Кем предполагается? Как это предположение следует из текста вашего вопроса? Если вы одну сеть отключите, о каком взаимодействии вообще может идти речь?
Опишите полностью, что у вас есть в наличии, и чего вы хотите в результате добиться. Тогда будет о чём разговаривать.
sbh: А, ну и да. На время проведения работ весь сервис с сервера должен быть снят. В случае почтового сервера -- либо остановлен приём почты, либо почта должна обрабатываться дублирующим сервером.
sbh: > Откат снапшота на рабочей системе - автоматом потеря данных которые уже успели записаться.
Ну, если у вас система не отделена от данных -- то кто ж вам виноват? :-) ZFS позволяет делать снапшоты на уровне датастора. Если система спроектирована по уму -- снапшотом можно только разделы самой системы покрыть, не трогая данные.
Александр: ОК, сформулирую вопрос по-другому. Сможете ли поднять виртуалки, причём так, чтобы с ними что-то можно было делать, а не просто "поднять". Т. е. поставить какой-то софт внутрь, заставить его работать, ядро там пересобрать. Причём чтобы это занимало вменяемое время, а не 3 дня на установку пакета и 2 недели на пересборку ядра ;-)
Евгений: реалтековские сетевухи уже не раз замечены в подобных граблях. У них там что-то ломается, и они начинают трафиком сыпать в сеть. Я уже давно про это не слышал, думал, что Реалтек за ум взялся. Но видимо, ещё нет :-)
Александр: В конечном итоге перенесли всё на виртуалку. Два vCPU, гига 4 оперативы, ничего выдающегося. Там где-то две сотни гейтов, трафик на машину был в районе 2-3 Мбайт/сек.
Александр: ничего не допиливали. Просто для каждого гейта запускали отдельный инстанс nfcapd на отдельном порту, и настраивали на гейте отгрузку netflow на этот порт. nfSen не использовали, нам nfcapd хватало, так как запросы на "пошерстить netflow" прилетали не чаще раза в две недели.
"Вирус на флешке сам по себе не запускается, только через autorun.info"
Это большое заблуждение. Так как: https://www.rapid7.com/db/modules/exploit/windows/... Если коротко -- специальным образом сформированный LNK-файл позволяет выполнить произвольный код. Чтобы это случилось -- достаточно в винде открыть каталог, где лежит этот LNK-файл.
Здесь рассказывается про пример эксплуатации этой уязвимости: https://broadcast.comdi.com/player/ejxgiq71gb6ic6y... (доклад называется "Доставка зловредов через облака", поищите поиском по странице. Сайт почему-то не даёт прямую ссылку на видео).
res2001: Да, могут. Мои наблюдения показывают, что перенос SSH на нестандартный порт снимает 99.99% проблем. Настолько, что на сайте у меня за год всего три попытки подбора пароля на SSH.
Alister O: Дядька Серёжа: /etc/shadow во фре нет, там база паролей в /etc/master.passwd, и файлы с базами: /etc/pwd.db, /etc/spwd.db
Селинукса тоже, как вы понимаете из названия, на фре нету. Поэтому из всего вышеперечисленного, стоит мониторить только базы паролей, ядро: /boot/kernel/kernel, несколько бинарников: /usr/sbin/sshd. Конфиги ssh тоже можно, только лежит он в /etc/sshd/sshd_config.
Дядька Серёжа: товарищ, вас затрахают неудачными паролями на SSH. Мониторить их не имеет никакого смысла -- там будут десятки, а то и сотни таких сообщений в день. Особенно если у вас SSH на стандартном порту отвечает и открыт всем.
Concluant: у вендоров в СХД торчат несколько другие штуки. Называются "корзины расширения" (expansion enclosures). Часто это специальные корзины под конкретную СХД. Т. е. абы какую корзину к СХД не подоткнёшь.
СХД -- это нечто, что является законченным устройством хранения, и может управлять хранилищем -- объединять диски в RAID-массивы, создавать на них тома, подключать тиринг, презентовать тома указанным хостам по разным интерфейсам -- SAS, FC, iSCSI, обладает разными плюшками -- сжатием на лету, дедупликацией, thin provisioning. А DAS -- это просто корзинка с дисками, как правило, с интерфейсом SAS. И никаких софтверных функций там нет, только диски.
