» Флейм для сисадминов (часть V)

BigElectricCat
Цитата:

ещё одна костыльная схема: обычный IP + PPOE для авторизации пользователей

чес гря, плохо представляю реализацию в своих условиях, потому как:
1. за самую простую лицуху ~1000 рэ в "моих" условиях придётся объявлять тендер и всё такое.. :(
аналогично и за "железную" часть, тока с ещё большим геморроем.. тем паче, как понимаю, одной мне не обойтись.. :/
2. раздача ип не интересует ввиду имеющейся статической привязки по ип (лопатить ~200 компов без домена)..
3. привязка ип/мак на серваках есть, на юзерские тачки сделать не проблема, даже в отсутствие домена..
4. непонятно, чем надёжность логина/пароля от впн в этом случае отличается от имеющейся нтлм-авторизации..
ну.. нашим тёткам всё-рно не запретишь вывешивать бумажки с пассом и/или периодически обмениваться ими.. :+)
5. не соответствует условиям "ТЗ" - "встроенными" средствами венды + использование только софтовых решений..
6. с микротиком дела не имел никогда (тему видел, не читал - не было нужды)..

но полюбому - спс за участие, пост посейвил на заметку..

ipmanyak
я про это вкурсе, спасибо. У меня конкретно 2 жестких WD и 2 SG, я вот и спрашиваю можно их вместе подружить или же не стоит.

NskRonin
Спасибо. Попробуем

k3NGuru

Цитата:

Подскажите, можно ли в NAS поставить два разных вендора HDD.
Конкретно:
Western Digital WD10EZEX http://market.yandex.ru/model-spec.xml?modelid=8342079&hid=91033
Seagate ST31000528AS http://market.yandex.ru/model-spec.xml?modelid=3957314&hid=91033
 
Будут ли они нормально работать и не конфликтовать?
Планируется их объединять в RAID 10

Работать то будет.
Но вот сигейтам 7200.11 7200.12 я вообще не доверяю.
У первых жесточайшие баги в прошивках, у вторых механика ни к черту.
WD пока ничего.
Лучше соберите с них по 2 зеркала.

Cheery

Все же никак не могу такое представить... как это не шифрованное подключение поверх шифрованию?

goletsa
Цитата:

Но вот сигейтам 7200.11 7200.12 я вообще не доверяю.
У первых жесточайшие баги в прошивках, у вторых механика ни к черту

за 11-е читал/слышал, но самого бог миловал - в "коллекции" нет..
а вот про 12-е ничё плохого не скажу - несколько десятков в конторе стоят, проблем особых с ними нет..

про пары WD+SG - когда-то у вестернов была "мания величия" и они очень херово работали в паре с другими..
за новые не скажу, давно не попадались, но я бы всё-рно собирал WD+WD/SG+SG, для гарантии..

---

contrafack
Цитата:

как это не шифрованное подключение поверх шифрованию

мдя.. уж.. пойми простую весчь - не "поверх", а "параллельно", и тогда всё встанет на место.. утрируя - в самом секретном спецотделе спокойно пользуются "несекретными" авторучками из соседнего ларька.. и ничё, никто не умер ышшо.. пока в такую вот "авторучку" злодеи-шпиёны не засобачат "жучок".. =)

так и здесь - сам контент идёт по хттпс, а картинки, к примеру, берутся с хттп.. как пример - зайди ослом на яндекс и скажи "да" - иконок сайтов слева от найденного ты не увидишь.. потому как они берутся с сайтов по хттп..

contrafack
Сама страница отдалась по https://server.name/page
А дополнительный контент - JS/CSS/Картинки с контент сервера http://cdn.server.name/script.js
Т.е. не все идет по ssl.


