Посоветуйте, домен или все таки нет?

Автор gardarea51, 24 января 2013, 14:48:39

« назад - далее »

0 Пользователи и 6 гостей просматривают эту тему.

gardarea51

PbI6A, многое из этого уже сделано или было обдумано и не сделано. Админю да, по VNC (сотрудникам на их 10 компов IP выдвется с привязкой по маку), остальные компы студентов - там все абсолютно идентично, так как развернуто из образа. Поэтому админить особо нечего. В образе же и обновления и софт и adblock. Студентам выдаются адреса свыше скажем 30го (192.168.2.31-192.168.2.254), для них на сквиде запрещено качать всякие .exe, но разрешено с серверов обновлений MS. Обновляю вручную когда время выдастся и делать нечего. Раньше еще стоял dansguardian, штука классная (имена файлов фильтров это жесть =), потом просто оставил прозрачный сквид, только 80й порт. Студенты умудрялись качать warface и играть, это дело конечно было пресечено. Внешний канал всего 2Мбит/с на всех. Хотел понакрутить шейпер с помощью iproute2, но по факту резать просто нечего, канал слишком узкий. Насчет авторизации просто на компе - да думал, но такая авторизация мне кажется полностью бесполезна без домена + она бы вызвала бурю негодования. В итоге сейчас авторизация есть, но только для шар и личных каталогов на самбе и она скрыта от юзера. Ибо требование начальства было (да и сейчас есть) "Никаких паролей". Однако, начальство можно и убедить в обратном, но нужно тогда дать вкусные плюшки взамен того, что есть и что просто работает. Насчет учений по горячей замене диска. Я уже наученный, было дело. А делать это для нового админа пока нет смысла, я пока никуда уходить не собираюсь, возможно через N-ное время уйду на неполный рабочий день (плавающий график), но это так, в перспективе.

rayanAyar, про бэкап я сразу думал, его конечно нужно делать.. но я его не сделал еще ни разу, наверное из-за банального попустительства. USB-Диск у меня есть (личный), естественно он не будет лежать рядом с сервером круглосуточно, ибо я всегда этажом выше и буду его забирать. Это не проблема, это скорее мое раздолбайство (да я знаю я плохой и нехороший). Схему бэкапов данных, пусть даже не системы, в любом случае придется в скором времени внедрять.

Тут еще дело в том, что мне не так давно наняли "напарника" (который и есть бывший админ). Мужик нормальный, правда в компах так то деревянный, зато в 1С шарит весьма. Он 1С-программист. Но есть у него печальный минус.. Бухает. Вот и сейчас он бухает, скорее всего будут увольнять. Я по наивности надеялся, что он разгрузит меня от части эникейской работы типа "Пришел новый модуль надо установить", "У нас ксерокс сломался", "А как тут табличку поправить", "У меня что-то не работает" и может быть я бы занялся чем-то более интересным. Но не вышло, чувак забухал и все идут ко мне. Я то понимаю, что это кузькина работа, бессмысленная и беспощадная, но делать ее приходится, а после этого в голову умные мысли уже не лезут. Да и уж если совсем по чесноку, то не настолько большая у меня зарплата, чтобы делать из тележки бронепоезд (не секрет, всего 15к). Ну как то так =).

xbsd

Цитата: gardarea51 от 25 января 2013, 19:53:44В итоге сейчас авторизация есть, но только для шар и личных каталогов на самбе и она скрыта от юзера. Ибо требование начальства было (да и сейчас есть) "Никаких паролей".
ну вот еще один довод в пользу АД. ам пароль водится один раз, при логоне пользователя в системе.

gardarea51

Сегодня как раз отослал подготовленное еще до НГ письмо в головной ВУЗ по поводу лицензий, что было бы неплохо семерок и винСерв. Так что может быть еще придется покупать книжку по винсерву. =)

PbI6A

Не надо тебе вынь-сервер, поверь! Нахлебаешься с ним...
LINUX means: Linux Is Not a UniX
Вернулся на Devuan. Счастлив!

ihammers

Хотел написать ответ как только появился тред, но отвлёкся на другую задачу, а сейчас несколько мыслей по поводу вопроса:

