Создание хранилища

[kubiq]

Создание хранилища

В организации появилась необходимость создания иного хранилища(на данный момент это сетевой диск на используемом ПК).
Появились мысли о развертывании на отдельном пк Ubunty Server с RAID 1. Т.к. мы бюджетная организация, вопросы финансирования вы понимаете, по этому собирать скорее всего придется солянку. Ранее не занимался таким по этому прошу высказать свое мнение:
Планируемое железо:
Процессор - какой нибудь двухядерный селерон(не знаю, хватит ли?)
Память - сколько найду
Два HDD по ТБ на SATA, 7200 rpm.
Прячу системный блок куда нибудь, ото всех, питаю через ИБП и раскидываю хранилище на другие компы. Карта сети состоит так, что все сидят в рабочей группе через локальную сеть, домена нет. Системный блок поставить в одиночестве без мыши, клавиатуры и монитора. Админить удаленно через локальную сеть.
Теперь сами вопросы:
Хватит ли вычислительного процесса и самой поддержки работы Ubunty на таком типе процессора?
Надо ли будет покупать для улучшения работы RAID специальную PCI плату? И как она вообще называется?
Получится админить сервер удаленно внутри сети?
В виде чего будет представлять хранилище у пользователей? Такой же сетевой диск или какое то иное?

 

[Николай_С]

На все вопросы по ОС один ответ: если в организации есть специалист по Линуху, то делайте. Если нет, то не связывайтесь с этой ОС. Стать специалистом по ОС и информационной безопасности методом тыка не получится. Уж больно дорогое это удовольствие - восстановление утраченной информации. Рекомендую пройти обучение по данным направлениям за счет организации. В конечном счете это будет дешевле.
Чтобы ответить на ваши вопросы по "железу", нужна конкретика. Какая именно материнская плата? Какой процессор? Память? Какие винчестеры собираетесь использовать?

 

[kubiq]

Николай_С единственный специалист - я. Уровень линукса - пользователь. А в чем проблема в восстановлении данных, если шанс потери не так велик и данные будут в открытом виде которые можно скопировать будет и из под винды?
Пока не могу сказать конкретно по железу, т.к. не знаю какое будет оно. Предварительно могу использовать селерон 2.2 гц, озу сколько надо и винты обычные WD Blue по ТБ.

 

[Николай_С]

А в чем проблема в восстановлении данных, если шанс потери не так велик и данные будут в открытом виде которые можно скопировать будет и из под винды?

Проблема в организации копирования, доступа и восстановления в случае необходимости. Вопрос информационной безопасности нетривиальный, в двух словах не объяснишь.
Что касательно "железа", то устройство д.б. надёжным, поэтому из г... и палок слепить не получится.

 

[Smith]

единственный специалист - я. Уровень линукса - пользователь.

с группами, созданием пользователей и разграничением прав на папки знакомы?
Убунту будет хорошим стартом в мир линукс. Можно так же попробовать папу убунты - дебиан.

Получится админить сервер удаленно внутри сети?
В виде чего будет представлять хранилище у пользователей? Такой же сетевой диск или какое то иное?

Естественно получится, vnc или ssh. Да, поднимите самбу и подключите сетевой диск на всех компьютерах пользователей. Так же я бы рекомендовал завести контроллер домена на той же samba. Будет удобно следить за юзерами, заводить их, удалять, менять пароли и разграничивать права. а так же накатывать групповые политики.

по железу хватит любого нормального камня поколения от core2duo лишь бы сетевая карточка была гигабит и было куда этот гигабит воткнуть. Но посоветую использовать аппаратный рейд контроллер, если использовать линуксовый софт контроллер при смерти матери его будет трудно собрать назад. а так с жележным рейдом если комп сдох то переставите связку на другой и готово. Стоит так же понимать, что сетевое хранилище надо зарезервировать.

Какие функции требуются от сетевого хранилища? каким образом предполагается работа? Сколько рабочих мест в компании?

 

[Smith]

у меня родилась бешеная мысль пока я это писал
можно на каждой рабочей машине развернуть виртуалку линушка, поставить там ceph\gluster\hadoop, что создаст распределенное самореплицирующееся файловое хранилище. ну и хранить файлы там. Есть правда ограничения... машины не стоит выключать т.к. потеря каждой ноды будет вызывать репликацию данных.что вызовет нагрузку на жесткие диски и сеть. ну и если вы не в состоянии это админить то точно не стоит )

 

[kubiq]

Что касательно "железа", то устройство д.б. надёжным, поэтому из г... и палок слепить не получится.

