当我要更改远程服务器的网络配置时,我正在考虑一些安全机制来防止我意外失去对服务器的控制。
我使用的 0 级保护是预定的系统重启:
# at now+x minutes
> reboot
> ctrl+D
其中 x 是重启前的延迟。
虽然这对于非常简单的任务(例如使用 iptables)非常有效,但这种方法至少有两个缺点:
你们在使用第二点的工具吗?如果我无法在重新启动后 X 分钟加入服务器,我希望能够将系统配置恢复到以前已知的稳定状态。
谢谢!
编辑:
该服务器是一个远程 Linux 服务器,具有类似 Debian 或类似 RHEL 的发行版。
我只能访问防火墙后面的这个特定服务器。除端口 22 (ssh) 外,所有端口都被过滤。所以没有 KVM 切换器,没有 iDRAC 等。
如果发生严重故障,我可以在这台机器上获得本地支持,但这需要太多时间:开车需要三个小时。我更愿意把这段时间花在 serverfault 上或开发我自己的工具以避免去那里。
我的实际计划:开发一些基于 mercurial 或 git 的丑陋工具,并在 cron 中调用“hg revert;reboot”。我只是想知道是否已经存在一些经过良好测试的工具。
networking remote-access configuration-management best-practices
我的职责是管理一个由 4 名系统管理员组成的团队。他们管理着 70 多台服务器。他们还没有书面流程/程序/实践。我不太了解系统管理。我们是否可以遵循标准来规范我们的工作或选择最佳实践?
我们正在努力从 Novell 迁移到 Active Directory。在过渡期间,我们将根据当前标准评估我们的驱动器映射,看看我们所做的是否仍然适合、与最佳实践保持一致、简化资源管理等。目前,我们有 11 个不同的映射的驱动器映射。在我看来,这对于最终用户来说似乎太多了,而且相当混乱。这些驱动器映射似乎也与组织中存在的一些旧约定有关,这些约定最终类似于以下内容:
对于我们组织内的最终用户和 IT 用户来说,这是一个非常令人困惑的结构。我想询问行业最佳实践以及其他人如何设计他们的驱动器映射。应该注意哪些事项?您如何补偿或控制这些项目?从管理和维护的角度应该考虑哪些事情?
我们的客户端将是 Windows XP、Windows Server 2003、Windows 7 Pro 和 Windows Server 2008。稍后我们还希望将 Linux 和 Macintosh OS X(10.6 或更高版本)客户端合并到我们的驱动器映射中。
您可以提供的任何帮助、想法、资源或链接将不胜感激。
我已经发布了一些这样的“最佳实践”问题。
问题说明了一切。当前的做法是为每个用户/计算机组合映射驱动器并在计算机上安装打印机。我想使用 GPO 自动化这个过程。
小型网络(80个用户),11个部门,95%的用户每天登录同一台PC,没有理由不这样做。一些用户在多个部门工作,还有一些浮动的笔记本电脑,每个人都用于不同的目的。这是我的想法:
根据用户映射驱动器。这将防止某些用户可以访问而其他用户无法访问的敏感数据。基于计算机的地图打印机。这将确保打印机分配既合乎逻辑又最接近。
对我来说,这似乎是显而易见的答案。这是标准并被认为是最佳实践吗?我是不是在看什么东西?
CentOS 5.5 MySQL 5.5 通过 yum 存储库安装
[错误] 无法使用 /var/log/mysqld.slow.log 进行日志记录(错误 13)。在 MySQL 服务器进程的整个持续时间内关闭注销。再次打开它:修复原因,关闭 MySQL 服务器并重新启动它。
使用 MySQL 5.5 的标准安装(特别是来自 webtatic 存储库),由于权限问题,慢查询日志无法开始实际记录。如果我预先创建了一个副本并且chown它属于 user:mysql 和 group:mysql,那么它就可以正常工作。
在同一个目录 ( /var/log) 中,创建和记录到 mysql.log 和 mysql.error.log 没有问题。
显然我对它有一个hackish修复,但我希望能够在它上面使用logrotate,而不需要额外的logrotate来重复hackery。(唯一比hackery更糟糕的是不得不重复hacky。)
有谁知道解决这个问题的最佳做法是什么?
我有一个 5 人的工作组。他们都有自己的 Windows 7 专用机器。他们都连接到一台运行 Windows Server 2008 R2 的中央服务器,目前主要提供文件服务器角色,为所有人提供一个共享数据目录。
现在,当这些用户想要在旅途中连接到“他们的桌面”时,什么被认为是最佳实践。可能将与桌面相关的所有内容都存储在服务器上,所以不是所有这些桌面机器都必须 24/7 全天候运行?
更多细节:
我可以通过不同的公共端口将远程桌面端口 3389 端口转发到不同的机器,但如果可能的话,应该允许这些机器断电。此外,我认为,在安全方面,即使在非标准端口上,将所有这些机器暴露给 WAN 也很棘手。只有一台机器,即服务器,处理远程连接听起来更好,可能在服务器上执行个性化的桌面环境。可能的?
