Альтернативный SSH клиент KiTTY

Для системного администратора, подключение к удаленным серверам на linux - обыденное дело. Обычно для этого используется известный в широких кругах клиент PuTTY, и он достаточно удобен. Но, как ни крути, недостатки в нем есть. Например, когда у тебя не одно, или два, а пара сотен соединений, то хотелось бы это все разместить в какую-то логическую структуру - по папкам. Также удобен был бы поиск по соединениям. Именно с такой целью создавался KiTTY - для удобства.

Вот цитата со страницы программы:

"KiTTY — это модифицированная версия программы PuTTY версии 0.61, лучшего telnet / SSH клиента в мире."

Сейчас рассмотрим основные возможности клиента.

Разграничение доступных ресурсов для групп пользователей на сервере терминалов

Довольно часто возникает необходимость разграничить возможности пользователей сервера терминалов. Например, менеджер создает и распечатывает расходную накладную, отправляет получателя с документами на склад. В свою очередь, кладовщик сверяет накладную с данными в учетной программе, отпускает материальные ценности и делает соответствующие отметки в программе. Однако кладовщик не должен иметь прав распечатывать что-либо или копировать в буфер обмена.

Безусловно, подобное реализуется изменением настроек подключения клиента, но более-менее грамотный пользователь может сменить их. Групповая политика безопасности? Да. Но что делать, если нет контроллера домена, а "подымать" его для 5-10 пользователей особого смысла нет?

Для решения подобной задачи создаем два подключения к серверу на разных портах с независимыми настройками для двух групп. А чтобы пользователи одной группы не могли воспользоваться подключением для другой, в настройках каждого подключения делаем соответствующие разрешения. Далее приведу пошаговый пример.

Мониторинг и оповещения состояния критичных приложений

Со временем все ИТ-специалисты понимают, что лучше предупреждать проблемы? чем потом «разгребать» их последствия. Основными инструментами, которые помогают в этом не легком деле, есть автоматизация и мониторинг. Поскольку в любой компании есть программные продукты, на которых все завязано, и простой которых несет за собой громадные убытки, необходимо постоянно следить за их состоянием и быстро реагировать на возникающие проблемы.

Самым лучшим показателем состояния «здоровья» любой программы служат ее логи, но постоянно заходить и смотреть их – не целесообразно: лучше, чтобы программа сама сообщала, когда ей «плохо». Ниже описан способ мониторинга ошибок в логах любой программы с помощью бесплатной системы мониторинга корпоративного класса Zabbix.

Для примера, возьмем мониторинг логов программного продукта Microsoft SQL Server, его экземпляра, который называется просто MSSQL.

Сборка тонкого клиента Thinstation

В предыдущем посте мы построили сервер PXE для централизованной загрузки тонких клиентов. И не смотря на то, что в сети есть много примеров образов тонких клиентов, вряд ли всем они смогут подойти. Поэтому в этой статье рассмотрим процедуру сборки образа тонкого клиента. Для этого нам понадобится рабочая станция под управление ОС Linux (я буду использовать CentOS) и платформу Thinstation (последнюю версию можно взять здесь).

Скачанный архив распаковываем в любую папку. Установка платформы проходит автоматически. Для установки необходимо выполнить команду:

./setup-chroot

Настройка Web-фильтрации на маршрутизаторах Juniper SRX

Многие компании после внедрения проектов по безопасности локальной сети, и создания надежных шлюзов хотят расширить возможности и  внедрить новые методы, который призваны обезопасить бизнес.

            Один из типовых примеров, использование маршрутизаторов Juniper SRX, в качестве WEB-фильтра. Начиная с версии JunOS 12.1 данная возможность в них появилась используя Unified Threat Management. Данная опция лицензируется отдельной програмной лицензией и может быть куплена как у дилеров, так и заказан триал на официальном сайте производителя.

Лицензия имеет название — anti_spam_key_sbl и её наличие можно проверить командой – show system license. (Для установки ключа воспользуемся командой –  request system license add terminal)

            И так, лицензию мы получили/установили, и теперь нам необходимо настроить политики и объекты для фильтрации. Для начала создадим два списка содержащий запрещённые и разрешенные сайты:

Безопасный доступ к консоли Windows и автоматизация выполнения удаленных команд

Многие ИТ-специалисты применяют удаленное подключение к командной строке различных устройств, наиболее популярным протоколом является SSH в силу того, что он обеспечивает безопасное соединение. SSH используется для управления аппаратными роутерами и коммутаторами, а также для подключения к серверам на базе *Nix операционных систем. В стандартном наборе компонентов Windows нет SSH сервера, но его возможно установить отдельно. Возьмем, например, FreeSSHd - это бесплатный SSH сервер, который возможно скачать с сайта разработчика.

            Устанавливается он как обычное приложение и интегрируется в виде службы. Заходим в свойства и выполняем основные настройки. Выглядит окно настроек следующим образом:

Реализация концепции тонкого клиента в сети предприятия

В процессе внедрения одного из клиентов была поставлена задача из «зоопарка» старых рабочих станций построить отказоустойчивую систему работы с сервером терминалов.

Для реализации задания на уровне рабочих станций была выбрана концепция тонких клиентов, загружаемых по сети с двух серверов PXE.

Для воплощения схемы в жизнь понадобится: сервер, на котором собственно будет реализован PXE-сервер, DHCP-сервер (можно использовать два в одном).

Этап 1. Настройка DHCP-сервера

В конфигурации DHCP-сервера необходимо добавить опцию “next-server”, описывающий IP-адрес сервера PXE.

Приведу пример конфигурации DHCP-сервера на Cisco 881:

Конвентируем .bat в .exe

В повседневной практике ИТ-администраторы, с целью автоматизации, часто используют простые скрипты, которые хранятся в файлах *.bat. Но у "батников" есть один веский недостаток – его легко открыть, посмотреть код изменить и т.д. Часто для осуществления автоматических подключений, запусков приложений и пр. в файле сценария должны содержатся учетные данные доступа, но хранить его в таком виде очень не безопасно.

 Для того, чтобы избежать вышеуказанных недостатков можно компилировать bat-файл в exe, который не так просто "распарсить", и получить из него строки кода или данные для аутентификации. 

Для подобных целей существует простая бесплатная программа "Bat To Exe Converter", которую можно свободно скачать с сайта производителя.

Программа проста в использовании и выглядит следующим образом: