» Флейм для сисадминов (часть V)

Добрый день. Подскажите, пожалуйста, небольшой технический момент. Новый физический сервер и будем использовать виртуальные машины, используя гипервизор ESXi. Стал вопрос, на что правильней установить автономный гипервизор и сами образы виртуальных машин? Можно ли в RAID 1 (2х SSD) держать и гипервизор и образы? Или нужно разносить их – гипервизор куда-нибудь отдельно, к примеру, на Flash во внутренний порт USB, а сами образы виртуальных машин в RAID 1 (2xSSD) или на RAID данных. Под данные будет создан отдельный RAID 10 из 4х HDD. Внешний RAID контроллер в сервере имеется.

RedKrasik
Цитата:

будем использовать виртуальные машины, используя гипервизор ESXi

Боже, как все запущено! Десять лет на форуме, и никакого понятия
о специализированных разделах и темах.
VMware ESX, ESXi, vSphere и Infrastructure (часть 2)

есть проблема, в какую тему посмотреть, есть 2 сети , соединённые vpn
192,168,101,
192,168,110,
вижу из одной в другой почти все компы но есть компы которые нет. где копать, подскажите?

Microsoft Windows XP [Версия 5.1.2600]
(С) Корпорация Майкрософт, 1985-2001.

C:\Documents and Settings\Admin>tracert 192.168.110.7

Трассировка маршрута к 192.168.110.7 с максимальным числом прыжков 30

1 5 ms * <1 мс router [192.168.101.1]
2 195 ms 215 ms 138 ms 172.26.181.1
3 150 ms 176 ms 203 ms 192.168.110.7

Трассировка завершена. на этот попадает без проблем
===============================================

C:\Documents and Settings\Admin>tracert 192.168.110.4 (не хочет ни в какую)

Трассировка маршрута к 192.168.110.4 с максимальным числом прыжков 30

1 7 ms * <1 мс router [192.168.101.1]
2 193 ms 213 ms 153 ms 172.26.181.1
3 * * * Превышен интервал ожидания для запроса.
4 *

а разобрался...........

bugzi83
Цитата:

а разобрался....

Фаер?

bugzi83
ПК был выключен?

спасибо, рассмешил всех. шлюз не прописан был.

Какое количество компьютеров в сети может поддерживать сисадмин без помощников?
Может как-то из практики, например: 6 организаций 150 компьютеров или 3 организации 250 компьютеров.
Как рассчитать насколько здоровья хватит и не потонуть в рутине?

Добавлено:
понимаю что оно у всех индивидуально, но может есть какой -то "стандарт"?

Добавлено:
то есть - тут даже эникея в помощниках не должно ходить, сисадмин - он же эникей, он же начальник сам себе.

d0r0fey
Цитата:

но может есть какой -то "стандарт"?

Типа средней температуры по больнице?
Конторы бывают разные, юзеры там разные, и админы разные.
Некоторые "админы" попросту и есть эникеи, ничего больше.
Но если это действительно админ, и занимается серьезными задачами, то эникей
должен быть при нем обязательно. Ибо если беспрерывно отвлекают на всякое г...но,
работать нормально в такой обстановке невозможно.

d0r0fey
Цитата:

сисадмин - он же эникей, он же начальник сам себе.

Вопрос общего оснащения становится на первое место.
1. Полный доступ ко всем компам извне компании. Т.е. включая возможность удалённой загрузки ПК в режиме альтернативной ОС. (как вариант возможность сетевой загрузки и наличие USB- загрузки)
2. Постоянный и высокоскоростной доступ в инет и в локальную сеть предприятий.
3. Наличие в каждой конторе IP-KVM для подключения его при необходимости к проблемному ПК. Для "залезть в БИОС и вообще понять чё за хрень" (нужен редко).
4. Организация постоянного, регулярного, ежесуточного бэкапа данных пользователей на сетевое хранилище. Для возможности "достать" нужные данные.
5. Вообще лучший вариант это организация терминальных компов, а не ПК. Тогда KVM вешается на сервер, что решает проблему.
...
Короче если всё продумать, то текучкой можно ОЧЕНЬ много тянуть.
Но всегда есть возможность нарваться на ситуацию когда "горит" сразу в 2-х местах. И эта ситуация всегда случается. Рано или поздно. И чем больше компов, тем более она вероятна.