到目前为止,我已经尝试尽可能好地将用户数据与用户的机器分开,但运气不佳。在 *nix 上通过 NFS 拥有一个 homedir 很简单,在 MS 世界中,“远程配置文件”似乎被认为是不可靠的,一旦这些“配置文件”变大并且每次登录时都必须通过网络拉动,就会陷入困境。mklink从而将本地 Win7 配置文件目录扭曲到服务器共享似乎是hackish,并且仅适用于最新的 Win 操作系统。此外,到目前为止,我遇到了各种权限和架构问题,例如,当我尝试在本地 Win Server 上使用相同的 Win 7 Profile 目录和类似的设置用户时,哎哟。
现在处于中间立场,我有一些服务器端数据和一些本地数据。例如,人们的桌面 Outlook 从服务器中提取文件(MS 认为这是不稳定的,顺便说一句,至少按照我的理解;当数据最终被损坏时,手指交叉)。
更多黑客的中间地带:我通过在桌面机器和服务器上拥有相同的应用程序来模拟服务器端桌面。人们仅使用服务器上的相同用户名/相同密码配置文件 (ouch) 登录到服务器,然后在真实的桌面系统 (arg!) 上找到与他们相似的桌面。
Microsoft 终端服务是一种解决方案吗?到目前为止,我无法理解它的实际作用。或者它如何帮助我。
我们正在寻求(最终)实施电缆标签程序。
我们已经有一个标签。现在我们需要一个系统来维护与任何事物无关的唯一 ID。
我想得到一个计数计数器,但也许还有另一种解决方案,它不涉及两个设备(打印一个数字然后增加它的标签?)。
有人有什么建议吗?
不是指军队或政府,而是指其他需要 IT 基础设施(现在不需要)的组织或商店。与此问题类似,但纯粹与硬件和/或服务有关,例如服务器、存储、电子邮件服务等。
我不认为它对每个组织都是一成不变的,因为每个组织都是不同的。他们是否应该考虑:
组织的规模和所需的资源
组织是否有内部 IT 支持
更换硬件与硬件“订阅”的经常性成本
当然还有安全问题,例如“此服务<provider>是否符合<security standard>
如果采用托管选项,如果协议突然无法推进,无论出于何种原因,退出策略是什么。
备份选项,任意选择。
当然,要考虑的不仅仅是成本。我问这个是因为您有 1-2 名员工的小型商店,需要电子邮件或文件服务等服务,一直到大型组织,但这些大型组织不是 IT 商店,它们的生产可能是编织篮子之类的,他们应该投资私人基础设施来存放篮子编织图纸、文件等吗?这对他们来说是如何增值的?
更新
不一定是云,托管也是一种选择。
我的问题是关于使用 powershell 脚本在 2008R2 域中安装、配置、更新和维护 Windows 7 Pro/Ent 工作站,而不是使用 GPO/ADMX/msi。
这是情况:
由于累积的公司混乱的喜剧,我们突然发现自己必须在很短的通知和交付时间表内设计、配置和部署完整的 Windows Server 2008R2 和 Windows 7 专业版/企业版。当然,我无论如何都不是 Windows 专家,而且我们人手不足,以至于我们的流行语宾果游戏包括“自动”和“一键式”以及“它需要正常工作”。(FWIW,我从 DEC 开始,然后是 solaris 和 cisco,然后是各种风格的 linux,现在有一些 BSD。我使用 Windows 发送电子邮件和填写表格)。
所以我们决定引进一个承包商来为我们做这件事。他们赶上了最后期限。该系统已启动并且大部分可用,这很好。我们将无法做到这一点。但现在被证明是 PIMA 的“主要”部分,无论如何我都必须学习微软的东西,直到/如果我们能与这些人签订新合同以进行持续运营。
这是我的问题。承包商几乎专门使用 powershell 进行部署、配置和更新。我上周的精读使我认为部署、配置和更新微软东西的普遍接受的做法使用 GPO 和 ADMX 模板的元素,以及一些第三方的东西,如 PolicyPak。
是否有充分的理由我还没有发现 powershell 脚本比 GPO 方法更受欢迎?
当他休假回来时,我将与承包商负责人讨论这个问题,他会直接和我在一起(我认为他们也不会安排我们)。但我也可以看到这可能是一个宗教问题,所以我仍然想了解一些背景知识。
想法?或网页链接?
谢谢!
我正在考虑设置管理 vlan,我将在其中放置各种可联网设备的所有管理接口(防火墙管理接口、服务器 RAC、WAP 管理接口等)。
访问该管理 vlan 时的最佳实践是什么--例如,作为 IT 管理员,我的工作站仅在业务网络上--但是如果我需要通过管理接口访问防火墙,我是否应该有第二个我专门用于管理网络的 nic?或者我应该编写只允许某些 IP(我的工作站)访问管理网络的 ACL?
这有什么意义吗?
谢谢你的时间 -
-乔希
best-practices ×10
group-policy ×2
networking ×2
windows ×2
cable ×1
datacenter ×1
logging ×1
mysql ×1
powershell ×1
query ×1
vlan ×1
workgroup ×1