- •Средства удаленного управления
- •Классификация
- •Средства удаленного администрирования
- •Семейство unix
- •Семейство Windows
- •Средства удаленного управления рабочим столом
- •Практика
- •Виртуальные машины
- •История и развитие
- •Типы виртуализации
- •Практика
- •Резервное копирование и синхронизация
- •Резервное копирование информации
- •Синхронизация данных
- •Типовые задачи синхронизации
- •Реализации к рассмотрению
- •Кластеризация
- •Основные положения
- •Отказоустойчивый кластер
- •Вычислительный кластер
- •Реализации к рассмотрению
- •Облачные вычисления
- •Основные положения
- •Облачное хранилище данных
- •Образы и развертывание системы
- •Образы системы – технологии резервирования данных
- •Технологии развертывания операционных систем
- •Реализации к рассмотрению
- •Средства антивирусной и сетевой защиты
- •Технологии обнаружения вредоносного кода
- •Технический компонент
- •Аналитический компонент
- •Плюсы и минусы способов обнаружения вредоносного кода
- •Брандмауэры
- •Общее описание брандмауэров
- •Функции брандмауэров
- •Недостатки брандмауэров
- •Общие принципы настройки Firewall
- •Обслуживание систем
- •Дефрагментация диска
- •Восстановление информации на жестком диске
- •Восстановление данных с работоспособного жесткого диска
- •Восстановление данных с неработоспособного жесткого диска
- •Аппаратное обеспечение для восстановления данных
- •Системы контроля версий
- •Общие положения
- •Типичный порядок работы с системой
- •История и статус
- •Недостатки
- •Возможности
- •Основные концепции
- •Недостатки
- •Использование Subversion
- •Возможности
- •Особенности, преимущества и недостатки
Классификация
Существует два класса средств для удаленного управления рабочими станциями и серверами:
Средства удаленного администрирования – позволяют администратору удаленно изменять настройки и параметры операционной системы рабочей станции, обычно при этим работа пользователя рабочей станции не нарушается. Настройки рабочей станции могут изменяться как штатными средствами операционной системы (например, функция «удаленный реестр» ОС Windows, консоль SSH Unix-подобных ОС), так и сторонними утилитами, скрыто работающими в режиме т.н. троянских программ.
Средства удаленного управления рабочим столом – при этом содержимое рабочего стола передается по сети на компьютер администратора. Управление может осуществляться как штатными средствами ОС (Remote Desktop, Terminal Services – Windows, X11 – Unix-подобные, Apple Remote Desktop – Mac OS), так и сторонними утилитами (Remote Administrator, VNC). Штатными средствами управления обычно передается высокоуровневая информация содержимом рабочего стола, передавая изображения только тогда, когда это необходимо, в результате чего достаточно высокое качество отображения и скорость работы. Сторонние утилиты, как правило, выполняют «захват экрана», сжимают полученное изображение и передают его. Плюсы и минусы такого подхода очевидны.
Все современные протоколы управления предлагают развитые подходы к безопасности передаваемых данных. Выполняется шифрование данных, аутентификация производится в безопасном режиме, что исключает перехват пароля третьей стороной.
Средства удаленного администрирования
Семейство unix
UNIX можно назвать операционной системой, хорошо приспособленной для задач системного и сетевого администрирования, но гораздо хуже — для офисных приложений. Поскольку речь идет о системе удаленного администрирования, а не о настольной системе, можно сказать, что благодаря сервисам telnet любой имеющий на то право пользователь может управлять сетью из любой точки земного шара, запустив на своем компьютере удаленный терминал. Единственный серьезный недостаток такого подхода — высокие требования к квалификации администратора: он должен хорошо владеть утилитами командной строки. Естественно, у неопытных администраторов возникают большие сложности, а рядовые пользователи просто паникуют при виде черного экрана с мигающим курсором командной строки.
В последнее время эта ситуация меняется в лучшую сторону — появляются клиент-серверные приложения, позволяющие удаленно администрировать UNIX/Linux-системы в графическом режиме. Примером может служить VNC Server для Suse Linux.
А сейчас остановимся на telnet. Он входит в число стандартов, которых насчитывается три десятка на полторы тысячи рекомендуемых официальных материалов сети, называемых RFC (Request For Comments). Изначально под telnet подразумевалась триада, состоящая из: telnet-интерфейса пользователя, telnet-процесса и telnet-протокола. Эта триада обеспечивает описание и реализацию сетевого терминала для доступа к ресурсам удаленного компьютера.
Telnet строится как протокол приложения над транспортным протоколом TCP. При установке telnet-соединения программа, работающая с реальным терминальным устройством, и процесс обслуживания этой программы используют для обмена информацией сетевой виртуальный терминал (Network Virtual Terminal, NVT) — стандартное описание наиболее широко используемых возможностей реальных физических терминальных устройств. NVT позволяет описать и преобразовать в стандартную форму способы ввода и вывода информации. Терминальная программа (user) и процесс (server), работающий с ней, преобразуют характеристики физических устройств в спецификацию NVT, что позволяет обеспечить принцип совместимости устройств с разными возможностями. Характеристики диалога диктуются устройством с меньшими возможностями.
Принцип договорных опций или команд позволяет согласовать возможности вывода информации на терминальных устройствах. NVT — это минимально необходимый набор параметров, который позволяет работать по telnet даже самым допотопным устройствам. Реально используемые современные устройства обладают гораздо большими возможностями вывода информации, и принцип договорных команд позволяет использовать эти возможности.
Взаимодействие по протоколу telnet симметрично, что позволяет в течение одной сессии программе-user и программе-server меняться местами. Это принципиально отличает взаимодействие в рамках telnet от традиционной схемы «клиент-сервер». Если же речь идет об обмене информацией между двумя терминальными программами в режиме «терминал-терминал», то каждая из сторон может выступать инициатором изменения принципов представления информации и при этом здесь проявляется еще одна особенность протокола telnet. Протокол использует не принцип «запрос — подтверждение», а принцип «прямого действия». Это значит, что если терминальная программа хочет расширить возможности представления информации, то она делает это (например, вставляет в информационный поток Esc-последовательности), а если в ответ она получает информацию в новом представлении, то это обозначает удачную попытку, в противном случае происходит возврат к стандарту NVT.
Однако у Telnet есть достаточно серьезные минусы — проблемы с безопасностью. Если вы разрешаете удаленные telnet-соединения с портами вашего сервера, то вам надо обратить особое внимание на тот факт, что человек, подключающийся к машине, взаимодействует с одной из программ-демонов. Он не имеет никаких прав на чтение/запись информации и не идентифицируется системой UNIX (вы не сможете его обнаружить командой who), но зато может давать команды этим демонам и, используя ошибки в программах или конфигурации, получить доступ к информации, хранящейся на сервере.
SSH (англ. Secure SHell — «безопасная оболочка») — сетевой протокол, позволяющий производить удалённое управление операционной системой и туннелирование TCP-соединений (например, для передачи файлов). Схож по функциональности с протоколами Telnet и rlogin, но, в отличие от них, шифрует весь трафик, включая и передаваемые пароли. SSH допускает выбор различных алгоритмов шифрования. SSH-клиенты и SSH-серверы доступны для большинства сетевых операционных систем.
SSH позволяет безопасно передавать в незащищенной среде практически любой другой сетевой протокол. Таким образом, можно не только удаленно работать на компьютере через командную оболочку, но и передавать по шифрованному каналу звуковой поток или видео (например, с веб-камеры). Также SSH может использовать сжатие передаваемых данных для последующего их шифрования, что удобно, например, для удаленного запуска клиентов X Window System.
SSH-туннель — это туннель, создаваемый посредством SSH-соединения и используемый для шифрования туннелированных данных. Используется для того, чтобы обезопасить передачу данных в Интернете (аналогичное назначение имеет IPsec). Особенность состоит в том, что незашифрованный трафик какого-либо протокола шифруется на одном конце SSH-соединения и расшифровывается на другом.
Протокол SSH-2, в отличие от протокола telnet, устойчив к атакам прослушивания трафика («снифинг»), но неустойчив к атакам «человек посередине». Протокол SSH-2 также устойчив к атакам путем присоединения посредине (англ. session hijacking) - невозможно включиться в или перехватить уже установленную сессию.
Для предотвращения атак «человек посередине» при подключении к хосту, ключ которого ещё не известен клиенту, клиентское ПО показывает пользователю "слепок ключа" (key fingerprint). Рекомендуется тщательно проверять показываемый клиентским ПО "слепок ключа" (key fingerprint) со слепком ключа сервера, желательно полученным по надежным каналам связи или лично.
Поддержка SSH реализована во всех UNIX‑подобных системах, и на большинстве из них в числе стандартных утилит присутствуют клиент и сервер ssh. Существует множество реализаций SSH-клиентов и для не-UNIX ОС. Большую популярность протокол получил после широкого развития анализаторов трафика и способов нарушения работы локальных сетей, как альтернативное небезопасному протоколу Telnet решение для управления важными узлами.
Для работы по SSH нужен SSH-сервер и SSH-клиент. Сервер прослушивает соединения от клиентских машин и при установлении связи производит аутентификацию, после чего начинает обслуживание клиента. Клиент используется для входа на удаленную машину и выполнения команд.
Для соединения сервер и клиент должны создать пары ключей — открытых и закрытых — и обменяться открытыми ключами. Обычно используется также и пароль.