  • Правильно говорят, что нужно разделить уязвимую точку.  Как-то нехорошо держать документы на шлюзе.
  • Плохо что у вас не понимают о важности использовании паролей, компьютерная безопасность.  Может это и не удобно, но решает множество проблем со студентами которые могут что-нибудь удалить.  Или кто-нибудь подойдёт к компьютеру и удалит важные файлы.
  • Насчёт домена... а может всё-таки реализовать это через LDAP + Kerber, там также можно реализовать один раз пароль ввел и всё, хотя и там и там программы могут глюкнуть.  Вот у нас AD с ntlm, так у некоторых пользователей браузер иногда спрашивает пароль.
  • Если есть возможность, то думаю стоит разворачивать всё в виртуальных средах, например proxmox.
  • Если использовать AD, то при установки он предложит установить DNS, даже если у вас уже есть, у нас bind, а некоторые доменные машины используют DNS север AD.
  • Совет, пишите тех.документацию, чтобы если что можно было в кратчайшие сроки восстановить сервис/сервер, просто через определённое время либо вы уйдёте, либо можете забыть как настраивалась какая либо программа, и придётся заново перечитывать кучу литературы для поднятия её.

Пока думаю что всё, но может что ещё вспомню, что хотел сказать.
Debian GNU/Linux Bookworm, LXQt/OpenBox: AMD Ryzen 5 5600G / 64Gb RAM
_______________________________
Debian GNU/Linux Bookworm, без графики: AMD Phenon X4 / 16Gb RAM
_______________________________
Debian GNU/Linux Bookworm, LXQt/OpenBox: Acer Aspire One 722 AMD C60 / 8Gb RAM / ATI HD6290

gardarea51

#20
Тех документации как таковой у меня нет, но есть сохраненные конфигурационные файлы. Хотя, наверное нужно будет это все упорядочить и пожалуй даже распечатать, обозначив роли сервера и некоторые нюансы. Этим я займусь даже пожалуй на след. неделе.

Вспомнил еще одно, что очень сильно повлияло на то, что от домена я отказался. Студенты. Их много и вести учет их имен и паролей будет довольно жестко. В принципе как пароль можно стандартно использовать номер зачетки, но меня честно говоря просто отпугнуло их количество и постоянная текучка. Кого-то отчислили, кто-то сменил фамилию, кто-то восстановился, целые группы переводятся в головной вуз, кто-то вливается и прочее. Штат сотрудников практически неизменен, но не студенты.

Ну и пришли некоторые мысли как бы сделать все в идеале без сильного изменения общей схемы. Шлюз/роутер - какой нибудь микротик. Файлпомойка - отдельный компьютер (как сейчас с массивом из объемных шустрых дисков). Сервисы DNS,DHCP,Squid,Jabber - отдельный компьютер (+ какое то его резервирование, да хотя бы просто клон на жестком диске, который можно раз в месяц обновлять). И еще нужен отдельный компьютер этажом выше, который будет каждую ночь бэкапить данные с файлпомойки, а с него я уже буду либо забирать их на свой USB-диск, либо резать на болванки (если бэкапы инкрементные).

В ближайшем времени хочу попробовать покурить самбу4, тестово запустить и погонять. Ей можно рулить административными утилитами от MS, а это уже гораздо удобней даже в плане добавления пользователей, к тому же они все уже хранятся в ldap и не нужно использовать для этого сторонние пакеты типа ldapscripts, smbldap-tools, маппить группы и пр (ну я надеюсь =). Но это все конечно хорошо, но нужно разбираться как это все настраивать. Я самбу 3 то довольно долго раскуривал, надеюсь что ума хватит. Жаль конечно, что из друзей никто не занимается такими вещами, как обычно сидишь один втыкаешь типа "что ж такое ldap, схемы какие то, ldif'ы". Так что просто самообразование во времена порывов появления энтузиазма. С напарником было бы конечно веселее. =)

Кстати, а кто что думает о такой штуке как Zentyal? Я как то ее смотрел, в общем то понравилась, но использовать не стал.

rayanAyar

Цитата: gardarea51 от 27 января 2013, 00:17:53Файлпомойка - отдельный компьютер (как сейчас с массивом из объемных шустрых дисков).
Сеть-то хотя бы гигабитная? А то бывает сервак с крутым RAID-ом поставят, а свич стоит 100-мегабитный. И толку тогда от этих шустрых дисков, если скорость ограничивается в десять раз более медленной сетью.

Цитата: gardarea51 от 27 января 2013, 00:17:53И еще нужен отдельный компьютер этажом выше, который будет каждую ночь бэкапить данные с файлпомойки
Если только для бекапов - можно NAS использовать. (и табличку приклеить "При пожаре выносить первым" :) ).

