Witam.
Jestem po transformacji serwera z Microsoft SBS2003 na Debiana Lenny. Po 2 miesiącach konfiguracji i testowania serwer działa już stabilnie i chyba mam już wszystko poustawiane.
Myślę teraz o bezpieczeństwie systemu i proszę o poradę jak do tego się zabrać.
Mam na serwerze:
[INDENT]4GB RAM
2 x SCSII 40GB
2 x SCSII 80GB
1 x 250GB SATA[/INDENT]
I chciałem uruchomić RAID, ale nie wiem jak do tego się zabrać - tzn. jakie partycje i na jakich dyskach zaproponować.
Na serwerze jest samba, bind, LDAP, apache (moodle) i katalogi domowe dla około 350 użytkowników. W sieci mam jeszcze drugi serwer, który pełni rolę tylko serwera www, ale mogę z niego zrobić zapasowy kontroler domeny.
Jakbyście to skonfigurowali?
Debian Lenny, domena, samba, LDAP i 30 stacji Windows XP
Jak zabra
Wszystko zależy od twoich potrzeb.
Szczerze mówiąc konfiguracja twojego sprzętu troszkę ogranicza pole do popisu ze względu na różne rozmiary dysków twardych (stracone miejsce podczas tworzenia np. RAID poziomu 5). Jeśli wymagasz wysokiej dostępności to nie obędzie się bez RAID 1 na partycji systemowej.
Dalej to ciężko powiedzieć :-) Na czym zależy Ci najbardziej?
Szczerze mówiąc konfiguracja twojego sprzętu troszkę ogranicza pole do popisu ze względu na różne rozmiary dysków twardych (stracone miejsce podczas tworzenia np. RAID poziomu 5). Jeśli wymagasz wysokiej dostępności to nie obędzie się bez RAID 1 na partycji systemowej.
Dalej to ciężko powiedzieć :-) Na czym zależy Ci najbardziej?
-
dafr
Nie do końca dobrze zrozumiałeś.
Łączysz dwie 40 w RAID1 (czyli otrzymujesz lustrzane odbicie jednego dysku na drugim).
Potem z dwóch 80 GB dysków robisz RAID0 (czyli łączysz je w jeden dysk o podwójnej wydajności [teoretycznie] ale za to bez redundancji) i potem te nowo powstały dysk 160 GB łączysz w RAID1 z wydzieloną partycją z dysku 250GB. Przy tej konfiguracji masz znów redundantność (lustrzane odbicie jednego dysku na drugim) ale za to tracisz 90GB przestrzeni dyskowej ponieważ RAID dostosuje się do najmniejszej wydajności (w tym przypadku do 160GB).
To tyle jeśli chodzi o RAID. Dodatkowo musisz się zastanowić nad wykonywaniem kopii bezpieczeństwa bo sam RAID jest na trąbkę jeśli ktoś usunie Ci dane lub zrobi inne brzydkie rzeczy. Wspomniałeś o jakimś innym serwerze, proponuję dorzucić tam jakieś dwa dyski SATA 500GB (koszt marginalny), postawić tam też RAID1 i robić tam kopie bezpieczeństwa.
Myślę, że porada jaką podał Redhead wyczerpuje temat RAID-u. Proponuję jeszcze żebyś napisał nam dokładniej co Ty rozumiesz pod pojęciem zabezpieczenia serwera, na co możesz sobie pozwolić jeśli chodzi o dostępność. Bo najlepiej jest dobrać rozwiązanie do potrzeb.
Łączysz dwie 40 w RAID1 (czyli otrzymujesz lustrzane odbicie jednego dysku na drugim).
Potem z dwóch 80 GB dysków robisz RAID0 (czyli łączysz je w jeden dysk o podwójnej wydajności [teoretycznie] ale za to bez redundancji) i potem te nowo powstały dysk 160 GB łączysz w RAID1 z wydzieloną partycją z dysku 250GB. Przy tej konfiguracji masz znów redundantność (lustrzane odbicie jednego dysku na drugim) ale za to tracisz 90GB przestrzeni dyskowej ponieważ RAID dostosuje się do najmniejszej wydajności (w tym przypadku do 160GB).
To tyle jeśli chodzi o RAID. Dodatkowo musisz się zastanowić nad wykonywaniem kopii bezpieczeństwa bo sam RAID jest na trąbkę jeśli ktoś usunie Ci dane lub zrobi inne brzydkie rzeczy. Wspomniałeś o jakimś innym serwerze, proponuję dorzucić tam jakieś dwa dyski SATA 500GB (koszt marginalny), postawić tam też RAID1 i robić tam kopie bezpieczeństwa.
Myślę, że porada jaką podał Redhead wyczerpuje temat RAID-u. Proponuję jeszcze żebyś napisał nam dokładniej co Ty rozumiesz pod pojęciem zabezpieczenia serwera, na co możesz sobie pozwolić jeśli chodzi o dostępność. Bo najlepiej jest dobrać rozwiązanie do potrzeb.
-
dafr
Jak połączę (80 SCSI z 80 SCSI) i z 160 SATA to szybkość zapisu równa się szybkości SATA, to nie byłoby dobre bo tam chcę trzymać katalogi domowe.
Zabezpieczenie? No cóż - jest to szkoła (LO) na tym serwerze stoi domena z połączeniem internetowym i wszystkie komputery w szkole: biblioteka, sekretariat. Zależy mi na tym aby serwer był jak najmniej awaryjny, a jeśli już padnie system to można go było reanimować powiedzmy w ciągu godziny. Nie zależy mi na super zabezpieczeniach przed włamaniem.
Mam pytanie jeszcze, odnośnie zapasowego kontrolera domeny, czy konta i hasła automatycznie się synchronizują, czy trzeba to robić ręcznie?
