Доброго времени коллеги! Возник вопрос организации VPN с двухфакторной аутентификацией. Поделитесь опытом - как и чем решали данный вопрос, какие связки оборудования и софта использовали и какие всплыли нюансы в процессе использования?
Уважаемые коллеги, хочу поговорить о теме, которая всегда актуальна и вызывает много обсуждений — использование иностранного программного обеспечения в госсекторе. Недавно я начал работать системным администратором в государственной организации, и этот вопрос для нас остается открытым. Я бы хотел услышать ваше мнение и опыт в этом вопросе.
В России проводится активная политика по замене импортного ПО на отечественное, и это затрагивает также программное обеспечение. Например, сейчас уже нельзя без проблем закупить лицензионные ключи для операционных систем Microsoft Windows или другого иностранного ПО через тендеры, и использование нелегального программного обеспечения по-прежнему запрещено.
Почему бы тогда не перейти на альтернативы, например, на Astra Linux? Однако здесь возникают сложности, так как множество специализированного ПО не совместимо с Linux-системами, включая программы для ведомственных архивов, бухгалтерского учета, дизайна и так далее.
Какие у вас есть идеи и опыт в решении этой проблемы? Поделитесь своими рекомендациями.
DKIM (DomainKeys Identified Mail) - это технология, используемая для подтверждения подлинности и целостности электронных писем. Она добавляет цифровую подпись к каждому отправленному письму, которая может быть проверена получателем. Вот несколько причин, почему DKIM полезен для электронных писем:
Аутентификация отправителя: DKIM помогает получателю письма убедиться в том, что оно было отправлено от имени домена, указанного в заголовке отправителя. Это помогает предотвратить фишинг и спам, так как злоумышленники не смогут подделать домен отправителя.
Целостность сообщения: DKIM также обеспечивает целостность сообщения, что означает, что ни одна его часть не была изменена в процессе передачи. Получатель может проверить, что письмо не подвергалось вредоносным манипуляциям в пути от отправителя к получателю.
Повышение доставляемости: Письма, подписанные с использованием DKIM, более вероятно будут успешно доставлены в папку "Входящие" получателя, а не попадут в спамовую папку. Многие почтовые провайдеры используют DKIM для идентификации легитимных отправителей.
Соответствие стандартам: В ряде отраслей, таких как финансовые услуги и здравоохранение, соблюдение стандартов безопасности электронной почты, включая DKIM, может быть обязательным требованием.
Защита репутации домена: Если ваш домен подвергается злоупотреблению и отправляет спам, отсутствие DKIM может усугубить проблему, так как получатели могут отклонять все письма, не прошедшие аутентификацию DKIM. На этом все друзья! Ещо многоинтересного публикую у себя в телеге https://t.me/Prodevopsikov
Эта история входит в серию про описание работы админа и рассказывает не о том, что «вот я сделала шаблон для zabbix – скачивайте», но о том, как всё это происходит.
В пятницу у меня была задача ничего не сломать, наконец-то образовалось свободное время и я занялась шаблонами на zabbix для мониторинга BGP. Есть шаблоны на cisco, а вот на huawei я нашла один какой-то шаблон. Он работал, но меня не устраивал своей малой информативностью и я начала его допиливать.
Я вообще в шаблонах заббикса полный нуб, максимум что делала — пару параметров поправить. Именно поэтому я не пошла создавать свой супер-мега шаблон с нуля, а взяла за основу чей-то. Для начала нам нужны mib от Huawei на CloudEngine 8000. Спасибо хуавею за наше счастливое настоящее — по ним есть онлайн справка.
Что такоеmib? Это Management Information Base, с ней работает snmp. Там по цифровому ключу, разделённому точками (типа 1.5.2.4.3.1) можно получить значение, которое будет характеризовать какое-то состояние какого-то компонента системы. Ну типа, у вас интерфейс поднят или нет? Или вентилятор включен или нет? Или «трафика зарегистрировано в такой-то момент столько-то килобит на таком-то интерфейсе в такую-то сторону». У каждого значения есть точный ключ, такая длинная цифровая змея. Если взять ключ и отрезать у него хвостик до какого-то знака — и обратиться по обрезанному ключу — можно получить список значений, объединенных по какому-то признаку. Например, статус всех интерфейсов в системе.
Zabbix работает с сетевыми железками через snmp, соответственно, в шаблонах там указаны mib. Чтоб заббикс мог по ним что-то считывать, он должен ещё о них знать и это своя отдельная тема. Например, на непопулярные железки надо подкладывать ему mib-файлы в определенную папочку на сервере. Но с хуавеем всё хорошо, он о них (ладно, о большинстве) сам знает.
