Второй рабочий день. Эмоции начинают потихонечку, спадать, пора браться за дела! На первую неделю, собственно, задачи основные две ( в том случае если наша компания ООО Рога и Копыта, небольшая штат до 20 сотрудников , с небольшим количеством классических сервисов , типа 1С и печати.) это знакомство с ИТ хозяйством и резервное копирование.
Сразу надо усвоить простое правило Системного администратора №1 - Хочешь Больших неприятностей, порезки кармы\не выплаты премии\увольнения.... забудь про бэкапы! Бэкапы должны быть всегда, всей критичной информации и всех критичных сервисов! Всегда.
Пусть нашего нашего админа зовут Вася, который устроился в ООО Рога и Копыта. Компания, по предварительной информации, от работодателя получены все root\Admin пароли и примерное описание, что есть. Руководство сказало, что компания в следующий месяц или два начнет активно расширятся. Полистав документацию, соотнеся с тем что рассказали, василий на второй день пришел на рабочее место и понял , что надо сделать небольшой ит аудит.
По информации которая была в компании имеется:
User - 10 шт. = PC
Свитч: D-link DES-1100-24 управляемый, которым никто никогда не управлял.
Роутер: Dir -620, за-то с wifi....
Сервера: 2 шт в виде 2-х системных блока от пользовательских ПК с Core i7 на борту и 32 ГБ RAM.
Принтеры: 2 шт USB - HP lj 1022 , сетевой Hp Lj 2055dn
Задачка первая: собрать информацию о сети. В решении этого вопроса нам поможет замечательная программа с GUI интерфейсом перекочевавшая из *nix систем ZenMap.
Качаем с официального сайта: https://nmap.org/zenmap/
Запускаем: Запускаем приложение. В поле цель вводим 10.1.1.* (меняя соответственно ip подсети на свою). В поле команда nmap -T4 -A -v 10.1.1.*. Получаем информацию о узлах в данной подсети, все до чего смогла дотянутся программа.
Описание сбора информации: Примерный вывод команды будет состоять из списка узлов в левой части графического интерфейса программы. В правой части интерфейса собственно вывод nmap вида:
Nmap scan report for tserver32.local.net (10.1.1.215)
Host is up (0.0011s latency).
Not shown: 995 closed ports
PORT STATE SERVICE VERSION
135/tcp open msrpc Microsoft Windows RPC
139/tcp open netbios-ssn Microsoft Windows netbios-ssn
445/tcp open microsoft-ds Microsoft Windows Server 2008 R2 - 2012 microsoft-ds
1947/tcp open http Aladdin/SafeNet HASP license manager 21.00
| http-methods:
|_ Supported Methods: GET HEAD POST
|_http-server-header: HASP LM/21.00
|_http-title: 403 Forbidden
3389/tcp open ms-wbt-server Microsoft Terminal Services
| ssl-cert: Subject: commonName= tserver32.local.net
| Issuer: commonName= tserver32.local.net
| Public Key type: rsa
| Public Key bits: 2048
| Signature Algorithm: sha256WithRSAEncryption
| Not valid before: 2018-10-26T10:53:04
| Not valid after: 2019-04-27T10:53:04
| MD5: f8e6 a879 c49b bfa1 c246 928f 4121 85d1
|_SHA-1: 5e41 eda0 ed92 0f03 e3f0 ac92 0468 5b03 e6fc 9c88
|_ssl-date: 2019-01-13T20:48:44+00:00; 0s from scanner time.
Device type: general purpose
Running: Microsoft Windows 2016
OS CPE: cpe:/o:microsoft:windows_server_2016
OS details: Microsoft Windows Server 2016 build 10586 - 14393
Uptime guess: 7.094 days (since Sun Jan 06 21:41:49 2019)
Network Distance: 2 hops
TCP Sequence Prediction: Difficulty=257 (Good luck!)
IP ID Sequence Generation: Incremental
Service Info: OSs: Windows, Windows Server 2008 R2 - 2012; CPE: cpe:/o:microsoft:windows
Host script results:
| smb-security-mode:
| account_used: guest
| authentication_level: user
| challenge_response: supported
|_ message_signing: disabled (dangerous, but default)
| smb2-security-mode:
| 2.02:
|_ Message signing enabled but not required
| smb2-time:
| date: 2019-01-13 23:52:45
|_ start_date: 2019-01-06 21:42:11
TRACEROUTE (using port 554/tcp)
HOP RTT ADDRESS
- Hop 1 is the same as for 10.1.1.1
2 1.00 ms tserver32.local.net (10.1.1.215)
Рекомендую взять эти данные, как результаты первичного ИТ аудита и свести их в эксель таблицу. Имя\DNS имя\ip\OS\ ПО\ Открытые порты\Назначение. Плюс начать рисовать схему сети L2\L3. Для пользовательских машин
В дальнейшем это упростит жизнь. Можно Так же добавить колонку Login\Pass и зашифровать VeraCrypt или аналогом.
Считаем, что на первом этапе информация по хостам собрана. Переходим к следующей задаче.
Задачка вторая настроить резервные копии. В общих чертах задача сводится к решению 4х проблем. Проблема первая, что резервировать. Проблема вторая, где хранить резервные копии. Проблема третья чем резервировать. Проблема четвертая, как проверить, что резервная копия валидная (т.е с нее можно будет восстановить данные\работоспособность сервиса).
По первой проблеме: Для ее решения необходимо определить, какие сервисы\информация, критически важна для существования организации, в том числе и ИТ инфраструктуры. В нашем примере - это AD + FileServer + 1C БД. Определится с пользователями, что все свои данные хранят на файловом сервере! Точка. Никаких исключений! Данные бекапятся!
Проблема вторая, чем делать резервные копии. В большой компании с системами виртуализации, я очень рекомендую использовать Veeam Backup очень удобная вещь, но платная. В нашем случае, можно использовать его Free версию или использовать решение handy Backup\скрипты или другой любой продукт который вам нравиться...
Третья проблема куда будем сохранять резервные копии: На первых порах маленькой организации вполне достаточно будет маленького NAS с хорошей дисковой подсистемой , 4 диска собрать в Raid 5. Назначить IP и подключить по сети. Например Synology RS816 стоимость порядка 700$ , в крупной компании рекомендую использовать, что нибудь из enterprise линейки например HP 3 Par подключенную по FibreChannel.
Четвертая проблема: Как проверить резервные копии. Veeam в версии Enterprise, это умеет делать автоматически, но стоит дорого. Если мы используем Free версию то только в ручном режиме... периодически делать тестовые восстановления. Будет очень обидно, если в критический момент не окажется работоспособной резервной копии.
Основная ошибка многих начинающих Администраторов, в том что 1. Забывают про резервное копирование 2. Не проверяют работоспособность и возможность восстановления из резервных копий. 3. Делают резервные копии на тот же сервер, который резервируется...
Всем стабильного пинга!