В целом он есть
Взято из телеграмма - Инкогнито
Взято из телеграмма - Инкогнито
Очень часто обделенные интеллектом создания имеют тупость заявлять, что "сисадмины, это обслуживающий персонал, типа уборщицы", а они "нетакие", да и вообще непризнанные гении и тому подобное. Обсуждать мы конкретно это не будем, потому как спорить можно только с людьми с интеллектом, а он не у всех есть. Мы посмеёмся над "нетаким" человеком с инициалами АНМ.
Работал АНМ 7 лет на должности заместителя начальника учреждения. Был он из среды бывших военных, хвастался, что больших звёзд, но это не важно. Важно, что АНМ был "вторым после директора" и в единое лицо курировал отдельные направления деятельности. В пятницу АНМ отработал свой последний день, а сегодня утром всех (почти) ждал сюрприз. Рабочий компьютер АНМ оказался почти девственно чист, так пара бланков завалялась... Что означает для бизнеса потеря данных в компьютере заместителя начальника (или баз 1С или ...) думаю объяснять не нужно.
И именно здесь раскрывается почему администратор - не уборщица. Потому что через 30 минут, благодаря заблаговременно настроенным бэкапам данные были благополучно восстановлены.
И именно здесь раскрываются "нетакие", которые просто слишком ограниченные, чтобы видеть в админах что-то большее...
А еще получит ачивку в профиль. Рискнете?
Понадобилось как-то на работе организовать бэкап конфигов с свитчей и прочего сетевого оборудования, так чтобы делался он автоматически и с отправкой архива с конфигами на почту.
Варианты с использованием Kiwi Tools я отмел, ибо неудобно мне, решил поковырять Linux))
Остановился на простом варианте запуска по расписанию скрипта, который будет подключаться к свитчам по ssh или telnet, далее по команде копировать текущий конфиг на tftp-сервер, а оттуда уже отправлять его на почту.
Несмотря на то что есть несколько Linux-серверов, я решил взять для работы NAS WD MyCloud, который у нас используется как файловая помойка. Вот такой:
Замечателен он тем что в этой маленькой коробочке стоит неплохой процессор, Marvell Armada 375 (2x1GHz) или Mindspeed Comcerto C2200 (2x650MHz), в зависимости от ревизии, и объем ОЗУ 512MB Ram или 256 MB Ram, в зависимости от ревизии.
К примеру у нас GEN2, который имеет более быстрый процессор и больше ОЗУ.
И там внутри Linux, пусть и урезанный, но Linux. И есть в сети руководства как накатить туда полноценный Linux, например Debian, а далее что душа пожелает.
Я в свое время почитал эту тему на 4PDA и поставил туда Debian, а потом и OpenMediaVault.
Но вы можете использовать любой другой компьютер/устройство на Linux.
Суть сводится к тому что нужно доставить пару пакетов:
expect и tcl - для обработки команд свитчей, и mpak для отправки вложения на почту.
Также необходимо поставить tftp-сервер, к примеру в OpenMediaVault это делается в пару кликов.
Итак, мы их поставили, далее пишем скрипт backup_cisco.sh, с таким содержанием:
#!/bin/bash
#!/usr/bin/expect -f
expect -c 'spawn telnet 192.168.254.10;
expect "sername: "
send "admin\r"
expect "assword: "
send "P@$$W0Rd\r"
expect ">"
send "enable\r"
expect "assword: "
send "P@$$W0Rd\r"
expect "#"
send "copy running-config tftp://192.168.32.243/CME.cfg\r\r\r";
expect "#";
send "exit\r"'
expect -c 'spawn telnet 192.168.32.254;
expect "sername: ";
send "admin\r";
expect "assword: ";
send "P@$$W0Rd\r";
expect "#";
send "copy running-config tftp://192.168.32.243/Core.cfg\r\r\r";
expect "#";
send "exit\r"'
expect -c 'spawn telnet 192.168.32.3;
expect "sername: ";
send "admin\r";
expect "assword: ";
send "P@$$W0Rd\r";
expect "#";
send "copy running-config tftp://192.168.32.243/SW_2.cfg\r\r\r";
expect "#";
send "exit\r"'
expect -c 'spawn telnet 192.168.32.4;
expect "sername: ";
send "admin\r";
