по чесноку, то не настолько большая у меня зарплата, чтобы делать из тележки бронепоезд (не секрет, всего 15к). Ну как то так =).

[xbsd]

В итоге сейчас авторизация есть, но только для шар и личных каталогов на самбе и она скрыта от юзера. Ибо требование начальства было (да и сейчас есть) "Никаких паролей".

ну вот еще один довод в пользу АД. ам пароль водится один раз, при логоне пользователя в системе.

[gardarea51]

Сегодня как раз отослал подготовленное еще до НГ письмо в головной ВУЗ по поводу лицензий, что было бы неплохо семерок и винСерв. Так что может быть еще придется покупать книжку по винсерву. =)

[PbI6A]

Не надо тебе вынь-сервер, поверь! Нахлебаешься с ним...

[ihammers]

Хотел написать ответ как только появился тред, но отвлёкся на другую задачу, а сейчас несколько мыслей по поводу вопроса:

• Правильно говорят, что нужно разделить уязвимую точку.  Как-то нехорошо держать документы на шлюзе.
• Плохо что у вас не понимают о важности использовании паролей, компьютерная безопасность.  Может это и не удобно, но решает множество проблем со студентами которые могут что-нибудь удалить.  Или кто-нибудь подойдёт к компьютеру и удалит важные файлы.
• Насчёт домена... а может всё-таки реализовать это через LDAP + Kerber, там также можно реализовать один раз пароль ввел и всё, хотя и там и там программы могут глюкнуть.  Вот у нас AD с ntlm, так у некоторых пользователей браузер иногда спрашивает пароль.
• Если есть возможность, то думаю стоит разворачивать всё в виртуальных средах, например proxmox.
• Если использовать AD, то при установки он предложит установить DNS, даже если у вас уже есть, у нас bind, а некоторые доменные машины используют DNS север AD.
• Совет, пишите тех.документацию, чтобы если что можно было в кратчайшие сроки восстановить сервис/сервер, просто через определённое время либо вы уйдёте, либо можете забыть как настраивалась какая либо программа, и придётся заново перечитывать кучу литературы для поднятия её.

Пока думаю что всё, но может что ещё вспомню, что хотел сказать.

[gardarea51]

Тех документации как таковой у меня нет, но есть сохраненные конфигурационные файлы. Хотя, наверное нужно будет это все упорядочить и пожалуй даже распечатать, обозначив роли сервера и некоторые нюансы. Этим я займусь даже пожалуй на след. неделе.

Вспомнил еще одно, что очень сильно повлияло на то, что от домена я отказался. Студенты. Их много и вести учет их имен и паролей будет довольно жестко. В принципе как пароль можно стандартно использовать номер зачетки, но меня честно говоря просто отпугнуло их количество и постоянная текучка. Кого-то отчислили, кто-то сменил фамилию, кто-то восстановился, целые группы переводятся в головной вуз, кто-то вливается и прочее. Штат сотрудников практически неизменен, но не студенты.

Ну и пришли некоторые мысли как бы сделать все в идеале без сильного изменения общей схемы. Шлюз/роутер - какой нибудь микротик. Файлпомойка - отдельный компьютер (как сейчас с массивом из объемных шустрых дисков). Сервисы DNS,DHCP,Squid,Jabber - отдельный компьютер (+ какое то его резервирование, да хотя бы просто клон на жестком диске, который можно раз в месяц обновлять). И еще нужен отдельный компьютер этажом выше, который будет каждую ночь бэкапить данные с файлпомойки, а с него я уже буду либо забирать их на свой USB-диск, либо резать на болванки (если бэкапы инкрементные).