Добавлено:
TheBarmaley
[more=7200.12 smartctl]
# smartctl -a /dev/sda
smartctl 5.41 2011-06-09 r3365 [i686-linux-3.11.10-work-1] (local build)
Copyright (C) 2002-11 by Bruce Allen, http://smartmontools.sourceforge.net

=== START OF INFORMATION SECTION ===
Device Model: ST500DM002-1BD142
Serial Number: W2A460LF
LU WWN Device Id: 5 000c50 0463ea4c0
Firmware Version: KC44
User Capacity: 500 107 862 016 bytes [500 GB]
Sector Sizes: 512 bytes logical, 4096 bytes physical
Device is: Not in smartctl database [for details use: -P showall]
ATA Version is: 8
ATA Standard is: ATA-8-ACS revision 4
Local Time is: Tue Jan 28 17:49:15 2014 MSK
SMART support is: Available - device has SMART capability.
SMART support is: Enabled

=== START OF READ SMART DATA SECTION ===
SMART overall-health self-assessment test result: PASSED

General SMART Values:
Offline data collection status: (0x82)    Offline data collection activity
                    was completed without error.
                    Auto Offline Data Collection: Enabled.
Self-test execution status: ( 0)    The previous self-test routine completed
                    without error or no self-test has ever
                    been run.
Total time to complete Offline
data collection:         ( 592) seconds.
Offline data collection
capabilities:              (0x7b) SMART execute Offline immediate.
                    Auto Offline data collection on/off support.
                    Suspend Offline collection upon new
                    command.
                    Offline surface scan supported.
                    Self-test supported.
                    Conveyance Self-test supported.
                    Selective Self-test supported.
SMART capabilities: (0x0003)    Saves SMART data before entering
                    power-saving mode.
                    Supports SMART auto save timer.
Error logging capability: (0x01)    Error logging supported.
                    General Purpose Logging supported.
Short self-test routine
recommended polling time:      ( 1) minutes.
Extended self-test routine
recommended polling time:      ( 79) minutes.
Conveyance self-test routine
recommended polling time:      ( 2) minutes.
SCT capabilities:      (0x303f)    SCT Status supported.
                    SCT Error Recovery Control supported.
                    SCT Feature Control supported.
                    SCT Data Table supported.

SMART Attributes Data Structure revision number: 10
Vendor Specific SMART Attributes with Thresholds:
ID# ATTRIBUTE_NAME FLAG VALUE WORST THRESH TYPE UPDATED WHEN_FAILED RAW_VALUE
1 Raw_Read_Error_Rate 0x000f 111 099 006 Pre-fail Always - 32981552
3 Spin_Up_Time 0x0003 100 100 000 Pre-fail Always - 0
4 Start_Stop_Count 0x0032 100 100 020 Old_age Always - 62
5 Reallocated_Sector_Ct 0x0033 092 092 036 Pre-fail Always - 2896
7 Seek_Error_Rate 0x000f 081 060 030 Pre-fail Always - 147172204
9 Power_On_Hours 0x0032 079 079 000 Old_age Always - 18636
10 Spin_Retry_Count 0x0013 100 100 097 Pre-fail Always - 0
12 Power_Cycle_Count 0x0032 100 100 020 Old_age Always - 62
183 Runtime_Bad_Block 0x0032 100 100 000 Old_age Always - 0
184 End-to-End_Error 0x0032 100 100 099 Old_age Always - 0
187 Reported_Uncorrect 0x0032 100 100 000 Old_age Always - 0
188 Command_Timeout 0x0032 100 098 000 Old_age Always - 10
189 High_Fly_Writes 0x003a 100 100 000 Old_age Always - 0
190 Airflow_Temperature_Cel 0x0022 059 051 045 Old_age Always - 41 (Min/Max 32/42)
194 Temperature_Celsius 0x0022 041 049 000 Old_age Always - 41 (0 20 0 0)
195 Hardware_ECC_Recovered 0x001a 039 025 000 Old_age Always - 32981552
197 Current_Pending_Sector 0x0012 100 100 000 Old_age Always - 0
198 Offline_Uncorrectable 0x0010 100 100 000 Old_age Offline - 0
199 UDMA_CRC_Error_Count 0x003e 200 200 000 Old_age Always - 0
240 Head_Flying_Hours 0x0000 100 253 000 Old_age Offline - 214645285603531
241 Total_LBAs_Written 0x0000 100 253 000 Old_age Offline - 3895290200
242 Total_LBAs_Read 0x0000 100 253 000 Old_age Offline - 1124588573

