Информационные технологии, решения, внедрение, проектирование, безопасность.

Подлинник на sys-admin.blog.ru /мой.

Добрый день мой читатель ты посетил мой блог, уже приятно. Итак думаю начну по порядку.

Т. З. Создать защищённый файл сервер для нужд отдельных подразделений предприятия с возможностью авторизации и правами. Обеспечить сохранность и безопасность данных используя устойчивую ОС. Настроить резервное копирование.

Задача одна не из легких, для выполнения нужно первым делом разбить ТЗ на некоторые подзадачи и дальше по плану его выполнять.

1. Выбор конфигурации мат. части (железо для серва)
2. Выбор ОС для реализации.
3. Установка и настройка.
4. Тестовая перезагрузка и время работы.
5. Финальный прогон и завершение тз.
6. Отчёт.

Выбор железа.

Итак. Проанализировав некоторые предложения и бюджет проекта можно для себя сделать пометки. Информация которая будет храниться и использоваться на данном файл-сервере в основном текстовая, макеты, картинки, сканы, и софт для меня. То есть нам не нужно придумывать и тратиться на корзину на 16 слотов с САС винтами, а нам лишь необходимо два относительно недорогих SATA2 винта. Для этого я взял WD7200 на 750 Gb каждый, итого 2. Конечно для устоичивости их бы в RAID, но не буду забегать вперёд.

Блок питания и остальное железо ниже в таблице. Так же указана стоимость на 21.10.2009
Блок питания ATX 350W — 650
Мат/плата sAM2 nf630 — 1364
процессор s-AM2 Amd sepron 2800 — 1000
ОЗУ DDR2 2GB PC6400 — 1430
Корпус и куллер по вкусу.
итого 4930 руб.
+ Винты по 2300 каждый итого к бюджет 9600 руб на 21.10.2009
Почему взял процессор AMD не Intel, из соображений только лишь стоимости, по характеристикам и производительности первый уступает, но у меня не те задачи чтобы делать упор на проц. Насчёт ОЗУ в моём случае я бы посоветовал две планки по 1Гб так же из той же серии. По причине устойчивой работы, к примеру, одна из них выходит из строя серв продолжает работать независимо от этого. В моём случаем не было две по 1Гб, но я их уже заказал и жду.

Выбор операционной системы

Тут думаю все начнут кричать и холиварить насчёт оных. Тем более мне как специалисту по защите информации не безразличен мой проект, и я основываясь на критерии сделал выбор в пользу FreeNAS (http://freenas.org/). Почему, критерии: целостотность, доступность, безопасность. Из целостности — решение умещается на USB носитель и по возможности прячется в корпус системного блока, соответственно блок опечатывается. Доступность — человек (который имеет доступ) может восстановить систему, или дописать в неё некоторые настройки, применив web-интерфейс. Безопасность — применив различные уровни защиты встроенные в данном дистрибутиве, а именно FireWall, авторизация по паролю в WebGUI, и физический доступ к самой консоли, мы получаем довольно пластичное решение удовлетворяющее нашим требованиям. Да и кстати авторизация и доступ к файлам на доменном уровне (пользователя, групп).

Версия FreeNAS 0.69.2 Muad'Dib (revision 4700) Cборка от Thu Jun 11 00:06:51 UTC 2009.
Единственная версия которую я заставил нормально работать и срастил с AD. Под нормальной работой я понимаю различные внутренние интеграции как в сам дистрибутив, так и внешние в целом. Функции которыми обладает данный дистрибутив можно посмотреть в поисковиках я лишь приведу некоторые. Сразу же дам ответ на интересующий вопрос, почему не более поздние или ранние. Я испробовал все возможные способы интеграции с AD, а так же авторизацию с последней. Седьмая версия напичкана многими бесполезными модулями, а если лишний раз нагружать систему всяким хламом, путного ничего из этого не выйдет.

Итак функции которые мне понадобились:
SSH — для удалённого администрирования.
SMB — сам файл сервер для хранения.
FTP — для удалённого бэкапа.
Firewall — контроль и блокирование внешних ресурсов.
Rsync — для бэкапа файлов инкрементально + утилита для пользователей WinX

При выборе дистрибутива и железа убедительная просьба заглянуть по ссылке
http://freenas.org/freenas_users_hardware ;— список совместимости дистрибутива.

