Ответить
  • МиГ Senior MemberАвтор темы
    офлайн
    МиГ Senior Member Автор темы

    2149

    18 лет на сайте
    пользователь #53792

    Профиль
    Написать сообщение

    2149
    # 6 сентября 2019 09:13 Редактировалось МиГ, 2 раз(а).

    Всем привет, ребят у меня вопрос больше к бывалым сисадминам. Вопрос в чём.
    Подрабатываю в одном из институтов сисадмином. В этом институте есть два физических сервера - один основной и один резервный, на случай поломки первого ( второй постоянно выключен), а на первом крутится вся институцкая кухня, кроме бухгалтерии - и файрвол, и документы для преподавателей и dhcp сервер, и почтовик, и бизнес инфо и отчёты о пройденных тестах студентами и зеркало антивируса для обновления клиентских компов и т.п сервисы - всё это работает под win 2008 r2. Но кроме этого на этом же сервере есть папка с полным доступом по сети для всех пользователей без ограничений. В эту папку любой студент, с любого институтского компа может записать и скопировать что угодно, включая например и какой нибудь шифровальщик, да по сути эта шара и создана была для студентов, чтобы они могли там сохранять свои наработки - созданные ими видеоролики, 3д рисунки и т.п.ф. Вот это меня и смутило - что рядом с такой файлопомойкой находится и нужная для института информация. Да, файлопомойка тоже не должна в случае чего потерятся. И вот тут возник вопрос о разграничении этой файлопомойки от остального сервака. Я перенес эту файлопомойку на свой комп ( работает под win7) в институте, дал полные права для студентов на эту шару - проверил, все хорошо и вроде работало. Но как пошли учиться студенты, вскрылась досадная штука - оказывается, что студенты, которые работают с анимацией и созданием различных мультов и видеороликов стримят свои наработки напрямую на файлообменник - т.е. не сохраняют готовый файл, а именно сохраняют раскадровку - кучу jpeg - и всё это естественно по сети. Вот к такой ситуации я был точно не готов - получилось, что при запуске таких задач видимо мой комп не справляется и у студента отваливается вся шара и приложение на его компьютере зависает. Вот тут и облом. К слову сказать, то на компе, на котором крутится файлопомойка, гигабитная сетевая и достаточно шустрый винт, но подключен через сата 2. Понимаю, что нужно что-то сделать по другому, но что и как организовать??? Вопрос. Интересует именно безопасность сервера и возможность предоставить студентам их файлопомойку без тормозов. Ребят, поделитесь плиз своим опытом , как лучше и что нужно сделать?

  • Неизвестный кот Senior Member
    офлайн
    Неизвестный кот Senior Member

    16705

    6 лет на сайте
    пользователь #2194987

    Профиль

    16705
    # 6 сентября 2019 09:35 Редактировалось Неизвестный кот, 1 раз.

    Del

  • МиГ Senior MemberАвтор темы
    офлайн
    МиГ Senior Member Автор темы

    2149

    18 лет на сайте
    пользователь #53792

    Профиль
    Написать сообщение

    2149
    # 6 сентября 2019 10:22 Редактировалось МиГ, 2 раз(а).
    Kvantovich:

    Лично я бы попробовал настроить: Параметр «DefaultTTL» для Интернета + некоторые настройки торрентов.

    Добавлено спустя 7 минут 37 секунд

    .

    Не совсем понял, настройки ttl будут действовать только при выходе в интернет, или на внутреннюю сеть тоже будут работать? Про торрент, то на серваке есть файрвол, который ограничивает торренты для всех пользователей сети

    Добавлено спустя 17 секунд
  • Неизвестный кот Senior Member
    офлайн
    Неизвестный кот Senior Member

    16705

    6 лет на сайте
    пользователь #2194987

    Профиль

    16705
    # 6 сентября 2019 10:29 Редактировалось Неизвестный кот, 1 раз.

    Del

  • Pose1don Senior Member
    офлайн
    Pose1don Senior Member

    3817

    20 лет на сайте
    пользователь #9516

    Профиль
    Написать сообщение

    3817
    # 6 сентября 2019 11:48

    МиГ, смысла переносить помойку из-за шифровальщиков не было - вы не заразите систему простым наличием гадости в папке, а эксплоиту пофиг на эти ваши шары. конечно, в идеальном мире файлопомойки лучше держать на отдельном сервере, но в данном случае вы просто сделали ненужную и где-то даже вредную работу, перенеся функции сервера на win7.
    верните помойку обратно и настройте бэкап. либо переезжайте с win7 на winserver. и по возможности стоит обновить win2008 на что-нибудь более-менее актуальное.