SMART Error Log Version: 1
No Errors Logged

SMART Self-test log structure revision number 1
Num Test_Description Status Remaining LifeTime(hours) LBA_of_first_error
# 1 Short offline Completed without error 00% 2125 -

SMART Selective self-test log data structure revision number 1
SPAN MIN_LBA MAX_LBA CURRENT_TEST_STATUS
1 0 0 Not_testing
2 0 0 Not_testing
3 0 0 Not_testing
4 0 0 Not_testing
5 0 0 Not_testing
Selective self-test flags (0x0):
After scanning selected spans, do NOT read-scan remainder of disk.
If Selective self-test is pending on power-up, resume after 0 minute delay.

[/more]
Меня это дико печалит.

goletsa
Цитата:

Меня это дико печалит

ну да, после 2-х с лишним лет почти непрерывной наработки.. 500-ка как 500-ка, что именно печалит-то?

сам пару раз сталкивался с не очень кошерными терабайтниками, но оба менял сразу же у поставщика..
пара 500-ок есть, обе пашут уже года 4 в колхозном серваке, ведут себя тихо пока..
из мелких (80/160/250) всего одна 160 отсохла, и то - через три года работы..

TheBarmaley
Много реалокейтед секторов.
Причем используется как рабочая станция, никакой серьезной нагрузки на диск (хром,psi+).
У меня есть 1ТБ хитача с 40к часов наработки, причем в NAS'е с торентами, там смарт куда чище.

TheBarmaley
goletsa

спасибо вам ребята, Cheery мне скинул пример кода в ПМ, и я понял в чем дело )))
просто думал если браузер открыл сессию с сервером по ssl, то все из этой страницы идут шифровано.

А возможно ли запретить таких "беглецов" ? которые из https открывают себе сессию по http ?

contrafack

Да. Вчера на хабаре статью читал попалось на глаза. Это как эту проблему победил Яндекс.


Цитата:

Сразу после включения HTTPS по умолчанию мы увидели, как выросли графики времени загрузки интерфейса почты, и потребовалось некоторое время на поиск причин и решение проблемы. Другой проблемой стало отображение HTTP-содержимого писем по HTTPS, например, изображений, добавленных через тег <img>. Мы построили отдельный сервис, который кеширует изображения и способен отдавать их по HTTPS, после чего, заменили вставленные в письма изображения на ссылки нашего прокси.

http://habrahabr.ru/company/yandex/blog/210478/

BigElectricCat
на основе твоего предложения о промежуточной авторизации прикинул немножко другую [more="костыльную схему"]в сетке есть прокси, часть внешних и пара внутренних сервисов гоняются в нём через портмаппинг.. можно довесить на этот же прокси ещё один/несколько портмапов для рдп-доступа (подтолкнул этот пост в теме 3proxy)..

т.е. введя портмап с авторизацией + ограничив в настройках прокси диапазон ип-шников, в результате как раз и получим мою "хотелку" - привязку ип/юзер.. ну а на таргет-серваке уже фиреволлом прописать ограничение доступа по рдп только с ип-ника прокси.. ну, вчерновую как-то так..

в принципе, такую же схему по аналогии можно реализовать и для доступа к шарам, только там придётся мутить с маршрутизацией на серваке с прокси + прописыванием маршрутов на клиентах + портмапом стандартных портов шаринга через прокси.. это, чес гря, до конца пока не продумывал, но сам принцип, как думаю, вполне рабочий..

особых "минусов", навскидку, не вижу - разве шо "централизация" управления доступом, от которой хотел уйти, но тут уж никак.. "плюсы" же такие - не придётся глобально перетряхивать структуру сети, ставить доп.софт, докупать железо.. ну и самое главное - переучивать (!) кучу юзеров.. =)

вопчем, чё скажешь - есть какие-то "подводные камни" в таком костыле?[/more]..