В ближайшем времени хочу попробовать покурить самбу4, тестово запустить и погонять. Ей можно рулить административными утилитами от MS, а это уже гораздо удобней даже в плане добавления пользователей, к тому же они все уже хранятся в ldap и не нужно использовать для этого сторонние пакеты типа ldapscripts, smbldap-tools, маппить группы и пр (ну я надеюсь =). Но это все конечно хорошо, но нужно разбираться как это все настраивать. Я самбу 3 то довольно долго раскуривал, надеюсь что ума хватит. Жаль конечно, что из друзей никто не занимается такими вещами, как обычно сидишь один втыкаешь типа "что ж такое ldap, схемы какие то, ldif'ы". Так что просто самообразование во времена порывов появления энтузиазма. С напарником было бы конечно веселее. =)

Кстати, а кто что думает о такой штуке как Zentyal? Я как то ее смотрел, в общем то понравилась, но использовать не стал.

[rayanAyar]

Файлпомойка - отдельный компьютер (как сейчас с массивом из объемных шустрых дисков).

Сеть-то хотя бы гигабитная? А то бывает сервак с крутым RAID-ом поставят, а свич стоит 100-мегабитный. И толку тогда от этих шустрых дисков, если скорость ограничивается в десять раз более медленной сетью.

И еще нужен отдельный компьютер этажом выше, который будет каждую ночь бэкапить данные с файлпомойки

Если только для бекапов - можно NAS использовать. (и табличку приклеить "При пожаре выносить первым" ).

Правильно говорят, что нужно разделить уязвимую точку.  Как-то нехорошо держать документы на шлюзе.

Лично я не вижу в этом никакой проблемы. У меня нет бюджета для покупки отдельной машины под каждый сервис. Организация небольшая, поэтому до тех пор, пока хватает производительности сервера, я буду держать на нём все сервисы (в моём случае это маршрутизация, DNS, DHCP, VPN, Samba и ещё по мелочи). Кроме того это гораздо проще в настройке. По каким причинам их разделять?

Безопасность? Дак если сломают внешний маршрутизатор - то сломают и внутреннюю файлопомойку.
Надежность? Как я уже говорил любые RAID-ы, UPS-ы и разделения в том числе - это вторично. Они не могут дать никакой гарантии. Более-менее можно спать спокойно только при наличии хорошей системы резервирования. А если есть резервирование - нет необходимости в разделении.

[gardarea51]

Сеть-то хотя бы гигабитная? А то бывает сервак с крутым RAID-ом поставят, а свич стоит 100-мегабитный. И толку тогда от этих шустрых дисков, если скорость ограничивается в десять раз более медленной сетью.

3 основных свитча имеют гигабитный канал между собой, файлпомойка также включена в первый свитч в гигабитный порт. Все клиенты - в 100Мегабитные порты. Так что это есть и не является узким местом. Специально ездил в другой город покупал на свои кровные гигабитную PCI-E сетевушку.
Сообщение объединено: 27 января 2013, 10:02:21

Надежность? Как я уже говорил любые RAID-ы, UPS-ы и разделения в том числе - это вторично.

Ну все таки это лучше, чем простой компьютер, на котором расшарена сетевая папка. На днях приделал смс-уведомление на телефон при выпадении диска из массива. Вроде тоже ничего, но мало ли, уже получше.

[ihammers]

Правильно говорят, что нужно разделить уязвимую точку.  Как-то нехорошо держать документы на шлюзе.

Лично я не вижу в этом никакой проблемы. У меня нет бюджета для покупки отдельной машины под каждый сервис. Организация небольшая, поэтому до тех пор, пока хватает производительности сервера, я буду держать на нём все сервисы (в моём случае это маршрутизация, DNS, DHCP, VPN, Samba и ещё по мелочи). Кроме того это гораздо проще в настройке. По каким причинам их разделять?

Безопасность? Дак если сломают внешний маршрутизатор - то сломают и внутреннюю файлопомойку.

Ну во первых при отказе шлюза, ваши сотрудники смогут продолжать работать с документами.  Во вторых у вас одни и те же пароли на этих системах?  Вероятность мала, что у вас подберут пароли к двум системам и вы при этом этого не заметите.

