По вашему запросу ничего не найдено :(
Убедитесь, что запрос написан правильно, или посмотрите другие
наши статьи:
В этой статье мы рассмотрим некоторые протоколы, такие как NTP, syslog и SNMP. Все они используются для мониторинга "работоспособности" вашей сети. При правильной настройке они могут быть очень полезны...если они не работают, может быть действительно трудно выяснить, когда в сети произошло определенное событие и что его вызвало. Syslog и SNMP используются для мониторинга сети, NTP используется для обеспечения того, чтобы наша регистрационная информация имела правильное время и дату.
Мы начнем с NTP - это не очень сложный протокол, но есть несколько вещей, которые могут пойти не так:
Фильтрация трафика NTP: списки доступа могут блокировать трафик NTP.
Проблемы аутентификации NTP: NTP поддерживает аутентификацию, клиент и сервер должны использовать одинаковые настройки.
Слишком большое временное смещение: если временное смещение между клиентом и сервером слишком велико, для синхронизации потребуется очень много времени.
Stratum level слишком высокий: Stratum level составляет от 1 (лучший) до 15 (худший). Stratum level 16 считается непригодным.
Фильтр источника NTP-сервера: NTP-серверы можно настроить так, чтобы разрешать только клиентам с определенных IP-адресов.
Давайте разберем эти вопросы. Мы будем использовать два маршрутизатора для этого:
Урок 1
R1 будет нашим NTP-клиентом, а R2 будет NTP-сервером. Есть две полезные команды, с которых мы должны начать:
Команды говорят нам, что R1 имеет адрес 192.168.12.2, настроенный как сервер NTP, и в настоящее время он не синхронизирован. Давайте проверим, получает ли R1 пакеты NTP, это лучше всего сделать с помощью отладки:
Эта отладка говорит нам, что R1 отправляет NTP-пакеты, но мы ничего не получаем от NTP-сервера. Убедитесь, что NTP-сервер разрешен для прохождения:
R1 использует UDP-порт 123, убедитесь, что он не заблокирован:
R1(config)#interface FastEthernet 0/0
R1(config-if)#no ip access-group NO_TIME in
После удаления списка доступа, NTP сможет использовать пакеты NTP с сервера:
Вот конечный результат:
Часы теперь синхронизированы. Другая проблема, которую вы можете обнаружить с помощью debugging NTP, - это несоответствие аутентификации:
R1(config)#ntp server 192.168.12.2 key 1
R1(config)#ntp authentication-key 1 md5 MY_KEY
Мы настроим R1 так, чтобы он принимал только NTP-пакеты от NTP-сервера, которые аутентифицированы с определенным ключом. Сервер NTP, однако, не использует никакой формы аутентификации. Мы можем найти эту ошибку с помощью следующей отладки:
Это расскажет нам о:
Убедитесь, что ваши настройки аутентификации NTP совпадают с обеих сторон. Когда разница во времени / дате между сервером NTP и клиентом велика, синхронизация займет много времени. Прямо сейчас часы выглядят так:
Установка часов на NTP-клиенте на что-то близкое к NTP-серверу значительно ускорит процесс синхронизации:
R1#clock set 18:00:00 30 January 2015
Через несколько минут часы на клиенте NTP должны быть синхронизированы.
Еще одна проблема с NTP заключается в том, что stratum level ограничен, мы можем использовать значения от 1 (лучший) до 15 (худший). Если у сервера NTP есть stratum level 15, то клиент NTP не сможет синхронизировать, так как 16 считается недостижимым.