Исходный шаблон показывал соседей BGP (и не было понятно что это пир, только теги смотреть) и статус пира в виде строки с текстом от 1 до 6. Я, во-первых, коды наизусть не особо знаю, во-вторых, хотела бы график с изменением статуса пира, а график - он только для чисел, а не для текста. Также я не поняла зачем на фактически одни и те же пиры делать обнаружение и перетащила всё в одно «обнаружение», но сделала дополнительный «прототип данных» на статус пира.
С представлением в виде чиселок вроде понятно — берем и меняем «текст» на «целое положительное» и получаем то же самое, что было, но уже в цифровом виде.
Если посмотреть у узла сети «данные», то там и график сам появится. Теперь про отображение. У прототипа данных есть «предобработка», но если там менять число на его описание, то и выходные данные снова будут текстовые и графика мы не получим. Но я же вижу, что у других шаблонов и график есть и человеческое описание. Я пошла в базовый сетевой шаблон и посмотрела как там сделано. А там у шаблона есть преобразования значений. Пилим по аналогии:
Берём из описания mib 1.3.6.1.4.1.2011.5.25.177.1.1.2.1.5 The status of the remote BGP peer, including: 1: Idle(1) 2: Connect(2) 3: Active(3) 4: Opensent(4) 5: Openconfirm(5) 6: Established(6)
И вписываем в преобразование у самого шаблона.
Ииии.. ничего не работает. Надо указать, что мы используем это преобразование в прототипе элемента данных (мне пришлось прочитать справку заббикса про преобразование значений, чтоб это найти):
Внимательный читатель заметит (есть ностальгия по старым книжкам при этих словах, да?), что мы смотрели mib 1.3.6.1.4.1.2011.5.25.177.1.1.2.1.5 а в шаблоне у нас 1.3.6.1.4.1.2011.5.25.177.1.1.2.1.5.0.1.1.1.4 — так откуда взялся 0.1.1.1.4? Я не искала ответ, что именно он означает (мне вообще кажется он про ipv4, но не суть). Главное, что прежде чем мы mib из справки пойдём вставлять в шаблоны заббикса - хорошо бы посмотреть, что он в выводе даёт. Для этого у нас есть утилита snmpwalk. Запускаем с заббикс-сервера команду просмотра mib, указывая ip роутера, и смотрим, что выдаётся.
Тут поменян community на public и в конце вырезаны белые ip-адреса соседей
Всё в конце, что не войдет в ваш SNMP OID, поселится в #SNMPINDEX, а нам там нужен только ip, соответственно весь нужный хвостик 0.1.1.1.4 включаем в SNMP OID.
Из того, что в шаблоне не было, мне захотелось добавить номер автономной системы соседа hwBgpPeerRemoteAs, MIB 1.3.6.1.4.1.2011.5.25.177.1.1.2.1.2 — сделала по аналогии. Ну и триггер на изменение статуса пира удалось сделать встроенным мастером. Выглядит он странно, но работает.
В целом, посмотрю, что ещё надо, чтоб видеть, что оно сломалось. Например, есть количество eBGP и iBGP сессий — хорошо бы его тоже отслеживать.
У меня на гитхабе профиля нет, так что кому надо, шаблон по ссылке тут (это yaml, загружать в чужой заббикс не пробовала, уже после публикации нашла, что одно свойство у меня не bgppeer, а pgppeer, но это ни на что не влияет на данном этапе, только на эстетику).
Немного воды в конце: я вообще не вдупляла в начале куда смотреть. На понимание и дабавление пары фич у меня ушла половина рабочего дня неспешного ковыряния и ещё час вечером. Это много. С другой стороны, вы посмотрели как поступает админ в случае "да я вообще х.з. как эту хрень делать". А ещё у меня в профиле есть телега, где я пишу более короткие и развлекательные посты пару-тройку раз в неделю, вдруг кому будет интересно.
Это интересный инструмент который позволит проверить какие-то не самые очевидные дырки в безопасности вашего сервера, даже не имея root привилегий. Речь идет, например, об исполнении крон задач, которые от пользователя с привилегиями root или группой wheel обращаются к файлу с правами 777 и т.д. Данный софт подсветит многое, что может быть использовано для несанкционированного повышения привилегий пользователя.
В общем, автор подробно описал возможности работы скрипта, так что заходите пользуйтесь)))
Все что изложено ниже, есть мое личное мнение и мой личный опыт. Одни с восторгом пишут о том, как они вошли в IT после 30+, другие с восторгом читают об этом. Я же вам поведаю историю о том, как я решил валить из IT, после 20+ опыта работы. Это очень длинная история и будет многобукав, но по другому я писать не умею.