Советую поставить logwatch и прописать в /etc/cron.daily/00logwatch ваш почтовый адрес.  Каждый день будут высылаться отчёты, в которых будет видно сколько раз вас пытались ломануть, и кто делал sudo.

[rayanAyar]

Ну во первых при отказе шлюза, ваши сотрудники смогут продолжать работать с документами.

Не смогут. Ибо при отказе шлюза работа просто встанет. Для работы нужен и шлюз, и samba. Так как с этим сервером работают по инету (через VPN конечно) восемь филиалов. Вывод - нет смысла разделять в целях "надёжности".

Во вторых у вас одни и те же пароли на этих системах?  Вероятность мала, что у вас подберут пароли к двум системам и вы при этом этого не заметите.

Если пароль к одному из серверов подобрали - значит админ полный идиот, раз поставил подбираемый пароль. Не рассматриваем этот вариант.
Если пароль к одному из серверов украли - скорее всего так же смогут украсть и пароль к второму серверу. Вывод - разделение не гарантирует безопасности.
Если вломились на один из серверов с помощью zero-day - скорее всего так же вломятся и на второй. Вывод - разделение не гарантирует безопасности.
Ещё какие-нибудь варианты?

Каждый день будут высылаться отчёты, в которых будет видно сколько раз вас пытались ломануть

Да я и так это вижу. А толку от того, что кто-то ломится на пару открытых во внешку портов (SSH и VPN)? Без ключей смысла нет.
И как это относится к вопросу о разделении сервисов на разные машины? Да, постоянно сыплются попытки подключения с разных хостов. Ну время сейчас такое.

[ihammers]

Ну во первых при отказе шлюза, ваши сотрудники смогут продолжать работать с документами.

Не смогут. Ибо при отказе шлюза работа просто встанет. Для работы нужен и шлюз, и samba. Так как с этим сервером работают по инету (через VPN конечно) восемь филиалов. Вывод - нет смысла разделять в целях "надёжности".

Нет, работа не встанет, если файловая помойка будет на другой машине.  Я могу предположить что шары прописаны через ip, то если накроется шлюз, вы все равно сможете работать с шарами.  Вообще-то рассматривает пример, когда шара и шлюз находиться в одном здании.

Во вторых у вас одни и те же пароли на этих системах?  Вероятность мала, что у вас подберут пароли к двум системам и вы при этом этого не заметите.

Если пароль к одному из серверов подобрали - значит админ полный идиот, раз поставил подбираемый пароль. Не рассматриваем этот вариант.
Если пароль к одному из серверов украли - скорее всего так же смогут украсть и пароль к второму серверу. Вывод - разделение не гарантирует безопасности.
Если вломились на один из серверов с помощью zero-day - скорее всего так же вломятся и на второй. Вывод - разделение не гарантирует безопасности.
Ещё какие-нибудь варианты?

Ну первый вариант и не рассматриваем, по второму варианту смотря где и как хранятся пароли.  Если в голове, и её украли, то это уже уголовшина, да и админу будет уже пофиг.  И сколько требуется времени чтобы подобрать пароль из 12-ти символов, как положено верхний и нижний регистр, цифры и спец символы?  Мне думается, что просто этот пароль сменять и все начнётся заново.  Даже если слом пароля будет занимать неделю, то на взлом второго пароля уйдёт ещё неделя, ну если этого не заметили, то уже другой вопрос/случай.  Вы привели 2 примера связанных с человеческим фактором, хотя и забыли ещё один случай, выдал пароль под пытками.  А по zero-day, есть конечно вероятность, что одну и туже уязвимость, но какова вероятность этого?

Каждый день будут высылаться отчёты, в которых будет видно сколько раз вас пытались ломануть

Да я и так это вижу. А толку от того, что кто-то ломится на пару открытых во внешку портов (SSH и VPN)? Без ключей смысла нет.
И как это относится к вопросу о разделении сервисов на разные машины? Да, постоянно сыплются попытки подключения с разных хостов. Ну время сейчас такое.

