Одминский блог

Настройка кеширующего DNS сервера на базе BIND

Думаю что не надо лишний раз лить воду на жернов копирайта пустословия, относительно того что для жизни сетей и Интернета в частности, сервера доменных имен являются краеугольной тематикой. Ибо без их существования все доменные имена, типо мойкрутойдомен.ком были бы пустыми словами. И для того, чтобы выходить из любой сети в интернет, нам необходимо использовать DNS сервер для разрешения доменных имен в IP адреса.  Но в данном случае нам хватит, так называемого кеширующего сервера имен, то есть отвечающего только за разрешение имен и не содержащего описаний доменных зон.

С помощью стандартного сервера доменных имен BIND, настроить такой сервер, на базе любой *nix системы, можно за считанные минуты, но при этом необходимо выполнить некоторое количество телодвижений, которые я и перечислю ниже.

(more…)

Рубрика: FreeBSD, Сайты и их проблемы | Ваш отзыв »

Повышаем безопасность веб-сервера с помощью cPanel

Тема информационной безопасности бездонна словно вселенная, и так же как в космосе- с каждым годом ее границы расширяются, по мере роста скоростей интернета и развитием технологий. И если еще пять лет назад DDoS атака была делом профи, то сейчас этим может заниматься любой нубас, скачавший из интернета необходимый набор скриптов. И если вы ставите на свой компьютер или сеть фаервол и IPS с функцией логирования, то вы ужаснетесь тому потоку атак, которым ежеминутно подвергается ваша машина. А если это сервер выставленный в интернет, то активность злоумышленников и их рвение в попытке получения несанкционированного доступа возрастает многократно.

В этом ключе я хотел бы затронуть безопасность веб-сервера или хостинга, ибо при получении к нему доступа, злоумышленник способен использовать посетителей уязвленного ресурса для своих целей- самыми мягкими из которых будут перенаправление трафика на свои ресурсы. Поэтому так важно минимизировать вероятность несанкционированного доступа к вашему ресурсу.

(more…)

Рубрика: IT безопасность, Сайты и их проблемы | Ваш отзыв »

Оптимизация работы ipf и ipnat

В дополнение ко вчерашней статье о настройке фаервола, хотел бы упомянуть также некоторые моменты касаемые эксплуатации программного фаервола на базе пакета ipfilter или ipf, которые могут всплыть в процессе работы с указанным фаерволом. А также несколько фич, используя которые можно оптимизировать работу фаервола и механизма NAT.

После внесения изменений в правила фаервола, данные правила можно применить без перезагрузки фаервола, просто перечитав файл правил, причем это может быть как дефолтовый файл, так и рандомный:
# ipf -Fa -f /etc/ipf.rules
где,
-Fa сброс всех правил фаервола.
-f указывает фаайлец с новыми правилами фаервола (так что не ошибитесь, ибо как вы помните фаервол мы собираели с блоком по умолчанию)

так же можно перечитать и правила ipnat, используя команду
# ipnat -CF -f /etc/ipnat.rules

Полную статистику работы фаервола с момента загрузки системы  можно просмотреть командой
# ipfstat
При этом ключ -ih выдаст количество входящих пакетов, со статистикой прохождения или блокировок с попаданием в правила,
ключ -oh выдаст туже статистику для исходящих пакетов. Это отличное подспорье в оптимизации работы фаервола, путем помещения наиболее часто используемых правил фаервола наверх таблицы.
Обнулить эту статистику можно командой
# ipf -Z
Просмотреть проходящие пакеты в режиме реального времени, можно командой
# ipmon
собственно её вывод и пишется в логфайл.

При использовании ключа  -n адреса и порты будут преобразованы в хостнеймы и сервисы, что довольно удобно для мониторинга того- кто где сидит в данный момент,
а при использовании ключа -x данные проводящих пакетов будут выводиться в hex-коде, что тоже может доставить много интересных минут сисадмину.
Используя команду ipnat можно просматривать таблицу состояния адрес трансляций:
# ipnat -l выведет все открытые на данный момент трансляции адресов
# ipnat -s выводит статистику работы адрес трансляции
# ipnat -F обнуляет все активные соединения из актуальной таблицы адрес трансляций