Цитата: ihammers от 26 января 2013, 21:00:13Правильно говорят, что нужно разделить уязвимую точку.  Как-то нехорошо держать документы на шлюзе.
Лично я не вижу в этом никакой проблемы. У меня нет бюджета для покупки отдельной машины под каждый сервис. Организация небольшая, поэтому до тех пор, пока хватает производительности сервера, я буду держать на нём все сервисы (в моём случае это маршрутизация, DNS, DHCP, VPN, Samba и ещё по мелочи). Кроме того это гораздо проще в настройке. По каким причинам их разделять?

Безопасность? Дак если сломают внешний маршрутизатор - то сломают и внутреннюю файлопомойку.
Надежность? Как я уже говорил любые RAID-ы, UPS-ы и разделения в том числе - это вторично. Они не могут дать никакой гарантии. Более-менее можно спать спокойно только при наличии хорошей системы резервирования. А если есть резервирование - нет необходимости в разделении.


gardarea51

#22
Цитата: rayanAyar от 27 января 2013, 06:20:07Сеть-то хотя бы гигабитная? А то бывает сервак с крутым RAID-ом поставят, а свич стоит 100-мегабитный. И толку тогда от этих шустрых дисков, если скорость ограничивается в десять раз более медленной сетью.
3 основных свитча имеют гигабитный канал между собой, файлпомойка также включена в первый свитч в гигабитный порт. Все клиенты - в 100Мегабитные порты. Так что это есть и не является узким местом. Специально ездил в другой город покупал на свои кровные гигабитную PCI-E сетевушку.

Сообщение объединено: 27 января 2013, 10:02:21

Цитата: gardarea51 от 27 января 2013, 09:58:21Надежность? Как я уже говорил любые RAID-ы, UPS-ы и разделения в том числе - это вторично.
Ну все таки это лучше, чем простой компьютер, на котором расшарена сетевая папка. На днях приделал смс-уведомление на телефон при выпадении диска из массива. Вроде тоже ничего, но мало ли, уже получше.

ihammers

Цитата: rayanAyar от 27 января 2013, 06:20:07
Цитата: ihammers от 26 января 2013, 21:00:13Правильно говорят, что нужно разделить уязвимую точку.  Как-то нехорошо держать документы на шлюзе.
Лично я не вижу в этом никакой проблемы. У меня нет бюджета для покупки отдельной машины под каждый сервис. Организация небольшая, поэтому до тех пор, пока хватает производительности сервера, я буду держать на нём все сервисы (в моём случае это маршрутизация, DNS, DHCP, VPN, Samba и ещё по мелочи). Кроме того это гораздо проще в настройке. По каким причинам их разделять?

Безопасность? Дак если сломают внешний маршрутизатор - то сломают и внутреннюю файлопомойку.
Ну во первых при отказе шлюза, ваши сотрудники смогут продолжать работать с документами.  Во вторых у вас одни и те же пароли на этих системах?  Вероятность мала, что у вас подберут пароли к двум системам и вы при этом этого не заметите.

Советую поставить logwatch и прописать в /etc/cron.daily/00logwatch ваш почтовый адрес.  Каждый день будут высылаться отчёты, в которых будет видно сколько раз вас пытались ломануть, и кто делал sudo.
Debian GNU/Linux Bookworm, LXQt/OpenBox: AMD Ryzen 5 5600G / 64Gb RAM
_______________________________
Debian GNU/Linux Bookworm, без графики: AMD Phenon X4 / 16Gb RAM
_______________________________
Debian GNU/Linux Bookworm, LXQt/OpenBox: Acer Aspire One 722 AMD C60 / 8Gb RAM / ATI HD6290

rayanAyar

Цитата: ihammers от 27 января 2013, 16:16:15Ну во первых при отказе шлюза, ваши сотрудники смогут продолжать работать с документами.
Не смогут. Ибо при отказе шлюза работа просто встанет. Для работы нужен и шлюз, и samba. Так как с этим сервером работают по инету (через VPN конечно) восемь филиалов. Вывод - нет смысла разделять в целях "надёжности".