Отладка пакетов NTP на клиенте покажет это:
R1 никогда не сможет синхронизировать себя, поскольку NTP-сервер объявляет себя как stratum -уровень 15. Вы можете исправить это, установив более низкое значение stratum - уровня NTP на своем NTP-сервере:
R2(config)#ntp master 2
Мы изменяем его на значение 2 уровня. Это позволяет R1 синхронизировать себя:
И последнее, но не менее важное: NTP-серверы могут быть настроены так, чтобы разрешать NTP-клиентам только с определенных IP-адресов:
Например, мы настрою его, чтобы разрешить только IP-адрес 1.1.1.1:
R2(config)#ntp access-group serve 1
R2(config)#access-list 1 permit 1.1.1.1
R2(config)#ip route 1.1.1.1 255.255.255.255 192.168.12.1
В этом случае нам нужно убедиться, что NTP-клиент получает свои NTP-пакеты с правильного IP-адреса:
R1(config)#interface loopback 0
R1(config-if)#ip address 1.1.1.1 255.255.255.255
R1(config)#ntp source loopback0
Команда NTP source скажет R1 использовать IP-адрес 1.1.1.1 из своего loopback интерфейса в качестве источника своих пакетов NTP.
Это самые распространенные ошибки NTP.
Урок 2
Давайте продолжим, посмотрев на syslog.
Наиболее распространенная проблема с системным журналом - это отсутствие информации о регистрации. По умолчанию ведение журнала включено только для консоли, а не для внешних серверов системного журнала.
Есть одна команда, которую вы можете использовать для проверки ее конфигурации:
Это говорит нам, что системный журнал включен для консоли вплоть до уровня отладки. Если вы не видите всего на консоли, то кто-то, возможно, изменил уровень ведения журнала на более низкое значение. Вот варианты:
Уровень отладки - самое высокое значение (7), поэтому он покажет все сообщения системного журнала. Если вы не видите все сообщения, убедитесь, что они установлены на уровне отладки для консоли.
По умолчанию информация системного журнала не отправляется на внешний сервер. Вы должны это настроить самостоятельно:
R1(config)#logging host 192.168.12.2
Это приведет к отправке регистрационной информации для всех уровней серьезности на внешний сервер по адресу 192.168.12.2. Убедитесь, что этот трафик не заблокирован, syslog использует UDP-порт 514.
Другая распространенная ошибка - сообщения системного журнала не отображаются в сеансах telnet или SSH. Вы можете включить это с помощью команды terminal monitor.
Урок 3
Следующий протокол, который мы обсудим, - это SNMP версии 2c и 3. Перед тем, как погрузиться в конфигурацию SNMP, убедитесь, что ваш NMS (сервер сетевого управления) может связаться с вашим устройством (агент SNMP). SNMP использует UDP-порт 161 для сообщений и UDP-порт 162 для прерываний и информирования. Убедитесь, что этот трафик разрешен.
Когда дело доходит до SNMPv2c, есть несколько общих проблем:
Неправильная community-string: community-string похожа на пароль, который используется для того, чтобы NMS могла читать или записывать данные на сетевое устройство. Если он не совпадает, SNMP не будет работать.
Ошибки списка доступа: списки доступа могут определять, какой NMS разрешено использовать community-string. Убедитесь, что вы используете правильный IP-адрес.
Перемешивание индексов: при добавлении новых интерфейсов к сетевому устройству номера интерфейсов могут больше не совпадать.
Ловушки не отправлены: если вы хотите отправить SNMP-ловушки (или сообщения), то вам нужно будет настроить это, это не делается автоматически.
Вот соответствующие команды SNMPv2c, которые вы должны проверить в случае, если SNMP не работает:
R1(config)#snmp-server community MY_COMMUNITY ro 1
R1(config)#access-list 1 permit host 192.168.1.1
Выше мы настроили сообщество под названием MY_COMMUNITY с доступом только для чтения. Мы используем access-list 1, чтобы определить, какому устройству разрешено использовать это сообщество. Убедитесь, что в списке доступа указаны правильные операторы разрешений. Следующая команда гарантирует, что индекс интерфейса остается прежним:
R1(config)#snmp-server ifindex persist
И если вы хотите отправлять SNMP-ловушки, настройте его следующим образом:
R1(config)#snmp-server enable traps eigrp
R1(config)#snmp-server host 192.168.1.1 traps version 2c MY_COMMUNITY
Это активирует ловушки SNMP для EIGRP и будет отправлено в NMS на IP-адрес 192.168.1.1 с использованием сообщества "MY_COMMUNITY". Если вы не укажете, какие ловушки вы хотите, он включит все ловушки.
