• Как организовать безопасность админки?

    athacker
    @athacker
    Сертификат для аутентификации -- это уже в район IPsec надо копать, а это очень непростая технология. В вашем случае можно перевесить админку на отдельный нестандартный хостнейм и нестандартный порт. Можно файрволом ограничить доступ, только не для одного IP, а можно для всей сети вашего провайдера, если уверены, что будете в эту админку лазить только из дома.

    Если уверены, что админка 100%, и могут сломать даже не зная пароля -- поднимайте VPN до сервера с сайтом и делается админку доступной только через VPN.
    Ответ написан
  • Какими средствами снимать образ диска при расследовании инцидентов?

    athacker
    @athacker
    Посмотрите здесь: https://forensiccontrol.com/resources/free-software/

    По поводу слепков RAM -- тут всё не так просто, но можно посмотреть здесь: www.forensicswiki.org/wiki/Tools:Memory_Imaging
    Ответ написан
    Комментировать
  • Методы автоматической установки серверов и виртулаолк?

    athacker
    @athacker
    Хостинг-провайдеры разворачивают виртуалки из преднастроенных готовых образов. Берётся виртуалка, ставится внутрь система, обновляется, настраивается, и т.п. Разделы внутри виртуалки автоматически ресайзятся при первом запуске развёрнутой из образа виртуалки до размера всего диска (неважно, сколько там выделено, разделы займут всё дисковое пространство). Управление IP-адресами осуществляется с помощью различных система IPAM (IP address management). У VMware и Hyper-V есть механизмы IP pool, когда внутрь виртуалок прописывается статический адрес из определённого преконфигурированного IP-пула. На KVM/Xen, думаю, тоже такие решения есть. Как бы, это никакая не проблема -- после клонирования базового образа подмонтировать раздел нового виртуального диска и там в /etc/sysconfig/network-scripts/ifcfg-eth0 прописать IP-адрес для адаптера, это можно даже скриптами на bash накостылить самому.

    Самый простой вариант выдачи адреса, понятно -- это DHCP.
    Ответ написан
  • Два роутера, два провайдера — один интернет. Возможно?

    athacker
    @athacker
    В теории можно, только нужен будет внешний сервер (где-нибудь на хостинге) с каналом не менее чем на 100Мбит. Построить до него два туннеля через обоих провайдеров, и заворачивать трафик либо в один туннель, либо в другой на основании SRC/DST хэша, а внешний сервер будет работать шлюзом в интернет.
    Ответ написан
    Комментировать
  • Как автоматизировать запуск виртуальных машин в частном облаке?

    athacker
    @athacker
    Поснифать протокол работы управляющего приложения пробовали? Вряд ли там бинарный самопальный протокол, скорее всего что-то на базе HTTP/REST сделано.
    Ответ написан
    Комментировать
  • FreeBDS, как работать не в root?

    athacker
    @athacker
    То, что у вас в строке приглашения не отображается текущий каталог, совсем не означает, что вы туда не можете зайти :-) Скопируйте строчку prompt из файла /root/.cshrc, и вставьте в файл .cshrc в своём пользовательском профиле, потом сделайте source .cshrc, и увидите текущий каталог в строке приглашения :-)

    Что касается прав -- а каких конкретно прав вам не хватает? Если не можете заходить в каталоги -- ну так расставьте права на файловой системе так, чтобы у вашей юзерской учётки такие права были. А если не можете запускать какие-то программы -- для этого есть утилита sudo, надо только её поставить и настроить. А потом можно запускать всё как "sudo другая-команда-которая-должна-выполниться-с-рутовыми-правами"
    Ответ написан
    7 комментариев
  • Что лучше поставить вместо FreeBSD?

    athacker
    @athacker
    Дело не во FreeBSD, а в неграмотности. Управление пропускной способностью -- это настраиваемая вещь, и из коробки её нет нигде.

    Про какие "очереди" вы говорите?

