Ответить
  • МиГ Senior MemberАвтор темы
    офлайн
    МиГ Senior Member Автор темы

    2073

    13 лет на сайте
    пользователь #53792

    Профиль
    Написать сообщение

    2073
    # 6 сентября 2019 09:13 Редактировалось МиГ, 2 раз(а).

    Всем привет, ребят у меня вопрос больше к бывалым сисадминам. Вопрос в чём.
    Подрабатываю в одном из институтов сисадмином. В этом институте есть два физических сервера - один основной и один резервный, на случай поломки первого ( второй постоянно выключен), а на первом крутится вся институцкая кухня, кроме бухгалтерии - и файрвол, и документы для преподавателей и dhcp сервер, и почтовик, и бизнес инфо и отчёты о пройденных тестах студентами и зеркало антивируса для обновления клиентских компов и т.п сервисы - всё это работает под win 2008 r2. Но кроме этого на этом же сервере есть папка с полным доступом по сети для всех пользователей без ограничений. В эту папку любой студент, с любого институтского компа может записать и скопировать что угодно, включая например и какой нибудь шифровальщик, да по сути эта шара и создана была для студентов, чтобы они могли там сохранять свои наработки - созданные ими видеоролики, 3д рисунки и т.п.ф. Вот это меня и смутило - что рядом с такой файлопомойкой находится и нужная для института информация. Да, файлопомойка тоже не должна в случае чего потерятся. И вот тут возник вопрос о разграничении этой файлопомойки от остального сервака. Я перенес эту файлопомойку на свой комп ( работает под win7) в институте, дал полные права для студентов на эту шару - проверил, все хорошо и вроде работало. Но как пошли учиться студенты, вскрылась досадная штука - оказывается, что студенты, которые работают с анимацией и созданием различных мультов и видеороликов стримят свои наработки напрямую на файлообменник - т.е. не сохраняют готовый файл, а именно сохраняют раскадровку - кучу jpeg - и всё это естественно по сети. Вот к такой ситуации я был точно не готов - получилось, что при запуске таких задач видимо мой комп не справляется и у студента отваливается вся шара и приложение на его компьютере зависает. Вот тут и облом. К слову сказать, то на компе, на котором крутится файлопомойка, гигабитная сетевая и достаточно шустрый винт, но подключен через сата 2. Понимаю, что нужно что-то сделать по другому, но что и как организовать??? Вопрос. Интересует именно безопасность сервера и возможность предоставить студентам их файлопомойку без тормозов. Ребят, поделитесь плиз своим опытом , как лучше и что нужно сделать?

  • Kvantovich Senior Member
    офлайн
    Kvantovich Senior Member

    10170

    2 года на сайте
    пользователь #2194987

    Профиль
    Написать сообщение

    10170
    # 6 сентября 2019 09:35
    МиГ:

    Вот к такой ситуации я был точно не готов - получилось, что при запуске таких задач видимо мой комп не справляется и у студента отваливается вся шара и приложение на его компьютере зависает. Вот тут и облом.

    Такие обломы не только у вас, на них построены: DOS, DDOS; атаки которые в ряде случаев приводят к частичном отказе компонентов сервера, например систем безопасности и вся инфа сервера становится доступной по сети.

    Лично я бы попробовал настроить: Параметр «DefaultTTL» для Интернета + некоторые настройки торрентов.

    Добавлено спустя 7 минут 37 секунд

    Потерян счёт на количестве: фирм, предприятий, организиций, сообществ и так далее; разведённых "по гонке вооружений" на деньги.

  • МиГ Senior MemberАвтор темы
    офлайн
    МиГ Senior Member Автор темы

    2073

    13 лет на сайте
    пользователь #53792

    Профиль
    Написать сообщение

    2073
    # 6 сентября 2019 10:22 Редактировалось МиГ, 2 раз(а).
    Kvantovich:

    Лично я бы попробовал настроить: Параметр «DefaultTTL» для Интернета + некоторые настройки торрентов.

    Добавлено спустя 7 минут 37 секунд

    .

    Не совсем понял, настройки ttl будут действовать только при выходе в интернет, или на внутреннюю сеть тоже будут работать? Про торрент, то на серваке есть файрвол, который ограничивает торренты для всех пользователей сети

    Добавлено спустя 17 секунд
  • Kvantovich Senior Member
    офлайн
    Kvantovich Senior Member

    10170

    2 года на сайте
    пользователь #2194987

    Профиль
    Написать сообщение

    10170
    # 6 сентября 2019 10:29
    МиГ:

    Не совсем понял, настройки ttl будут действовать только при выходе в интернет, или на внутреннюю сеть тоже будут работать? Про торрент, то на серваке есть файрвол, который ограничивает торренты для всех пользователей сети

    Настройка для любых соединений формирующих TCP пакеты.