Ябы сказал 3 точки (конторы) это приемлемо.



Добавлено:
vlary
Да не будет там админских задач. Ищут "двоих их ларца, одинаковых с лица"(с). Только тут одного.
Это не "эникейщик" и не "админ". Это "компьютещик".

d0r0fey

Цитата:

Какое количество компьютеров в сети может поддерживать сисадмин без помощников?

Вроде как в ITIL что-то похожее написано.

Фактически, я полагаю, человек хочет заняться подработкой на этой стезе (компьютерщик) и хочет понять сколько взять чтоб ещё на "девушку в кино сводить" времени и сил хватило.

Ну скажу так. Я работаю админом на основной работе + есть еще одна контора которую я админю. Если все грамотно настроить, позабирать у юзверей права и т.д. то звонят они мне сейчас раза 2 в неделю и то я все делаю удаленно и за несколько минут. В основном рутина всякая, обновить софт установить что-нибудь и т.д. Были правда пару раз чп, это когда на серваке сгорела мать. Но от этого никто не застрахован. А прибавка "на пиво" не плохая в принципе. Так что я думаю все зависит от подхода к делу.

MFlyagin

Цитата:

сли все грамотно настроить, позабирать у юзверей права и т.д.

Это мало поможет.
1. Подписанная у руководства стандартизация софта.
2. Установка все необходимого и капсулирование ОС.
3. Доустановка чего либо только по требованию.
4. Обновление самолично раз в неделю. Можно вообще по полуавтоматическому скрипту.

gryu
Ну тут опять же все зависит от размера конторы. У меня это магазин на 2 сервера и 15 компов. Большая часть компов это продавцы с ограниченным набором софта и зарезанными правами. И того что я там сделал вполне хватает для спокойной работы.

В таком случае вообще терминалка. И запуск профиля по личному логину.
А флешплееры и другую яву можно обновлять раз в неделю. Как я писал.

Добавлено:
Просто "ограниченные права" не дают гарантию что "Вася Пёрдин" не подхватит какую нибудь закладку на очередном "в контакте" ... с поррносайтом...
Знаем мы такие точки. Там вообще не резать права, а рубить ... руки нужно.

gryu

Цитата:

Просто "ограниченные права" не дают гарантию что "Вася Пёрдин" не подхватит какую нибудь закладку на очередном "в контакте" ... с поррносайтом...  

Для этого стоит на сервере traffic inspector который разрешает выход только на небольшой список разрешенных сайтов.

MFlyagin
Нет такой стенки, через которую не пролезет юзер с шаловливыми ручками.
Особливо если эти ручки вовремя не оторвать нахрен!

gryu
Ну всякое может быть

MFlyagin
Я поэтому сторонник другой тактики.
Каждый юзверь несёт личную ответственность за то что он делает.
Зацепил закладку на понорносайте? А что ты там делал в рабочее время?!
И в лоб! (фигурально конечно)

gryu
Ну я и не говорил про то, что юзеры не несут ответственности. Если косячат то об этом узнает руководство и принимает меры.

Добрый день
подскажите может кто сталкивался,задача: если сотрудник покидает сеть офиса, и допустим где то подключился к Интернету , то автоматом происходит соединение с VPN сервером компании и весь трафик заворачивает через это подключение, так как сотрудники путешествуют с конторскими ноутами хотелось бы контролировать их интернет трафик.

Пример реализации - ProxyCap
Вообще то это могут делать многие.
К примеру так же работает OpenVPN.
Только права нужно резать. Чтоб отключить не могли.

права порезаны - юзер , applocker, usb прикрыты и другие порты тоже, Вам попадались такие реализации? тут главное автоматизировать этот процесс и условие только за пределами наших сетей VPN

Цитата:

Вам попадались такие реализации?