SNMPv3 сильно отличается от версии 2, в безопасность и аутентификацию внесено много изменений. При поиске и устранении неисправностей SNMPv3 необходимо учитывать несколько моментов, связанных с SNMPv3:
Вложенность: с помощью SNMPv3 мы создаем пользователей, которые вложены в группы. Группы вложены в представления, которые предоставляют доступ к определенным MIBs на сетевом устройстве. Убедитесь, что ваш пользователь находится в правильной группе и что представление имеет правильные разрешения на просмотр.
Уровень безопасности: SNMPv3 поддерживает разные уровни безопасности, они должны совпадать на сетевом устройстве и NMS:
noAuthNoPriv
authNoPriv
authPriv
Параметры безопасности: SNMPv3 предлагает несколько алгоритмов хеширования и шифрования. Убедитесь, что вы настроили одинаковые алгоритмы на сетевом устройстве и NMS.
Конфигурация представлений: в представлении мы настраиваем объекты, к которым NMS разрешен доступ, убедитесь, что вы настроили правильные объекты.
Ниже приеден пример конфигурации того, что мы обсуждали:
Router(config)#snmp-server user MY_USER MY_GROUP v3 auth md5 MY_PASSWORD
priv aes 128 MY_PASSWORD
Сначала мы настраиваем пользователя с именем MY_USER, который принадлежит группе с именем MY_GROUP. Мы используем версию 3 SNMP. Для аутентификации этого пользователя мы используем MD5 и пароль "MY_PASSWORD". Для шифрования мы используем 128-битный AES и тот же пароль. Убедитесь, что на сетевом устройстве и NMS все одинаково ...
Теперь мы настраиваем группу:
Router(config)#snmp-server group MY_GROUP v3 priv read MY_VIEW access 1
Router(config)#access-list 1 permit host 192.168.1.1
Группа называется MY_GROUP, и мы используем уровень безопасности authPriv. Мы также присоединяем группу к представлению под названием MY_VIEW. Мы также используем список доступа, только NMS, использующая IP-адрес 192.168.1.1, может использовать эту группу. Давайте настроим view:
Router(config)#snmp-server view MY_VIEW system included
Router(config)#snmp-server view MY_VIEW cisco included
Это представление позволяет NMS получать доступ только к объектам в системной группе MIB-II и ко всем объектам в корпоративной MIB Cisco. Убедитесь, что вы добавили все объекты, к которым вам нужен доступ.
Информация о пользователе не отображается в конфигурации, если вы хотите увидеть пользователей, вам нужно использовать другую команду:
Эта команда показывает нам нашу учетную запись пользователя, ее алгоритмы аутентификации и шифрования и сообщает, к какой группе она принадлежит.
Облачное хранилище позволяет хранить ваши данные на чужом жестком диске в дата-центрах по всему миру. Вам не нужно беспокоиться о потере ваших данных, и вы можете получить к ним доступ из любого места.
И, хотите верьте, хотите нет, но многие из этих сервисов имеют довольно щедрые бесплатные предложения. Так что стоит учитывать, что базовое бесплатное хранилище можно бесплатно ненамного увеличить, путем выполнения различных условий от хранилища – например, можно получить дополнительное место за реферальные ссылки, пост соцсетях или что-то в этом роде.
В этой статье мы расскажем о главных поставщиках облачных хранилищ, чтобы вы могли решить, какие из них вы хотите использовать.
Для чего нужно облачное хранилище?
Вот наиболее распространенные варианты использования:
Расширение вашего локального хранилища
У вас может быть ноутбук или телефон с ограниченным объемом памяти. Конечно можно установить дополнительный жесткий диск SSD или SD-карту, но это может быть дорого. Кроме того, некоторые устройства не имеют дополнительного слота для жесткого диска.