    Обратная связь работает так: при определённой(почти на любом настраиваемом(ттл) %) загруженности процессора он не успевает вовремя принять-отправить и пропускает обработку.

  • Proxopotamus Senior Member
    офлайн
    Proxopotamus Senior Member

    2664

    16 лет на сайте
    пользователь #9516

    Профиль
    Написать сообщение

    2664
    # 6 сентября 2019 11:48

    МиГ, смысла переносить помойку из-за шифровальщиков не было - вы не заразите систему простым наличием гадости в папке, а эксплоиту пофиг на эти ваши шары. конечно, в идеальном мире файлопомойки лучше держать на отдельном сервере, но в данном случае вы просто сделали ненужную и где-то даже вредную работу, перенеся функции сервера на win7.
    верните помойку обратно и настройте бэкап. либо переезжайте с win7 на winserver. и по возможности стоит обновить win2008 на что-нибудь более-менее актуальное.

    Добавлено спустя 10 минут 33 секунды

    МиГ:

    Про торрент, то на серваке есть файрвол, который ограничивает торренты для всех пользователей сети

    каким образом?

  • МиГ Senior MemberАвтор темы
    офлайн
    МиГ Senior Member Автор темы

    2073

    13 лет на сайте
    пользователь #53792

    Профиль
    Написать сообщение

    2073
    # 6 сентября 2019 12:43 Редактировалось МиГ, 3 раз(а).

    Миг, смысла переносить помойку из-за шифровальщиков не было - вы не заразите систему простым наличием гадости в папке

    Хорошо, а если при этом на этой же шаре шифровальщик и будет запущен, тогда что? На сегодняшний день есть вируса, которые даже пароли подбирают к шарам. А тут вообще беспарольный полный доступ к шаре. Хотя конечно мне только рассказывали про наличие такой вирусни, в живую я их не видел. Встречал только шифровальщики на клиентских компах. И один раз в отдел приперли уже зашифрованный сервак, там людям пришлось всю бухгалтерию по новой восстанавливать.
    Про бекапы - периодически делается образ системного диска, и инкрементный архив всего остального. Но мне важно, чтоб даже ситуации отказа всей системы не возникло.

    каким образом?

    Через керио созданы правила ограничивающие использование торрента

    либо переезжайте с win7 на winserver.

    А что это даст, если железо не менять, как по мне, так ещё большие тормоза начнутся. Или я не прав? Просто интересно, как реализованы эти вопросы у других админов?

  • Kvantovich Senior Member
    офлайн
    Kvantovich Senior Member

    10170

    2 года на сайте
    пользователь #2194987

    Профиль
    Написать сообщение

    10170
    # 6 сентября 2019 13:12 Редактировалось Kvantovich, 2 раз(а).
    МиГ:

    Но мне важно, чтоб даже ситуации отказа всей системы не возникло.

    При настройке времени ожидании пакета сервер лишь ограничивается и продолжает обрабатывать часть запросов.

    Добавлено спустя 6 минут 6 секунд

    МиГ:

    Просто интересно, как реализованы эти вопросы у других

    Раньше пробовали ограничивать полосу пропускания, этот способ оказался малоэффективен так расчитанн лишь на скорость, а не на количество + "качество" пакетов.

    Добавлено спустя 42 минуты 41 секунда

    МиГ:

    А что это даст, если железо не менять, как по мне, так ещё большие тормоза начнутся. Или я не прав?

    Если мне не изменяет память вы писали на форумах Тутбая и сами видели как неожиданно и резко у них исчезли технические проблемы + форумы залетали, думаете они вложили пару лямов зелени в смену оборудования ? Или может просто настроили его нестандартным образом ?

    Добавлено спустя 8 минут 57 секунд

    Например во так выглядит *.reg файл с временем ожидания 32 ms.

    Kvantovich:

    Windows Registry Editor Version 5.00

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters]
    "DefaultTTL"=dword:00000020

  • To4kaTitAN Senior Member
    офлайн
    To4kaTitAN Senior Member

    2110

    14 лет на сайте
    пользователь #34456

    Профиль
    Написать сообщение

    2110
    # 6 сентября 2019 14:10

    )) жость творите господа
    настраивать можно когда ты на опенсурс, а вообще если железо шлак, особо настраивать под нагрузку нечего

  • Proxopotamus Senior Member
    офлайн
    Proxopotamus Senior Member

    2664

    16 лет на сайте
    пользователь #9516

    Профиль
    Написать сообщение

    2664
    # 6 сентября 2019 14:10
    МиГ:

    а если при этом на этой же шаре шифровальщик и будет запущен, тогда что?

    шара будет зашифрована, ровно также, как и шара на вашем компе. у антивируса с проактивкой есть шансы заметить подозрительную активность в шаре и заблокировать доступ к ней. если у вас реальный корпоративный антивирус с центральным управлением - с большой долей вероятности заражённый пациент вообще не получит доступа к шаре. ну а единственная реальная защита - бэкапы.

    МиГ:

    Но мне важно, чтоб даже ситуации отказа всей системы не возникло.

    на сети из win7/2008 вам нужно исходить из того, что факап рано или поздно произойдёт и думать над минимизацией его последствий - инвестируйте в бэкапы.

    МиГ:

    Через керио созданы правила ограничивающие использование торрента

    они эффективны против udp?

  • DreamSAT Senior Member
    офлайн
    DreamSAT Senior Member

    2416

    9 лет на сайте
    пользователь #311080

    Профиль
    Написать сообщение

    2416
    # 6 сентября 2019 14:39
    Proxopotamus:

    в данном случае вы просто сделали ненужную и где-то даже вредную работу, перенеся функции сервера на win7.
    верните помойку обратно и настройте бэкап. либо переезжайте с win7 на winserver. и по возможности стоит обновить win2008 на что-нибудь более-менее актуальное.

    Полностью поддерживаю вас! :super:

  • Kvantovich Senior Member
    офлайн
    Kvantovich Senior Member

    10170

    2 года на сайте
    пользователь #2194987

    Профиль
    Написать сообщение

    10170
    # 6 сентября 2019 14:42 Редактировалось Kvantovich, 1 раз.

    Как оказалось, шифровальщик WannaCry (он же Wana Decrypt0r, WCry, WannaCrypt0r и WannaCrypt) был отнюдь не единственной малварью, которая эксплуатировала уязвимость в SMB и использовала похищенные у АНБ эксплоиты ETERNALBLUE и DOUBLEPULSAR.

    Специалисты компании Proofpoint обнаружили криптовалютный майнер Adylkuzz, который преимущественно занимается майнингом валюты Monero. По данным специалистов, малварь использует точно такой же механизм распространения, как и WannaCry: сканирует SMB-порты, применяет эксплоит ETERNALBLUE и заражает уязвимые системы без ведома пользователей, задействовав DOUBLEPULSAR.
    Удаление драйвера SMB:

    Windows Registry Editor Version 5.00

    [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\EventLog\System\Srv]

    [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\srv2]

    Добавлено спустя 17 минут 22 секунды

    В БЕЛАРУСИ
    В Беларуси объявился особо опасный вирус-шифровальщик
    38
    28 декабря 2018 в 16:58

    В Беларуси действуют вирусы-шифровальщики, которые проникают в сеть даже через нестандартные порты RDP. Об этом 42.TUT.BY сообщил читатель Андрей, системный администратор одного из предприятий Минской области.
    Фото: Reuters
    Фото: Reuters
    RDP (Remote Desktop Protocol — протокол удаленного рабочего стола) — это протокол, который используют для удаленной работы пользователя с сервером. По умолчанию используется порт TCP 3389. Стандартная рекомендация по безопасности — сменить этот порт на любой другой. Однако сейчас шифровальщики научились обходить это препятствие.

    Давно удалены и удалённые рабочие столы и протокол.

    Добавлено спустя 15 минут 48 секунд

    Вирус в папке просто файл, ему ещё надо как-то запуститься.

  • МиГ Senior MemberАвтор темы
    офлайн
    МиГ Senior Member Автор темы

    2073

    13 лет на сайте
    пользователь #53792

    Профиль
    Написать сообщение

    2073
    # 6 сентября 2019 17:38 Редактировалось МиГ, 1 раз.
    Kvantovich:

    Вирус в папке просто файл, ему ещё надо как-то запуститься.

    Сам студент и запустит, и если вирь умеет распространятся по сети, то без проблем залезет и на беспарольную шару, а там уж и дальше может всё похерить без проблем. А если на основном сервере не будет свободно доступных шар в сети, то сервак при таком раскладе может и останется цел, и руководство института даже и не заметит проблемы, ну а студенты потерпят, пока из бекапов восстановлюсь. Тоже самое и если наоборот, упал сервер, то студенты смогут учиться пока я буду восстанавливать данные для остальных. Вот поэтому и возникла идея разнести эти ресурсы на разные компы.
    Хотя я уже и на эти случаи подстраховался. - на моём компе создана виртуалка сервера, и если даже упадет сервак, то помимо резерва можно пускануть и её.

  • Kvantovich Senior Member
    офлайн
    Kvantovich Senior Member

    10170

    2 года на сайте
    пользователь #2194987

    Профиль
    Написать сообщение

    10170
    # 6 сентября 2019 17:43 Редактировалось Kvantovich, 2 раз(а).
    МиГ:

    Сам студент и запустит, и если вирь умеет распространятся по сети, то без проблем залезет и на беспарольную шару

    Закачка вируса в папку серьёзно отличается от прописи в предавтозагрузке Windows, когда можно: диск форматнуть, переписать служебку, биосы, зашифровать файлы.

