Задать вопрос
  • Что будет с dhcp если переключить пул?

    @Akina
    Сетевой и системный админ, SQL-программист.
    Первым делом в свойствах старого скопа корректируется время выделения адреса. Для стационарных узлов обычно по умолчанию ставится 5 или 7 дней. Первым делом меняем это время на 1 час. Это не сильно увеличит нагрузку на сеть. Ждём, пока все не перейдут на это время выделения. Затем, непосредственно перед переездом, ужимает это время до 5 минут. И через час начинаем собственно переезд. для чего просто (в зависимости от того, что умеет сервер) либо повышаем приоритет нового скопа относительно старого, либо просто отключаем старый. За час все перепрыгнут в новый скоп. После чего там можно поднять время выделения в новом скопе до старого значения в неделю, а старый вообще удалить.

    Но это просто процесс перевода всех динамиков в новую подсеть. А чтобы всё работало, нужно ещё много предварительных телодвижений, которые обеспечат отсутствие сбоев в работе.

    В старой сети непременно есть узлы (скажем, серверы, телефонная станция и пр.), которые работают со статическим назначением адреса. Чтобы обеспечить их доступность в процессе переезда и из старой, и из новой подсетей, потребуется либо (если возможно) на интерфейсе установить статически ещё и адрес из новой подсети, либо (если хотя бы на одном из узлов невозможно) создать в сети маршрутизатор между этими подсетями (впрочем, я бы создавал такой безусловно), и принять меры к тому, чтобы соотв. маршруты (и из старой подсети в новую, и наоборот) были розданы всем узлам сети (тем, кто на DHCP - через него, тем, кто на статике, прописать руками).

    В принципе основные мероприятия я перечислил. Да, при переходе станции в другой скоп, само собой, все имеющиеся на этот момент рабочие линки развалятся, но это одноразовая проблема. Есть ещё много различных моментов и тонкостей, в которые можно уткнуться, но все они связаны с достаточно особыми оборудованием, ПО и условиями, и все их не перечислить.
    Ответ написан
    Комментировать
  • Как уменьшить размер PDF на сервере?

    AshBlade
    @AshBlade
    Просто хочу быть счастливым
    Можно вот таким скриптом на bash
    find . -name '*.pdf' | xargs -I % sh -c 'gs -sDEVICE=pdfwrite -dCompatibilityLevel=1.4 -dPDFSETTINGS=/screen -dNOPAUSE -dQUIET -dBATCH -sOutputFile=%.tmp %; mv %.tmp %'

    Он находит все файлы, оканчивающиеся на .pdf в текущей директории и для каждого создает новый сжатый и по окончании заменяет старый новым сжатым.

    Но необходимо установить ghostscript - sudo apt install ghostscript
    Ответ написан
    1 комментарий
  • Как осуществить запуск программы в Windows с правами пользователь домена, когда программа требует повышенные права?

    @NortheR73
    системный инженер
    клиент для просмотра камеры

    А точно этому приложению нужны права локального администратора? Возможно, оно просто пишет куда-то какие-то данные, а обычному пользователю туда доступ на запись отсутствует. Попробуйте с помощью Process Explorer посмотреть, куда приложение обращается и что требует повышенных привилегий, после чего назначьте необходимые права
    Ответ написан
    1 комментарий
  • В чем принципиальное различие NAT и PROXY?

    vvpoloskin
    @vvpoloskin Куратор тега Компьютерные сети
    Инженер связи
    Сосед попросил вас позвонить в газовую службу. Вы - прокси для соседа.
    Несколько соседей попросили позвонить вас в газовую службу. Вы позвонили по первой просьбе, а на другие ответили, что уже звонили. Вы - кеширующая прокси для соседей.
    Сосед взял ваш телефон и позвонил в газовую службу с вашего номера. Вы - NAT для соседа.
    Ответ написан
    3 комментария
  • Как реализовать права доступа к папкам и файлам в windows?

    @res2001
    Developer, ex-admin
    Это абсолютно стандартный вариант работы в корпоративной сети.
    По уму поднять АД и чтоб на каждом компе пользователи работали от своего (уникального) имени. Можно и без АД, но пользователей все равно необходимо заводить уникальных на каждом компе. Кроме того в этом случае нужно будет всех пользователей с компов студентов продублировать на компьютере преподавателя с тем же паролем.
    Далее:
    1.В расшаренном каталоге создаете отдельные папки для каждого пользователя.
    2.Для каждой пользовательской папки:
    2.1.Отменяете наследование прав.
    2.2.Даете полные права для преподавателя, администратора и пользователя данной папки.
    2.3.Остальных пользователей и группы удаляете (можно оставить Систему).
    3.Все
    В итоге каждый студент сможет работать только со своей папкой, преподаватель будет видеть все папки.