Про logwatch, просто совет.  А про разделение каждый высказал свою точку зрения.  И ещё при обновлении каких либо пакетов, проще справиться с выходом из строя одного сервиса, а не нескольких.

[gardarea51]

И ещё при обновлении каких либо пакетов, проще справиться с выходом из строя одного сервиса, а не нескольких.

Да, когда шлюз там у меня стоял на арче (без файлпомойки), то после крупного очередного обновления я подумал, что нафиг надо. Слишком много обновлений и много правок, чтобы сервисы запустились. Сделал я это все быстро, но все таки это неловкое чувство. Думаю в стабильном дебиане такого нет (тьфу-тьфу).

[xbsd]

Вспомнил еще одно, что очень сильно повлияло на то, что от домена я отказался. Студенты. Их много и вести учет их имен и паролей будет довольно жестко.

а зачем вы цепляетесь к кажому студенту. Сделайте многопользовательскую учетку, скажем, student. Назначте ответственного и пущай работают.

а кто что думает о такой штуке как Zentyal?

раскорячил я ее, значит, в одной организации. И так криво оно у мну пошло... . Стал спрашивать в жабер-конференции одминов и понял, штука очень глючная и для продакшена не годитсо. Снес к едрени-фени. Возможно руки из жопы. Спорить не стану. (а счет рук).
(Жена ноут отбирает) чуть позже допишу)
Сообщение объединено: 27 января 2013, 23:37:32

Ибо при отказе шлюза работа просто встанет. Для работы нужен и шлюз, и samba. Так как с этим сервером работают по инету (через VPN конечно) восемь филиалов. Вывод - нет смысла разделять в целях "надёжности".

ну вот видите. потому что у вас одна тока отказа. у нас, к примеру, 2 шлюзовых машины, работающих в кластере. Бизнес диктует стратегию ИТ службы. Либо ваш бизнес позволяет держать одну точку отказа, либо ваши администраторы просто не компетентны в этом вопросе.

А толку от того, что кто-то ломится на пару открытых во внешку портов (SSH и VPN)?

Да действительно, толку то. В любом сервисе рано или поздно обнаруживаются уязвимости и чем больше на вашем шлюзе сервисов, тем больше шансов. И не обязательно злоумышленнику надо все испортить. Он может просто открыть себе проход на будущее.

А вообще я бы рекомендовал начать со схемы. Очень рекомендовал бы.

[gardarea51]

ну вот видите. потому что у вас одна тока отказа. у нас, к примеру, 2 шлюзовых машины, работающих в кластере. Бизнес диктует стратегию ИТ службы. Либо ваш бизнес позволяет держать одну точку отказа, либо ваши администраторы просто не компетентны в этом вопросе.

А что за шлюзовые машины в кластере, можно поподробней, какой софт используется и как это работает?

ps: бизнес позволяет, как то я настаивал на покупке ИБП еще для старого компа под шлюз, директор спросила меня "А сколько если что связи не будет", на что я ответил что около полудня (пока поставишь, пока настроишь, хотя в загашничке у меня был жесткий, который можно было вставить в любой комп и шлюз бы заработал, хоть даже в старой версии себя). Посмотрев на меня, директор сказала что-то навроде "ну полдня так полдня", точной фразы не помню, но ИБП был дороже простоя в полдня. Вот такие пироги.

pps: надеялся на напарника, которого у меня опять нет. Сделать конечно всегда все хочется красиво, но когда ты один, то брать на себя ответственность за возможные неудобства перед всеми как то не хочется. Это видимо просто человеческий фактор.

Кстати могу так то нарисовать завтра с работы в инскейпе мою схему. Там все довольно просто .

[vladimir_ar]

но когда ты один, то брать на себя ответственность за возможные неудобства перед всеми как то не хочется. Это видимо просто человеческий фактор.

Когда оно никому, кроме тебя, не нужно, то наступает момент, когда ключевой становится фраза о сексуальных отношениях с конем.