Цитата: ihammers от 27 января 2013, 16:16:15Во вторых у вас одни и те же пароли на этих системах?  Вероятность мала, что у вас подберут пароли к двум системам и вы при этом этого не заметите.
Если пароль к одному из серверов подобрали - значит админ полный идиот, раз поставил подбираемый пароль. Не рассматриваем этот вариант.
Если пароль к одному из серверов украли - скорее всего так же смогут украсть и пароль к второму серверу. Вывод - разделение не гарантирует безопасности.
Если вломились на один из серверов с помощью zero-day - скорее всего так же вломятся и на второй. Вывод - разделение не гарантирует безопасности.
Ещё какие-нибудь варианты? :)

Цитата: ihammers от 27 января 2013, 16:16:15Каждый день будут высылаться отчёты, в которых будет видно сколько раз вас пытались ломануть
Да я и так это вижу. А толку от того, что кто-то ломится на пару открытых во внешку портов (SSH и VPN)? Без ключей смысла нет.
И как это относится к вопросу о разделении сервисов на разные машины? Да, постоянно сыплются попытки подключения с разных хостов. Ну время сейчас такое. :)

ihammers

Цитата: rayanAyar от 27 января 2013, 18:13:44
Цитата: ihammers от 27 января 2013, 16:16:15Ну во первых при отказе шлюза, ваши сотрудники смогут продолжать работать с документами.
Не смогут. Ибо при отказе шлюза работа просто встанет. Для работы нужен и шлюз, и samba. Так как с этим сервером работают по инету (через VPN конечно) восемь филиалов. Вывод - нет смысла разделять в целях "надёжности".
Нет, работа не встанет, если файловая помойка будет на другой машине.  Я могу предположить что шары прописаны через ip, то если накроется шлюз, вы все равно сможете работать с шарами.  Вообще-то рассматривает пример, когда шара и шлюз находиться в одном здании.


Цитата: rayanAyar от 27 января 2013, 18:13:44
Цитата: ihammers от 27 января 2013, 16:16:15Во вторых у вас одни и те же пароли на этих системах?  Вероятность мала, что у вас подберут пароли к двум системам и вы при этом этого не заметите.
Если пароль к одному из серверов подобрали - значит админ полный идиот, раз поставил подбираемый пароль. Не рассматриваем этот вариант.
Если пароль к одному из серверов украли - скорее всего так же смогут украсть и пароль к второму серверу. Вывод - разделение не гарантирует безопасности.
Если вломились на один из серверов с помощью zero-day - скорее всего так же вломятся и на второй. Вывод - разделение не гарантирует безопасности.
Ещё какие-нибудь варианты? :)
Ну первый вариант и не рассматриваем, по второму варианту смотря где и как хранятся пароли.  Если в голове, и её украли, то это уже уголовшина, да и админу будет уже пофиг.  И сколько требуется времени чтобы подобрать пароль из 12-ти символов, как положено верхний и нижний регистр, цифры и спец символы?  Мне думается, что просто этот пароль сменять и все начнётся заново.  Даже если слом пароля будет занимать неделю, то на взлом второго пароля уйдёт ещё неделя, ну если этого не заметили, то уже другой вопрос/случай.  Вы привели 2 примера связанных с человеческим фактором, хотя и забыли ещё один случай, выдал пароль под пытками.  А по zero-day, есть конечно вероятность, что одну и туже уязвимость, но какова вероятность этого?

Цитата: rayanAyar от 27 января 2013, 18:13:44
Цитата: ihammers от 27 января 2013, 16:16:15Каждый день будут высылаться отчёты, в которых будет видно сколько раз вас пытались ломануть
Да я и так это вижу. А толку от того, что кто-то ломится на пару открытых во внешку портов (SSH и VPN)? Без ключей смысла нет.
И как это относится к вопросу о разделении сервисов на разные машины? Да, постоянно сыплются попытки подключения с разных хостов. Ну время сейчас такое. :)
Про logwatch, просто совет.  А про разделение каждый высказал свою точку зрения.  И ещё при обновлении каких либо пакетов, проще справиться с выходом из строя одного сервиса, а не нескольких.
Debian GNU/Linux Bookworm, LXQt/OpenBox: AMD Ryzen 5 5600G / 64Gb RAM
_______________________________
Debian GNU/Linux Bookworm, без графики: AMD Phenon X4 / 16Gb RAM
_______________________________
Debian GNU/Linux Bookworm, LXQt/OpenBox: Acer Aspire One 722 AMD C60 / 8Gb RAM / ATI HD6290

gardarea51

Цитата: ihammers от 27 января 2013, 20:58:17И ещё при обновлении каких либо пакетов, проще справиться с выходом из строя одного сервиса, а не нескольких.
Да, когда шлюз там у меня стоял на арче (без файлпомойки), то после крупного очередного обновления я подумал, что нафиг надо. Слишком много обновлений и много правок, чтобы сервисы запустились. Сделал я это все быстро, но все таки это неловкое чувство. Думаю в стабильном дебиане такого нет (тьфу-тьфу).

