- •Общие вопросы системного администрирования.
- •Задачи системного администратора:
- •2. Виды администрируемых систем:
- •3.Виды административной деятельности
- •4)Место,ответственность,роль системного администратора в компании
- •Файловые системы.
- •1. Понятие и назначение файловой системы.
- •2. Файловая система. Метаданные.
- •3. Файловая система. Характеристика fat-16, fat-32.
- •7. Файловая система. Характеристика Btrfs.
- •8. Файловая система. Характеристика Reiserfs.
- •Загрузчик ос
- •1. Понятие и функции загрузчика.
- •2. Bios. Целевое назначение и процесс запуска.
- •3. Mbr. Целевое назначение и структура.
- •4. Uefi. Целевое назначение и процесс запуска.
- •5. Gpt. Целевое назначение и структура.
- •6. Загрузчик ос. Этапы загрузки ос.
- •Доменные сети
- •История появление доменных сетей. Многопользовательские ос, сети без доменов, преимущества и недостатки. История
- •Многопользовательские ос
- •Сети без доменов
- •Понятие доменных сетей. Выполняемые функции, преимуещства и недостатки. Домен, доменные сети
- •Выполняемые функции, преимуещства и недостатки.
- •4. Служба каталогов Active Directory. Функции и роль.
- •4. Владелец инфраструктуры домена (Infrastructure Master).
- •5. Эмулятор основного контроллера домена (Primary Domain Controller Emulator (pdc Emulator)). Роль pdc- эмулятора несколько важных функций:
- •5. Служба каталогов Active Directory. Разграничение прав доступа.
- •7. Служба каталогов Active Directory. Лучшие практики организации доменных сетей при
- •8. Служба каталогов Active Directory. Средства администрирования домена.
- •9. Служба каталогов Active Directory. Репликация данных в домене.
- •Управление учетными записями пользователей
- •1. Групповые политики. Основные понятия.
- •2. Групповые политики. Виды групповых политик.
- •3. Групповые политики. Принцип реализации.
- •4. Групповые политики. Приоритеты групповых политик.
- •5. Групповые политики. Предпочтения.
- •6. Групповые политики. Режимы работы групповых политик.
- •Профили пользователей. Виды профилей. #10
- •4. Средства системного администрирования. Удаленный рабочий стол, настройка, параметры.
- •10. Средства системного администрирования. Проверка настроек dns, сетевой конфигурации, взаимодействия сетевых приложений.
- •11. Средства системного администрирования. Мониторинг обращений к жесткому диску,
- •12.Управление процессами
- •Типы процессов
- •Получение информации о процессах
- •Управление приоритетом процессов
- •Посылка сигналов
- •13. Настройка сетевого экрана Windows
- •14. Настройка сетевого экрана Linux
- •Резервирование данных
- •1. Резервирование данных. Цели и функции резервирования.
- •2. Резервирование данных. Аппаратная поддержка резервирования.
- •3. Резервирование данных. Понятие raid-массива. Аппаратные и программные raid-массивы.
- •4. Резервирование данных. Виды резервного копирования – инкрементальное, полное.
- •Зберігання резервної копії
- •4.2 Види резервного копіювання:
- •5. Резервирование данных. Способы резервного копирования – копирование, дампы файловых систем, дампы журналов. Дамп файловой системы
- •Дамп журнала:
- •6.Резервирование данных. Проблемы резервирования
- •7. Резервирование данных. Windows Backup and Recovery tool.
- •8. Резервирование данных. Резервирование Active Directory.
- •9) Резервирование профилей пользователей
- •10.) Резервирование данных. Резервирование настроек групповых политик.
Посылка сигналов
Для посылки сигналов из командного интерпретатора используется команда kill. Она имеет следующий синтаксис:
kill [ -сигнал ] pid ...
13. Настройка сетевого экрана Windows
Сетевой экран - это программа, которая осуществляет контроль за доступом вашего компьютера к сети (локальной или Интернет). То есть это приложение для компьютера, обеспечивающее надёжную защиту и предотвращающее любые несанкционированные действия со стороны сети.
Сетевые экраны не дают вредоносным программам отправить в сеть вашу конфиденциальную информацию, к примеру, пароли от почты, от личных страниц в социальных сетях, от кредиток, различные финансовые документы. Так же сетевые экраны обеспечивают общий доступ к Интернет нескольким компьютерам и контролируют сетевой трафик. С помощью этой функции руководителю организации можно легко проверить по назначению ли сотрудники используют рабочий интернет, на какие страницы заходят, сколько трафика расходуют. Сетевой экран позволит обеспечить доступ к рабочему месту из дома.
Сейчас компания Microsoft включает поддержку сетевого экрана Firewall в операционные системы Он имеет три уровня обеспечения защиты: доменные сети, рабочие сети, открытые сети. Это позволяет конфигурировать различные настройки безопасности в зависимости от окружения. Он представляет собой набор правил запрета/разрешения по входящим/исходящим соединениям от портов/хостов/приложений.
Однако наличие Firewall как таковое не сможет в полной мере обеспечить вам должный уровень защиты вашей информации. Для обеспечения должного уровня защиты и работоспособности, Firewall необходимо грамотно настроить и сконфигурировать:
1)Пуск-Панель управления - Брандмауэр Windows.
