» Флейм для сисадминов (часть V)

andrejvb
reenoip
как бы не так всё просто, это может быть fortigate:
http://shcit.wordpress.com/category/fortigate/

ALEF
Поздравляю, коллега! Вам удалось ввергнуть меня в когнитивный диссонанс!
1. ЭТО может делать ЛЮБОЕ ПО или оборудование, транслирующее сетевые запросы. Как вредоносное, так и вполне легитимное.
2. Данный вопрос уже обсуждался (пост FL0od13 от 26-12-2012)
3. Я заранее прошу прощения, но Вы археолог или из Эстонии? Не обижайтесь, это просто шутка, никаких намёков или наездов.

TheBarmaley
все правильно рассказал, может стандартный и может, но офисный отказывается.
и не везде еще безлимиты стоят, а за месяц у этого пользователя получилось 20гб нагенерить, при условии, что на филиал покупался пакет на 3гб

*

Цитата:

сичяс

Цитата:

окончиться

как же быть?

Fredivarkol
нащёт всяких акций.. кнопочка
Цитата:

Сообщить модератору

нажата, ты уж извиняй..

Добавлено:
artemk
Цитата:

офисный отказывается

посмотри в настройках ящика, может там чё умное есть..
если "не-а, нету", попробуй создать свой фильтр по размеру.. типа, шоб письма >ХХмб тупо удалялись.. :)
правда, я хз (не пробовал), как это правило будет отрабатываться на исходящих..

нащёт "сожрали трафик" - пиши служебку, так, мол, и так, тупые звери не хотят понимать момент и экономить казённое бабло..
и пущай у начальства башка за перерасход болит.. может, кады рублём упёртого накажут, дело и сдвинется.. :)

clio77
как в народе говорят, "праффильная байда".. :)
встречный вопрос - "нецепляющийся" шареный ресурс постоянно монтируется как том/папка? т.е. ДО или после старта зиллы?

TheBarmaley

Цитата:

нецепляющийся" шареный ресурс постоянно монтируется как том/папка? т.е. ДО или после старта зиллы?

звезду на пагоны! спасибо тему прокачал.

Ребятушки, есть серв Win2008R2 кто-то гадит в АД, никак не могу понять кто? Подскажите где хранятся логи изменений АД, ну или где можно посмотреть кто заходил на него в определенный промежуток времени.

Цитата:

Ребятушки, есть серв Win2008R2 кто-то гадит в АД, никак не могу понять кто?

А вы камеру поставьте. Кто в АД будет с туалетной бумагой заходить, то и гадит.

А если по маленькому, как узнать ? А камер оч. много понадобится, т.к. с каждого компа по рдп можно подключиться. Разоримся, легче у себя поднять и на ключ, без возможности подключения по рдп.

mo00n
запретить вход с бумагой старого образца и посмотреть, кто мимо горшка навалит.. :)
т.е. сменить нужный пароль, потом позырить в журналах, кто/откуда будет долбиться по старому..

Дело в том, что бумага выдана далеко не одному засранцу, а порядка 20. Можно конечно отнять у них эту бумагу, но частенько кто-то заходит по нужде. Кто будет ходить не интересует. Мне необходимо узнать кто не смыл сегодня за собой где-то в промежутке 9:00-11:00.

mo00n
Энц. А все двадцать по одному талону ходят? Или они у них именные? Если именные, то анализ днк (владелец файла) должен однозначно указать на ленивого.

Каждый со своим талоном ходит, в основном что бы добавить пользователя. Но тут какой-то засранец удалил мою учетку+парочку групп.

Цитата:

то анализ днк (владелец файла) должен однозначно указать на ленивого.

А вот тут можно по-подробней? Хотелось бы лог, который отслеживает действия в АД, если нема такого, то хотя бы кто заходил в определенный промежуток времени.

mo00n
ясно.. конкретно за 2008-й не скажу.. про 2003 - тут глянь..
но проблемка в том, шо зайти-то в клозет можно не обязательно через одну дверь конкретную машину..
ведь никакой привязки/аудита, как я понимаю, у тебя нету.. ну.. иначе бы не спрашивал, наверное..

и всё-таки, на будущее.. я бы каждому "нуждающемуся", выдавал бы оригинальную и уникальную бумагу..
шоб вася, к примеру, не мог сесть на горшок пети и сказать потом, шо это петя не смыл.. ;)

TheBarmaley
Спасибо, это я уже прочел, более того файл с логами нашел, но вот открыть его не удалось Говорит что файл занят другим процессом, если ты тоже читал эту статью, то понимаешь, что это логично. Как вытащить фиг знает пока что)
Я пробовал копаться в событиях сервера, нашел код, который говорит о том, что засранец зашел на комп, но тем самым осталось 5 подозреваемых. К сожалению ничего кроме того, что вход выполнен я не нашел


Цитата:

выдавал бы оригинальную и уникальную бумагу..

Моя бумага называется группой в АД, с правами гадить
Как сделать уникальные, честно говоря мне кажется мне еще рановато до этого))

Цитата:

Хотелось бы лог, который отслеживает действия в АД, если нема такого, то хотя бы кто заходил в определенный промежуток времени

А журнал аудита для кого придумали? О_о

Цитата:

Как вытащить фиг знает пока что

Через wsh.

Цитата:

А журнал аудита для кого придумали? О_о

Я его уже перелопатил.