Резервное копирование ваших данных
Большинство поставщиков облачных хранилищ устойчивы к потере данных. Когда вы загружаете данные в облако, поставщик хранит копии ваших данных до шести раз на шести разных жестких дисках в отдельных изолированных центрах обработки данных.
С вашей точки зрения, будет казаться, что существует только один файл, но эти копии существуют. Эта облачная стратегия избыточных копий называется высокой доступностью и гарантирует возможность восстановления данных в случае виртуальных или физических катастроф. Так что, если у вас есть ценные фотографии, которые вы не хотите потерять, облако - лучшее место для них.
Совместное использование и сотрудничество
Облачное хранилище позволяет вам обмениваться файлами по вашему выбору с друзьями и коллегами. При обмене файлами по электронной почте, вы ограничены около 20 МБ на электронную почту. Облачное хранилище позволяет вам делиться терабайтами по размеру.
Защита ваших данных
Когда вы загружаете ваши данные в облачное хранилище, они шифруют ваши данные при сбросе. Некоторые провайдеры позволяют вам защитить паролем, требуют ключ шифрования или применяют многофакторную аутентификацию, требующую дополнительного шага проверки для получения доступа.
Бесплатные облачные хранилища
Существует множество провайдеров облачных хранилищ, и большинство из них имеют бесплатный уровень в несколько гигабайт. Используя различные облачные провайдеры, вы можете получить терабайты бесплатного хранилища.
Мы разделили бесплатные облачные хранилища на две категории: одни для обычного потребителя и дополнительные опции для разработчиков.
Бесплатное удобное облачное хранилище для обычных пользователей
Dropbox - 2 ГБ
Dropbox - один из старейших и самых популярных поставщиков облачных хранилищ для широкого потребителя. Dropbox имеет простой интерфейс, и синхронизация файлов с вашим локальным компьютером - это без проблем. Базовый бесплатный аккаунт предоставляет вам 2 гигабайта облачного хранилища. Также, возможно, вам будет интересно узнать, что в Dropbox используется AWS S3(Amazon Simple Storage Service).
Amazon Drive - 5 ГБ с основной подпиской
Amazon более известна своим хранилищем для разработчиков AWS S3, чем Amazon Drive, однако у нее предложение для обычных пользователей. Если вы хотите получить бесплатные 5 ГБ, вам необходимо приобрести подписку Amazon Prime.
OneDrive - 5 ГБ
Если вы работаете в Windows 10, то у вас уже есть предустановленный OneDrive, что имеет смысл, поскольку OneDrive является службой облачного хранения Microsoft. Базовый аккаунт дает вам 5 гигабайт облачного хранилища.
Google Drive - 15 ГБ
Если у вас есть Gmail или телефон или планшет на Android, то вы в одном клике от доступа к Google Диску. По умолчанию вы получаете 15 гигабайт облачного хранилища. У него отличные тарифы, а интерфейс очень прост в использовании.
iCloud - 5 ГБ
Если вы используете Mac или iPhone или iPad, то при настройке учетной записи Apple вас спросили, хотите ли вы использовать iCloud. Кстати, вам не нужно владеть продуктами Apple, чтобы воспользоваться преимуществами хранилища iCloud. Базовый аккаунт дает 5 бесплатных гигабайт.
Box - 10 ГБ
Однажды Box был так же популярен, как Dropbox, особенно когда предлагал новым пользователям 100 гигабайт бесплатно. Но в какой-то момент Box изменил свою направленность, добавив несколько функций, подходящих для профессиональных отраслей. Но них по-прежнему есть индивидуальный аккаунт, который дает 10 гигабайт хранилища.
Яндекс.Диск – 10 ГБ
Яндекс.Диск - это облачный сервис, принадлежащий компании Яндекс, позволяющий пользователям хранить пользователям бесплатно 10 гигабайт.
Облако Mail.ru – 8 ГБ
Облако Mail.ru - облачное хранилище данных компании Mail.ru Group, предоставляющее 8 гигабайт бесплатного места всем пользователям при регистрации.