    Добавлено спустя 10 минут 33 секунды

    МиГ:

    Про торрент, то на серваке есть файрвол, который ограничивает торренты для всех пользователей сети

    каким образом?

  • МиГ Senior MemberАвтор темы
    офлайн
    МиГ Senior Member Автор темы

    2149

    18 лет на сайте
    пользователь #53792

    Профиль
    Написать сообщение

    2149
    # 6 сентября 2019 12:43 Редактировалось МиГ, 3 раз(а).

    Миг, смысла переносить помойку из-за шифровальщиков не было - вы не заразите систему простым наличием гадости в папке

    Хорошо, а если при этом на этой же шаре шифровальщик и будет запущен, тогда что? На сегодняшний день есть вируса, которые даже пароли подбирают к шарам. А тут вообще беспарольный полный доступ к шаре. Хотя конечно мне только рассказывали про наличие такой вирусни, в живую я их не видел. Встречал только шифровальщики на клиентских компах. И один раз в отдел приперли уже зашифрованный сервак, там людям пришлось всю бухгалтерию по новой восстанавливать.
    Про бекапы - периодически делается образ системного диска, и инкрементный архив всего остального. Но мне важно, чтоб даже ситуации отказа всей системы не возникло.

    каким образом?

    Через керио созданы правила ограничивающие использование торрента

    либо переезжайте с win7 на winserver.

    А что это даст, если железо не менять, как по мне, так ещё большие тормоза начнутся. Или я не прав? Просто интересно, как реализованы эти вопросы у других админов?

  • Неизвестный кот Senior Member
    офлайн
    Неизвестный кот Senior Member

    16705

    6 лет на сайте
    пользователь #2194987

    Профиль

    16705
    # 6 сентября 2019 13:12 Редактировалось Неизвестный кот, 3 раз(а).

    Del

  • To4kaTitAN Senior Member
    офлайн
    To4kaTitAN Senior Member

    2538

    18 лет на сайте
    пользователь #34456

    Профиль
    Написать сообщение

    2538
    # 6 сентября 2019 14:10

    )) жость творите господа
    настраивать можно когда ты на опенсурс, а вообще если железо шлак, особо настраивать под нагрузку нечего

  • Pose1don Senior Member
    офлайн
    Pose1don Senior Member

    3817

    20 лет на сайте
    пользователь #9516

    Профиль
    Написать сообщение

    3817
    # 6 сентября 2019 14:10
    МиГ:

    а если при этом на этой же шаре шифровальщик и будет запущен, тогда что?

    шара будет зашифрована, ровно также, как и шара на вашем компе. у антивируса с проактивкой есть шансы заметить подозрительную активность в шаре и заблокировать доступ к ней. если у вас реальный корпоративный антивирус с центральным управлением - с большой долей вероятности заражённый пациент вообще не получит доступа к шаре. ну а единственная реальная защита - бэкапы.

    МиГ:

    Но мне важно, чтоб даже ситуации отказа всей системы не возникло.

    на сети из win7/2008 вам нужно исходить из того, что факап рано или поздно произойдёт и думать над минимизацией его последствий - инвестируйте в бэкапы.

    МиГ:

    Через керио созданы правила ограничивающие использование торрента

    они эффективны против udp?

  • DreamSAT Senior Member
    офлайн
    DreamSAT Senior Member

    2965

    13 лет на сайте
    пользователь #311080

    Профиль
    Написать сообщение

    2965
    # 6 сентября 2019 14:39
    Proxopotamus:

    в данном случае вы просто сделали ненужную и где-то даже вредную работу, перенеся функции сервера на win7.
    верните помойку обратно и настройте бэкап. либо переезжайте с win7 на winserver. и по возможности стоит обновить win2008 на что-нибудь более-менее актуальное.

    Полностью поддерживаю вас! :super:

  • Неизвестный кот Senior Member
    офлайн
    Неизвестный кот Senior Member

    16705

    6 лет на сайте
    пользователь #2194987

    Профиль

    16705
    # 6 сентября 2019 14:42 Редактировалось Неизвестный кот, 2 раз(а).

    Del

  • МиГ Senior MemberАвтор темы
    офлайн
    МиГ Senior Member Автор темы

    2149

    18 лет на сайте
    пользователь #53792

    Профиль
    Написать сообщение

    2149
    # 6 сентября 2019 17:38 Редактировалось МиГ, 1 раз.
    Kvantovich:

    Вирус в папке просто файл, ему ещё надо как-то запуститься.

