Необходимо войти или зарегистрироваться

Авторизация

Введите логин, email или номер телефона, начинающийся с символа «+»
Забыли пароль? Регистрация

Новый пароль

Авторизация

Восстановление пароля

Авторизация

Регистрация

Выберите, пожалуйста, ник на пикабу
Номер будет виден только вам.
Отправка смс бесплатна
У меня уже есть аккаунт с ником Отменить привязку?

Регистрация

Номер будет виден только вам.
Отправка смс бесплатна
Создавая аккаунт, я соглашаюсь с правилами Пикабу и даю согласие на обработку персональных данных.
Авторизация

Пост

Пост

Администрирование#02. Удаленный доступ.

virrasha в Лига Сисадминов

Первая часть.

Надеюсь, кто хотел, тот прочитал в вики про модель OSI, там статья весьма улучшилась с тех пор, как я её видела последний раз, так что рекомендую.

Сегодня я сделаю некоторый вбоквел. Почему именно удаленный доступ? Потому что мы, админы, пользуемся этим ежедневно.


Администрирование#02. Удаленный доступ.

Вообще, что это такое: это когда вы с одного устройства попадаете на какое-то другое устройство и что-то можете с ним сделать. То есть, сидя попой в кресле за рабочим компом и сеть настраивать, и серваки админить, и пользователям помогать.

Для удобства, попробую разделить виды удаленного доступа на несколько классов.


1. Терминальный доступ. Сейчас этим словом называют доступ через консоль (такую, как в фильмах о хакерах – белые буковки на черном фоне). Этот вид доступа текстовый. Он используется для доступа на сервера без GUI (Graphical User Interface); для доступа на сервера с GUI, но с устройств без GUI; для доступа на различное сетевое оборудование; ну и просто как универсальный-доступ-куда-угодно, так как что может быть универсальнее консольки?

Кстати, цвет буковок и фона часто настраивается – всё для людей!

Для работы в терминале существуют команды с флагами и параметрами:

Терминал — он же консоль в повседневной речи, для желающих углубиться ссыль. В нашем случае, то самое черное окошко с белыми буквами. Открыть терминал можно в графическом интерфейсе (в Windows, Linux, MacOs), или же переключиться на один из стандартных терминалов с помощью Ctrl+Alt+F1(до F6) в некоторых Linux-системах (за все не поручусь). В Windows можно также использовать специальную программу Putty (ssh и telnet клиент + несколько фич).

Команда — команды набираются в терминале текстом, это программы, которые выполняют заложенные в них действия.

Флаг (ключ) — Флаги уточняют действие команд. Флаг – это модификатор, который указывается в командной строке вместе с именем команды, обычно после дефиса. (например, не просто соединиться с устройством, а по определенному порту).

Параметры пишутся после команды или после флагов, их иногда называют аргументами. Параметры задают информацию, необходимую для выполнения команды (например, IP адрес по которому надо подключиться).

TELNET — такое название носит и команда, и протокол. Специфицирует передачу символов ANSI. Не рекомендуется использовать не через свою локальную сеть, так как telnet не поддерживает шифрование. Но telnet - простой протокол, его знают очень многие устройства и не тормозят при использовании.

Порт — идентифицируемый номером системный ресурс, выделяемый приложению, выполняемому на некотором сетевом хосте, для связи с приложениями, выполняемыми на других сетевых хостах.

Некоторые особо известные порты:

80 — http

20, 21 – ftp

22 — ssh

23 – telnet

25 — smtp

[Лайфхак] Можно посмотреть, открыт ли порт на оборудовании следующим образом:

Коннектимся на оборудование по telnet по проверяемому порту. Если можно нажать Enter и при этом курсор перескакивает на следующую строку, значит порт открыт.

Windows telnet-клиент включается из «программы и компоненты»->«Включение или отключение компонентов Windows».

SSH — Secure Shell. Это протокол по которому осуществляется защищенный удаленный доступ. Плюсы в том, что весь трафик шифруется. Логиниться по ssh можно как используя логин-пароль, так и пару открытый-закрытый ключ.