У ipnat есть, по умолчанию вшитое, количество возможных открытых сессий, и проверить его можно командой:
# ipf -T list | grep nattable
и вероятнее всего вы получите ответ что максимальное число открытых сессий 30к, что для большой сети не так уж и много, так что увеличить это число можно добавив в файл rc.conf следующую строчку:
ipfilter_flags=”-D -T ipf_nattable_sz=10009,ipf_nattable_max=200000 -E”
и перегрузив ipfilter, тем самым увеличив число сессий до 200к.
Также если ваш ipnat.rules предполагает более 127 правил, которые установлены по умолчанию, вам необходимо  также добавить в переменную ipfilter_flags файла rc.conf ключики ipf_natrules_sz=1023,ipf_rdrrules_sz=1023
Еще один момент касаемый уменьшения таймаута TCP сессии, что также позволит оптимизировать работу NAT, так как многие сессии сохраняются в таблице не смотря на то что соединение уже давно закончилось. Для этого добавляем во флаги, также ключи fr_tcptimeout=180,fr_tcpclosewait=60,\
fr_tcphalfclosed=7200,fr_tcpidletimeout=172800
В итоге на выходе в rc.conf имеем следующее выражение:
ipfilter_flags=”-D -T ipf_nattable_sz=10009,ipf_nattable_max=200000,fr_tcptimeout=180,\
fr_tcpclosewait=60,fr_tcphalfclosed=7200,fr_tcpidletimeout=172800,\
ipf_natrules_sz=1023,ipf_rdrrules_sz=1023 -E”

Рубрика: FreeBSD, IT безопасность | Ваш отзыв »

Настройка программного фаервола на базе FreeBSD

Наконец то дошли руки, до воссоздания манула по настройке фаервола на базе системы FreeBSD, который помимо стабильности, надежности и безопасности отличается еще одним немаловажным, для многих компаний, качеством – это бесплатный фаервол. Большая часть настроек выработана годами опытной эксплуатации, так что они означают уже припомнить довольно сложно, да и к тому же  займет еще полстатьи, так что вероятнее всего часть настроек, которые я не рассматривал в данной статье, я распишу несколько позднее.

Переведем данное мероприятие сразу же в плоскость экономической выгоды для сисадмина, ибо на мой взгляд, настройка программного брандмауэра находится на втором месте, после лечения компьютера от вирусов, и перед восстановлением данных- по соотношению заработанных средств к затраченному времени. Поскольку на настройку программного фаервола на базе FreeBSD тратится от 6 до 10 часов, с момента как вы включили пустую машину, до момента когда вы можете уже включать данный сервер в разрез сети. Естественно, что поднять сам фаервол займет от силы полтора-два часа на создание и обкатку правил: большую часть времени занимает пересборка и апгрейд системы.

Также надо отметить, что данный пост повествует исключительно о настройке фаервола, а не унифицированного средства защиты с потоковым антивирусом и IPS, о которых я возможно поговорю позднее.

Итак- настраиваем программный фаервол на базе FreeBSD.

(more…)

Рубрика: FreeBSD, IT безопасность | 1 отзыв »

Проблема выгрузки из Клиент-Сбербанк в 1С

Только что приперся от клиента. Как говорится- не было у бабки проблем, купила бабка порося. Был один из самых любимых клиентов, на протяжении последних 5 лет, пока на той неделе не сподобился подрубить сбербанковский банк-клиент. И понеслась.

Седня как раз ездил по причинам того, что тетеньки не смогли наладить связь между клиент-банком и программой 1С. При ом что я вроде все настроил. А секрет оказался в том, что параметры из глобальных настроек не переходят в свойства импорта/экспорта, так что там их пришлось прописывать по новой. И после этого импорт в банк-клиент Сбербанка поднялся, а вот экспорт нет. Ибо платежки выгружались нормально, а выписки никак не хотели. Покопавшись на форумах, обнаружил, что у людей существует проблема, что из системной папки пропадает файло ответственное за выгрузки – ConvIn1C.dll, причем найти они его никак не могут. Поэтому я выкладываю этот файл у себя для тех кому он действительно необходим, да простят меня хозяева Клиент-Сбербанка. Но у меня оказалось файл в папке есть, но проблема заключалась в том, что при выборе Выписок раздел Импорт/Экспорт становился неактивным. И собственно решение оказалось в том, что выписки импортируются не из раздела Выписки (левое нижнее меню), а из Выписки и операции -> Операции по счетам -> Все операции. Если курсор поставить на эту позицию, то импорт станет доступен.  В диалоге выбираем движок для импорта в 1С файл ConvIn1C.dll и все работает. Главное чтобы в обоих программах были выбраны одинаковые папки.

Рубрика: Дела Одминские | Ваш отзыв »

Как определить версию Unix системы

Часто ли с вами бывало, что попав в гости в какую то квартиру вы начинаете спрашивать у живущих там людей, что это за квартира, что за адрес и кто здесь живет? Полагаю не часто, ибо в этом случае хозяева квартиры довольно быстро вызовут вам скорую, которая с удовольствием отвезет в дурку. Но вот при работе с юниксовыми системами частенько возникает необходимость попав в новую среду опознать что это вообще за система, ибо нормально настроенный логин выдает только время логина и хостнейм. И тогда нам на помощь приходят утилиты определения версии операционки.

