Задать вопрос
  • Идеи/советы для сисадмина в школе?

    @rionnagel
    ковырятель
    Найдите работу получше. Увольняйтесь. Я без шуток и без издевок. На этом месте вы ничего не узнаете и ничего интересного делать не будите. Я исхожу из описанной вами цели "А так хочется набраться опыта".
    Ответ написан
    Комментировать
  • Почему нет интернета? Глючит коммутатор? Что делать?

    @rionnagel
    ковырятель
    Вангую, что у вас больше одного dhcp сервера в сети, которые могут быть по умолчанию включены на некотором оборудовании. Вот и получается, что некоторые компы получают нормальные адреса, остальные - нет.
    Ответ написан
    Комментировать
  • Что даст дополнительное обучение по информационной безопасности системному администратору?

    @rionnagel
    ковырятель
    ИБ должно подчиняться только директору. Нельзя мешать это с IT отделом, а особенно отдавать туда.

    Идя в ИБ надо понимать, что это много работы именно с документами. Нормативно-правовые акты, хорошее знание закона своей страны в этой сфере, международные стандарты, внутренние документы и пр. и пр.. Составление концепции безопасности и политик безопасности - это большой кусок работы, а ещё и изменения, также сюда может и входить анализ рисков, денежные расчеты, составление пограничных таблиц и т.д. и т.п..
    Ответ написан
    Комментировать
  • Как подготовиться к собеседованию на системного администратора?

    @rionnagel
    ковырятель
    Я иногда провожу собеседования по этой позиции. Я могу порекомендовать не писать в резюме того, чего вы не знаете - это вводит в заблуждение... а если спросят глубже?)
    Изначально спрашиваю про базовые вопросы и пытаюсь узнать глубину знания. Например, что такое днс человек знает, может даже историю/предпосылки появления, но что есть записи разных типов и что они делают не знает.
    Например написал человек, что такое AD в резюме - я спрошу в том числе и роли FSMO.
    Например спрошу я про устройство файловой системы, потом уже буду спрашивать о том, что такое индексные дискрипторы, чем симлинки от хардлинков отличаются, как происходит удаление файла и т.д.
    Обязательно спрошу базовые вопросы по сети, модель osi, из чего состоит пакеты tcp и udp.

    На большинство вопросов не отвечают, но если нужно тягать кабеля и настраивать роутеры и эникеить - это не проблема. Захочет расти - разберется. Также провожу оценку кандидатов, надо понимать, что не ты один приходишь на собеседование.
    Но если мне не отвечают на то, что такое днс и не могут объяснить, что 10.0.0.4 и 10.0.1.7 (при маске /24) это разные подсети, то это такое себе - после этого про всякие контейнеры, оркестраторы, мониторинг и прочие сложные сервисы спрашивать вообще смысла не имеет.
    Ответ написан
    4 комментария
  • Как заблокировать сервера Fortnite на Микротике?

    @rionnagel
    ковырятель
    Вы идёте не тем путем. Подобные проблемы решаются организационным мерами, а не техническими. Сегодня фортнайт, завтра квейк, послезавтра кол оф дьюти и т.д. Вы всерьёз собираетесь следить за трендами игрушек на рабочем месте? А если оффлайн игры? А если кто-то приставку принесет? А если кто-то не играет, а смотрит книги и читает фильмы? По предприятию выпускается приказ/регламент/нормативка, которая лишает части премии (например) если спалят за подобным занятием не в то время (например если не в перерыв, не после/перед работой, не в отсутствии рабочих задач и пр. условия), даёте на ознакомление и на подпись. Если предприятие большое и действительно в этом есть необходимость, то кроме приказа/регламента/нормативки/пр. можно воспользоваться дорогими техническими решениями для сбора доказательств для депремирования, поиска утечек корпоративных тайн и поиска аномалий.
    Ответ написан
    Комментировать
  • Чем собирать статистику использования интернета пользователями?