Изменить в конфигурации ssh-сервера порт не помешает, так как про стандартный все в курсе, и злобные хакеры нехорошие автосканеры портов найдут открытый 22 порт, сделают вам DdoS атаку и подвесят ваш сервер, что вызовет печаль.


Лирической отступление. Схемы удаленного доступа чаще всего клиент-серверные. В этом случае сервер стоит там, КУДА мы подключаемся, а клиент – там, ОТКУДА идет подключение. То есть, у сисадмина стоит клиент, а на другой стороне сервер (даже если другая сторона является компьютером пользователя).


1.1) Команды, выполняемые на удаленном устройстве. В Windows, в виду отсутствия ssh, для многих команд (как обычных, так и powershell) можно указать имя или IP компьютера, на котором они должны выполниться.


2) Доступ к удаленному рабочему столу. Здесь я подразумеваю доступ с ПК/сервера на ПК/Сервер, где на обоих сторонах есть графический интерфейс. Вы просто работаете на чужом рабочем столе как на своем.

В Windows чаще всего используется протокол RDP, так как он встроен в систему. Если ваш Win-сервер не является терминальным сервером (с установленной специальной ролью), то на нем разрешено только два одновременных логина. В пользовательских Win-системах только один. Вероятно, кто-то пользуется удаленным помощником Windows, но обычно для пользователя его тапуск и создание приглашения является слишком сложным.

Также часто используются сторонние решения, вроде VNC, radmin, team viewer, ammyy admin и других. Удобны тем, что пользователь видит ваши действия, которые вы выполняете у него на ПК. Многие решения имеют версию под разные платформы, в том числе мобильные. Большинство умеет работать за NAT. Однако в организациях, где следят за безопасностью, обычно запрещены как минимум «бесплатные» варианты таких программ. Например, вот поэтому.


3) «Низкоуровневый» доступ к серверам. ILO в серверах HP, IPMI в серверах DEPO (и вообще, там, где материнки supermicro), может кто дополнит в комментариях по решениям. Это фактически доступ к серверной платформе. Может осуществляться как из браузера, так и из специального клиента. Предоставляет доступ к серверам до загрузки ОС (можно зайти в BIOS, можно в конфигурилку RAID, можно подключить ISO-образ и накатить ось, можно даже перепрошить BIOS удаленно), а также ограниченный доступ к управлению железками (сделать power off/on, поправить скорость кулеров, посмотреть температуру). Очень-очень удобно. Прощай дежурства в офисе вечером, всё можно сделать из дома. Не надо мерзнуть в серверной, если что сломалось – всё можно сделать с рабочего места. Для всего этого достаточно назначить IP, маску и шлюз на интерфейс IPMI/ILO, это делается из BIOS.

Администрирование#02. Удаленный доступ. Системное администрирование, Лекция, Удаленный доступ, Для начинающих, Длиннопост
Администрирование#02. Удаленный доступ. Системное администрирование, Лекция, Удаленный доступ, Для начинающих, Длиннопост

В заключение: хотелось больше рассказать про shell, привести примеры подключений, расписать подробнее про RDP, но поняла, что получится а) много и б) не нужно для общего ознакомления, потому безжалостно удалила лишнее.


P.S.: баянометр люто ругался на скрин консольки, но ничего похожего по содержанию не нашла.

Аватар сообщества "Лига Сисадминов"
383 поста 7 944 подписчика
61 комментарий
psyac1d
+3

[Лайфхак] Можно посмотреть, открыт ли порт на оборудовании следующим образом:


Коннектимся на оборудование по telnet по проверяемому порту

только в случае, если порт TCP. с UDP такое не пройдет


«Низкоуровневый» доступ к серверам.