expect "assword: ";
send "P@$$W0Rd\r";
expect "#";
send "copy running-config tftp://192.168.32.243/SW_3.cfg\r\r\r";
expect "#";
send "exit\r"'
expect -c 'spawn telnet 192.168.32.5;
expect "sername: ";
send "admin\r";
expect "assword: ";
send "P@$$W0Rd\r";
expect "#";
send "copy running-config tftp://192.168.32.243/Cisco_4948.cfg\r\r\r";
expect "#";
send "exit\r"'
expect -c 'spawn ssh admin@192.168.254.11;
expect "assword: ";
send "P@$$W0Rd\r";
expect ">";
send "enable\r";
expect "assword:";
send "P@$$W0Rd\r";
expect "#";
send "copy running-config tftp://192.168.32.243/ASA.cfg\r\r\r\r";
expect "#";
send "exit\r"'
expect -c 'spawn ssh 192.168.3.5;
expect "ser: ";
send "admin\r";
expect "assword: ";
send "P@$$W0Rd\r";
expect ">";
send "transfer upload datatype config\r";
expect ">";
send "transfer upload serverip 192.168.32.243\r";
expect ">";
send "transfer upload filename WiFi.cfg\r";
expect ">";
send "transfer upload start\r";
expect "(y/N)";
send "y\r";
expect ">";
send "logo\r";
expect "(y/N)";
send "y\r'
sleep 4m
mv /srv/dev-disk-by-id-ata-WDC_WD30EFRX-68EUZN0_WD-WCC4N6EATLHD-part2/tftproot/*.cfg /srv/dev-disk-by-id-ata-WDC_WD30EFRX-68EUZN0_WD-WCC4N6EATLHD-part2/backups/cisco/
cd /srv/dev-disk-by-id-ata-WDC_WD30EFRX-68EUZN0_WD-WCC4N6EATLHD-part2/backups/cisco/
tar -czf backup_cisco_`date +"%m-%d-%Y"`.tar.gz /srv/dev-disk-by-id-ata-WDC_WD30EFRX-68EUZN0_WD-WCC4N6EATLHD-part2/backups/cisco/*.cfg
mpack -s "CISCO Backup WD" /srv/dev-disk-by-id-ata-WDC_WD30EFRX-68EUZN0_WD-WCC4N6EATLHD-part2/backups/cisco/backup_cisco_`date +"%m-%d-%Y"`.tar.gz admin@krg.corpname.kz
rm -rf /srv/dev-disk-by-id-ata-WDC_WD30EFRX-68EUZN0_WD-WCC4N6EATLHD-part2/backups/cisco/*.cfg
Что делает скрипт:
1. Подключается к свитчу.
expect -c 'spawn telnet 192.168.254.10;
2. Авторизуется
expect "sername: "
send "admin\r"
expect "assword: "
send "P@$$W0Rd\r"
3. Переходит в привилегированный режим
expect ">"
send "enable\r"
expect "assword: "
send "P@$$W0Rd\r"
4. Передает команду копирования текущего конфига на tftp сервер.
expect "#"
send "copy running-config tftp://192.168.32.243/CME.cfg\r\r\r";
5. Отключается от свитча и переходит к следующему.
expect "#";
send "exit\r"'
За обработку ответа от свитча в скрипте отвечает как раз тот самый expect
Все свитчи разные, поэтому команды передачи конфига тоже разные.
Последние команды:
6. Пауза в 4 минуты чтобы убедиться что все конфиги слились.
sleep 4m
7. Перемещает все файлы с расширением *.cfg в отдельный каталог.
mv /srv/dev-disk-by-id-ata-WDC_WD30EFRX-68EUZN0_WD-WCC4N6EATLHD-part2/tftproot/*.cfg /srv/dev-disk-by-id-ata-WDC_WD30EFRX-68EUZN0_WD-WCC4N6EATLHD-part2/backups/cisco/
8. Переход в каталог с скопированными конфигами.
cd /srv/dev-disk-by-id-ata-WDC_WD30EFRX-68EUZN0_WD-WCC4N6EATLHD-part2/backups/cisco/
9. Архивация всех файлов с расширением *.cfg в архив с текущей датой в имени
tar -czf backup_cisco_`date +"%m-%d-%Y"`.tar.gz /srv/dev-disk-by-id-ata-WDC_WD30EFRX-68EUZN0_WD-WCC4N6EATLHD-part2/backups/cisco/*.cfg
10. Отправка файла вложением на почту админу на admin@krg.corpname.kz
mpack -s "CISCO Backup WD" /srv/dev-disk-by-id-ata-WDC_WD30EFRX-68EUZN0_WD-WCC4N6EATLHD-part2/backups/cisco/backup_cisco_`date +"%m-%d-%Y"`.tar.gz admin@krg.corpname.kz
11. Удаляет все конфиги, очищает папку:
rm -rf /srv/dev-disk-by-id-ata-WDC_WD30EFRX-68EUZN0_WD-WCC4N6EATLHD-part2/backups/cisco/*.cfg
Далее, в веб-интерфейсе OpenMediaVault настраиваем уведомления для работы с почтой, у нас почта идет через MS Office 365:
Далее добавляем скрипт в встроенный планировщик OpenMediaVault, к примеру у меня он срабатывает в 8.00 по пятницам:
И вот результат:
Следующий пост будет про мониторинг оборудования через Zabbix с оповещением в Telegram
Привет всем!
