Самоучитель системного администратора

This document was uploaded by one of our users. The uploader already confirmed that they had the permission to publish it. If you are author/publisher or own the copyright of this documents, please report to us by using this DMCA report form.

Simply click on the Download Book button.

Yes, Book downloads on Ebookily are 100% Free.

Sometimes the book is free on Amazon As well, so go ahead and hit "Search on Amazon"

Изложены основные задачи системного администрирования, описаны базовые протоколы, даны рекомендации по выбору оборудования и проведению ежедневных рутинных операций. Подробно раскрыты технологии, используемые при построении информационных систем, описаны средства мониторинга и обслуживания как малых, так и распределенных сетей. Рассмотрены методы централизованного управления, основы создания безопасной среды. Даны рекомендации по поиску неисправностей, обеспечению защиты данных. Параллельно рассмотрены решения на основе операционных систем Windows и Linux с использованием как проприетарных, так и открытых технологий. Книга написана на основе многолетнего опыта разработки и практического администрирования информационных систем. В шестом издании материал ориентирован на современные версии операционных систем Windows 10 и Windows Server 2016/2019. Неактуальный материал исключен, добавлены полезные практические примеры по поддержке SSL для прокси-сервера Squid , использованию Windows Sandbox и др. Особое внимание у делено выбору системы предотвращения утечки данных DLP.

Author(s): Александр Кенин, Денис Колисниченко
Series: Системный администратор
Edition: 6
Publisher: БХВ-Петербург
Year: 2021

Language: Russian
Pages: 608
City: СПб.
Tags: Linux; Command Line; Unix; Security; Intrusion Detection; Hardware; Virtualization; Monitoring; Filesystems; System Administration; DNS; Clusters; Nagios; Fault Tolerance; Wireless Networks; OSI Model; Encryption; Proxy Servers; Microsoft Windows; Networking; Kerberos; Performance Tuning; Access Management; SSH; TCP/IP; Automation; VPN; Network Topology; Vim; Samba; DHCP; Network Address Translation; Firewalls

Предисловие
Что нового вы найдете в шестом издании?
Глава 1. Системное администрирование
Обязанности системного администратора
Выбор операционной системы: Windows vs Linux
Участие в тендерах
Обновление программного обеспечения
О моральных качествах администратора
Глава 2. Выбор аппаратных и программных средств
Требования к оборудованию информационных систем
Выбор производителя
Гарантия и сервис-центры
Выбор процессора
Выбор шасси
Выбор материнской платы
Выбор дисков
Выбор памяти
Дополнительные требования к коммутационному оборудованию
Дополнительные требования к аварийным источникам питания
Состав программного обеспечения типового предприятия
Подсистема аутентификации и контроля доступа
Подключение Linux к домену: протокол Kerberos
Настройка конфигурации клиента Kerberos
Настройка файла nsswitckconf
Получение билета Kerberos для учетной записи администратора
Подключение к домену
Проверка подключения
Сервер Linux в качестве контроллера домена
Совместно используемые ресурсы
Учетная запись для анонимного доступа
Работа с Windows-ресурсами в Linux
Установка пакета Samba
Настройки Samba
Подключение к общим ресурсам
Браузеры Интернета
Защита узлов сети
Средства удаленного администрирования
Средства резервного копирования
Офисный пакет
Электронная почта
Свободное программное обеспечение
Базовые сведения о работе в *Ы1Х-системах
Linux-мифы
Надежность Linux и Windows
Несколько моментов, о которых следует знать пользователям Linux
Ядро и дистрибутивы
Файловая система
Монтирование файловой системы
Консоль и графический режим
Пользователь root
Структура папок Linux
Текстовые редакторы: vi и другие
Выполнение команд с правами другого пользователя
Прикладные программы в Linux