xbsd

#27
Цитата: gardarea51 от 27 января 2013, 00:17:53Вспомнил еще одно, что очень сильно повлияло на то, что от домена я отказался. Студенты. Их много и вести учет их имен и паролей будет довольно жестко.
а зачем вы цепляетесь к кажому студенту. Сделайте многопользовательскую учетку, скажем, student. Назначте ответственного и пущай работают.
Цитата: gardarea51 от 27 января 2013, 00:17:53а кто что думает о такой штуке как Zentyal?
раскорячил я ее, значит, в одной организации. И так криво оно у мну пошло... . Стал спрашивать в жабер-конференции одминов и понял, штука очень глючная и для продакшена не годитсо. Снес к едрени-фени. Возможно руки из жопы. Спорить не стану. (а счет рук).
(Жена ноут отбирает) чуть позже допишу)

Сообщение объединено: 27 января 2013, 23:37:32

Цитата: rayanAyar от 27 января 2013, 18:13:44Ибо при отказе шлюза работа просто встанет. Для работы нужен и шлюз, и samba. Так как с этим сервером работают по инету (через VPN конечно) восемь филиалов. Вывод - нет смысла разделять в целях "надёжности".
ну вот видите. потому что у вас одна тока отказа. у нас, к примеру, 2 шлюзовых машины, работающих в кластере. Бизнес диктует стратегию ИТ службы. Либо ваш бизнес позволяет держать одну точку отказа, либо ваши администраторы просто не компетентны в этом вопросе.
Цитата: rayanAyar от 27 января 2013, 18:13:44А толку от того, что кто-то ломится на пару открытых во внешку портов (SSH и VPN)?
Да действительно, толку то. В любом сервисе рано или поздно обнаруживаются уязвимости и чем больше на вашем шлюзе сервисов, тем больше шансов. И не обязательно злоумышленнику надо все испортить. Он может просто открыть себе проход на будущее.

А вообще я бы рекомендовал начать со схемы. Очень рекомендовал бы.

gardarea51

Цитата: xbsd от 27 января 2013, 22:57:07ну вот видите. потому что у вас одна тока отказа. у нас, к примеру, 2 шлюзовых машины, работающих в кластере. Бизнес диктует стратегию ИТ службы. Либо ваш бизнес позволяет держать одну точку отказа, либо ваши администраторы просто не компетентны в этом вопросе.
А что за шлюзовые машины в кластере, можно поподробней, какой софт используется и как это работает?

ps: бизнес позволяет, как то я настаивал на покупке ИБП еще для старого компа под шлюз, директор спросила меня "А сколько если что связи не будет", на что я ответил что около полудня (пока поставишь, пока настроишь, хотя в загашничке у меня был жесткий, который можно было вставить в любой комп и шлюз бы заработал, хоть даже в старой версии себя). Посмотрев на меня, директор сказала что-то навроде "ну полдня так полдня", точной фразы не помню, но ИБП был дороже простоя в полдня. Вот такие пироги.

pps: надеялся на напарника, которого у меня опять нет. Сделать конечно всегда все хочется красиво, но когда ты один, то брать на себя ответственность за возможные неудобства перед всеми как то не хочется. Это видимо просто человеческий фактор.

Кстати могу так то нарисовать завтра с работы в инскейпе мою схему. Там все довольно просто :).

vladimir_ar

Цитата: gardarea51 от 27 января 2013, 23:54:56но когда ты один, то брать на себя ответственность за возможные неудобства перед всеми как то не хочется. Это видимо просто человеческий фактор.
Когда оно никому, кроме тебя, не нужно, то наступает момент, когда ключевой становится фраза о сексуальных отношениях с конем.
Debian Testing, kernel 3.16-2-amd64, OpenBox
AMD A8-3750 / 16Gb RAM / ATI HD6550D (onboard) / Sound ASUS Xonar - DS
_______________________________
Debian Testing, kernel 3.14-2-amd64, OpenBox
HP-655 AMD E1 / 8Gb RAM / ATI HD7310M