Установка и настройка.

Приступим наверно к самому интересному разделу. Итак для установки нам понадобится дистрибутив FreeNas (http://freenas.org/) версии 0.69.2 желательно img образ для дальнейшего импортирования на флэш диск. Конечно можно прибегнуть к различным конфигурациям и манипуляциям установки, к примеру: скачав образ в формате ISO записать на диск и в дальнейшем использовать схему — CD Flash для записей конфига, либо CD 3HDD (где 3й диск малого объёма) и установку произвести на физический диск. Но я выбрал другую конфигурацию.

Описывать как установить FreeNAS я не буду, поделюсь ссылками.

1. Установка FreeNAS на флэшку — http://freenaswiki.ru/doku.php/ustanovka_na_usb-nakopitel
2. Установка FreeNAS на HDD http://www.thg.ru/network/freenas/freenas-01.html

Для всех есть полное описание всех функций и установок FreeNAS http://freenaswiki.ru/doku.php/versija_0,686

По данным ссылкам есть полное руководство как устанавливать, я его полностью придерживался, исключая некоторые внутренние настройки типа FTP/SMART/SMB, именно о них я и расскажу более подробно.

SMB ввод в AD и обратно.

Для ввода в домен вам понадобится права администратора домена. Далее немного пошаманить с самими настройками домена. Что именно расскажу дальше по статье.

Итак идём в меню CIFS/SMB начинаем настройку файловой области нашего сервера.
Аутентификация ставим — Домен
Netbios имя — по вкуссу
Рабочая группа* - имя домена
Кодовая страница DOS — CF850
Локальный основной…. — нет
Сервер времени — нет
WINS — поле пустое


Вторая часть данной настроки ниже


Далее, идем по меню в раздел дополнительно — файловый менеджер и запускаем.
Теперь нужно будет дописать для наших общих ресурсов дирекотории в которые в дальнейшем будут писаться файлы.
Путь для создания директорий mnt >имя образа(смонтированного массива) >…
Сдесь можете создавать кучу директорий, не забывайте выдавать права 777 для всех директорий, позднее объесню почему.

Теперь следующее переходим обратно в раздел CIFS/SMB закладка «Общие ресурсы».
Создаём общий ресурс дописывая путь к той директории которую создали выше с некоторыми настройками.

Далее в поле дополнительные настройки обязательно указываем параметры для smb. Какие именно я заведомо указывать не буду хотя очень хочеться поделиться ноу-хау. Думаю для админов не составит труда понять о чём я говорю. Для домашних же пользователей есть статьи с более простым описанием поднятия помойки.

Дальше идем в раздел Доступ-Служба коталогов AD
И прописываем все данные, но обязательно поле Доменное имя пишите адрес контроллера домена.

Итак машина уже в домене и есть авторизация через AD. Далее разбиваем таким же образом директории и создаём правила для оных. Руководствуясь группами и пользователями.

Другие службы думаю более подробного описания не нуждаются укажу лишь следующее, при создании бэкапа обязательно создайте отдельного пользователя и выдайте ему права, именно на данный сервис, только тогда у вас получиться удалённо записывать данные.

Затянул немного с продолжением. Сори работы очень много, сейчас надо еще сеть всю перестроить.

Тестовая перезагрузка и время работы.

Финальным доказательством и тестом покажу несколько тематических скринов. Так сказать пруф:

 
На рисунке «красным квадратом» помечено, далее сверху вниз, ОС FreeBSD, время непрерывной работы, и дисковый массив который в данный момент уже забит на половину.

Теперь скрин с AD.
 

Так же описываю маркеры: Вкладка домен, успешная авторизация в домене (я специально затёр имя домена), пользователи которых он подхватил; и это далеко не конец списка.

И теперь самое думаю интересное


Как вы видете есть определённая директория, в которой в меню безопасность присутствует как пользователи домена, так и пользователи Unix. Пользователи домена при создании папки в праве раздавать права сами на директорию, это уже зависит от первоначальных настроек SMB модуля.

* Интересное замечание, почему так мало скринов, видео покажи с авторизацией, не могу ребят, я признаюсь честно, не умею видео писать с экрана, хотя Fraps должен помочь. Думаю стоит просто поверить наслово и копать в направлении реализации.