Это все же будет лучше того, что имеется сейчас и надежней

с группами, созданием пользователей и разграничением прав на папки знакомы?

Нет, но видел мануалы в сети по нужным мне запросам.

Так же я бы рекомендовал завести контроллер домена на той же samba. Будет удобно следить за юзерами, заводить их, удалять, менять пароли и разграничивать права. а так же накатывать групповые политики.

Нет необходимости брать под контроль их ПК. Пусть будут автономными и сидят в ОК сколько захотят... При вводе их в домен что-то отвалится, что-то привалиться...

лишь бы сетевая карточка была гигабит и было куда этот гигабит воткнуть

Это много. Там в день может перебрасываться не больше 200-500мб данных.

Какие функции требуются от сетевого хранилища? каким образом предполагается работа? Сколько рабочих мест в компании?

Хранение данных(в основном Word документы), возможность резервного копирование через RAID и снять все эти полномочия с рабочего компьютера сотрудника, предполагается поставить системный блок в тихое место, подключить к ИБП и пусть работает себе без остановки. Рабочих мест больше 20. И главная беда, чтобы диск работал на ХР, сейчас этой возможности нет.

можно на каждой рабочей машине развернуть виртуалку линушка, поставить там ceph\gluster\hadoop, что создаст распределенное самореплицирующееся файловое хранилище. ну и хранить файлы там.

Дам более менее развернутый ответ почему это сделать нельзя - часть машин еле дышит из-за слабости своей и на них виртуалку уже не поднять, а второй момент - контингент пользователей не сможет разобраться с ней, по этому этот вариант не подходит.
Пользователи должны обмениваться между собой информацией, иметь бэкап этих данных и конечно же было бы хорошо, если пользователь один не мог удалить данные пользователя 2...3 и т.д.

 

[Smith]

конечно же было бы хорошо, если пользователь один не мог удалить данные пользователя 2...3 и т.д.

ну это просто. создаете юзеров, юзеров добавляете в группу. создаете папки для каждого пользователя и накидываете на них права. на каждую папку надо бахнуть chown user:group /path, а потом chmod 740 *

получите, что все видят все папки но изменять и писать в чужие папки не могут.

Нет необходимости брать под контроль их ПК. Пусть будут автономными и сидят в ОК сколько захотят... При вводе их в домен что-то отвалится, что-то привалиться...

сразу видно что вы с этим всем не сталкивались. Плодить везде разных юзеров еще и по 20 штук, то еще удовольствие. А потом начнется - я забл пароль у меня не входит и т.д.

Успехов вам

 

[kubiq]

сразу видно что вы с этим всем не сталкивались. Плодить везде разных юзеров еще и по 20 штук, то еще удовольствие. А потом начнется - я забл пароль у меня не входит и т.д.

За год работы пока такого не случалось) Просто если вводить в домен, уже и железо надо брать серьезней, а к нему полноценный АРМ собирать с монитором и прочим. У нас и бюджеты ограничены и места для хранения как-такового нет. Если ляжет сервер, вся организация парализуется, сейчас же каждый сам по себе.

А в чем будет разница поднятия сетевого диска на Ubuntu server и Desktop? В создании понятно, что Desktop будет проще, а в функционале как? Сейчас буду на виртуале пробовать под Desktop ее сделать.

 

[Smith]

Ubuntu server и Desktop

ни в чем. в десктопе есть гуи, в серверной оси - нет.

У нас и бюджеты ограничены

Идите к руководству, пишите заявки на ввод бюджета ИТ на следующий год.

Если ляжет сервер, вся организация парализуется, сейчас же каждый сам по себе.

А если ляжет ваша наколенная поделка с осью в которой вы не особо разбираетесь? Кто будет виноват?


У Вас какая должность?
Лично я вижу развитие событий так:
Вы разрабатываете проект сети,понимаете какие сервисы и службы нужны компании, составляете политики информационной безопасности. Смотрите лучшие практики по внедрению всего этого. Можно многое собрать на коробочных опенсорсах.

Планируете внедрение всего этого за какой-то срок.

Что будет если какой-то сотрудник в вашей дырявой инфраструктуре скачает шифровальщика? И самое главное, кто будет в этом виноват

В компаниях с ограниченным ИТ бюджетом сложно работать.

 

[kubiq]

А если ляжет ваша наколенная поделка с осью в которой вы не особо разбираетесь? Кто будет виноват?

Все данные(ну большая по крайней мере часть) хранятся еще помимо нашего сетевого диска еще на ПК самих владельцев этих документов.
Как я уже писал выше, сейчас все висит на более менее мощном компьютере сотрудника который выполняет очень важные функции организации(бухгалтерия) и никаких там еще вдобавок знаний кибербезопасности нет, по этому словить условного шифровальщика и положить этот сетевой диск крайне велик ну и плюс вывод из строя жесткого диска.

У Вас какая должность?

it инженер. единственный на организацию

Что будет если какой-то сотрудник в вашей дырявой инфраструктуре скачает шифровальщика? И самое главное, кто будет в этом виноват

пройденный этап. человек положил все данные только на своем компьютере. в сеть он, к счастью не утек. По этому еще одна необходимость создать для них же хранилку данных, чтобы они зашифровав свой компьютер или схватив вирус который требует переустановки системы(чтобы из под консоли не выкачивать важные файлы которые как всегда хранятся на рабочем столе в папке "ВАЖНОЕ").

 

[Smith]

что бы от такого себя обезопасить надо не пускать компы юзеров в интернет на прямую. для этого есть прокси, тот же сквид. squid+clamav уже лучше чем ничего. Фаервольчик с ips можно использовать, ssl трафик он конечно не расчухает, но все же.

 

[kubiq]

что бы от такого себя обезопасить надо не пускать компы юзеров в интернет на прямую. для этого есть прокси

Человек запустил скрипт полученный через почту в письме о каких стройматериалах(мы вообще медицина) и скрипт был подписан символами. Тут уже защита именно как трафика вряд ли поможет, раз юзверь такое запускает.

 

[Smith]

IPS с модулем для почты это выпилить должен, есть системы скана почты.

Вы начинающий специалист?

 

[kubiq]

IPS с модулем для почты это выпилить должен, есть системы скана почты.

Это на коммутаторе ставится такая настройка? У нас будет обычный D-Link управляемый(модель не могу сказать точно, в течении скорого времени будет смена оборудования).

Вы начинающий специалист?

да

 

[Smith]

Это на коммутаторе ставится такая настройка?

нет. это может быть как отдельное устройство так и в составе многофункционального, например роутера или фаервола.

У нас будет обычный D-Link управляемый

это вообще ни о чем не говорит. знаю только, что очень бюджетная организация обычно не тратит денег на управляемые коммутаторы даже смартсвитч т.к. они гораздо дороже. Думается мне, что вы что-то путаете

 

[kubiq]

это вообще ни о чем не говорит. знаю только, что очень бюджетная организация обычно не тратит денег на управляемые коммутаторы даже смартсвитч т.к. они гораздо дороже. Думается мне, что вы что-то путаете

Я эту идею и продвинул, на покупку "умного" коммутатора.
Сейчас мы сидим за защищенным контуром администрации города и у нас так же стоит управляемый, однако в связи, что мы на выделенном канале - коммутатор управляется администрацией.

 

[Smith]

а зачем вам новый коммутатор, если у вас есть предыдущий?

Вообще все это странно. по мне так если есть администрация, то их спецы всем и занимаются, а человек на месте - эникейщик картридж поменять. Другой вопрос вы за каким то там защищенным контуром, но у вас при этом выделенный канал. Что вы подразумеваете под этим? И как за защищенным контуром можно было схватить шифровальщика?

 

[kubiq]

а зачем вам новый коммутатор, если у вас есть предыдущий?

мы тянем второй канал. защищенная сеть нужна для двух компов, остальные будут на новом открытом интернете с более высокой скоростью.

Что вы подразумеваете под этим?

перечень закрытых портов типа торрента и оутлука и открытый доступ к порталам администрации города(в основном по бухгалтерии).

И как за защищенным контуром можно было схватить шифровальщика?

трафик почты никак видимо не отслеживается и скачав с яндекс почты архив, пользователь запустил скрипт.

 

[Smith]

ну короче понятно. у вас будет канал в администрацию и канал в интернетик.
я бы за такое предлагал бы сразу казнить ) 20 тёть сидит и качает всякое гуано, а потом оно уходит в "защищенную" сеть администрации города.
:gilot:
при этом "админ" заявляет пущай себе сидят в своих ОК

Мне вот интересно, как будут подключаться эти 2 компа? 2 сетевухи? или они не будут ходить в быстрый интернет?

А зачем вам именно управляемый коммутатор? Какой будет маршрутизатор? какая вайфай точка?