Zabezpieczenie? No cóż - jest to szkoła (LO) na tym serwerze stoi domena z połączeniem internetowym i wszystkie komputery w szkole: biblioteka, sekretariat. Zależy mi na tym aby serwer był jak najmniej awaryjny, a jeśli już padnie system to można go było reanimować powiedzmy w ciągu godziny. Nie zależy mi na super zabezpieczeniach przed włamaniem.
Mam pytanie jeszcze, odnośnie zapasowego kontrolera domeny, czy konta i hasła automatycznie się synchronizują, czy trzeba to robić ręcznie?
Na to pytanie też chyba nie ma jednoznacznej odpowiedzi. Zależy jaką masz odmianę SCSI (o jakiej przepustowości) i jaki standard SATA. Dla przykładu: Wikipedia mówi nam że standard Ultra4 SCSI to maksymalny transfer 320 MB/s, natomiast SATA II ok. 375 MB/s. Nie dam sobie uciąć prawicy że na danych z wiki można się w 100% opierać, dlatego polecam Ci doczytać dokładnie w sieci na ten temat.
Zastanów się co jest twoim priorytetem. Czy działanie serwera jako takiego, czy dostępność danych uczniów (ich katalogi domowe), czy konfiguracja usług (domena, wyjście w świat itp), czy może jeszcze coś innego. Jak już opracujesz sobie taką listę priorytetów, sprawdź czasy przywrócenia serwera z kopii zapasowej, przywrócenia danych uczniów z kopii zapasowej itp. Bo może się np. okazać że dane uczniów są dla Ciebie na tyle mało istotne, że nie trzeba do nich tworzyć RAID'u a wystarczy tylko kopia zapasowa i jej ewentualny czas przywrócenia.
W sprawie kontrolera się nie wypowiem, bo wiedzy nie posiadam. Ale pewnie bardziej doświadczeni koledzy pomogą.
Zastanów się co jest twoim priorytetem. Czy działanie serwera jako takiego, czy dostępność danych uczniów (ich katalogi domowe), czy konfiguracja usług (domena, wyjście w świat itp), czy może jeszcze coś innego. Jak już opracujesz sobie taką listę priorytetów, sprawdź czasy przywrócenia serwera z kopii zapasowej, przywrócenia danych uczniów z kopii zapasowej itp. Bo może się np. okazać że dane uczniów są dla Ciebie na tyle mało istotne, że nie trzeba do nich tworzyć RAID'u a wystarczy tylko kopia zapasowa i jej ewentualny czas przywrócenia.
Nie polecam takiego podejścia do tematu ;-) Jak już się brać za bezpieczeństwo to na całego, tym bardziej że systemu linuksowe mają wszystkie niezbędne do tego narzędzia.Nie zależy mi na super zabezpieczeniach przed włamaniem.
W sprawie kontrolera się nie wypowiem, bo wiedzy nie posiadam. Ale pewnie bardziej doświadczeni koledzy pomogą.
-
dafr
jeżeli chodzi o dyski to mam takie:
segate ST336938LW
Ultra160 SCSI
36.95 GB
7200 rpm
8.5 ms
cache 2MB
Fujitsu MAW3073NC
Ultra320 SCSI
73GB
10000 rpm
3.3 ms
cache 8MB
(Pomyliłem się, na drugim serwerze ma 250 a tutaj 320GB)
WD3200AAKS SATA 3 Gb/s
320GB
7200
read/write = ok 10ms
sache 16 MB
Jeżeli chodzi o bezpieczeństwo to mam od WAN router DSL z firewall + przepuszczone 80, i 21 przekierowane z 33021 i 22 przekierowane z 33022. Na debianie iptables wpuszczam: 20:22, 53,80,81,123,137:139,389(LDAP), 445. Nie wiem, ale wydaje mi się to wystarczające na moje potrzeby.
Dla potrzeb sieci wystarczy mi właściwie ok 80GB przestrzeni na serwerze stąd moja myśl o postawieniu RAID + kopia zapasowa. Aktualnie debian stoi na 40GB, konta na 80GB a reszta leży odłogiem - szkoda, żeby się marnowało.
Nie rozumiem jeszcze dlaczego takie rozwiązanie (80+80) + 160. Nie lepiej spiąć tylko 80-tki a zastawić 320GB osobno na kopie zapasowe?
segate ST336938LW
Ultra160 SCSI
36.95 GB
7200 rpm
8.5 ms
cache 2MB
Fujitsu MAW3073NC
Ultra320 SCSI
73GB
10000 rpm
3.3 ms
cache 8MB
(Pomyliłem się, na drugim serwerze ma 250 a tutaj 320GB)
WD3200AAKS SATA 3 Gb/s
320GB
7200
read/write = ok 10ms
sache 16 MB
Jeżeli chodzi o bezpieczeństwo to mam od WAN router DSL z firewall + przepuszczone 80, i 21 przekierowane z 33021 i 22 przekierowane z 33022. Na debianie iptables wpuszczam: 20:22, 53,80,81,123,137:139,389(LDAP), 445. Nie wiem, ale wydaje mi się to wystarczające na moje potrzeby.
Dla potrzeb sieci wystarczy mi właściwie ok 80GB przestrzeni na serwerze stąd moja myśl o postawieniu RAID + kopia zapasowa. Aktualnie debian stoi na 40GB, konta na 80GB a reszta leży odłogiem - szkoda, żeby się marnowało.
Nie rozumiem jeszcze dlaczego takie rozwiązanie (80+80) + 160. Nie lepiej spiąć tylko 80-tki a zastawić 320GB osobno na kopie zapasowe?