    Вирусы страются прятаться ища обходные пути, а не рассылать "исходный код" без возможности запуститься.

  • МиГ Senior MemberАвтор темы
    офлайн
    МиГ Senior Member Автор темы

    2073

    13 лет на сайте
    пользователь #53792

    Профиль
    Написать сообщение

    2073
    # 6 сентября 2019 18:06

    Была ещё идея на основном сервере например установить esxi и на ней несколько виртуалок, где каждая будет выполнять свои задачи. Правда не знаю, нормальная идея или не стоит этого делать.

  • To4kaTitAN Senior Member
    офлайн
    To4kaTitAN Senior Member

    2110

    14 лет на сайте
    пользователь #34456

    Профиль
    Написать сообщение

    2110
    # 6 сентября 2019 18:20

    виртуалки всегда хорошо, разделяй и властвуй

  • Kvantovich Senior Member
    офлайн
    Kvantovich Senior Member

    10170

    2 года на сайте
    пользователь #2194987

    Профиль
    Написать сообщение

    10170
    # 6 сентября 2019 18:31 Редактировалось Kvantovich, 5 раз(а).

    Даже на виртуалках появляется вопрос безопасности, только система сложнее.

    По сути если вирус может пролезть по сети и прописаться в предавтозагрузку(которая нужна в любом случае) то не важно есть ли общедоступная папка или нет.

    Добавлено спустя 14 минут 14 секунд

    МиГ:

    Сам студент и запустит

    На "своём" компьютере, а не на сервере, папки с общим доступом лишь позволяют: записывать, скачивать, изменять файлы; а не запускать процессы на сервере.

    Добавлено спустя 13 минут 39 секунд

    Kvantovich:

    Удаление драйвера SMB:

    Другми словами если на сервере будет удалён протокол SMB, то пусть хоть тысячу вирусов(даже очень продвинутых обходящих заплатки Microsoft) на основе SMB закачивают и запускают на институтских компах = сервер не пострадает.

  • МиГ Senior MemberАвтор темы
    офлайн
    МиГ Senior Member Автор темы

    2073

    13 лет на сайте
    пользователь #53792

    Профиль
    Написать сообщение

    2073
    # 12 сентября 2019 08:40 Редактировалось МиГ, 1 раз.

    Идея с переносом файлопомойки с сервера на комп не проканала. Как только начался учебный год, студенты набежали и пошла очень большая нагрузка - могло одновременно человек под 20-40 что-то качать с общей папки, кто-то туда записывал. Особенно не справился hdd. Пришлось всё вернуть, как было. Но желание разнести эту файлопомойку и сервак всё же осталось. Просматриваю в сторону NAS, ребят кто пробовал эти устройства в промышленных масштабах - какое устройство сможете посоветовать?

  • Proxopotamus Senior Member
    офлайн
    Proxopotamus Senior Member

    2664

    16 лет на сайте
    пользователь #9516

    Профиль
    Написать сообщение

    2664
    # 12 сентября 2019 10:40

    МиГ, так а какие нагрузки в цифрах? сколько файлов в среднем открывается одним пользователем? для понимания - что на сервере, рейд? какой? на чём? какая сеть? как определяются права на доступ - домен?
    ps в промышленных масштабах никто в таком виде файлопомойки не держит.

  • To4kaTitAN Senior Member
    офлайн
    To4kaTitAN Senior Member

    2110

    14 лет на сайте
    пользователь #34456

    Профиль
    Написать сообщение

    2110
    # 12 сентября 2019 13:06

    да какие права на доступ домен, у человека узкое место в самом железе, не видно ? на один диск садится куча юзеров с активными задачами без понимания низкого уровня, можно крутить бесконечно долго, но железо не способно вытянуть задачу
    nas понятие растяжимое, конечно пробовали, самосборное если рук и головы хватает, сомневаюсь в бюджете универа на нас

  • Proxopotamus Senior Member
    офлайн
    Proxopotamus Senior Member

    2664

    16 лет на сайте
    пользователь #9516

    Профиль
    Написать сообщение

    2664
    # 12 сентября 2019 13:40
    To4kaTitAN:

    да какие права на доступ домен, у человека узкое место в самом железе, не видно ?

    не видно, прочитайте не по диагонали сообщение человека, на которое вы отвечаете.

    Добавлено спустя 2 минуты 27 секунд

    МиГ:

    Просматриваю в сторону NAS, ребят кто пробовал эти устройства в промышленных масштабах - какое устройство сможете посоветовать?

    https://forum.onliner.by/viewtopic.php?t=987881