    торренты -- это такой протокол, что он может выжрать всё, что ему разрешено, и ещё немножко сверху. Поэтому ограничение пропускной способности для него нужно настраивать ещё более внимательно, чем всё остальное.
    Ответ написан
    3 комментария
  • Как заблокировать соц сети через PfSense?

    athacker
    @athacker
    HTTPS вы сможете заблокировать только по IP. Во всяком случае, используя только pfSense. Теоретически, squid может блокировать и HTTPS на уровне хостнейма сайта, но практически это нужно настраивать в конфиге руками, через веб-интерфейс это не решается, насколько я помню.
    Ответ написан
    Комментировать
  • Какую карту выбирает сервер для PPPoE?

    athacker
    @athacker
    Если у вас PPPoE именно средствами Kerio поднимается, то вот в методичке: kb.kerio.com/product/kerio-control/interfaces/conf...

    указано, что в настройках PPPoE есть некая вкладка Dialing Settings, на которой можно якобы выбрать исходящий интерфейс.
    Ответ написан
  • Как заставить работать VMware ESXi 6.0 U2 с сетевой картой Intel PRO/100+?

    athacker
    @athacker
    Товарищ, нахрен вам это надо? Гигабитные сетевухи, поддерживаемые вмварью, стоят не так уж дорого. Купите нормальную железку, и не надо возиться с драйверами. А то потом будут вопросы в духе: "а почему у меня виртуалки тупят и гипервизор периодически виснет/перезагружается?". Если вопрос цены -- БУ сетевушки продаются в количестве ведь.
    Ответ написан
    2 комментария
  • Как организовать Failower IPSEC туннель на FreeBSD?

    athacker
    @athacker
    Динамическая маршрутизация спасёт благородного дона. Поднимите в обоих туннелях две BGP-сессии, анонсируйте в туннелях два маршрута в удалённую подсеть, только с разными приоритетами. Если отвалится один туннель -- маршрутизация перейдёт на другой. IPSec, кстати, лучше строить будет где-нибудь на loopback-адресе удалённой сети, чтобы этот адрес был доступен, независимо от того, через какой туннель доступна удалённая площадка.

    Только не уверен, что PFSence умеет BGP. Возможно, придётся ставить чистую фрю.
    Ответ написан
  • Какую выбрать тему для диплома(сети)?

    athacker
    @athacker
    Ваш диплом что конкретно предполагает-то? Разработку или развёртывание? Это принципиально разные вещи.
    Ответ написан
  • В чем проблема с подключением к ipsec+ikev2 через сертификаты?

    athacker
    @athacker
    Есть основания полагать, что это криво настроенный ALG на сети провайдера. У вас клиент за провайдерским NAT'ом, и этот NAT режет пакеты. У Онлайма в сети такое происходит с L2TP -- сервер шлёт пакет согласования параметров соединения, клиент его получает и ОТВЕЧАЕТ. Но до сервера ответ не доходит. Вывод -- режется провайдером. Бороться с этим, вероятнее всего, бесполезно. Я с онлаймом с апреля бодаюсь по этому поводу. "Ваше обращение передано в профильный отдел, бла-бла-бла". Причём какой конкретно отдел является "профильным" -- они не говорят. Ну то есть, иными словами, болт они кладут на такие заявки, и ни в какие "профильные отделы" оно не перенаправляется.

    В вашем случае выход -- строить IPSec в другом туннеле -- L2TP или PPTP.
    Ответ написан
    8 комментариев
  • Загрузка ЦП при отключении монитора?

    athacker
    @athacker
    Может, у вас там какой-нибудь троян-шифровальщик работает, по-тихому? :-)
    Ответ написан
    Комментировать
  • Два компьютера за роутерами в разных подсетях. Как решить задачу?

    athacker
    @athacker
    Полную формулировку задачи приведите.
    Ответ написан
    Комментировать
  • Мониторинг приложения в Zabbix 3.2?

    athacker
    @athacker
    Помимо вышесказанного (про proc_info), также отмечу, что заббикс умеет снимать инфу через performance monitor винды. Если ваше приложение туда какую-то статистику отгружает, то можно этим пользоваться. Настроить такой мониторинг не вполне тривиально, но можно.

