Брацки Фермы — различия между версиями

Материал из Брацка Правки
Перейти к: навигация, поиск
(Поиск ответственного)
(Разработка Ферм)
Строка 62: Строка 62:
 
:#На уровне основного сервера, виртуализация выполнена средствами [[RAID]], то есть два жёстких диска HDD SATA действуют как один диск на 3,0 TB, обеспечивая сохранение данных в случае отказа одного из дисков.
 
:#На уровне основного сервера, виртуализация выполнена средствами [[RAID]], то есть два жёстких диска HDD SATA действуют как один диск на 3,0 TB, обеспечивая сохранение данных в случае отказа одного из дисков.
 
:#Для создания виртуальных машин и работы с контейнерами, установлена среда [[ProxmoxVE]].
 
:#Для создания виртуальных машин и работы с контейнерами, установлена среда [[ProxmoxVE]].
 +
 +
==Доступы==
 +
 +
===Администраторские===
 +
:Управление виртуальными машинами и контейнерами производится через интерфейс [[ProxmoxVE]]. Остальные доступы организованы по [[SSH]].
 +
 +
===Пользовательские===
 +
:Для доступов пользователей к виртуальным машинам используется [[Apache Guacamole]], на котором построен узел удаленных рабочих столов. Пользователь заходит на машину и работает на ней аналогично работе на собственном компьютере или друго устройстве.
 +
 +
===Защита===
 +
:Для предотвращения так называемых [[ brute-force attack]], то есть попыток подобрать пароли методом перебора множества вариантов, был установлен [[Fail2Ban]].
 +
 +
:При предоставлении доступа через SSH к тем машинам, на которых был установлен [[WordPress]] и [[Moodle]], там постоянно что-то происходило, не давало зайти по SSH. Именно на этих 2-х машинах [[Fail2Ban]] был отключен первым.
 +
 +
:Далее, [[Fail2Ban]] делал записи в [[iptables]], из-за которых невозможно было получить доступ к серверам по [[SSH]] для [[Apache Guacomole]]. После этого [[Fail2Ban]] был заблокирован.
  
 
==Разработка Ферм==
 
==Разработка Ферм==

Версия 16:49, 13 мая 2022

Брацки Фермы (здесь и далее по тексту -- Фермы) -- это инфраструктура Брацка Облака (здесь и далее по тексту -- Облака). Архитектура облачной инфраструктуры не определена. Скорее всего, когда работа Школы войдёт в привычный режим, инфраструктура должна состоять из некой комбинации частного и общественных облаков.


Частное облако

Если частное облако будет признано необходимым, оно будет построено на OpenStack технологии. Требования: существование резервной модели работы и возможность восстановления работоспособного состояния, включая бэкапы на все собственные данные и разработки.

Существующие сервера

Hetzner EX40-SSD

Описание URL Технология Предназначение Проблемы
DC 21, 32GB, 30 TB, IP 148.251.188.31, €49.58 в месяц careernetworkministry.org Odoo Административный учёт (а) Нет центральной авторизации пользователей; (б) практически никто не пользуется; (в) непонятно, что, если что-то, было выполнено по безопасности, (г) не описан порядок создания и восстановления резервных копий, (д) не описана структура системы (связана ли эта инсталляция с другими и, если да, то как), (е) не описана структура первичных и вторичных баз данных, (ж) не описан порядок обновления версий, (з) не описан порядок обслуживания
theeconomicgroup.org
friendsofcnm.com
theeconomicgroup.com HTML5 Прототип вэбсайта. Надо развивать прототип.
friendsofcnm.org MediaWiki Открытый источник знаний и, одновременно, работа для новичков. (а) Нет центральной авторизации пользователей; (б) неверное размещение -- вики занимают место вэбсайта представляющего Друзей СПС, (в) непонятный URL -- обеспечение добавляет /index.php/, которое может сбить с толку посетителей; (г) невозможно загружать иллюстрации; (д) отсутствие логотипа; (е) не поддерживается многоязычность; (ж) официально не прописаны правила создания, хранения и восстановления запасной версии, если таковые имеются, и так далее.
Не определено. Moodle Программное обеспечение курсов и других учебных операций типа экзаменов, опросов, семинаров и так далее. (а) Нет центральной авторизации пользователей; (б) непонятное размещение; (в) отсутствие описания; (г) отсутствие логотипа и так далее.

