По поводу безопасности - а на этапе открытия сокета её тупо ещё нет, так что в книге просто не должно затрагиваться вопросов безопасности. Все атаки и прочая нехорошая активность идет сильно выше второго уровня сети, и в общем случае выше четвертого (где находятся сокеты), исключение ICMP флуд и использование протоколов третьего уровня как основу для атаки типа DoS (потому что больше с ним ничего не сделать, передача данных требует работу поверх четвертого уровня).
sysprep помимо прочего пересоздает machine GUID, который в случае попыток промотировать склонированную ВМ до контроллера домена может устроить вам много головной боли. Также он скидывает лицензирование и кучу всякой телеметрии в ноль, остального не помню. И я бы делал через него, причем sysprep выполнял бы на клоне, который потом останавливается и VMware vCenter превращается в шаблон, из которого уже клонированием делаются новые чистые ВМ (но без домена, вводить все равно понадобится как-то).
mrmourax, можно попробовать настроить fail2ban на отражение syn-flood, но если перебор портов будет растянут по времени или размазан по нескольким хостам, не спасет. Разве что блокировать хост при подключении по порту, который явно не разрешен в правилах с первой же попытки на сколько-то часов, тогда есть вероятность, что подропанные пакеты будут восприняты подбирающим как отсутствие слушающего порта. Но если всерьез затеют просканировать, все равно не спасет, только отсрочит получение информации.
mrmourax, весьма вероятно. Смотрите тогда правила iptables, либо у вас файрволл просто нараспашку, что само по себе вредно, либо там есть отдельное правило на открытый порт. И проверьте ещё cron под всеми пользователями, на случай если бэкдор из числа тех, кто сам стучится за указаниями. Для полноты картины поставьте iptables -P OUTPUT DROP чтобы блокировать исходящие соединения, потом будете открывать для нужного трафика, ну и логирование исходящих syn-пакетов тоже желательно врубить.
Что за запросы запуливаются в mysql для проверки? если выполнять скрипты из-под пользователя zabbix, что за ошибки возвращаются? если вызвать setenforce 0, ошибка пропадает или нет? и ещё много того, что надо бы добавить в вопрос. Заодно что такое "настроил всё в my.cnf" - что такое "всё"? может недонастроили.
shurshur, по приведенной ссылке IPsec настраивается. Если автор сделал всё правильно, проблема на стороне виндов, кроме того, на стороне сервера IPsec объявлен как необязательный, что неправильно по требованиям безопасности. Но если линукс подключается с включенным IPsec, проблема не в IPsec - а вот это надо у автора спросить.
Ну и вообще, а причем тут тик? DNS-записи для домена должны раздаваться контроллером домена (10.0.1.3), и DNS-сервер на нем есть, судя по логам. Вот его и настраивайте.
denn, ну да, значит нет такой записи. Технически, если у вас на тике есть зона forward lookup dcadm.***.ru, добавить нужно запись А на пустое имя (или @, если не ошибся, в случае bind9), тогда тест должен пройти этот этап. Если у тика нет понятия зоны (на что больше похоже), добавлять надо A-запись на dcadm.***.ru как таковой.
Как я понимаю, плюс байт-кода в ВМ - кроссплатформенность (достаточно портировать ВМ на архитектуру, а не всё приложение), минус - скорость из-за оверхэда от ВМ, который зависит от того, насколько нативно собрана сама ВМ (вдруг вы, скажем, её оттранслировали в API слишком высокого уровня вместо более низкого, которого бы хватило).
Больше всего похоже на ошибки работы с устройством scsi:6.0.0.0 и/или общей мощностью, передаваемой на все устройства через USB. Дисковод, скорее всего, пытается жрать в пике много и вызывает проседание питание по шине, отчего резетится и по кругу. Может, ваша малина неспособна передать достаточно именно мощности по своим USB-портам, при этом не может это определить.
Как известно (ц), не только лишь все пользователи хранят свои документы на сетевых дисках, даже после того, как появились перемещаемые профили. Плюс некоторые ПК лично я бы бэкапал целиком, в основном те, где установлено ПО, которое хрен где потом найдешь или хрен поставишь, или сенситивное типа клиент-банка. Но в массе своей решение правильное, надо хранить профили на сети.
Если всё же надо сохранять образ ПК на сеть, есть решения для бэкапа, я бы использовал Symantec ПО, но я просто с ним дольше общался и видел, что работает и не ломается.
Игорь Кривинцов, технически можно попробовать от этой машины жесткий диск (*vhdx) приделать к другой ВМ как второй, и данные слить. В том числе может даже получиться запустить свежеустановленный mysql/mariadb/postgres смотря что в апплиансе стояло, с использованием скопированных файлов. чтобы вынуть всю БД заббикса, тогда понадобится только её восстановить корректно.
Юрий Ляпин, формально, ели вы вычленили широту и долготу, скажем, внутри заббикса, можете отправить их в ещё один скрипт на запрос внешних данных. А сохранять файлы на диске вам скорее всего не дает SELinux на сервере заббикса, что в принципе логично, так как защищает от вредоносных или дырявых внешних скриптов, не давая им возможности залить на сервер заббикса какой-нибудь шелл.
L0ns, кстати, в powershell CLI можно проделать такую штуку: набрать имя коммандлета, скажем, Get-ADGroup, потом набрать пробел, знак минус и нажать Tab, автокомплит начнет подсовывать допустимые параметры. Ну и вообще Get-Help -Detailed в помощь.