    PS: для преподавателей, если их несколько и они будут работать под собственной учеткой лучше завести группу и назначать права для группы. Группа для студентов так же будет полезной, например что-бы раздать ей права на чтение на расшаренный каталог (в котором лежат пользовательские подкаталоги), но не обязательно.
    Ответ написан
    Комментировать
  • Как заиметь ровные руки(исправить проблему с учеткой)?

    https://support.microsoft.com/en-us/help/814777/ho...
    To log on to Windows by using the disabled local Administrator account, start Windows in Safe mode. Even when the Administrator account is disabled, you are not prevented from logging on as Administrator in Safe mode. When you have logged on successfully in Safe mode, re-enable the Administrator account, and then log on again.
    Ответ написан
    1 комментарий
  • Минимальные настройки безопасности Linux на VPS?

    Tyranron
    @Tyranron
    Ряд моментов Вы уже сделали, но я все равно их опишу для полноты списка.

    1. Создать отдельного пользователя и хороший пароль на sudo. Не использовать больше root напрямую. Совсем.

    2. SSH. Отключаем метод аутентификации по паролю. Если Вам не нужны другие методы, то их тоже можно отключить, оставив только publickey. Отключаем возможность аутентификации root'ом. Включаем использование только 2й версии SSH протокола.

    3. Устанавливаем Fail2Ban и настраиваем чтобы после нескольких неуспешных попыток подключения по SSH банило по IP на длительное время. Кол-во попыток и время бана можно тюнить в меру своей паранойи. У меня, например, банит на час после 2х неуспешных попыток.

    4. Iptables. Действуем по принципу "запрещено все, что не разрешено". Запрещаем по умолчанию весь INPUT и FORWARD трафик снаружи. Открываем на INPUT'е 22 порт. В дальнейшем открываем порты/forwarding по мере необходимости. Если у нас предполагаются сервисы на соседних серверах нужные только для внутренней коммуникации (Memcached, Redis, и т.д.), то открываем для них порты только для определенных IP. Просто так торчать наружу для всех они не должны.

    5. Настраиваем автоматические обновления apt-пакетов. Уровень security. То есть так, чтобы обновления безопасности накатывались автоматически, но при этом не выполнялись обновления со сменой мажорной версии (дабы обезопасить себя от "само сломалось").

    6. Устанавливаем ntpd. Серверное время должно быть точным. Также временную зону сервера лучше всего установить в UTC.

    7. TLS (не SSL) используем везде где можем. Через Let's Encrypt получаем бесплатные валидные сертификаты. В конфигах веб-серверов, mail-серверов, и других приложений торчащих наружу (в том числе и OpenVPN), запрещаем/убираем использование слабых шифров. Все ключи/параметры генерируем не менее 2048 бит. Самоподписные сертификаты подписываем с помощью SHA-256 (не SHA-1). Diffie-Hellman параметры (dh.pem) под каждый сервис лучше сгенерить отдельно. Проверяем TLS сервисов через Nmap. Минимальный grade должен быть A, не должно быть warning'ов.

    8. Правильный менеджмент пользователей/групп. Приложения/сервисы не должны запускаться под root'ом (разве что они действительно этого требуют и иначе никак). Для каждого сервиса создается свой пользователь.

    9. Если предполагается upload файлов через PHP (либо другие скриптовые языки), в директории, куда эти файлы загружаются (и которая доступна снаружи), должно быть жестко отключено любое выполнение скриптов/бинарников, что на уровне ОС (x права), что на уровне веб-сервера.

    Это была база.
    Дальше, в меру своей паранойи можно за'harden'ить сервер ещё следующими моментами:
    - SELinux, chroot
    - доступ к SSH только с определенных IP (нужно иметь 3-4 VPN-сервера под рукой)

    UPD И да, все это помнить/настраивать руками каждый раз может быть запарно. Используйте Ansible и автоматизируйте процесс (там родные и YAML, Jinja2 и Python).
    Ответ написан
    10 комментариев