Кросс-платформенный запуск программ
Установка Linux
Загрузка нескольких операционных систем
Тестирование Linux на виртуальной машине
Глава 3. Структура сети
Структурированные кабельные сети
Категории СКС
Волоконно-оптические сети
Сети 10G, 40G и 100G
Схема разъема RJ-45
Варианты исполнения СКС
Удлинение кабеля
Прокладка силовых кабелей
Питание по сети Ethernet (РоЕ)
Требования пожарной безопасности
Топология сети
Размеры сегментов сети на витой паре
Уровни ядра, распределения и доступа
Топология каналов распределенной сети предприятия
Сеть управления
Документирование структуры каналов связи
Качество сетей связи предприятия
Проверка кабельной системы
Проверка качества передачи данных
Приоритезация трафика
Варианты приоритезации: QoS, ToS, DiffServ
Классификация, маркировка, правила приоритезации
Как работает приоритезация: очереди
Ограничение полосы пропускания трафика (Traffic shaping)
Беспроводные сети
Стандарты беспроводной сети
Проектирование беспроводной сети предприятия
Безопасность беспроводной сети
Шифрование трафика беспроводной сети
Аутентификация пользователей и устройств Wi-Fi
Безопасность клиента
Настройка транспортных протоколов
Протоколы
Модель OSI
Стек протоколов TCP/IP
Протоколы UPD, TCP, ICMP
Протокол IPv6
Параметры ТСР/1Р-протокола
IP-адрес
Групповые адреса
Распределение IP-адресов сети малого офиса
Подсети и маска адреса
Шлюз (Gateway, default gateway)
Таблицы маршрутизации
Автоматическое присвоение параметров IP-протокола
Серверы DHCP
Адресация APIPA
Назначение адресов при совместном использовании подключения к Интернету
Порт
Протокол ARP
Имена компьютеров в сети TCP/IP
Доменные имена Интернета
Соотношение доменных имен и IP-адресов компьютеров
Серверы доменных имен (DNS)
WINS
Статическое задание имен
Последовательность разрешения имен
Настройка серверов DHCP и DNS
Настройка DHCP
Создание и настройка зоны
Авторизация DHCP-сервера
Настройка параметров области
Фиксированные IP-адреса
Подстройка DHCP под группы клиентов
Отказоустойчивость DHCP-сервера
Обслуживание DHCP-сервером других сегментов сети
Порядок получения IP-адресов клиентами DHCP
Первичное получение адреса
Продление аренды
Диагностика и обслуживание DHCP-сервера
Интеграция DHCP и DNS
DNS
Термины DNS
Порядок разрешения имен в DNS
Основные типы записей DNS
Установка сервера DNS
Записи домена Windows
Разделение DNS
Настройка DNS в удаленных офисах
Обслуживание и диагностика неисправностей DNS-сервера
Перенос записей зон
Глава 4. Информационные системы предприятия
SOHO-сети
Одноранговые сети
Сеть с централизованным управлением
Управление локальными ресурсами
Возможность добавлять рабочие станции в домен
Удаление устаревших записей о компьютерах и пользователях
Изменения настроек системы при подключении ее к домену
Локальный администратор против доменного
Исключение компьютера из домена
Отключение совместного использования административных ресурсов
Исключение администратора домена из группы локальных администраторов
Блокировка администратора домена на уровне файловой системы
Блокирование групповой политики
Проблема аудитора
Методы управления локальной системой
Служба каталогов
Служба каталогов Windows (Active Directory)
Домены Windows
Подразделение
Лес
Сайты
DNHRDN
Управление структурой домена предприятия
Создание нового домена
Функциональный уровень домена
Компоненты Active Directory
Создание контроллеров домена «только для чтения»
Удаление контроллера домена
Переименование домена
LDAP и Active Directory
Подключаемся к каталогу по протоколу LDAP
Синтаксис поисковых запросов LDAP
Команда Idifde
Делегирование прав
Корзина Active Directory: просмотр и восстановление удаленных объектов каталога
Учетные записи и права
Понятие учетной записи
Локальные и доменные учетные записи
Группы пользователей
Ролевое управление
Результирующее право: разрешить или запретить?