может кто дополнит в комментариях по решениям

у Dell такая штука называется iDRAC https://en.wikipedia.org/wiki/Dell_DRAC


по поводу

нехорошие автосканеры портов найдут открытый 22 порт, сделают вам DdoS

fail2ban - https://en.wikipedia.org/wiki/Fail2ban

+3
раскрыть ветку 7
Аватар пользователя virrasha virrasha
+1
Спасибо за дополнения.
+1
раскрыть ветку 3
Аватар пользователя tutitututu tutitututu
0

не очень ясно зачем примечание про клиент-серверность т.к. значительная часть протоколов и так клиент-серверная. Я думал дальше пойдёт про XWindow, где на первый взгляд всё наоборот - удалённая машина является клиентом, а локальная за которой сидит пользвоатель - сервером.


Еще есть такая штука как IP-KVM

0
раскрыть ветку 2
odepted
+1

нехорошие автосканеры портов найдут открытый 22 порт, сделают вам DdoS

fail2ban - https://en.wikipedia.org/wiki/Fail2ban

Я еще через iptables с модулем connlimit ограничивал.

Но fail2ban тоже хорошее решение.

+1
раскрыть ветку 1
Аватар пользователя BrainFury BrainFury
0

А еще есть TARPIT, здорово обламывает сканеры портов.

0
Аватар пользователя foxnet foxnet
0

у Dell такая штука называется iDRAC

У всех свое название. Нет смысла разделять на каких-то производителей. Все поголовно производители имеют IPMI интерфейс и некоторую морду для KVM и других приблуд и называют каким-то своим умным названием.

0
JohnD03
+3

Сколько раз автор видел DDoS на SSH? Не брут, а именно ддос.

+3
раскрыть ветку 7
Аватар пользователя virrasha virrasha
+1
Пожалуй, да, ддос не видела, была не права. Брут видела и часто.
+1
раскрыть ветку 6
tektoking
0
Расскажите про это, пожалуйста. Я вполне себе представляю что есть брут, но как это с портом связано?
Ддос - вроде понятно, куча подключений по этому порту, которые хост не успевает обрабатывать. Так?
0
раскрыть ветку 5
Аватар пользователя LAGbI4 LAGbI4
+1

чё-то муть какая-то. информация очень скудная. новичёк не сможет в этом разобраться, а спец не узнает ничего нового

+1
Аватар пользователя nikonos nikonos
+1

На всех серверах Huawei - iBMC (Intelligent Baseboard Management Controller), реализующий спецификацию стандарта IPMI (Intelligent Platform Management Interface).

В предыдущих поколениях серверов Huawei предшественник iBMC назывался iMana.

+1
Wozner
+1
22 порт досят в случае брута, а так попадает под раздачу 80 чаще всего
+1
co0l3r
0
Для проверки порта по udp можно использовать unix/linux команду netcat
0
co0l3r
0
Насчет терминала ошибочка вышла, терминал это не обязательно cli это может быть и gui интерфейс
0
Naps2
0

По пункту 3:

IPMI -  это стандарт, а iLo и DRAC это название собственных наработок на основе IPMI

0
Аватар пользователя ymto ymto
0

dell - drac

0
Dimozy
0

@virrasha есть много вопросов, но попробую разобраться сам)

0
odepted
0

В копилку "низкоуровневых доступов".

Часто встречал самый обычный ip kvm.

0
Volfer
0
а есть адекватные способы админить станцию с "серым" IP?
0
раскрыть ветку 16
Аватар пользователя virrasha virrasha
+1

Изнутри никаких проблем не вижу. Извне, опять же vpn и вы уже внутри. Можно еще организовать проброс портов, но это - дыра в безопасности.

