Ответы пользователя по тегу Системное администрирование
  • Как в микротике создать site to site между микротиками ipsec в тунельном режиме?

    CityCat4
    @CityCat4
    У тролля даже мозги - и то каменные!
    различие...İpsec а в транспортном и туннельном режиме

    Это в гугл.

    Порядок создания опишу завтра - если кто-то другой не напишет раньше :)

    Берем простейший случай - аутентификация по PSK (Pre-Shared Keys, то бишь простому текстовому паролю). Текст пароля "123456" (понятно, что если реализовывать такой вариант, пароль должен быть посерьезней)

    Внешние интерфейсы, смотрящие в тырнет:
    система А - 170.70.70.1
    система Б - 180.80.80.1
    (обязательно поменяйте их на свои!)

    Внутренние интерфейсы, смотрящие в спариваемые локалки:
    система А - 10.1.1.1
    система Б - 10.2.2.1
    маски у обеих сетей - /24 (255.255.255.0)

    итак погнали.

    RouterOS 6.45.7
    значения по умолчанию не указываются
    Система А (на системе Б будет все тоже, только перевернуто зеркально)

    Шаг 0 - создаем предложение
    Этот шаг необязательный
    /ip ipsec proposal
    add auth-algorithms="" enc-algorithms=aes-256-gcm lifetime=1h name=proposal1

    Самое первое - создаем proposal. Это наше предложение другой стороне о том, какие мы поддерживаем шифры и какие методы подписи пакетов. Выбираем самое сильное шифрование AES256 со счетчиком Галуа, отдельная подпись пакета не потребуется. Здесь же мы задали время жизни туннеля до неполного переустановления - 1 час.
    Этот шаг необязательный, он нужен только для усиления защиты туннеля. Без него будет набор из более простых шифров типа AES128 CBC с SHA1 в качестве алгоритма подписи пакета

    Шаг 1 - создаем профиль соединения
    /ip ipsec profile
    add dpd-interval=disable-dpd enc-algorithm=aes-256 hash-algorithm=sha256 lifetime=2h name=profile1 \
        nat-traversal=no proposal-check=strict

    Отключаем DPD - от него только проблемы, устанавливаем более мощные чем по умолчанию алгоритмы шифрования и хэширования (default encrypt может быть и 3DES, default hash - SHA1), устанавливаем время жизни туннеля 2 часа (после - полная переустановка соединения со сбросом ключей шифрования), отключаем NAT Travesal, указываем обработку предложений strict (очень важный параметр! Если время жизни туннеля, запрошенное той стороной больше чем задано у нас - послать, если меньше или равно - принять)

    Шаг 2 - создаем напарника (данные об удаленной системе)
    /ip ipsec peer
    add address=170.70.70.1/32 comment="Main VPN" name=RB2011 profile=profile1

    Тут даже пояснять ничего не надо, все самоочевидно

    Шаг 3 - создаем политику
    /ip ipsec policy
    add dst-address=10.2.2.0/24 peer=RB2011 proposal=proposal1 src-address=10.1.1.0/24 tunnel=yes

    Очень важный шаг. Именно здесь указываем микротику, какие пакеты будут шифроваться. И включаем туннельный режим

    Шаг 4 - создаем идентификаторы (identity). Раньше в IPSec у микротика было меньше сущностей и обьяснение было проще...
    /ip ipsec identity
    add peer=RB2011 secret=123456


    Естественно возникает вопрос - а как же микротик узнает, куда девать пакеты? А это записано у него в настройках - все пакеты с сети 10.1.1.0/24 на 10.2.2.0/24 зашифровать и отправить на 170.70.70.1, все пакеты же с 170.70.70.1 протокола ESP нужно расшифровать и обработать повторно.
    Вообще для того, чтобы понять, как ходят пакеты в IPSec - есть отличная схема Packet Flow in Netfilter and General Networking
    Ответ написан
  • Один Postfix и несколько доменов, как сделать без Mysql?

    CityCat4
    @CityCat4
    У тролля даже мозги - и то каменные!
    Ни уха не понял - нужно почту принимать на несколько доменов?
    Ответ написан
  • Как дать рута на сервере и записать команды?

    CityCat4
    @CityCat4
    У тролля даже мозги - и то каменные!
    Введеный текст bash обычно пишет в .bash_history (именно "введеный текст", потому что ему поуху - команда это была или фраза "пошли все в #опу"). mc, буде таковой есть, пишет в $XDG_CONFIG_DIR/history (там есть еще какие-то промежуточные пути, но я их не помню)

    Но:
    - разраб может потереть хистори
    - разраб может запустить шелл в режиме "без записи хистори"
    - разраб может запустить mc, в нем какую-нибудь хрень, из которой выйти в шелл

    Если он разумеется решит противодействовать :)
    Ответ написан
  • Как в mediant 1000 получить доступ к ОС установленной на его жестком диске?

    CityCat4
    @CityCat4
    У тролля даже мозги - и то каменные!
    Если этот - у него консольный порт для отладки есть
    Ответ написан
  • Чем централизованно контролировать доступ в интернет для средней организации?