Бесплатное облачное хранилище для разработчиков
Эти облачные решения для хранения предназначены для разработчиков, создающих веб-приложения и мобильные приложения. Чтобы получить доступ к этим облачным хранилищам, вам необходимо предоставить кредитную карту, которая может взимать плату за проверку.
Эти тарифы не предусматривают жестких ограничений, то есть, если вы внезапно выйдете за пределы бесплатного уровня, с вас будет спишется плата. Поэтому требуется тщательный мониторинг, чтобы избежать больших счетов.
Amazon S3 - 5 ГБ
Amazon создала дочернюю компанию под названием AWS (Amazon Web Services), и они предлагают более 175 услуг, среди которых S3. В настоящее время AWS является самым популярным провайдером среди технических стартапов. S3, если вам интересно, расшифровывается как Simple Storage Service. Amazon S3 дает бесплатно 5 гигабайт.
AWS предлагает более 200 облачных сервисов. Когда вы запускаете облачную службу, вы получаете полную инфраструктуру, специально настроенную для конкретной цели - базу данных, диспетчер очереди сообщений, службу контейнеризации. Из числа облачных провайдеров, представленных на рынке, AWS предлагает самый большой выбор услуг. AWS имеет 66 зон доступности, которые обеспечивают глобальное присутствие и обеспечивают 99,99% доступности в любое время и в любом месте. Зоны доступности гарантируют достаточную избыточность и устойчивость, чтобы противостоять возможным сбоям и поддерживать бесперебойное обслуживание.
Google Cloud Storage – 5 ГБ
У Google есть Google Drive для обычно потребителя и Google Cloud Storage для разработчиков. В отличие от Google Drive, где вы получаете 15 ГБ бесплатно с Google Cloud Storage, вы получаете только 5 ГБ.
Разработка GCP опирается на высокие технологии, такие как ИИ и машинное обучение, анализ данных и другие передовые технологии. GCP предоставляет полную среду для создания AI, ML и других подобных продуктов. Живая миграция выделяет GCP, поскольку другие облачные провайдеры не предлагают такой функции. В GCP вы можете перенести виртуальную машину на другой хост без остановки и перезагрузки. Таким образом, ваша служба будет работать непрерывно, даже если требуются какие-либо обновления.
Azure Blob Storage – 5 ГБ
Azure - компания облачных сервисов Microsoft. Вы можете быть удивлены, почему он называется Blob Storage. Blob означает большой двоичный объект и представляет собой набор двоичных данных, хранящихся в базе данных как один объект.
В Azure вы можете запустить рабочий стол Windows с остальными вашими любимыми продуктами Microsoft - Windows Server, Office и другими. Microsoft Azure очень хорошо подходит для создания масштабируемых и безопасных гибридных облаков. Гибридное облако сочетает в себе функции общедоступного облака и частного облака, легко интегрируя внутреннюю инфраструктуру с общедоступными ресурсами.
Object Storage Service (Alibaba Cloud) - 5 ГБ
Alibaba – азиатский Amazon, и у Alibaba также есть собственная компания облачных сервисов под названием Alibaba Cloud. Их предложение находится на одном уровне со всеми облачными хранилищами. Но, возможно, в ближайшие годы они станут более известными, поскольку будут продолжать добавлять больше дата-центров по всему миру.
Поставщик уделяет большое внимание обслуживанию предприятий и малого и среднего бизнеса в Китае, что делает его предпочтительным выбором для компаний или филиалов, расположенных в Китае и азиатском регионе.
Несмотря на то, что список облачных сервисов Alibaba далеко не похож на список сервисов AWS, он быстро пополняется десятками доступных продуктов и не только. Кроме того, Alibaba активно инвестирует в разработку передовых облачных инструментов и платформ, таких как AI, машинное обучение и большие данные.
Сразу перейду к делу. Пользователями FreePBX 14 замечен крайне серьёзный баг в утилите fail2ban.