    Если же у вас приложение самописное, то ничего не мешает сделать API, с помощью которого можно снимать статистику и отправлять в заббикс. Либо локально выполняемой командой, описанной в UserParameters агента, либо скриптом по крону и отправкой в заббикс с помощью утилиты zabbix_trapper.
    Ответ написан
  • Как из Windows 7 сделать маршрутизатор?

    athacker
    @athacker
    На маршрутизаторе не нужны никакие маршруты, чтобы маршрутизировать сети, подключенные непосредственно к нему. Достаточно включить IP forwarding, и всё будет работать само. Маршруты нужно указывать на клиентах, которые находятся в разных подсетях.

    Допустим, у вас две сети -- 192.168.1.0/24 и 10.0.0.0/24. На win7 два интерфейса -- у одного IP 192.168.1.1, у второго -- 10.0.0.1. В реестре нужно прописать ключ, разрешающий переброс пакетов между интерфейсами. Название ключа не помню, но гугль подскажет.

    Соответственно, на машинах в сети 192.168.1.1 нужно указывать маршрут в подсеть 10.0.0.0/24:
    route -p add 10.0.0.0 mask 255.255.255.0 192.168.1.1 (синтаксис команды -- для винды);

    На машинах в сети 10.0.0.0/24 указываем маршрут в сеть 192.168.1.1:

    route -p add 192.168.1.0 mask 255.255.255.0 10.0.0.1

    Тогда будет работать.
    Ответ написан
    Комментировать
  • Миграция серверов в виртуальную среду?

    athacker
    @athacker
    Товарищ, за бюджет в 400 т. р. вы не соберёте ту виртуализацию, какую хотите. Если только у вас там не "распродажа конфиската".

    По порядку. HP Proliant DL380 Gen 8 без дисков и с минимальным объёмом памяти стоит больше 445 тысяч, плюс-минус, в зависимости от продавца. За ОДИН сервер.

    Далее. То, что называется "СХД" -- будет стоить несколько миллионов рублей (от одного за какой-нибудь InforTrend до N за известные бренды).

    Затем, vSphere Essentials Kit не умеет НИЧЕГО, кроме собстственно виртуализации. Соответственно, собрать на ней отказоустойчивый кластер вы не сможете. Чтобы было HA -- нужна Essential Plus Kit. Стоимость на два сервера -- 385 тысяч рублей.

    Поэтому:

    1) бюджет придётся расширить тысяч на 100.
    2) ваш вариант -- это одноюнитовые сервера типа STSS, Aquarius, Kraftway. У STSS на проце E3-1220 v5 4-cores можно собрать сервак с 64 гигами оперативы и без дисков за 145 тысяч рублей. За один. Соответственно, вам нужно минимум два -- итого 290 тысяч рублей.
    3) Гипервизор -- любой бесплатный. Как советовали выше -- можно Hyper-V server, он даже в бесплатном варианте умеет делать кластеризацию.
    4) вместо "СХД" для построения общего кластерного хранилища покупаете какой-нибудь сервачок с 8 или более дисковыми отсеками, наторкиваете в него дисков и строите общее хранилище. Если выберете гипервизор Hyper-V, то можно просто поставить винду и сделать расшаренную папку по SMB3, Hyper-V умеет такое использовать как общее хранилище. Если же будете делать на чём-то другом (KVM, VirtualBox, Proxmox) -- придётся настраивать доступ к хранилищу по NFS или iSCSI. Мы делаем такие хранилища на FreeBSD + ZFS + multipath iSCSI, всё на родных возможностях FreeBSD, без потусторонних компонентов. Работает отлично, даже автоматический read cache можно запилить на SSD (ZFS-ный L2ARC на него положить).
    Ответ написан
    3 комментария
  • Как настроить squid?

    athacker
    @athacker
    Трафик-то от клиентов прилетает на эту машину? :-)

    Правильно товарищ выше заметил -- у вас шлюз по умолчанию, указанный в настройках -- из другой подсети. Это косяк. Оно может быть не связано с вашей проблемой, а может и связано. Т.е. на этой машине со сквидом -- интернет работать не будет. Хотя в винде такая фишка прокатывает в некоторых специфических условиях, но насчёт линуха я не уверен. На фре точно не прокатывает.
    Ответ написан
    Комментировать