---

goletsa
Цитата:

Много реалокейтед секторов.
.......
есть 1ТБ хитача с 40к часов наработки, причем в NAS'е с торентами, там смарт куда чище

ну дык и и сигейты тоже не все одинаковы.. за "бытовуху"-то понятно - там особо-то качество и не заявляется..
я бы по-любасу смотрел/ставил по задачам - смысл ставить серверные винчи в райд для хранения хоум-прона.. =))

---

contrafack
Цитата:

возможно ли запретить таких "беглецов" ? которые из https открывают себе сессию по http ?

можно, если ставить в браузер соответссные адд-оны.. типа такого..
но тады уж извини - при включенном адд-оне хттп-контента ты уже не увидишь.. ;)

---

NskRonin
Цитата:

как эту проблему победил Яндекс

как-то однобоко они её победили, имхо.. в хттпс-поисковике до сих пор запросы вылазят..
в гугле сделали лучше - одинаково приятно заходить по хттп/хттпс, никаких ахтунгов нету..

Извращенцы

TheBarmaley

Цитата:

ну дык и и сигейты тоже не все одинаковы.. за "бытовуху"-то понятно - там особо-то качество и не заявляется..
я бы по-любасу смотрел/ставил по задачам - смысл ставить серверные винчи в райд для хранения хоум-прона.. =))

У меня были ынтырпрайз сигейты ES ES2, сыпались так же сильно как десктоп.
Там разница в FW только не большая, механика такое же говно.

goletsa
Цитата:

У меня были ынтырпрайз сигейты ES ES2, сыпались так же сильно как десктоп.
Там разница в FW только не большая, механика такое же говно

ну я хз.. сам сервачных винтов отродясь не юзал, политика такая - "берите подешевле, сдохнут - ещё купим".. :(
а за "бытовуху" уже сказал - особых траблов нет.. на серваках, правда, я их принудом меняю раз в пару лет.. =)

---

grumm
Цитата:

Извращенцы

дык, "скучно без водки-то".. (ц:))

grumm


Цитата:

Извращенцы

ыгы.. у меня тоже такие мысли ))))

TheBarmaley, отвечаю --- большой плюс ппое в том, что ему не нужна несущая ип сеть для авторизации. Все остальное (за исключением IDM) будет требовать среду передачи данных с существующими ип адресами.

Фактически предложенная мной костыльная схема выступает неким авторизатором до получения компьютером ип адреса, соответственно ип + шлюз + днс сервер на каждый авторизированный запрос по ппое для конкретного мака можно подставить свой, т.е. у каждого пользователя будет свой отдельный комплект адрес+шлюз+днс, что позволит рулить любыми маршрутами и доступом пользователей к любым серверам через простую однократную настройку пользовательского фаирвола с одним конфигом на каждой машине (от ручной подмены это конечно не защитит, но ... как-то работать будет, хотя, на самом деле, без активного железа и персонального влан на пользователя тебе ничего, от ушлых пользователей, всё равно не поможет.)

Я такое недавно замутил для подключения одного тонкого клиента из большой группы к разным серверам (протокол rdp адрес сервера у всех жёстко прописан в конфиге тонкого клиента: base.ts-cli.local) просто определённому маку дхцп сервером выдаётся адрес с отличным от других днс сервером (пришлось срочно поднять одному сотруднику персональный сервер для отладки буховской программы, а так, все живут на одной большой ферме.)

Теперь рассмотрим твою задумку с использованием портмапера.

Цитата:

портмап с авторизацией + ограничив в настройках прокси диапазон ип-шников

Авторизация у твоего прокси прозрачная (в смысле нтлм поддерживается)? Бо если нет --- то по каждому телодвижению с использованием портмаппера им придётся научится вбивать пароли))) Да и, с шарами так точно не выйдет, ну не получится поставить промежуточную авторизацию пользователей в смб шару (там же не один порт), винда такого физически не умеет (можно данный вопрос решать с промежуточным файловым сервером, такие рекомендации раньше были у мелкософта для нт4.)

ЗЫЖ Смысла пускать в рдп через прокси с авторизацией я совсем не понимаю, ну разве что из интернета с авторизацией сертификатами PKI инфраструктуры, но для этого есть тот же "шлюз сервера терминалов" у мелкософта.

BigElectricCat
Цитата:

от ручной подмены это конечно не защитит, но ... как-то работать будет, хотя, на самом деле, без активного железа и персонального влан на пользователя тебе ничего, от ушлых пользователей, всё равно не поможет

вот чё я и "сопротивлялся" этому подходу - городить огород, шоб в результате прийти к примерно имеющемуся.. :/
за железо/софт уже сказал - сильно сомневаюсь, шо будет "одобрям-с" от руководства.. ну.. пока не грянет.. ))
Цитата:

Авторизация у твоего прокси прозрачная (в смысле нтлм поддерживается)?

да, конечно - за 3proxy и говорилось, у него эта фича есть.. правда, щас я её не использую, но как вариант держу..
про шары - оно понятно, шо мапить кучу портов геморройно.. вопчем, это было больше так, губу пораскатать.. =)
да, сопссно.. не пентагон охраняется, пока всё устраивает и существующей структуре.. но, как уже говорил
Цитата:

вопчем, как бэ "меня опять терзают смутные сомнения..".. (ц :)

ладно.. пасиб ещё раз за наводку/разъяснения, буду потихоньку ковырять на будущее..

Начну с главного: всем в честь пятницы!

Теперь о наболевшем: нужен модем с возможностью блокировки р2р трафика. Кто-нибудь на практике сталкивался с таковыми, или их не существует?

vzar


Цитата:

нужен модем

U.S.Robotics - почему то вспомнил .... )))

День рождения русской водки
Код:
Событие, послужившее причиной неформальному установлению Дня рождения водки, произошло 31 января 1865 года. В этот день в Петербурге Дмитрий Иванович Менделеев защитил свою знаменитую докторскую диссертацию «О соединении спирта с водою», над которой работал в 1863—64 годах. Диссертация хранится в музее великого ученого — в Санкт-Петербургском государственном университете.

Источник: http://www.calend.ru/holidays/0/0/2343/
© Calend.ru

vzar

Цитата:

Теперь о наболевшем: нужен модем с возможностью блокировки р2р трафика. Кто-нибудь на практике сталкивался с таковыми, или их не существует?

Вы путаете функционал конвертера среды (чем является модем по сути) и маршрутизатора/firewall, который может фильтровать трафик.

Имеется небольшой комп с VMWare ESXI 5.1 на борту.
Планирую туда установить Zabbix; Squid+Sams; Web-сервер. Подскажите имеет ли смысл ставить отдельной виртуалкой БД (PostgreSQL или Percona), и ничего более и указывать в настройках подключения к БД данный хост?
Или же все таки на каждой VM поднимать свою БД?

Немного инфы:
Zabbix - около 50 устройств
Squid+Sams - 50 пользователей
Web-сервер - в основном Wiki и фотогаллерея.

Железо:
HP pro 3400 с Intel Core i5-3450 / 8Gb RAM / 1Tb HDD

Все VM планирую заводить на CentOS 6.5

k3NGuru
Зависит от уровня вашей паранойи.
БД то можно и локально держать, на той же виртуалке что и система.
Городить отдельную виртуалку с БД имхо излишне.

мму-у-ужжжжи.. ик.. ики!.. пррредлагаююю.. осс.. осссс.. осстанвиццо.. ннн.. ннаа.. гглаавнм.. .. ик..
сс.. насступающщщм вас... гражжддне.. ссс.. 1-м ферваля.. не.. фврр.. февраля.. во!..
короче.. за Менделеева грех не выпить, посему -

таки

таки тоже

С Восточным "Тыгыдымским"

aRLi, лего-сити зачОтен, дискотека продолжается!