всё зависит от того, что Вы крутите -) Я когда в учебном центре работал, то на хостинге мы виртуалки клонировали - там высокая скорость на больших файлах прям таки спасала...
От уязвимости в таких сервисах ничего не защищает. Только своевременные обновления модулей вебсервера, скриптов и.т.д. Вот только не всё можно обновить. Это вообще большая головная боль.
китайским ботам всё равно, поменяли вы порт или нет. Тут более менее срабатывает порткнокинг на фаерволе, защита по сертификату (но если пользюков много отснашают вопросами по установке и.т.д.), ограничение по подсетям для подключения (если есть такая возможность), использование Fail2ban или аналогов. И двухфакторная авторизация по типу Google Authenticator - настраивать геморно, но штука очень не плохая.
Купил лет 12 назад, пользуюсь .В Winrar удобно делать маленькие самораспаковывающиеся архивы с батниками и утилитами. Запускаешь архив который автоматом прописывает батники в автозагрузку и распаковывает утилиты в нужную папку. Ребутаешь PC удалённо и получаешь маленькую автоматизацию -)
За пару десятков лет работы я понял одно - документация по бекапам и по процедуре восстановления (что, откуда, куда, как и главное в какой последовательности), это редчайший документ во многих компаниях. Делать такую документацию, это нудятина ещё та, да и память у многих админов просто супердолговременная -). До первого жёсткого факапа.
для карты сети и загрузки интерфейсов / каналов использую DUDE. Для мониторинга сервисов и.т.д. zabbix. Пытался на забиксе что то подобное реализовать, но получилось никак. Что подкупает в DUDE , я в реал тайме вижу всю сеть в графическом виде, где перегрузка и кто и на каком участке её вызвал. С учетом того, что сеть раскидана по 13 городам России, это очень выручает. Как случай из жизни - - в Москве днём стали лагать IP телефоны - открыл карту и увидел, что из уфы льют файло на один из серверов. Заодно выяснили, что не правильно были прописаны маршруты -), литься должно было по другому каналу...
Я карту сети сделал на DUDE от Mikrotik. Поставил дудку на hyper-v и работает она уже около года. Автоматический режим, это свальный грех, поэтому пришлось всё настраивать руками. Включил на коммутаторах, серверах, системах хранения snmp, прочекал кто и на каких портах коммутаторов сидит. Сейчас ~ 120 хостов (клиентские пк не мониторю, только клиентские коммутаторы). Визуально видно, какие сервера/сервисы лежат, какие каналы просели, кто льёт по сети торренты и.т.д. Глобальный мониторинг стоит на заббикс, но карта сети в dude .
Установка win 8 или 8.1 с подключенной сетью выдавала окошко с рекомендацией завести себе аккаунт в микрософт -). Это была первая 'ласточка' принудительного нагиба пользователя.
о, прям моя ситуация сейчас. Аврал, срочно!!! чистим правила на корп. фаерволе TMG, который работает уже 13 лет. Сеть большая, с удалёнными филиалами, кучей сервисов (базы данных, веб серверы, приложения завязанные на 2-3 сервера, как по данным, так и по авторизации и.т.д.), после чистки поотваливалась часть ресурсов -). Зато все в тонусе, включая руководство -).
возраст, это опыт в любой профессии. Я системный администратор. Счейчас мне 50, но я очень хорошо помню те ошибки, которые я совершал в 25, когда только начинал работать в этой области. И самое забавное, что в 25 лет принятые решения при планировании / реализации не казались мне ошибочными. И когда позже начинали выплывать проблемы, которые я "героически" решал, приходило понимание, что так делать не стоило -)
с чем я полностью согласен, так это с тем, что должен быть план восстановления. Желательно на бумаге, с приложением в виде контактов (субчики, программисты, провайдеры и.т.д.) и с вариантами развития событий. Ибо, как встают мозги раком во время факапа у самых продвинутых я за 30 лет наблюдал не раз. И чем больше структура, тем геморней составлять такой план, многие забивают, а потом отгребают.