Для начала понимаем что это вообще за класс операционки, путем вывода универсальной для всех Unix-систем команды:
$ uname -a
которая нам выведет что то типо такого:
Linux hostname.com 2.6.18-194.17.4.el5PAE #1 SMP Mon Oct 25 16:35:27 EDT 2010 i686 i686 i386 GNU/Linux
или
FreeBSD hostname.com 5.5-STABLE FreeBSD 5.5-STABLE #0: Wed Dec  5 20:00:38 MSK 2007  email@hostname.com:/usr/obj/usr/src/sys/GENERIC  i386
или
AIX svcas07 3 4 000145364C00
OS Name Release Version Machine ID
из чего нам либо станет понятно кто это, либо перейдем к более подробному изучению линуха, для того чтобы уже конкретно определить версию линукса:
$ cat /proc/version
Linux version 2.6.18-194.17.4.el5PAE (mockbuild@builder10.centos.org) (gcc version 4.1.2 20080704 (Red Hat 4.1.2-48)) #1 SMP Mon Oct 25 16:35:27 EDT 2010
то есть нам понятно семейство линуха и версия ядра, тем более что у семейства шапки есть более подробная команда, для того чтобы узнать версию linux:
$ cat /etc/redhat-release
CentOS release 5.6 (Final)
По хорошему это исчерпывающий ответ, но в шапке также имеется дополнительная утилита ставящаяся в полном комплекте, которая выведет более подробную информацию про версию linux:
$ lsb_release -a
LSB Version:    :core-3.1-ia32:core-3.1-noarch:graphics-3.1-ia32:graphics-3.1-noarch
Distributor ID: CentOS
Description:    CentOS release 5.5 (Final)
Release:        5.5
Codename:       Final

Рубрика: FreeBSD, Linux | Отзывов: 2 »

Централизованная установка приложений в домене AD

Теперь обсудим как на скорую руку организовать централизованное обновление стороннего приложения в домене (сгодится для flash-плеера или skype). То есть с виндовыми патчами и приладами все понятно- тут надо использовать родной мелкомягкий сервер обновлений Windows Server Update Services (в простонародьи WSUS), но учитывая что из родных продуктов большая часть юзверей (благодаря тлетворному влиянию админов) использует разве только MS Office, да и с того пытаемся уйти в последнее время, то установка WSUS откладывается на некоторое время,  а вот каким образом все это произвести централизовано и без него- ответов два: через логон скрипты и AD.

Если с логон скриптом все более менее понятно- выкачиваем исполняемый файл, кладем его в доступную шару, после чего прописываем в логон скрипт следующую строку:
start /wait \\сервер\шара\пакетный-файл.ехе /K /B

то через AD все делается несколько сложнее. Для начала нам нужен не обычный exe’шник, а виндовый установщик MSI- то есть мы выкачиваем дистрибутив с расширением msi или же собираем его из exe  с помощью внешних утилит (например Advanced Installer, EMCO MSI Package Builder Enterprise или Prism Deploy Editor).
Для скайпа msi доступен в разделе Загрузить Skype -> Загрузка бизнес-версии
Для Adobe- flashplayer доступен со страницы загрузки всех версий Adobe Flash Player

Получив msi дистрибутив, выкладываем его на доступную для пользователей шару (сетевой ресурс, доступный для пользователей домена AD), после чего переходим к настройке Group Policy AD.  Запускаем GP Managment после чего создаем групповую политику Computer Configuration -> Software Settings -> Software installation где указываем путь до нашей шары (не перепутать с локальным размещением файла). После применения система спросит про метод разворачивания- где мы указываем Assigned.

После этого ждем минут 10-15, или же форсим апдейт GP запуском из “Win + R” команды gpupdate /force
После этих действий- при перезагрузке участника домена, в фоновом режиме, еще до входа в систему на компы будет установлены указанные для обновления программы, и главное без участия пользователя и требования предоставления админского пароля.

Единственный момент, если надо будет переустановить новую версию, то надо будет удалить ранее созданную политику, после чего создать новую. Этот способ отлично подходит для всего многообразия пакетов, которые могут понадобиться в жизни офиса- различные adobe’вские плюшки- flashplayer, reader, аськи и квипы, skype, различные бродилки и много чего еще.

Рубрика: Windows | Ваш отзыв »