Цитата:

Через wsh.

Спасибо, сейчас почитаемсс

Так там по умолчанию требуемые тебе события не логируются по моему.

TheBarmaley
фильтр клева, но в аутглюке обрабатываются либо полученные, либо уже отправленные сообщения. Вот в эксчедже лечится транспортными правилами. А в "клиенте к эксченджу" нет. Даже экспресс может разбивать большие письма на фрагменты...
Задача решилась путем указания сменить почтового клиента на thunderbird

Добавлено:
mo00n
по умолчанию не логируются. нужно настраивать. и тогда при входе будет выдаваться не туалетная бумага, а копия пачпорта и по ней можно потом отследить
http://support.microsoft.com/kb/814595/ru
http://habrahabr.ru/company/netwrix/blog/144447/

mo00n
Цитата:

Моя бумага называется группой в АД, с правами гадить

осталось совсем немного - пущай таких групп будет несколько, но каждая - с единственным гадильщиком.. :)
+ прописать ограничения на место, в котором он может "откладывать личинки", т.е. некие доменно-групповые одмины..
+ оставить одну-две учётки "глобальных" одминов, имеющих права "откладывать" где угодно.. включая, ессно, себя, любимого..
вот тогда "накакавший" вычисляется на раз, поскоку все "горшки" при этом будут жёстко привязаны к конкретным челам..
и отмазаться от "несмывания" будет (теоретически) невозможно..

зы.
для ускорения процесса дознания и для острастки можно поработать проверенными методами Лаврентия Палыча.. :)
т.е. тупо расстрелять понизить в правах пятерых подозреваемых.. а 15 оставшихся сами себе задницу зашьют шалить не будут..
эдакая, типа, "профилактика правонарушений".. :)

Добавлено:
artemk
Цитата:

Задача решилась путем указания сменить почтового клиента

зря, имхо.. мне, к примеру, было бы лениво переставлять/настраивать/обучать.. :)
и я бы просто административно ограничил почтовый трафик фиксированным потолком.. т.е. сожрал гиг-два - и кури..
и пущай "особо одарённые" потом сами объясняют руководству, каким макаром они поели трафик..

вопчем, как там было - "Шурик.. ты комсомолец? Это же не наш метод!".. (ц :)

Добавлено:
mo00n
к вопросу о "чем/как посмотреть" - поколупай эту тулзу от Руссиновича.. а потом нам расскажешь.. :)

artemk
Спасибо, ссылочки полезные
TheBarmaley
А это собственно говоря неактуально уже, т.к. по ссылкам выше можно посмотреть кто навалил и как он это делал))

Коллеги, кто Postfix настраивал, особенно в разрезе SPF фильтрации, помогите с вопросом пожалуйста.

Alukardd
Цитата:

кто Postfix настраивал, особенно в разрезе SPF фильтрации

Увы, только Эксим. К постфиксу у меня как-то сразу сердце не легло

vlary
У меня тоже, я так сказать поверил в мнение мейнтейнеров Debian, которые по умолчанию включили exim-daemon-light и собственно после Вы всё знаете, т.к. отвечали на мои вопросы пару лет назад :-D

Но т.к. работа иногда меняется то видал я уже и чистый sendmail, что совсем ужасно для понимания и вот сейчас есть у меня postfix на фре. Не могу сказать, что он вызывает у меня отвращение, как чистый sendmail, но приятных чувств я к нему не испытываю.

Брр... это не мамочки.ру? Нравится, не нравится, отвращение, приятные чувства...
Коллеги, откуда такие эмоции по отношению к инструментам?
Жену/мужа | спутника/цу жизни любить нужно, а инструменты - использовать для решения задач и достижения целей. В первую очередь - своих.
А то так до мышей с@бемся (с) известный анекдот уровня «юзер вульгарис» скатимся!

Boris_Popov
Позвольте! В мире софта почти всегда есть аналоги, и речь в контексте нравится/не нравится идёт именно о таких ситуациях. Продолжим о тех же MTA —их существует куча, как отдельных, так и в составе комплексных систем почтовых серверов (UNIX-like & Windows: MDaemon, Exchange, hMailServer, CommuniGate Pro Mail Server(cross)). Почему бы не пожаловаться на личное неудобство использование того или иного продукта?

мдя.. любовь - дело такое.. а любовь к определённому софту - тако-о-о-ое.. :)
и вот как решил бы эту проблему поручик Ржевский:
- Господа! Что вы всё про амуры да шуры-муры.. давайте лучше выпьем водки.. ж:)
..ведь после второго стакана даже промежуточные* виндовсы краше становятся.. :))
* - ака линолеум, висла, вынь-8.. :)

друзья, ест роутер DrayTek Vigor 2930
у него на морде 4 LAN порта


а в админке только для 2-двух LAN портов можно задать IP адреса почему ?
вот админка


Причем у меня сейчас кабель в локалку воткнут в LAN2 притом что в админке адрес локальной сети прописан в поле "1st IP Address" 192.168.1.1
Задача следующая, дать соседям по этаже инет, но не пускать в нашу сеть, дав им при этом другую подсеть 192.168.2.1
Попробовал в поле "2nd IP Address" прописать 192.168.2.1
взял ноут воткнул кабель в него и в LAN4 попробовал пинговать 192.168.2.1 непроходит сменил подсеть на 192.168.1.0 на ноуте и там инет заработал.