+1
раскрыть ветку 11
co0l3r
0
Если сервер впн за натом без проброса портов не обойтись, сейчас тенденция в ос резать поддержку pptp и дешевые роутеры которые умеют быть pptp сервером перестанут предоставлять норм удаленку
0
Volfer
0
да, извне. порты проброшены, RDP переведен на недефолтный порт. проблема именно в сером ip - к нему же просто так не достучаться извне :( comodo vpn, например, не взлетел
0
раскрыть ветку 9
раскрыть ветку 3
Аватар пользователя iMetovR iMetovR
+1

DDNS не решает проблему машин за NAT

+1
Volfer
0
вот до "замены оборудования" провайдером не знал я бед.. и DDNS на no-ip.com служил мне верой и правдой, однако пичалька постигла меня нынче и тоскую я за теми светлыми днями... :(
0
раскрыть ветку 1
abacus
0
Для начинающих сисадминов в принципе познавательно, но, пожалуй первый откомментившийся товарищ прав - это мило! :) только поправьте ssh - secure shell без socket!
0
раскрыть ветку 1
Аватар пользователя virrasha virrasha
+3

Спасибо, поправила. А по поводу аудитории - на обратную крайность говорят, что для IT-статей есть хабр, а сюда люди расслабляться приходят. Если пост не найдет своей аудитории, то просто уйдет в минус и я не буду постить простые вещи, а переключусь на что-то еще =)

+3
Razvrator
-1

Зачем это? (Все кому это надо , уже знают. Те кто не знает - узнает, если это ему надо. А плодить "теоретических специалистов/япрограммистов", которые трубят об этом на каждом углу, не стоит). Хочется кому-то дать знания в этой по истине ОБШИРНОЙ сфере IT ?Напишите свою книгу, "Компьютерные сети" с протоколами и мэйнфреймами

-1
раскрыть ветку 4
Аватар пользователя virrasha virrasha
+7
Не то чтобы я хотела развивать длительную дискуссию, но всё же приведу несколько соображений:
1) чтобы получить ответ на вопрос, надо его задать и задать правильно. Хорошо, когда ты получил классное образование, где был очерчен первоначальный круг вопросов. Но не каждый самоучка сможет их сформулировать. И книги не дадут вот именно таки простых и очевидных знаний.
2) какова вероятность, что студент айтишник прочитает пост на пикабу и какова - что прочитает Таненбаума (ну, хоть те же компьютерные сети)? И как вырастет вероятность второго после осуществления первого?
3) кто темой не интересуется, тот и читать не будет. А посты с простыми вещами кому-то нужны. Давайте еще не постить про то, как вести себя с гибддд, чего плодить тыжюристов? И как начать рисовать - зачем нам тыжхудожники? Кому не надо, тот пролистнет или поставит минус, не вижу проблем.
+7
раскрыть ветку 3
Dimozy
-4

видео лекции будут, я лучше воспринимаю информацию в видео ряде?

-4
раскрыть ветку 2
vachpr
-5
Что вы хотели донести до читателя? И кто ваш читатель? Обыватель не поймёт, а сисадмин улыбнется.
-5
раскрыть ветку 11
Аватар пользователя virrasha virrasha
+8

Это что-то типа мана для начинающего админа, который меня просили выложить несколько постов назад. Судя по тому, что первая часть имела некоторый успех (а там еще более начальные вещи), то и вторая найдет своего читателя.

+8
раскрыть ветку 1
Alucard0126
+1

Спасибо тебе! позновательно!

+1
tektoking
+2
А студент-ITшник вполне себе нормально прочитает.

Спасибо за статьи, автор, го про ssh подробнее)

+2
раскрыть ветку 6
Аватар пользователя poiz1 poiz1
0

и че ? без примеров команд и расшифровки аббревиатур нормально заходит ? :) , ню-ню.

0
раскрыть ветку 1
Аватар пользователя teplovdi teplovdi
-2
Студент должен это знать
-2
раскрыть ветку 3
Аватар пользователя poiz1 poiz1
+1

Перечисляют инструменты и азы, без разбора понимания, примеров комманд даже аббревиатуры не расшифровываются :) .

З.Ы. ну и админов тут любят поминусить в комментах, за то что посмели чего-то написать :) .  

+1
раскрыть ветку 1
GTiger
0

Взгляд наискосок - потому что у админов как-то подозрительно подгорать начинает.

0
ещё комментарии
Похожие посты
Похожие посты закончились. Возможно, вас заинтересуют другие посты по тегам: