Одна из наших последних работ - решение для организации безопасного удаленного рабочего пространства для сотрудников.
Для этого был выделен один сервер, на котором:
1. Был поднят RAID10 для того, чтобы обезопаситься от утраты диска, но и не потеряв в производительности.
2. Организован encrypted root - т.е. полное шифрование диска. Данная возможность имеется, например, и в штатном инсталяторе Debian, однако, это решение требует наличия KVM для ввода пароля после перезагрузки. KVM стоит денег, также очень сложно ввести длинный пароль, нередко происходят ошибочные многократные нажатия клавиш и узнается это постфактум, так как вводимого пароля не видно.
Мы же используем для разблокировки зашифрованного диска небольшой SSH-сервер. После перезагрузки с помощью ключа клиент подключается к серверу по SSH, вводит одну команду с указанием пароля от диска, после диск "открывается", и система продолжает грузится дальше, после чего на стандартном порту SSH становится доступен SSH-сервер уже самой системы.
3. Для организации непосредственно рабочих мест использована виртуализация Xen. С помощью него из образов были подняты VPS сервера с установленной на них Windows.
4. Установлен и настроен OpenVPN сервер. Используется он для организации доступа к Windows VPS-серверам, что повышает безопасность в связи с дополнительным слоем шифрования, а также повышает ваш контроль - аккаунты OpenVPN можно с легкостью отключать если возникают какие-либо подозрения.
Т.е. необходимо скачать приложение OpenVPN GUI, загрузить по выданной нами ссылке набор конфигурационных файлов для OpenVPN, распаковать это в определенную папку и подключиться к серверу. После чего по специальным IP из каких-либо внутренних подсетей, например, 192.168.0.0/24 будут автоматически доступны ваши Windows VPS.
Также учитывая, что L2TP клиенты уже идут вместе с операционной системой можно заменить OpenVPN на него. Тогда для настройки необходимо добавить L2TP подключение и ввести логин с паролем и IP.
5. Для общения сотрудников настроен Jabber-сервер, который тоже доступен только через OpenVPN и не виден снаружи. Позволяет безопасно обмениваться сотрудникам сообщениями, включая jabber клиента, как непосредственно на Windows VPS-ках, так и локальном компьютере, на котором включен OpenVPN.
6. Для совместной работы с файлами на сервер устанавливается owncloud. Доступа к которому извне нет - только через OpenVPN/L2TP, что также снижает риск кражи данных.
ls -lah /var/log
туда же ...
SSH или тот же FTP там поднять что ли не вариант?
Да ладно. По-моему всегда, когда пытаешься наехать на грамотность сам начинаешь писать с ошибками :)
На мой взгляд неплохо бы было выкатить все-таки какие-то технические детали касательно проблемы и ее решения. Чтобы мы - люди чего-то понимающие, могли хотя бы предположить стало ли все нормально или нет. А то фразой "теперь-то точно все ок" сыт не будешь. У вас и раньше все ок было. Ну и где теперь все данные :)
Владельцем хостинг-компании была поставлена задача разработать универсальный скрипт внутреннего учета серверов.
Требовалось спроектировать единую базу и интерфейс по всем дата-центрам, с которыми работает заказчик.
Основные части системы:
1) Список ДЦ (дата-центров), разбитый по странам. Каждый ДЦ имеет множество дополнительных опций, по которым в последствии можно осуществлять фильтрацию для осуществления выборки. Примеры опций: название, адрес,
контактные данные, примеры IP, цена на размещения оборудования и аренду серверов, стоимости дополнительных опций.
2) Список активных серверов.
Перечисление всех серверов, купленных заказчиком во всех дата-центрах в единой базе данных. Каждый сервер обладает дополнительными полями: дата покупки и продления для своеврменной оплаты серверов, аккаунт к панели дата-центра, если таковая имеется, закрепленные за сервером IP-адреса, подсети, произвольные комментарии, конфигурация, цена. Список можно фильтровать по различным параметрам: дата продления, все сервера одного ДЦ, поиск по ключевому слову.
3) Модуль "Продление".
Предназначен для выставления на продление серверов службе биллинговой поддержки.
Имеет две составляющих: модуль "Запросы на продление" и модуль "Запросы на оплату".
Первый модуль используется старшими менеджерами для одобрения/отклонения серверов. После отклонения продления сервер помечается как "неактивный", в случае одобрения продления создается соответствующий запрос на оплату в модуле "Запросы на оплату", где непосредственно исполнитель совершает оплату в ДЦ и меняет статус на "оплачено", с последующей автоматической смены даты у конкретного сервера.
В данном модуле настроено извещение о всех действиях в мессенджеры (Jabber, ICQ).
4) Администрирование пользователей системы.
Имеется возможность выставлять права доступа к различным частям системы различным пользователям (просмотр различных ДЦ, редактирование ДЦ, добавление и редактирование серверов, обработка запросов на продление, обработка запросов на оплату).
5) Интеграция системы со сторонними биллингами.
Реализована двусторонная интеграция с самописным биллингом клиента (корректировка статусов серверов и дат продления) и панелью WHMCS.
6) Дополнительный функционал.
Имеется автоматическая конвертация валют и пересчет по текущему курсу, полное логгирование действий пользователя (с возможностью просмотра кто ответственнен за конкретное действие в системе и когда оно было совершено), различные варианты оповещения о проиходящих системе действиях (по почте, jabber, ICQ).
Все уже наслышаны о последней уязвимости Ghost. На данный момент все популярные дистрибутивы выпустили заплатки и для решения проблемы достаточно обновить glibc, но если у вас серверов больше чем, скажем, три – делать руками это немного неудобно.
Да, можно написать очередной for цикл с ssh вызовом, устанавливающий необходимые обновления, но почему бы не попробовать использовать то, что пригодится в будущем при решении других, более масштабных задач.
В этой ситуации уязвимость – неплохой повод начать потихоньку пользоваться Ansible.
Ansible это бесплатное программное решение для удаленного управления конфигурациями. Подробнее вы можете прочитать в очередной статье нашего ведущего администратора - http://contactroot.com/pora-nachat-polzovatsya-ansible/
Напоминаем, что мы всегда осуществляем следующие услуги:
- чистку ваших серверов от последствий взлома
- перенос серверов и сайтов, восстановление любого контента из бэкапов
- устранение причин всевозможных "тормозов", оптимизация ваших серверов и vps
- внедрение автоматических решений для экономии вашего времени и для вашего бизнеса - cron, bash-скрипты, вплоть до разработки полноценного ПО.
Свяжитесь с нами:
jabber: slava@contactroot.com
skype: contactroot
icq: 657324100
aim: glueon@contactroot.com
yim: glueon@yahoo.com
В той команде, что дал V2NEK файлы удаляются пачками по 1000 штук.
Вполне вероятно, что от mc принципиально ничем не отличается способ.
Что за диски? То что чтение высокое - это понятно, т.к. RAID1 и RAID0.
Касательно 1300 не ошиблись? Может 130? Если да, то 65 вполне ожидаемо число для RAID1+0.
find /home/ron/Maildir/new -type f -print0 | xargs -n 1000 -0 rm -f
Потом только директории надо будет удалить.
find /home/ron/Maildir/new -type d -print0 | xargs -n 1000 -0 rm -fr
Вообще есть подозрение, что у человека от cron-а сообщений в ящик навалило )
