Здравствуйте!
Я начинающий сисадмин и на днях увидел объявление о продаже сервера с вкусной ценой. 2xЕ5649, 24Гб RAM, 5х149гб SAS 10K всего за 6к вечно деревянных и подумал, почему бы дома не поставить свой сервак, дабы ставить свои эксперименты не на домашнем компе с важной инфой. На сервере будет стоять FTP (для обмена файлами с друзьями), пару сайтов со своим FTP, MAIL, хостить иногда сервера игр и некоторые около-IoT проекты в будущем.
Когда я ставил FTP сервер на винде посредством Serv-U я иногда мог наблюдать странную активность - ко мне долбилось от 3 до 30 внешних айпишников, НЕ связанные со службами или ПО на компе. Некоторые отваливались после 1-2 таймаута авторизации, некоторые висеть могли часами. Если я не ошибаюсь, это связано с некоторыми регионами, в которые выкидывает мой провайдер ("черно-белый" IP, он может не меняться год-полтора, а может поменять 6 раз за неделю и никакой связи с аптаймом роутера/ПК нет), ибо на некоторых IP ко мне постоянно кто-то долбился, а на некоторых тишина вне зависимости от даты и времени. Могу ошибаться конечно же, всё-таки у меня опыта толком нет.
В связи с этим решил перестраховаться, а значит прошу любые рекомендации или инструкции по жёсткой изоляции как проектов на сервере, так и самого сервера от остальных участников локальной сети, а так же информация или наводки на различное ПО по обеспечению безопасности. На данный момент схема подключения у меня следующая:
Роутер (MikroTik hAP lite)
↪ Wi-Fi для телефонов
↪ Компьютер 1 (в дальнейшем UserPC)
↪ Сервер → Компьютер 2 (в дальнейшем MainPC)
↪ Android приставка
Подробности сети и планов:
•MainPC управляет по SFTP сервером.
•UserPC имеет папку в открытом доступе для LAN реализованную посредством Windows, дабы обмениваться файлами с MainPC.
•Android приставка общается с жестким диском на UserPC, но в принципе эту связь можно оборвать, не принципиально важно.
•Ещё не реализовано, т.к. сервер на днях только появится на руках, но планируется прямой (или не очень) доступ с сервера к файлам на харде в MainPC. Именно в таком порядке Юзер (естественно авторизованный) - Сервер - Файлы на MainPC.
•OS сервера Debian 10 или Ubuntu 20.04.2 Server. Предпочтителен Debian, т.к. я с ним больше всего работал.
•Возможно тыкну Webmin, т.к. питаю слабость к удобным и эстетичным панелькам с GUI.
•LAMP, Python, FTP, SFTP и прочее по стандарту.
Крайне не желательно, чтобы рандом обойдя посредственную защиту стокового Апача получил доступ к условной папке в общем доступе с UserPC или заразил вообще всю сеть не пойми чем, ведь в таком случае есть риск лишится важных данных, которые попросту нельзя обезопасить на данный момент, ни облаком, ни копированием на физические носители, которые не будут подключаться к локальной сети. Рассмотрю любые предложение с благодарностью, в том числе и избыточные (в программном плане), ведь это опыт, а он бесценен.
P.S. На всякий случай дополню. Так же есть возможность добавить активный коммутатор в цепочку с MainPC и сервером, т.е. вместо такого:
Роутер (MikroTik hAP lite)
↪ Сервер → Компьютер 2 (в дальнейшем MainPC)
Будет так:
Роутер (MikroTik hAP lite)
↪ Коммутатор
↪ Компьютер 2 (в дальнейшем MainPC)
↪ Сервер
Таким образом можно исключить дополнительные настройки сервера, но я не уверен, что это имеет вес при планировки обеспечения безопасности сети.
P.P.S. Все ПК только на Windows, даже главный, с которого идёт управление, т.к. возможности поставить на него параллельно Linux не представляется возможным.
Никто не возьмется читать такую дикую портянку. Потому что чтобы дать какие-то рекомендации - нужно ее не просто прочитать, а проанализировать, представить себе схему сети etc.
Задавайте конкретные вопросы.
Ну и разумеется, Windows - игровая система, на ней никогда не было, нет и никогда не будет безопасности. Либо шашечки - либо ехать.
CityCat4, вы специалист высокого уровня, это по вашему комментарию сразу видно. Так может с высоты ваших знаний вкратце расскажите про "ехать" и посоветуете автору вопроса систему, лишенную дыр и уязвимостей?)
Так может с высоты ваших знаний вкратце расскажите про "ехать"
Не. Неохота. Знаете, за что меня ценят? Я не советую просто так, большая часть того, что я советую - основана на опыте, поэтому советы я обычно даю редко и неохотно (потому что перфекционист и считаю, что если дал совет - он должен непременно помочь). А чтобы дать толковый совет ТС нужно:
- прочитать внимательно всю эту портянку
- составить как минимум в голове схему сети
- прикинуть, как построил бы я сам
- и уже на основе этого дать рекомендации
Зачем мне все это? Белая собака, черная собака - все равно собака. Как Windows не крути - она останется тем, чем была изначально спроектирована - игровая и развлекательная система (и в этой области ей реально нет конкурентов). Строить "безопасную сеть" на Windows - это примерно то же самое, что строить "крепкий и надежный" дом из веток и тонких прутьев, как делал один из поросят в в сказке.
Так что возможно следовало бы свести вопрос к тому "как мне настроить микротик для безопасной работы". Но это уже совсем другая история...
JFYI: Я конечно оценил сарказм :) Но дело в том, что я не только специалист высокого уровня, но еще и тролль высокого уровня :D
Средний
Простой