    Сам студент и запустит, и если вирь умеет распространятся по сети, то без проблем залезет и на беспарольную шару, а там уж и дальше может всё похерить без проблем. А если на основном сервере не будет свободно доступных шар в сети, то сервак при таком раскладе может и останется цел, и руководство института даже и не заметит проблемы, ну а студенты потерпят, пока из бекапов восстановлюсь. Тоже самое и если наоборот, упал сервер, то студенты смогут учиться пока я буду восстанавливать данные для остальных. Вот поэтому и возникла идея разнести эти ресурсы на разные компы.
    Хотя я уже и на эти случаи подстраховался. - на моём компе создана виртуалка сервера, и если даже упадет сервак, то помимо резерва можно пускануть и её.

  • Неизвестный кот Senior Member
    офлайн
    Неизвестный кот Senior Member

    16705

    6 лет на сайте
    пользователь #2194987

    Профиль

    16705
    # 6 сентября 2019 17:43 Редактировалось Неизвестный кот, 3 раз(а).

    Del

  • МиГ Senior MemberАвтор темы
    офлайн
    МиГ Senior Member Автор темы

    2149

    18 лет на сайте
    пользователь #53792

    Профиль
    Написать сообщение

    2149
    # 6 сентября 2019 18:06

    Была ещё идея на основном сервере например установить esxi и на ней несколько виртуалок, где каждая будет выполнять свои задачи. Правда не знаю, нормальная идея или не стоит этого делать.

  • To4kaTitAN Senior Member
    офлайн
    To4kaTitAN Senior Member

    2538

    18 лет на сайте
    пользователь #34456

    Профиль
    Написать сообщение

    2538
    # 6 сентября 2019 18:20

    виртуалки всегда хорошо, разделяй и властвуй

  • Неизвестный кот Senior Member
    офлайн
    Неизвестный кот Senior Member

    16705

    6 лет на сайте
    пользователь #2194987

    Профиль

    16705
    # 6 сентября 2019 18:31 Редактировалось Неизвестный кот, 6 раз(а).

    Del

  • МиГ Senior MemberАвтор темы
    офлайн
    МиГ Senior Member Автор темы

    2149

    18 лет на сайте
    пользователь #53792

    Профиль
    Написать сообщение

    2149
    # 12 сентября 2019 08:40 Редактировалось МиГ, 1 раз.

    Идея с переносом файлопомойки с сервера на комп не проканала. Как только начался учебный год, студенты набежали и пошла очень большая нагрузка - могло одновременно человек под 20-40 что-то качать с общей папки, кто-то туда записывал. Особенно не справился hdd. Пришлось всё вернуть, как было. Но желание разнести эту файлопомойку и сервак всё же осталось. Просматриваю в сторону NAS, ребят кто пробовал эти устройства в промышленных масштабах - какое устройство сможете посоветовать?

  • Pose1don Senior Member
    офлайн
    Pose1don Senior Member

    3817

    20 лет на сайте
    пользователь #9516

    Профиль
    Написать сообщение

    3817
    # 12 сентября 2019 10:40

    МиГ, так а какие нагрузки в цифрах? сколько файлов в среднем открывается одним пользователем? для понимания - что на сервере, рейд? какой? на чём? какая сеть? как определяются права на доступ - домен?
    ps в промышленных масштабах никто в таком виде файлопомойки не держит.

  • To4kaTitAN Senior Member
    офлайн
    To4kaTitAN Senior Member

    2538

    18 лет на сайте
    пользователь #34456

    Профиль
    Написать сообщение

    2538
    # 12 сентября 2019 13:06

    да какие права на доступ домен, у человека узкое место в самом железе, не видно ? на один диск садится куча юзеров с активными задачами без понимания низкого уровня, можно крутить бесконечно долго, но железо не способно вытянуть задачу
    nas понятие растяжимое, конечно пробовали, самосборное если рук и головы хватает, сомневаюсь в бюджете универа на нас

  • Pose1don Senior Member
    офлайн
    Pose1don Senior Member

    3817

    20 лет на сайте
    пользователь #9516

    Профиль
    Написать сообщение

    3817
    # 12 сентября 2019 13:40
    To4kaTitAN:

    да какие права на доступ домен, у человека узкое место в самом железе, не видно ?

    не видно, прочитайте не по диагонали сообщение человека, на которое вы отвечаете.

    Добавлено спустя 2 минуты 27 секунд

    МиГ:

    Просматриваю в сторону NAS, ребят кто пробовал эти устройства в промышленных масштабах - какое устройство сможете посоветовать?

    https://forum.onliner.by/viewtopic.php?t=987881