Разрешения общего доступа и разрешения безопасности
Наследуемые разрешения: будьте внимательны
Восстановление доступа к ресурсам
Обход перекрестной проверки
Изменение атрибутов объектов при операциях копирования и перемещения
Результирующие права и утилиты
Рекомендации по применению разрешений
Создание и удаление учетных записей
Права учетной записи
Восстановление параметров безопасности по умолчанию
Автоматически создаваемые учетные записи
Встроенные учетные записи пользователей
Предопределенные учетные записи пользователя
Учетная запись Администратор
Учетная запись Гость
Другие встроенные учетные записи пользователей
Встроенные группы
Специальные группы
Рекомендации по использованию операции Запуск от имени Администратора
Включение сетевого обнаружения в Windows Server 2016/2019
Глава 5. Работа в глобальной сети
Организация доступа к ресурсам Интернета
Сетевая адресация
Введение в IPv6
NAT — трансляция сетевого адреса
Реализация NAT средствами службы маршрутизации Windows Server
Аппаратный NAT
Реализация NAT средствами Linux
Фильтрация трафика
Демилитаризованная зона
Межсетевой экран (брандмауэр)
Выбор межсетевого экрана
Нужен ли прокси-сервер?
Системы обнаружения вторжений
Варианты межсетевых экранов
Программное решение
Аппаратные решения
Настройка параметров межсетевого экрана при помощи групповой политики
Межсетевой экран Linux
Настройки запуска
Цепочки и правила
Задание правил брандмауэра
Пример настройки брандмауэра
Оптимизация доступа в Интернет
Основные мероприятия оптимизации
Прокси-сервер
Прозрачный прокси
Настройка использования полосы пропускания
Блокировка рекламы, сайтов «для взрослых» и т. п
Поддержка SSL
Удаленная работа
Виртуальные частные сети
Удаленное подключение к Linux
Протокол SSH
«Тонкие» клиенты
Использование графических утилит для подключения к Linux
Подключение филиалов
Контроллер домена «только для чтения»
Решение DirectAccess
Терминальный доступ
Терминальные серверы от Microsoft
Терминальные клиенты
Режимы терминальных служб
Лицензирование терминальных служб
Особенности использования приложений на терминальном сервере
Безопасность терминальных сессий
Подключение к консоли терминального сервера
Подключение администратора к сессии пользователя
Публикация приложений в терминале
Веб-доступ к терминальному серверу
Шлюз терминалов
Создание локальных копий данных
История файлов
Технология BranchCache
Доступ из-за межсетевого экрана
Глава 6. Управление информационной системой
Состав информационной системы
Построение топологии существующей СКС
Инвентаризация физических каналов связи
Учет компьютеров и программ
Мониторинг функционирования ПО
Управление с помощью групповых политик
Порядок применения множественных политик
Совместимость версий групповых политик
Места хранения и условия применения групповых политик
Последствия отключений политик
Редактирование групповых политик
Начальные объекты групповой политики
«Обход» параметров пользователя
Фильтрация объектов при применении групповой политики
Фильтрация при помощи WMI-запросов
Настройка параметров безопасности групповых политик
Предпочтения групповых политик
Рекомендации по применению политик
Блокирование запуска нежелательных приложений с помощью компонента AppLocker
Некоторые особенности политики установки программного обеспечения
Административные шаблоны
Утилиты группового управления
Средства поддержки пользователей
Удаленный помощник
Утилиты подключения к рабочему столу
Средства автоматизации — сценарии
Использование командной строки
Сценарии Visual Basic
Интерфейс IPMI
Интерфейс WMI
Язык запросов WMI Query Language
Варианты применения WMI
Примеры WMI-сценариев
PowerShell
Утилиты администрирования третьих фирм
Утилиты от компании Sysintemals
Снифферы
Ideal Administrator
Hyena