Нет. Т.е. результаты таких попыток я видел. Сам термосопли из USB выковыривал.
Но реализацией не занимался.
И вот что ещё. На правах идеи.
Делаете настройку ОС с нужными правами.
Шифруете весь диск с паролём на запуск.
Таким образом пользователь может загрузится с USB и работать. Его дело.
Но доступа к корпоративной ОС, документам и корпоративным ресурсам он тогда иметь не будет. Никак.
Хоцца в командировке в игрушки поиграть, вози запасной хард с ОС под игры. А с корп не получится.



Добавлено:
И ломануть вашу защиту он не сможет.
Стороння загрузка будет видеть RAW раздел и хрена что она там найдёт. Всё шифруется с хорошим ключём.
Загрузить ОС так же нельзя не зная логин и пароль пользователя.
Пользователь грузится с правами не дающими ему право изменят определённые настройки
Перегрузится в админа он не может. Не знает пароля. Сбросить пароль не может. Сторонняя загрузка будет видеть RAW раздел, а текущий пользователь ограничен.
Энкрипто диска снять не сможет, не знает пароля на дешифровку диска и/или деинсталляцию программы.

Но есть одна проблема. Необходимо СРАЗУ делать диск восстановления/дешифровки и хранить его в сейфе. Независимый. Который сам знает ключ и будет дешифровать без предварительной авторизации. Для каждого компа свой. (универсальные лет пять как перестали практиковать)
Если ОС "падает", то инфу восстановить крайне сложно без этого.


Добавлено:
P.S.
Вот на этой системе я сижу.
У нас правда нет принудительного перенаправления трафика через что либо.
Только если включаешь VPN сам для доступа к корп ресурсам.
Доступ у нас по смарт-картам.

123Maximus123
Не забывайте, что некоторые провайдеры блокируют VPN. За примерами далеко ходить не надо — так поступают представители большой тройки (возможно, все из них) ОПСОСов. В Китае такая же проблема.

reff
Всё зависит от реализации VPN.
Я например и из Китая выхожу на свои узлы входа и спокойно работаю.
А "блокируют VPN" они всё так же... порты и/или сервера.
По анализу трафика пока никто не в состоянии, кроме таких структур как АНБ и всегда только персонифицировано.
А "всё всем для всех" это не реально.

Добавлено:
Гм.
Только не подумайте что я не в курсе таких реализаций как "Золотая Стена".
Там конечно ресурсы совсем другие, но и они отслеживают только наиболее известные протоколы.
"всё" и они не могут.

123Maximus123, как человек проехавший пол Европы на автомобиле хочу сказать про европейские отели.
Интрент в большинстве случаев — дерьмо, l2tp почти нигде не поднимается — порубаны порты, но можно пользоваться sstp (на маке нету, поэтому пользуюсь волшебной коробочкой mikrotik 493G с двумя N-wifi-ками, на 2,4 +5 ГГц).

НО! у большинства гостиниц, где я останавливался сетка не только wpa2-personal, там ещё всунут механизм авторизации через вебстраницу хотспота (например моя кастомизированная моторола в одном из отелей в сетку так и не вошла, ну нет на ней браузера, хотя по нтп время проверилось).

Цитата:

хочу сказать про европейские отели. Интрент в большинстве случаев — дерьмо,

Угу. В Азии и то лучше в приличных отелях.
В Китае сильно зависть от отеля и от города.
Кстати в Гон-Конге инет значительно хуже чем в континентальном Китае. (наследие Европы???)

Цитата:

l2tp почти нигде не поднимается — порубаны порты

и это тоже. Но я потому и использую ssh. Он мало где закрывается. Если честно, то как закрытие протокола невстречал. Вот порты да. Но у меня на ряде точек ssh висит на 443 порту. А его не перекрывают.

Цитата:

Но я потому и использую ssh. Он мало где закрывается

Аналогично. ОПСОСы режут GRE, но пропускают SSH.

Доброго времени суток,форумчане!
прошу не поднимать на смех а подсказать...
нужна утилита под виндоуз для форвардинга портов с возможностью немного вмешаться в ftp протокол. требуется сразу после "230 User anonymous logged in." послать от себя "CLNT test", отфильтровать ответ "200 Noted.", послать клиенту "230 User anonymous logged in." и далее перестать вмешиваться в сессию. Буду благодарен за любые советы, спасибо!