Начну с того, как я попал в эту профессию. Это был 1998 год, я учился в технаре, и на летнюю практику меня пригласили заместить системного администратора на время отпуска. Естественно не обошлось без моего личного знакомства с этим администратором и его рекомендации. У меня уже был некоторый опыт настройки локальных сетей, расшаривание сетевых ресурсов, инсталляции всяческого софта, знал что такое autoexeс.bat, system.ini, командная строка, да и собственные DOS команды в bat файлах, в общем минимальный набор для младшего админа что бы поддерживать в рабочем состоянии настроенную сетку примерно из 20 компов. А когда выяснилось, что я печатаю с неплохой скоростью и неплохо форматирую текст в ворде, то меня оставили еще на месяц замещать секретаря.
В дальнейшем этот опыт пригодился мне при трудоустройстве на мою первую постоянную работу. Где я уже познакомился с Win2003, MSSQL и плотненько изучил бухгалтерию. Именно бухгалтерия на тот момент времени была основным заказчиком на услуги ИТишников.
И как не странно полученный опыт пригодился мне при трудоустройстве на следующее место. Там требовался младший админ, который бы разгрузил ведущего админа, от общения с бухгалтерией. Предприятие росло, и в какой-то момент появился софт, требующий БД Oracle, своего сайта + MySQL, полноценную техническую поддержку. В отдел начали приходить новые сотрудники. С подачи ведущего админа разрабатывалась собственная CMS на базе Drupal и собственных написанных под него модулей. Начали расти скилы в администрировании linux систем.
А тут организация становится местным интернет провайдером. Это уже новый уровень и знания, ssh, html, css, ssl, DNS, php, telnet, snmp, stp, mstp, BGP, osfp, vlan, ACL. Коммутационное оборудование, клиентское оборудование, изучение технологии GPON, работа с оптическими сетями. Увязка биллинга по API со сторонними системами. Уже я сам становлюсь ведущим системным администратором, а спустя некоторое время начальником отдела ИТ. При всем при этом знания из года в год все шире и глубже. Тут уже и своя станция VoIP, системы контроля доступа, видеонаблюдение и GPS мониторинг.
И вот период расцвета организации, сменяется сначала стагнацией, а затем угасанием. Сначала перестает индексироваться зарплата, урезается бюджет на новое оборудование. Затем и вовсе зарплата становится частично черной, несогласные сокращаются. Бюджет на оборудование вообще не выделяется, работа идет по принципу - будет авария, тогда и будем разбираться. Уже на этом этапе я начал подыскивать новое место работы. Это было 4 года назад.
За эти четыре года, я стал постоянным посетителем хэхэ.ру, несколько раз катался на собеседования. А три года назад решил открыть в правах категории С и Д. Автомобили у меня что-то типа хобби. За год могу купить парочку, устранить в них технические или косметические косяки, покататься сам и продать дороже.
Начинается 2023 год, угасание сменяется резкой деградацией. Уже начинает задерживаться не только черная, но и белая зарплата. Все эти 4 года в ИТ была стагнация зарплат. При этом каждый год росла зарплата на угледобывающих предприятиях. И вот уже зарплата белазиста превышает зарплату уровня ведущего специалиста в ИТ отрасли. Принимаю решение открыть тракторную категорию А3, требующуюся для работы на карьерной технике. В мае успешно сдал экзамен с первого раза. Параллельно начинаю узнавать подробности входа в профессию, открыл второе резюме на работном сайте. И по нему за первый месяц уже больше звонков, чем было за год по ИТ профессии. Единственное все пока упирается в опыт работы, если он есть берут сразу, если нет предлагают поднабраться опыта на камазе, либо вахтовом автобусе.
Ну а пару дней назад, психанул и написал заявление на увольнение. Ухожу в неизвестность, скорее всего крутить баранку. А будет интересно, то потом напишу продолжение истории, сейчас просто еще не о чем писать.
Если вы считаете, что в ИТ золотые горы и вас везде ждут с распростертыми объятиями, то этот текст возможно откроет вам глаза. Лично мне на данный момент, даже некому передать дела. Все вокруг, думают что за забором очередь желающих ИТишников, работать за шапку сухарей и это не мнение моего руководства, это там где я был на собеседованиях. Не могу говорить за все ИТ, возможно где-то и зарабатывают хорошо и специалистов ждут, но в любом случае это нервная профессия, требующая постоянного кропотливого обучения и усиленной работы мозгов. А уж "ворваться" в эту профессию, без исключительного таланта и предрасположенности к программированию, так по моему и вообще невозможно.