Автоматизация установки программного обеспечения
Развертывание Windows 7 при помощи WAIK
Развертывание Windows 8 при помощи Windows ADK
Развертывание Windows 10
Клонирование Windows-систем
Подводные камни процесса клонирования
Утилита sysprep
Создание установочного образа системы при помощи утилиты sysprep
Подготовка диска для существенно отличающейся системы
Дублирование жесткого диска
Образы клонируемого диска и их модификация
Клонирование компьютеров — членов домена
Клонирование Linux-систем
Средства клонирования Linux
Использование Clonezilla
Подготовка программ для «тихой» установки
Файлы ответов (трансформаций)
Использование ключей «тихой» установки
Переупаковка
Административная установка
Развертывание программы в Active Directory
Глава 7. Мониторинг информационной системы
Основные способы мониторинга
Журналы системы и программ
Протокол SNMP
Опрос служб
Мониторинг с использованием агентов
Мониторинг на основе протокола SNMP
Простейшие варианты мониторинга
Контроль журналов Windows
Привязка задачи
Подписка на события
Создание собственных событий в журналах Windows
Настройка журналирования в syslog
Простейший мониторинг Apache
Утилиты мониторинга
Система мониторинга Nagios
Необходимость мониторинга сети
Установка Nagios
Настройка Nagios
Мониторинг в Nagios серверов Windows
Мониторинг Windows-систем на основе WMI
Мониторинг в Nagios серверов Linux
Мониторинг систем с использованием протокола SNMP
Сервер протоколов
Постановка задачи
Настройка основного (центрального) сервера
Настройка остальных серверов сети
Протоколирование системой инициализации в Linux
Системы мониторинга трафика
Простейшая система мониторинга трафика: darkstat
Система NeTAMS
Мониторинг жестких дисков. Коды S.M.A.R.T
Глава 8. Виртуализация и облачные технологии
Секрет популярности виртуализации
Глоссарий
Вендоры виртуальных решений
Выбор гипервизора
Программное обеспечение и виртуальная среда
Особенности сетевых подключений виртуальных машин
Лицензирование программного обеспечения виртуальных машин
Создание виртуальных машин
Создание виртуальной машины путем чистой установки операционной системы
Клонирование виртуальной машины
Снятие образа физического сервера
Миграция между решениями различных производителей
Некоторые замечания к устройству виртуальных машин
Жесткие диски
Типы виртуальных дисков
Необходимость блочного доступа к виртуальному диску
Варианты подключения виртуального диска
Обслуживание файлов виртуального диска
Сохранение состояния виртуальной машины
Распределение вычислительных ресурсов
Оперативная память
Сервисные операции
Резервное копирование и антивирусная защита
Обмен данными
Копирование данных с машины на машину
Общие папки
Миграция виртуальных машин
Подключение к виртуальным машинам
Особенности выключения виртуальных машин
Виртуальные рабочие станции
Сравниваем VDI-решения с терминальными клиентами
Немного об экономике VDI
Структура VDI-решений
Некоторые особенности VDI-решений
KVM и OpenVZ
Разница между KVM и OpenVZ
Установка ядра OpenVZ
Создание и запуск виртуальной машины OpenVZ
Virtuozzo
Как работает Virtuozzo?
Установка Virtuozzo
Выбор шаблона
Создание и настройка контейнера
Управление ресурсами контейнера
Управление контейнерами
Вход в гостевую операционную систему
Советы по оптимизации виртуальных систем
Виртуализация в сетях передачи данных
Виртуальные частные сети
Зачем нужны виртуальные сети?
Маркировка кадров
Порты и VLAN
Практика настройки VLAN на коммутаторах Cisco
Другие производители оборудования
Настройка VLAN в Linux
Выбор сервера: физический или виртуальный
Нужен ли вашему проекту сервер?
Стоимость физического сервера
Стоимость виртуального сервера
Стоимость содержания физического сервера
Выбор облачного провайдера
Площадка
Сертификация ЦОД
Где расположен ЦОД: в России или за границей?