сисадмин, это человек, имеющий широкий кругозор по разным продуктам-сервисам, понимающий принципы работы в целом, но не всегда знающий продукты досконально. Сегодня ты эксченч администрируешь, а завтра зимбру-мдаемон-коммунигейт и.т.д. -)
История из жизни -система хранения NetApp - две головы актив актив завязанные оптикой и полка с дисками. Вроде бы надёжно ? Но через пару лет вылетела одна голова (сначала ушла в ребут и потом ребутилась по кругу) и вторая голова все запросы приняла на себя. Ой как ей было тяжко... Всё почуствовали -). Этот кейс разбирали неделю!!!... После этого я понял зачем хитрые EMC в свои системы хранения пихают по три головы -).
Почему я люблю управляемые коммутаторы и маршрутизаторы cisco ? Потому что с ними удобно работать, они понятны и предсказуемы. Консоль длинка или хуавея тоже можно юзать, но до циски им далеко (хотя хуавей не плох, просто привыкнуть надо). Почему мне нравятся микротики - с ними можно делать практически всё и "аналогов" цена \ возможности я пока не вижу. И боюсь в ближайшей перспективе не увижу. То, что эти компаниии ушли из России, это очень и очень плохо...
Для семейного миниофиса (3-5 сотрудников) можно и в прод выпустить. На микротиках это работает не плохо и сам часто этим пользуюсь. На андройде есть не плохая тулза (Knock on Ports - от A Yaburov) для стука на разные устройства. Из минусов - не понятно, кто стучится -), но с впн возни много и далеко не всегда получится подключится через впн... Так что вариант вполне себе...
Интересно. У нас используется 2012 сервер. Что по пороблемам - бывает зависают сесси у пользователей. Приходится ручками прибивать. Опубликованы браузеры хром, яндекс, фирефокс - пользюки могут открывать по 20 вкладок, а каждая вкладка 20-100 м памяти. Бывает, подвисает один из нагруженных серваков в ферме. Вот тогда самый треш начинается.
Бывает, манегеры хотят просмотреть учебные ролики и тут приходится кроить с доступом не по rdp -).
Да можно конечно, но тут и так уже половина сервисов через сраку работает.
Часть запросов через впн приходится пускать, так как для инженеров доступ к тех документации закрыли. И весь этот треш с каждым днём растёт, как снежный ком.
всё зависит от того, что Вы крутите -) Я когда в учебном центре работал, то на хостинге мы виртуалки клонировали - там высокая скорость на больших файлах прям таки спасала...
Мы с ними работаем -). Но это вообще не самый хороший вариант - в случае проблем диагностика может превратиться в кошмар.
От уязвимости в таких сервисах ничего не защищает. Только своевременные обновления модулей вебсервера, скриптов и.т.д. Вот только не всё можно обновить. Это вообще большая головная боль.
китайским ботам всё равно, поменяли вы порт или нет. Тут более менее срабатывает порткнокинг на фаерволе, защита по сертификату (но если пользюков много отснашают вопросами по установке и.т.д.), ограничение по подсетям для подключения (если есть такая возможность), использование Fail2ban или аналогов. И двухфакторная авторизация по типу Google Authenticator - настраивать геморно, но штука очень не плохая.
Купил лет 12 назад, пользуюсь .В Winrar удобно делать маленькие самораспаковывающиеся архивы с батниками и утилитами. Запускаешь архив который автоматом прописывает батники в автозагрузку и распаковывает утилиты в нужную папку. Ребутаешь PC удалённо и получаешь маленькую автоматизацию -)
За пару десятков лет работы я понял одно - документация по бекапам и по процедуре восстановления (что, откуда, куда, как и главное в какой последовательности), это редчайший документ во многих компаниях. Делать такую документацию, это нудятина ещё та, да и память у многих админов просто супердолговременная -). До первого жёсткого факапа.
для карты сети и загрузки интерфейсов / каналов использую DUDE. Для мониторинга сервисов и.т.д. zabbix. Пытался на забиксе что то подобное реализовать, но получилось никак. Что подкупает в DUDE , я в реал тайме вижу всю сеть в графическом виде, где перегрузка и кто и на каком участке её вызвал. С учетом того, что сеть раскидана по 13 городам России, это очень выручает. Как случай из жизни - - в Москве днём стали лагать IP телефоны - открыл карту и увидел, что из уфы льют файло на один из серверов. Заодно выяснили, что не правильно были прописаны маршруты -), литься должно было по другому каналу...