    @rionnagel
    ковырятель
    Zabbix, elk stack + elastiflow, PRTG Network Monitor, netflow analizer и прочее, что умеет жрать netflow. Так вы увидите с какого ip на какой человек лезет. Но вы же понимаете, что с коробки ничего вам не покажет, что человек сидит на youtube, а не гуглит (это можно определить лишь по косвенным признакам и неоднозначно), особенно если адреса принадлежат одной компании. Если заголовок зашифрован - вам надо mitm фигачить, сертификаты всем подменять, возможно покупать весьма дорогое ПО, а в некоторых случаях и железки и пр. Сейчас не 2000 года, когда трафик был преимущественно http и можно было без проблем видеть заголовки через прокси.
    Если бюджетом не располагаете, то лучше эту идею не реализовывать. А то придёте к тому, что везде надо будет ставить kerio control, покупать лицензии, подменять сертификаты и переворачивать сетевую инфраструктуру так, чтобы потратить меньше денег. Это потянет более жосткие проблемы за собой и на поддержание этого придётся нанимать специалиста.
    Ответ написан
    Комментировать
  • Как организовать proxy-сервер для журнала посещений?

    @rionnagel
    ковырятель
    Да простят меня все мыслимые и немыслимые специалисты... Но вашу задачу решает вполне себе тот же Kerio Control из коробки с красивыми отчетами и графиками... только денег стоит.

    Про стрельбу из пушки по мухам можно упомянуть ELK stack, который жрёт логи... например сквида.
    Ответ написан
    5 комментариев
  • Как и чем удобнее собирать и использовать базу знаний для сисадминов и техподдержки?

    @rionnagel
    ковырятель
    Использовал osticket с вики... до этого пробовал альфреско с вики... пробовал redmine c wiki... Но я думаю, если надо сделать сложную структуру на едином инструменте, то лучше смотреть в сторону чего-нибудь другого. Наверное как подсказали выше GLPI, Kayako, Hesk.... лично у меня в данный момент вся такая инфа, которая может использоваться для инвентаризации и базы знаний разбросана между foreman, puppet, ansible, zabbix, gitlab, elk stack и ещё кое-чем... но такое для тех. саппорта не подойдёт точно)
    Ответ написан
    Комментировать
  • Mikrotik - как отключить Ethernet по требованию?

    @rionnagel
    ковырятель
    /ip route add dst-address=8.8.8.8 gateway=10.8.0.5 scope=10
    /ip route add dst-address=8.8.4.4 gateway=10.8.0.4 scope=10
    /ip route add dst-address=0.0.0.0/0 gateway=8.8.8.8 distance=1 check-gateway=ping
    /ip route add dst-address=0.0.0.0/0 gateway=8.8.4.4 distance=2 check-gateway=ping

    Вот такая хитрая фишка с маршрутизацией без скриптов. Если конечно микротик используется как роутер. Отключить именно интерфейс - плохая идея т.к. не будет возможности узнать, что инторнет там появился, без гораздо большего геморроя.
    Ответ написан
    Комментировать
  • Как в Debian подмонтировать "расшареную" директорию?

    @rionnagel
    ковырятель
    Как писали выше - способов много.

    Установить samba, сделать авторизацию (например логин+пароль и ограничения по ip) на одном сервере (мануалов в сети миллиард), на втором создать папку и прописать mount (в эту папку сетевой папки) в /etc/fstab например.
    Ответ написан
    Комментировать
  • Как ограничить доступ к проброшенному порту по MAC адресу клиента в Mikrotik?

    @rionnagel
    ковырятель
    По мак адресу не выйдет извне. Это не тот уровень. Можно по ip разрешать (но тогда кому нужен будет доступ - необходимо будет статические ip иметь), а лучше для таких вещей поднимать впн.
    Ответ написан
    1 комментарий
  • Что посоветуете в качестве удаленного доступа на VNC?

    @rionnagel
    ковырятель
    Я использую сервер uvnc. Отдельно сервер с репитером, туда коннектятся все клиенты (с установленным сервисом, либо запускаемым клиентом, который показывает id) с определенными id и ожидают подключения. Сам коннекчусь используя подправленный chunk wrapper, т.е. просто указываю нужный id и попадаю куда хочу (но подойдет обычный vnc клиент с нужной командой). В этом случае нужен внешний адрес только на сервере с репитером, всё остальное проходят через любые наты. Есть минус, что при плохом интернете всё очень печально.
    Ответ написан
    Комментировать
  • Существует менеджер конфигурации для одного сервера?

    @rionnagel
    ковырятель
    Puppet манифесты можно запускать без сервера, это может быть вариантом.
    chef тоже можно запускать локально, это может быть вариантом.
    ansible плэйбуки можно запускать с локалхоста по ссш до сервера, это может быть вариантом.
    Докер может быть ещё одним вариантом.
    bash скрипты могут быть вариантом.
    Сохраненные конфиги в гите со структурой каталогов и маленьким скриптиком могут быть вариантом.
    gitlab-ci может быть вариантом.
    С остальными не работал - не могу сказать.