Версия fail2ban, на которой замечен баг - 0.8.14-11 и ниже. Проверить можно командой rpm -qa | grep fail2ban:
fail2ban-fpbx-0.8.14-11.sng7.noarch
Данный баг заключается в том, что после установки чистой FreePBX Distro 14 сервис fail2ban хоть и в активном статусе, однако никаких “тюрем" (jails) он не подгружает и их количество = 0.
Проверить можно командой fail2ban-client status, если Ваш сервер подвержен багу, то Вы увидите:
[root@merionlab]# fail2ban-client status
Status
|- Number of jail: 0
`- Jail list:
Это значит, что например, максимальное число попыток ввода пароля для доступа к вэб-интерфейсу FreePBX или попыток регистрации SIP-клиента с неверным паролем - не ограничено, а IP-адрес, с которого приходят эти запросы не блокируется. Естественно, что модуль Intrusion Detection во FreePBX также не будет работать.
"Тюрьмы" или jails - это такие секции в файле /etc/fail2ban/jail.local, в которых указано, логи какого сервиса необходимо мониторить, чтобы выявлять и блокировать несанкционированные попытки доступа к этому сервису, а также такие параметры как время блокировки, максимальное число попыток и действие, которое необходимо предпринять в случае выявления.
Например, вот секция [asterisk-iptables]:
[asterisk-iptables]
enabled = true
filter = asterisk-security
action = iptables-allports[name=SIP, protocol=all]
sendmail[name=SIP, dest=none@yourpbx.com, sender=none@yourpbx.com]
logpath = /var/log/asterisk/fail2ban
maxretry = 5
bantime = 1800
В ней указано, что нужно мониторить лог /var/log/asterisk/fail2ban, искать в нём 5 попыток неуспешной регистрации (например SIP телефон пытается зарегистрироваться с неверным паролем) и банить IP-адрес на 30 минут. Ну и ещё можно отправку по email настроить о данном факте.
По умолчанию, в файле /etc/fail2ban/jail.local должно быть 7 таких секций - [apache-tcpwrapper], [recidive], [ssh-iptables], [apache-badbots], [pbx-gui], [asterisk-iptables], [vsftpd-iptables]. В каждой указан путь к логам соответствующего сервиса.
Решение
Итак, есть два решения данной проблемы. Первое – остановить сервис fail2ban командой systemctl stop fail2ban и внести следующие изменения в файл /usr/lib/systemd/system/fail2ban.service:
[Unit]
Description=Fail2Ban Service
After=httpd.service
[Service]
Type=forking
ExecStartPre=/bin/mkdir -p /var/run/fail2ban
ExecStart=/usr/bin/fail2ban-client -x start
ExecStop=/usr/bin/fail2ban-client stop
ExecReload=/usr/bin/fail2ban-client reload
PIDFile=/var/run/fail2ban/fail2ban.pid
Restart=always
[Install]
WantedBy=default.target
Затем запустить сервсис fail2ban командой systemctl start fail2ban и сделать так, чтобы сервис включался после ребута автоматически systemctl enable fail2ban.
И вторая – обновить сам fail2ban. Для этого вводим следующие команды:
yum install sangoma-devel
yum update
Проверяем версию fail2ban после обновления - rpm -qa | grep fail2ban:
fail2ban-fpbx-0.8.14-75.sng7.noarch
После данных действий, команда fail2ban-client status должна отобразить верное количество jails и fail2ban с Intrusion Detection должны вновь встать на стражу Вашего сервера:
[root@merionlab]# fail2ban-client status
Status
|- Number of jail: 7
`- Jail list: apache-tcpwrapper, recidive, ssh-iptables, apache-badbots, pbx-gui, asterisk-iptables, vsftpd-iptables
Чтобы случайно не заблокировать свой адрес и игнорировать любые неуспешные попытки доступа к серверу с адресов, находящихся в локальной сети или других доверенных адресов, внесите их или всю доверенную подсеть в секцию [DEFAULT] в поле ignoreip в том же файле /etc/fail2ban/jail.local