Я карту сети сделал на DUDE от Mikrotik. Поставил дудку на hyper-v и работает она уже около года. Автоматический режим, это свальный грех, поэтому пришлось всё настраивать руками. Включил на коммутаторах, серверах, системах хранения snmp, прочекал кто и на каких портах коммутаторов сидит. Сейчас ~ 120 хостов (клиентские пк не мониторю, только клиентские коммутаторы). Визуально видно, какие сервера/сервисы лежат, какие каналы просели, кто льёт по сети торренты и.т.д. Глобальный мониторинг стоит на заббикс, но карта сети в dude .
Установка win 8 или 8.1 с подключенной сетью выдавала окошко с рекомендацией завести себе аккаунт в микрософт -). Это была первая 'ласточка' принудительного нагиба пользователя.
о, прям моя ситуация сейчас. Аврал, срочно!!! чистим правила на корп. фаерволе TMG, который работает уже 13 лет. Сеть большая, с удалёнными филиалами, кучей сервисов (базы данных, веб серверы, приложения завязанные на 2-3 сервера, как по данным, так и по авторизации и.т.д.), после чистки поотваливалась часть ресурсов -). Зато все в тонусе, включая руководство -).
возраст, это опыт в любой профессии. Я системный администратор. Счейчас мне 50, но я очень хорошо помню те ошибки, которые я совершал в 25, когда только начинал работать в этой области. И самое забавное, что в 25 лет принятые решения при планировании / реализации не казались мне ошибочными. И когда позже начинали выплывать проблемы, которые я "героически" решал, приходило понимание, что так делать не стоило -)
так ничего удивительного, сейчас "маленький" пакет с исправленияи весит, как дистрибутив виндовс 7-ки -)
Зато возникнет масса других, особенно если сеть большая.
с чем я полностью согласен, так это с тем, что должен быть план восстановления. Желательно на бумаге, с приложением в виде контактов (субчики, программисты, провайдеры и.т.д.) и с вариантами развития событий. Ибо, как встают мозги раком во время факапа у самых продвинутых я за 30 лет наблюдал не раз. И чем больше структура, тем геморней составлять такой план, многие забивают, а потом отгребают.
сисадмин, это человек, имеющий широкий кругозор по разным продуктам-сервисам, понимающий принципы работы в целом, но не всегда знающий продукты досконально. Сегодня ты эксченч администрируешь, а завтра зимбру-мдаемон-коммунигейт и.т.д. -)
История из жизни -система хранения NetApp - две головы актив актив завязанные оптикой и полка с дисками. Вроде бы надёжно ? Но через пару лет вылетела одна голова (сначала ушла в ребут и потом ребутилась по кругу) и вторая голова все запросы приняла на себя. Ой как ей было тяжко... Всё почуствовали -). Этот кейс разбирали неделю!!!... После этого я понял зачем хитрые EMC в свои системы хранения пихают по три головы -).
Почему я люблю управляемые коммутаторы и маршрутизаторы cisco ? Потому что с ними удобно работать, они понятны и предсказуемы. Консоль длинка или хуавея тоже можно юзать, но до циски им далеко (хотя хуавей не плох, просто привыкнуть надо). Почему мне нравятся микротики - с ними можно делать практически всё и "аналогов" цена \ возможности я пока не вижу. И боюсь в ближайшей перспективе не увижу. То, что эти компаниии ушли из России, это очень и очень плохо...
Для семейного миниофиса (3-5 сотрудников) можно и в прод выпустить. На микротиках это работает не плохо и сам часто этим пользуюсь. На андройде есть не плохая тулза (Knock on Ports - от A Yaburov) для стука на разные устройства. Из минусов - не понятно, кто стучится -), но с впн возни много и далеко не всегда получится подключится через впн... Так что вариант вполне себе...
Интересно. У нас используется 2012 сервер. Что по пороблемам - бывает зависают сесси у пользователей. Приходится ручками прибивать. Опубликованы браузеры хром, яндекс, фирефокс - пользюки могут открывать по 20 вкладок, а каждая вкладка 20-100 м памяти. Бывает, подвисает один из нагруженных серваков в ферме. Вот тогда самый треш начинается.
Бывает, манегеры хотят просмотреть учебные ролики и тут приходится кроить с доступом не по rdp -).
Да можно конечно, но тут и так уже половина сервисов через сраку работает.
Часть запросов через впн приходится пускать, так как для инженеров доступ к тех документации закрыли. И весь этот треш с каждым днём растёт, как снежный ком.