    Выбирайте что сердцу мило)

    Я бы именно для вашего варианта рекомендовал бы больше всего ansible+gitlab-ci. В пайплайнах ci описать варианты что ставить, редактируем hosts, делаем пуш и в пайплайнах просто нажимаем кнопку что надо с этим сделать. И получаем полный вывод результата в читабельном виде, в реальном времени (если надо можно цепочку тестов делать например). Гитлаб воркер ставится на машину с ансиблом. Да и сразу версионирование получите и историю.
    Ответ написан
    Комментировать
  • Выбор менеджера конфигураций для Windows-окружения. Практические советы?

    @rionnagel
    ковырятель
    Вообще sccm по идее надо использовать, если везде винда.

    Но я использую puppet (3.8 до сих пор) с foreman (отчеты, сбор фактов, таблички, подпись сертификатов коллегами) + gitlab-ci с виндой. Из минусов - сильная прожорливость как сервера - так и клиентов и куча исключений от руби при использовании большого количества скриптов (cmd/павершел), экзешников, msi, chocolatey/nuget и пр, когда они распределены по разным модулям/манифестам, а не исполняются парой внешних скриптов (если роль четко определена, например mssql+zabbix_client, а не дюжина наименований софта на одном хосте, то таких проблем не будет), да и полная жесть с кодировками, много готовых модулей в официальном репозитории для винды просто невменяемы. Из плюсов - легко всё описывать, делать свои модули и манифесты (имхо), вся инфраструктура описана и самозадокументирована, с отчётами всё хорошо, можно нормально править HKLM кстати :), разнообразные обновления можно очень оперативно раскатывать, темплейты сильно помогают. С линуксом гораздо меньше проблем у паппета. Но и кейсы с этим я решаю адовые, а вовсе не только менеджмент серверов (вот с ними как-раз всё просто и без проблем с паппетом), например *вырезал по этическим соображениям*.
    Ответ написан
    Комментировать
  • Ping проходит, но не видит компьютер в сети?

    @rionnagel
    ковырятель
    Проблемы с мастер-браузером, могут возникать по разным причинам. dns, wins сервер или прописывание файла hosts решат проблему с резолвом по имени. Не отключайте саму службу брэндмауэра, а сделайте netsh Advfirewall set allprofiles state off (либо галочки в настройках профилей брэндмауэра сделать "отключено"). Включите сетевое обнаружение, посмотрите чтобы службы server и workstation работали, проверьте сетевое оборудование, перезагрузите его.
    Ответ написан
    Комментировать
  • Выбор платформы виртуализации?

    @rionnagel
    ковырятель
    У hyper-v есть возможность репликацию производить. Если ляжет хост - можно в течении пары секунд/минут восстановить работу без необходимости делать кластер. Настраивается крайне просто. Можно исхитриться и впихнуть на виртуалки какой-нибудь кластер dc/os, если хранилку на них правильно организовать и использовать уже докер ^^)
    Ответ написан
  • Chrome почему не работают политики?

    @rionnagel
    ковырятель
    Насколько я понял обязательно нужен домен.
    Ответ написан
    Комментировать
  • Пробросить USB в Hyper-V?

    @rionnagel
    ковырятель
    Я не уверен, но есть такое
    https://technet.microsoft.com/ru-ru/library/dn2822...
    Ответ написан
    Комментировать
  • Почему от микротика не идёт пинг наружу с двух интерфейсов?

    @rionnagel
    ковырятель
    Добавлен маршрут до 0.0.0.0 на главном с дистанцией 1 и на дополнительном с дистанцией 2. NAT на 192.168.1.0/24


    Всё правильно. А чего вы хотели? Резервирование работает. У вас маршрут с дистанцией 2 запасной - заработает когда первый отвалится (например при проверки пингом/arp/скриптом/вотчдогом). Одновременно не работают т.к. пересекаются. Хотите чтобы оба работали одновременно - маркируйте роуты. Но тогда это уже будет не резервирование.
    Ответ написан
    Комментировать
  • Puppet: как произвести запуск приложения через манифест?

    @rionnagel
    ковырятель
    puppet крутиться под другим пользователем и соответственно исполняет программы от другого пользователя.
    Ответ написан
    Комментировать