    CityCat4
    @CityCat4
    У тролля даже мозги - и то каменные!
    В конторе, в которой я работал в 14-м году - весьма нехилой, весьма богатой и имеющей сеть филиалов "от Москвы до самых до окраин" доступ в тырнет был постороен довольно просто - все ходили через единый московский прокси (squid ессно), где были настроены и списки блокировки и авторизация в домене и доступ по группам. Бампинга не было, потому что в те времена было не особо актуально.
    Вам актуально будет офигительно как - потому что сейчас все кому ни день понаставили сертификатов, а надуть работодателя таким образом запросто - зашел например на mail.ru и внутри соединения (которое для squid непрозрачно) перешел на video.mail.ru, love.mail.ru и т.д.
    Вариантов у Вас не особо много - кроме Kerio, про которое я ничего не скажу, кроме того, что знаю, что такое есть и squid - особо-то и нет ничего...
    Ответ написан
  • AlertManager с возможностью писать свою логику поведения?

    CityCat4
    @CityCat4
    У тролля даже мозги - и то каменные!
    У Вас с тегами косяк. Что за AlertManager, для чего он, откуда?

    кроме того
    проверяет пришёл ли он

    - это невозможно. Ну достоверно утверждать невозможно. Можно убедиться, что сервер принял письмо, не более. Что он (сервер) с ним (письмом) сделал - скажет только его админ.
    Ответ написан
  • Что выбрать для централизованного управления пользователями для Linux и Windows систем?

    CityCat4
    @CityCat4
    У тролля даже мозги - и то каменные!
    Zentyal - это просто сборка "все OSS проекты в одном", где база сделана на самбе.
    IPA - отдельная технология, ничего с AD общего не имеющая, зато имеющая много траху при банальном вводе винды в домен.

    Я бы начал с тестирования Zentyal - там есть некая веб-морда для админства.
    Ответ написан
  • Linux: Что делать с root после того как создал пользователя с обычными правами?

    CityCat4
    @CityCat4
    У тролля даже мозги - и то каменные!
    Что делать с root после того как создал пользователя с обычными правами?

    Ничего. Отключить возможность аутентификации в ssh - и все, больше ничего делать не надо. Рут используется для задач настройки системы, все остальное делается под обычным юзером.
    Ответ написан
  • Как правильно внести правку в конфиг файл fstab?

    CityCat4
    @CityCat4
    У тролля даже мозги - и то каменные!
    Кусок реального fstab
    /dev/mapper/vg_dog-lv_logs        /var/log              ext4    defaults        1 2
    tmpfs                                     /dev/shm              tmpfs   defaults        0 0

    Первое поле - тип ФС или имя устройства (например /dev/sdc1), у Вас - ramdisk (предполагается, что система знает, что это за ФС - ramdisk)
    Второе поле - точка монтирования, у Вас - /var/ramdisk
    Третье поле - тип ФС (Да, для ФС типа proc, tmpfs, devfs - тип указывается дважды), у Вас - tmpfs
    Четвертое поле - параметры монтирования, у Вас - длинная строка
    Пятое и шестое - для монтирования / - 1 1, для монтирования других реальных ФС - 1 2, для монтирования ФС типа tmpfs, proc, devfs и т.д. - 0 0
    Так что проблем в строке я не вижу...
    Ответ написан
  • Развертывание и поднятие с нуля офиса малого бизнеса, что нужно знать?

    CityCat4
    @CityCat4
    У тролля даже мозги - и то каменные!
    У Вас не вопрос. У Вас приличных таких размеров ТЗ на приличную контору по прокладке сетей за приличные деньги :)
    Здесь, чтобы что-то более-менее грамотно посоветовать - нужно получить огромную кучу информации, ее переварить и выдать некий совет/проект etc. Кто ж тут забесплатно это будет делать. Либо нанимайте проектировщиков, либо если будете бодаться сами - задавайте конкретные вопросы.
    Ответ написан
  • Как подготовить компьютер перед передачей в пользование юзверю на предприятии?

    CityCat4
    @CityCat4
    У тролля даже мозги - и то каменные!
    какие комплексные мероприятия стоит провести системному администратору над компьютером, прежде чем передать его в пользование юзверю

    Добавить в домен - в группу, соответстсвующую оргединице, в которой работает юзер. Все настройки должны подтянуться политиками - потому что политиками надо пользоваться, коль они есть :) Творить что-то руками - времени не напасешься.
    Что касается блокирования USB и прочего - на это есть безопасники. Слив чего-либо через USB все равно будет отловлен CМП с точной фиксацией, кто, когда, где - юзер получит люлей (и возможно передумает работать в конторе - по крайней мере у нас прецеденты были). Я вот не думаю, что у Вас там такие данные, что их однократная утечка способна сильно на что-то повлиять - можно самому натолкнуться на собственные ограничения :)
    Ответ написан
  • Как оправдать намерение поставить в офисе Jabber-клиент?