DigitalOcean droplets

Описание URL Технология Предназначение Проблемы
NYC1, 2GB, 50GB disk, IP 159.89.93.1, $10 в месяц Новый дроплет под Оплёт
  • Opplet на opplet.net -- самописанная на Yii система управления пользователями
Проблем нет; это -- один из двух активно используемых дроплетов на данный момент -- Backups are currently enabled
NYC1, 2GB, 50GB disk, IP 159.89.230.212, $10 в месяц Новый дроплет под систему для работы с Оплётом
  • Инсталляция Redmine -- она стоит отдельно от всего для использования исключительно администраторами.
  • Инсталляция Moodle на https://wiki.ksacerts.com

Общественное облако

Общественное облако типа AWS должно быть использовано первым из-за меньших расходов по его вводу в эксплуатацию.

Железо 1

Физическая oснова (1)

Железный сервер (bare metal) арендован на hetzner.de. Он имеет такие характеристики:
  • Dedicated Root Server SB35
  • Intel Core i7-3930
  • 2x HDD SATA 3,0 TB
  • 8x RAM 8192 MB DDR3
  • NIC 1 Gbit - Intel 82579LM
  • Location: FSN1 (Falkenstein/Vogtland, Germany) -- DC7
  • Rescue system (English)

IP адреса (1)

Основной IP адрес Железа -- наш-IP . На начало февраля 2022, Железо использует один дополнительный IP адрес 4-го протокола (IPv4):
  • IP: 5.9.40.133
  • Gateway: 5.9.40.129
  • Netmask: 255.255.255.224
Не предпринималось попыток работать с IP адресами 6-го протокола (IPv6).

Виртуализация (1)

Два инструмента задействованы для виртуализации:
  1. На уровне основного сервера, виртуализация выполнена средствами RAID, то есть два жёстких диска HDD SATA действуют как один диск на 3,0 TB, обеспечивая сохранение данных в случае отказа одного из дисков.
  2. Для создания виртуальных машин и работы с контейнерами, установлена среда ProxmoxVE.

Доступы

Администраторские

Управление виртуальными машинами и контейнерами производится через интерфейс ProxmoxVE. Остальные доступы организованы по SSH.

Пользовательские

Для доступов пользователей к виртуальным машинам используется Apache Guacamole, на котором построен узел удаленных рабочих столов. Пользователь заходит на машину и работает на ней аналогично работе на собственном компьютере или друго устройстве.

Защита

Для предотвращения так называемых brute-force attack, то есть попыток подобрать пароли методом перебора множества вариантов, был установлен Fail2Ban.
При предоставлении доступа через SSH к тем машинам, на которых был установлен WordPress и Moodle, там постоянно что-то происходило, не давало зайти по SSH. Именно на этих 2-х машинах Fail2Ban был отключен первым.
Далее, Fail2Ban делал записи в iptables, из-за которых невозможно было получить доступ к серверам по SSH для Apache Guacomole. После этого Fail2Ban был заблокирован.

Разработка Ферм

Основная вики-страница: Проекты Ферм

Поиск ответственного

Требования
  • Готовность и желание развиваться и учится
  • Желание работать с информационными системами и их безопасностью (кибербезопасностью).
  • Базовые знания современных сетевых технологий и, в частности, конфигурирования серверов на базе Linux
  • Опыт работы в должности системного администратора приветствуется.
Обязанности
Документирование. Разработка архитектуры. Обеспечение работы корпоративных сайтов и почтовых систем. Внедрение процессов безопасности, обеспечивающих надлежащую защиту ИТ и информационных активов. Контроль за их выполнением и отчетность. Снова документирование.
Условия работы
Работа в дружном коллективе. Удаленная. Уровень заработной платы устанавливается по результатам отбора
Порядок отбора
  1. Задайте любое количество вопросов.
  2. Когда вопросы окончены, в течение 20-25 минут опишите, что конкретное Вы можете сделать для проекта.
  3. Если Вас отберут для технического собеседования, установите TeamViewer, если он не установлен, и будьте готовы поработать вместе с нашим специалистом в течение 20-25 минут на реальных серверах.
По итогам технического собеседования, Вас могут пригласить на обсуждение условий сотрудничества.