Кому принадлежит ЦОД? Можно ли войти и посмотреть, как все устроено?
Облачная платформа
Как можно подключиться к «облаку»? Есть ли панель управления?
Что представляет собой виртуальное ядро?
Какие используются дисковые ресурсы? Соответствует ли скорость ресурсов заявленной?
Есть ли сервис резервного копирования?
Какова пропускная способность интернет-соединения и сколько будет стоить ее расширение?
Входит ли в стоимость услуги лицензия на программное обеспечение?
Как выполняется тарификация?
Есть ли тестовый режим?
Сколько стоит собственная VPN-сеть и какие есть ограничения?
Есть ли какие-либо скрытые платежи — например, за панель управления сервером и т. п.?
Поддержка
Виртуализация физического сервера
Установка панели управления на виртуальный Linux-сервер
Настройка терминального Windows-сервера
Создание виртуального сервера
Оптимальная конфигурация виртуального сервера для бухгалтерской программы «1С:Предприятие»
Установка службы удаленных рабочих столов
Настройка сервера лицензирования для удаленных рабочих столов
Установка лицензий службы удаленных рабочих столов
Безопасный запуск программы «1С:Предприятие»
Песочница Windows
Глава 9. Безопасность
Безопасность и комфорт
Попытаемся разложить по полочкам
Как будем защищать?
Три «кита» безопасности
Организационное обеспечение информационной безопасности
План обеспечения непрерывности функционирования информационной системы
Безопасность паролей
Токены и смарт-карты
Rainbow-таблицы
Блокировка учетной записи пользователя
Восстановление пароля администратора
Методы социальной инженерии
Меры защиты от внешних угроз
Физическая безопасность
Ограничение доступа к рабочим станциям
Межсетевые экраны
Ограничения подключения нового оборудования
Обеспечение сетевой безопасности информационной системы
Контроль проходящего трафика
Контроль устройств по МАС-адресам
Протокол 802.1х
Особенности применения протокола 802.1х
Настройка протокола 802.1х
Выдача сертификатрв компьютерам
Настройка службы каталогов
Настройка службы RADIUS
Настройка автоматического назначения VLAN для порта коммутатора
Настройка клиентского компьютера
Настройка коммутатора
Технология NAP
Обнаружение нештатной сетевой активности
Контроль состояния программной среды серверов и станций
Индивидуальная настройка серверов
Security Configuration Manager
Security Compliance Manager
Исключение уязвимостей программного обеспечения
Уязвимости и эксплойты
Как узнать об обновлениях?
Проверка системы на наличие уязвимостей
Тестирование обновлений
Обновления операционных систем Linux
Индивидуальные обновления Windows-систем
Обновление Windows-систем на предприятии
Установка обновлений через группбвые политики
Защита от вредоносных программ
График обновления антивирусных баз
Внимательность пользователя
Обезвреживание вирусов
Защита от вторжений
Программы-шпионы: «троянские кони»
Редактирование списка автоматически загружаемых программ
Безопасность приложений
Основные принципы безопасности приложений
Единый фонд дистрибутивов и средства контроля запуска программного обеспечения
Неизменность системы
Защита от утечки данных
Шифрование данных
Шифрование данных на устройствах хранения
Шифрование архивов
Бесплатные программы шифрования данных
Шифрование дисков: коммерческие программы
Шифрование в Linux
Шифрование файловой системы Windows
Шифрование диска при помощи BitLocker
Использование BitLocker на компьютерах без ТРМ
Включение шифрования
Режим восстановления
Шифрование почты
Получение открытого ключа для защищенной переписки
Получение цифрового сертификата для защищенной переписки
Работа с подписанными и зашифрованными сообщениями в ОС Android
Шифрование в базах данных
Стеганография
Анализ поведения пользователей
DLP-технологии
Инструменты анализа безопасности Windows Server
MBSA, Microsoft Baseline Security Alalyzer