    CityCat4
    @CityCat4
    У тролля даже мозги - и то каменные!
    Тем что переписка не уходит никому и никуда. Если корпоративная переписка велась в whatsapp - сотрудник уволился, а вся переписка, что он вел - ушла вместе с ним :)
    Ответ написан
  • Можно ли как то подписывать исх почту wildcard сертификатом?

    CityCat4
    @CityCat4
    У тролля даже мозги - и то каменные!
    Нет ли варианта какого-то по типу wild-card?

    Нет.

    По трем причинам.

    1. Сертификат для домена может оказаться без нужного EKU (Extended Key Usage). Для удостоверения сервера обычно используется EKU TLS Web Server Authentication, а для подписи/шифрования почты нужен EKU E-Mail Protection - а вовсе не факт, что CA его пропишет в сертификате, скорее всего нифига.
    2. Клиент электронной почты не сможет использовать сертификат, в котором emailAddress в поле Subject не совпадает с тем мылом, на которое пытаетесь настроить - он его тупо не будет признавать (Outlook не будет находить, будет делать ерунду, TB будет игнорировать)
    3. Коммерческие CA тоже прекрксно знают о том, что для защиты почты нужен каждому персональный сертификат и именно поэтому продают их поштучно :) Хотя у GlobalSign например есть услуга корпоративного PKI - тебе дают типо промежуточного CA, корневой у которого - GlobalSign и в пределах некоторой емкости ты выпускаешь сертификаты. За деньги, ессно.
    Ответ написан
  • Каким образом в Linux можно отнять/прибавить пространство системного раздела под LVM?

    CityCat4
    @CityCat4
    У тролля даже мозги - и то каменные!
    Прибавить довольно просто:
    - pvcreate (создали новый том)
    - vgextend (расширили этим томом группу томов)
    - lvextend (расширили том за счет свободного места)
    - resize2fs (обьяснили ФС, что она теперь больше - без этого свободного места не прибавится!)

    Отрезать сложнее. Сначала нужно высвободить эанятые экстенты через pvmove, а уже потом - lvreduce
    Ответ написан
  • Что изучать сисадмину, чтобы перейти в инфобез?

    CityCat4
    @CityCat4
    У тролля даже мозги - и то каменные!
    чем вообще занимаются безопасники в свободное от ловли хакеров время.

    Избавляемся от стереотипов. ИБ не занимается ловлей хакеров. От слова совсем. Этим занимаются компетентные органы :)
    ИБ - это:
    - файрволлы, СКЗИ, шифрование, сертификаты
    - прокси, NAT, контроль доступа в тырнет, статистика, отчеты
    - СКУД (если контора прям большая, то конечно СКУД повесят на охрану)
    - СМП (системы мониторинга пользователей), в том числе оперативное наблюдение
    - документация. Много-много-много документации, положений, инструкций, регламентов
    - знание законодательства, особенно его некоторых частей - по авторскому праву, по ПДн и других
    - могут повесить бэкапы ("тыжспецпозащитеинформации" :) )

    Это скучная, неинтересная, ответственная работа, зачастую морально тяжелая и неприятная.
    Ответ написан
  • Как убедить техническую поддержку открыть порты к Роутеру?

    CityCat4
    @CityCat4
    У тролля даже мозги - и то каменные!
    Ростелеком? Никак, если роутер их.
    Ответ написан
  • Как редактировать файлы по sftp в Google Cloud Platform?

    CityCat4
    @CityCat4
    У тролля даже мозги - и то каменные!
    По ftp/sftp нельзя редактировать файлы - это протокол для файлообмена.
    Ответ написан
  • Как становятся Linux-администраторами и что в нынешнее время требуют от Linux-админа?

    CityCat4
    @CityCat4
    У тролля даже мозги - и то каменные!
    Интересно, как я этот вопрос проглядел...

    Пришел в контору по рекомендации друга. Друг сказал знаменитую фразу "Я сказал, что ты UNIX знаешь. Ну а не знаешь - так узнаешь". Правда, вакансия была программерская, примерно года полтора был UNIX-программером. Наверное поэтому мне сейчас проще с source-based дистрибами, хоть они и не enterprise от слова совсем. И там был вовсе не линух, а FreeBSD.
    В результате внутриконторских разборок пришлось совмещать с админством. Как сейчас помню - на серваке стояла коммерческая версия BSD - BSDi BSD/OS
    Потом много лет админства FreeBSD - только что бантиком ее не завязывал :)
    Пришел в другую контору - а там... линух :)
    Ответ написан
  • Как скрыть от провайдера факт того что я пользуюсь интернетом?

    CityCat4
    @CityCat4
    У тролля даже мозги - и то каменные!
    Никак :)

    Конечно, есть некоторые способы - например VPN до другого клиента этого же провайдера. Ну... или например Крякер Интернета :)
    Ответ написан
  • Как на микротик разрешить доступ к списку запрещенных сайтов?

    CityCat4
    @CityCat4
    У тролля даже мозги - и то каменные!
    Блокировал по IP? Ну заведи список "привилегированных" компов и пропускай с них трафик до того, как сработает запрещающее правило.
    Ответ написан