2)Нажимаем кнопку «Изменить параметры» и включаем брандмауэр (также можно поставить галочку «блокировать все входящие подключения»). Переходим на вторую вкладку «Исключения».
3) На картинке будет видно список программ и портов, которым разрешено работать через брандмауэр. Этот список доступен для редактирования администратору, можно совсем удалить запись из списка исключений, можно временно отключить, убрав галочку из чек-бокса. Для каждого исключения можно отредактировать область действия, то есть удаленные IP адреса. Но для обычной работы в сети добавлять исключений не надо. Если установлена галочка «Уведомлять, когда брандмауэр блокирует программу», Вы будете получать сообщения о попытках программ выйти в интернет и сможете принять решение – пускать или нет.
4)Переходим на вкладку «Дополнительно».
Здесь мы можем отметить галками те интерфейсы, которые надо защитить. По умолчанию брандмауэр накрывает все интерфейсы.
14. Настройка сетевого экрана Linux
В Linux встроен брандмауэр называемый Netfilter. По данным официального сайта проекта: netfilter это набор системных сообщений внутри ядра Linux, которые позволяют модулям ядра зарегистрировать функции обратного вызова с сетевого стека. Зарегистрированная функция обратного вызова обрабатывает каждый пакет проходящий через сетевой стек. Брандмауэр в Linux управляется программой iptables.
Принцип работы межсетевого экрана Iptables: Когда пакет приходит на наш межсетевой экран, то он сперва попадает на сетевое устройство, перехватывается соответствующим драйвером и далее передается в ядро. Далее пакет проходит ряд таблиц и затем передается либо локальному приложению, либо переправляется на другую машину.
В Iptables используется три вида таблиц:
Mangle - обычно эта цепочка используется для внесения изменений в заголовок пакета, например для изменения битов TOS и пр.
Nat - эта цепочка используется для трансляции сетевых адресов (Destination Network Address Translation). Source Network Address Translation выполняется позднее, в другой цепочке. Любого рода фильтрация в этой цепочке может производиться только в исключительных случаях.
Filter - здесь производится фильтрация трафика. Помните, что все входящие пакеты, адресованные нам, проходят через эту цепочку, независимо от того с какого интерфейса они поступили.
Соответственно, нас интересует третья таблица Filter. В этой таблицы имеются три встроенные цепочки:
INPUT - для входящих пакетов.
FORWARD - для проходящих через данную машину к другой.
OUTPUT - для исходящих.
Iptables можно настраивать разными способами:
с помощью webmin - web-интерфейс для настройки системы;
программой Guarddog, представляющей собой KDE-интерфейс для редактирования настроек стенки путем установки/снятия галочек;
с помощью программы, которая так и называется - Iptables.
Программа Iptables позволяет редактировать правила через терминал путем ввода команд.
Немного о написании правил:
Каждое правило -- это строка, содержащая в себе критерии, определяющие, подпадает ли пакет под заданное правило, и действие, которое необходимо выполнить в случае выполнения критерия. В общем виде правила записываются примерно так:
iptables [-t table] command [match] [target/jump]
Нигде не утверждается, что описание действия (target/jump) должно стоять последним в строке, однако, такая нотация более удобочитаемая. Как бы то ни было, но чаще всего вам будет встречаться именно такой способ записи правил.
Если в правило не включается спецификатор -t table, то по умолчанию предполагается использование таблицы filter, если же предполагается использование другой таблицы, то это требуется указать явно. Спецификатор таблицы так же можно указывать в любом месте строки правила, однако более или менее стандартом считается указание таблицы в начале правила.
Далее, непосредственно за именем таблицы, должна стоять команда. Если спецификатора таблицы нет, то команда всегда должна стоять первой. Команда определяет действие iptables, например: вставить правило, или добавить правило в конец цепочки, или удалить правило и т.п.
Раздел match задает критерии проверки, по которым определяется подпадает ли пакет под действие этого правила или нет. Здесь мы можем указать самые разные критерии - IP-адрес источника пакета или сети, IP-адрес места назначения, порт, протокол, сетевой интерфейс и т.д. Существует множество разнообразных критериев.
И наконец target указывает, какое действие должно быть выполнено при условии выполнения критериев в правиле. Здесь можно заставить ядро передать пакет в другую цепочку правил, "сбросить" пакет и забыть про него, выдать на источник сообщение об ошибке и т.п.
Iptables rules
*filter
-A INPUT -i lo -j ACCEPT
-A INPUT ! -i lo -d 127.0.0.0/8 -j REJECT
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A OUTPUT -j ACCEPT
-A INPUT -p tcp --dport 80 -j ACCEPT
-A INPUT -p tcp --dport 443 -j ACCEPT
Iptables rules[2]
-A INPUT -p tcp --dport 5000 -j ACCEPT
-A INPUT -p tcp --dport 8080 -j ACCEPT
-A INPUT -p tcp -m state --state NEW --dport 22 -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 8 -j ACCEPT
-A INPUT -m limit --limit 5/min -j LOG --log-prefix "iptables-denied: " --log-level 7
-A INPUT -j REJECT
-A FORWARD -j REJECT
COMMIT