Microsoft Windows Server Best Practice Analyzer
SekCheck Security Auditing
Скрипт Windows SEC-Audit
Анонимность работы в глобальной сети
Глава 10. Отказоустойчивая информационная система
Территориальная распределенность
Центры обработки данных (дата-центры)
Требования к помещениям
Поддержание в помещении постоянной температуры
Резервное электроснабжение
Системы пожаротушения
Сетевая инфраструктура
Выбор правильной топологии сети передачи данных
Построение отказоустойчивой сети на основе протоколов второго уровня модели OSI
Протокол STP
Протокол MSTP
Отказоустойчивая сеть на основе протоколов третьего уровня модели OSI
Протокол VRRP
Агрегированные каналы
Проприетарные технологии восстановления структуры сети
Фермы серверов
Отказоустойчивые решения для приложений
DNS-серверы
DHCP-сервер
Кластер Oracle RAC
Распределенная информационная база программы «1С:Предприятие»
Дублирование данных
Зеркалирование серверов баз данных
Зеркалирование (репликация) данных SQL-серверов
Снимки баз данных
Настройка клиентских подключений
Распределенная файловая система
Создание DFS
Репликация DFS
Поддержка DFS в Linux-системах
Кластеры
Кластер Microsoft
Кластер openMosix
Распределенные каталоги
Репликация данных каталогов
Хозяева операций
Смена хозяев операций
Сервер глобального каталога (GC)
Отказоустойчивые решения и виртуальные системы
Глава 11. Порядок выявления неисправностей и их устранения
Если отказ уже произошел
Максимальный аптайм
Восстановление с нуля, или полное фиаско
Запасные детали
Где получить помощь?
Сбор информации об отказе
Анализ журналов системы
Средства просмотра журналов системы
Журналы в Linux: демон syslogd
Централизованное ведение журналов
Установка триггеров на события протоколов
Настройка аудита событий безопасности
Утилиты от Sysintemals
Особенности отказов различных компонентов
Мониторинг отказоустойчивой структуры
Неисправности подсистемы передачи данных
Обнаружение неисправностей сетевой инфраструктуры
Диагностика IP-протокола
Проверка параметров настройки IP-протокола
Проверка достижимости ближайших компьютеров сети
Проверка функционирования серверов имен
Проверка доступности приложений на удаленном компьютере
Проверка качества канала связи
Объективные показатели качества канала связи
Программа Observer
Утилита pathping
Неисправности аппаратной части компьютера
Контроль жестких дисков
Восстановление данных с жестких дисков
Проверка оперативной памяти
Контроль теплового режима работы системы
Ошибки программного обеспечения
Восстановление «упавших» систем
Восстановление из резервной копии
Восстановление загрузчика системы
Восстановление загрузки Windows 8
Восстановление загрузки Windows 10
Восстановление загрузки Linux-систем
Если опции восстановления недоступны
Загрузка в специальных режимах
Загрузка Windows в безопасном режиме
Загрузка *МХ-систем в однопользовательском режиме
Откат к предыдущим состояниям системы
Загрузка последней удачной конфигурации Windows
Загрузка конфигурации из точек восстановления Windows
Восстановление Windows путем переустановки
Восстановление удаленных данных
Корзины
Восстановление из теневых копий
История файлов
Оптимизация настроек компьютера
Что такое «медленно»?
Основные «узкие места» системы >
Оценка производительности процессора
Оценка использования оперативной памяти
Оценка дисковой подсистемы
Показатели производительности дисков
Пути оптимизации дисковой подсистемы
Оценка работы сетевого адаптера и пути оптимизации системы передачи данных
Некоторые советы по анализу показаний производительности
Оптимизация приложений
Диагностика службы каталогов и обнаружение ее неисправностей
Средства тестирования AD
Проверка разрешения имен
Глава 12. Плановые задачи обслуживания
Ежедневные задачи
Еженедельные задачи
Прочие плановые операции
Предметный указатель