www.podgoretsky.com

← →
KSergey © (2008-04-16 13:22) [160]

> Anatoly Podgoretsky © (16.04.08 13:14) [159]
> Я открыл сканирование портов, можешь убедиться, что ничего
> лишнего не открыто.

Увы, я сижу за мощными проксями и сам админством не занимаюсь, так что не смогу.
Впрочем, главное ведь (для публичного хостинга), чтобы злонамеренный скрипт не прорвался куда не след. Для не публичного - чтобы нельзя было подложить злонамеренный скрипт. Вот и все, наверное.

← →
KSergey © (2008-04-16 13:23) [161]

> Anatoly Podgoretsky © (16.04.08 12:05) [158]
> нас как раз переделывают внешнюю проводку и электрощитки,

Так кабель-то - от подстанции тянуть надо! Вот это дело будет. Лучше, конечно - от двух разных. :)

← →
Anatoly Podgoretsky © (2008-04-16 14:49) [162]

> KSergey (16.04.2008 13:22:40) [160]

Ну так я скажу, после того как я открыл пингование и сканирование, что бы было видно извне, иначе или ничего не видно, включая компьютер, или только копьютер без единого порта, то это позволило посмотреть извне, что у меня открыто, но раз ты за файрволом, то повторю - видно и доступно всего четыре порта

FTP, SMTP, HTTP, RDP

Права для FTP, только чтение, SMTP не открытый релей, HTTP тоже никакого ввода от пользователя, только чтение, RDP управляется через домен, если это будет недостаточно, то ограничу жестким списком определенных компьютеров.
Опыт администрирования файрволов с 1997 года, как только не долбали мои сервера, а это за десяток штук, но не смогли пробить защиту. Файрволы на основе ISA тоже работают более одного года. Но здесь особый случай - это SBS и это мой первый SBS - после опытной эксплуатации возможно перейду на Windows Server 2003 Standard R2, но только для перехода на ISA-2006, SBS не позволяет его устанавливать, а нем есть документированые проблемы, первую очередь с броадкастами, таймаутами (это то что у меня сейчас) и с VPN. Вызывает проблему только второе, первое просто надоедает сообщениями в логе. VPN пока нет замечаний, работает как нужно. Решение в рамках 2004 неизвестно, поскольку это на уровне ядра. В настоящее время я уже добился стабильной работы IIS, кроме сообщений в логах, что та или другая подсистема IIS не доступна, но это нормально, поскольку я их сам заглушил, а из ядра проверку не убрать, на работу не влияет, побочный фактор пропало OWA - но оно мне и особо не надо, я даже внешний POP3 запретил. Слишком много сервисов хотят сесть на порты 80 и 443, а делать виртуальные сайты нет смысла, от этого они не станут работать, делать же виртуальный сайт www.podgoretsky.com можно и это работает, но тогда default сайт (а это все службы SBS) будут доступны извне.
SBS хорош для организации корпоративного сайта, отлично проработан Intranet, но вот публичный сайт на нем получается плохой, или плевать на безопасность или не использовать Intranet, поскольку не конфигурируется штатными методами, а хакерским я не хочу.
SBS расчитан на мелкие корпорации с количеством машин до 75, резкое снижение стоимости, как по железу, так и по квалифицированому персоналу, все сделано для "ламеров" и в тоже время убраны и затруднены обычные средства для системного администратора, даже ИП сервера над менять через Визард, иначе будет то что у меня получилось в субботу.

В общем получается, что мне его по назначению удается процентов на 40, а то что мне нужно искуственно убрано или ограничено, но об этом я узнал на своей шкуре, после того как запустил и начал реально работать, а запускал я его 8 раз, по причине смены раидов и пару раз из-за неправильной инсталяции, капризный и неправильный диалог, то что предложено не работает, например нельзя базы перенести на другой диск, хотя в диалоге, это вторая страница, если перенести, то инсталяция неудачная и не заканчивается из-за ошибки. Правда это не проблема, можно перенести после установки штатными средствами, кроме толи файрвола, толи WSUS (уже не помню) - доступ к базе закрыт, подключиться для администрирования не возможно.

В общем получил как положительный, так и отрицательный опыт. :-)

← →
Anatoly Podgoretsky © (2008-04-16 15:04) [163]

> KSergey (16.04.2008 13:23:41) [161]

Новый кабель протянули два кода назад, сейчас переделывают подводку к квартирам, после этого можно будет внутреннею проводку сменить.

← →
XentaAbsenta © (2008-04-16 15:23) [164]

Полез в DDP, надеялся увидеть софтину для написания документации, обломчик получился

← →
Anatoly Podgoretsky © (2008-04-16 16:30) [165]

> XentaAbsenta (16.04.2008 15:23:44) [164]

Печально

Кстати, Анатолий, уже которую неделю хочу поблагодарить Вас за перевод книги по Инди!

Если будет возможность, постораюсь исправить неточности и очепятки в переводе. Если Вы, разумеется, не против :)

> БарЛог (16.04.2008 17:30:46) [166]

Я не против, но обычно я уже не возращаюсь к сделаной работе, но могу сделать исключение, особенно если это будет касаться неточностей.
Желательно в Ворде с цветовой расцветкой.

www.podgoretsky.com Найти похожие ветки