На волне "Как нас взломали и защифровали" и других постов по ИТ-безопасности хочу просто поделиться своими простыми правилами, которые доступны всем и помогут уменьшить вероятность подобных граблей.
1. Учётка Админа только одна, и только я знаю пароль, копия с паролем в запечатанном конверте хранится у босса в сейфе (на случай, если я умру :-)).
2. Учётки пользователей блокируются при вводе пяти раз неверных паролей и меняются каждый месяц.
3. Порт роутера, через который подключен сервер к Интернету, поменял на хитрый 4-х значный.
4. RDP-порт сервера поменял на хитрый 4-х значный.
5. Правило проброса (например, на Зикселях имеется простой интерфейс) RDP-порта на роутере работает по расписанию, т. е. по необходимости когда пользователям надо удалённо работать, например, в рабочее время они все на работе, а вечером с 19-00 до 22-00 могут поработать удаленно.
6. Самое ценное, это конечно, базы 1с, бекапы, которых делаются не только на другой комп в локальной сети, но и на флешку, у которой есть ответственное лицо: каждый день после архивации меняет с флешкой местами, которая лежит в не сгораемом сейфе в Организации.
7. Еще совсем недавно настроил Гугл.Диск, архивный бекап шифруется (например, PGP) и сливается на него.
P/S. За истину не претендую.
Всем добра, смышленых юзеров, адекватного начальства и отличного пинга!
Всем привет, недавно устроился (2 месяца) на работу сисадмином в одну контору, она имеет 2 подразделения, одно в пригороде.
Сегодня звонят из пригорода, к серваку с удалённым доступом где крутится 1С с базой не могут подключиться пользователи. Попросил их перезагрузить сервер, не помогло. Пришлось ехать самому, думал может сетевой кабель отошёл или ещё что-нибудь на 5 минут работы.
Но, по приезду понял что нас взломали, и зашифровали все диски на 2х серверах. На рабочий ящик пришло письмо
Начал искать возможности восстановить данные самому, но облазив кучу сайтов стало понятно, что ничего не поможет. В некоторых случаях помогает R-Studio, но у нас зашифрован весь диск, а не заголовок.
Пытался восстановить: лайвUSB от каспера и др.веба (который чудесным образом увидел убитый винт, который вылетел год назад, и там были бэкапы, я по началу обрадовался, но увы..), вышесказанный R-Studio, который "видел" файлы с непонятными расширениями, но ни одного нормально.
И... мы решили платить. Надежды никакой не было, но и восстанавливать базу 1С было бы ОЧЕНЬ геморно.
Написав по указанному адресу, в ответе была указана сумма в 150 т.р. Потом сторговались до 90 т.р. и совладелец поехал платить на киви счёт. В полицию тоже решили не обращаться, не хотело начальство из-за своих соображений. К слову сказать пароли выслали, пароли подошли, и предложили слить того кто слил нас и как.
А теперь о том, как такое произошло.
Ещё до меня решили удалённый доступ (RDP) сделать открытым во вне, для пользователей, не удаляли уволенных. Стоял Каспер Эндпоинт Сесурити 10, в логах которого потом обнаружился Брутфорс РДП.
Дальше, как я понял, был подобран один из паролей пользователя (у некоторых как оказалось он был 12345), запустили вирус для полного доступа, каспер не спас, и установили шифровальщик DiskCryptor, прога легальная и с открытым кодом. Ну а дальше зашифровали все диски.
Мораль тут есть))): Храните бэкапы в труднодоступных местах, которые не видно если подключиться к серверу.
Взять с собой побольше вкусняшек, запасное колесо и знак аварийной остановки. А что сделать еще — посмотрите в нашем чек-листе. Бонусом — маршруты для отдыха, которые можно проехать даже в плохую погоду.