FAQ

Vint (vint@crazy.ru)

Спецвыпуск Xakep, номер #042, стр. 042-098-7

Q: Кэширующий прокси. Ставим?

A: ИМХО, да. Сможешь пускать юзеров в инет через прокси, что и нужно делать. По настройке и администрированию написано очень много, дам только несколько советов. Первое - вовсе не обязательно пользователям знать, что они юзают кэш-прокси, и некоторая часть инета идет оттуда, а не из сети. Делается это очень просто: необходимо настроить роутинг таким образом, чтобы пакеты, полученные с локального интерфейса по протоколу HTTP или FTP, шли на твой прокси-сервер, а не сразу в инет. Кстати, вовсе не нужно выделять под проксю отдельную машину, все можно разрулить на этом же хосте-роутере. Только не забудь поставить квоты на дисковое пространство, иначе загадят тебе хард, потом замучаешься удалять. А если правильно настроить политику, то не нужно постоянно пополнять warez-портал своей сети. Достаточно найти в сети скрипт, позволяющий проводить минимальный анализ логов скуида и отправлять сообщения определенного вида тебе на мыло. В логах будем искать ссылки на закачку ехе или архивных файлов и, при соблюдении определенных условий, необходимо скопировать эту свеженькую закачку из кэш-каталога в специальную директорию. Тебе остается периодически просматривать эту файловую помойку, а найдя ценные экземпляры, приделать к ним инфу и выложить в свою сеть как новенькую софтину.

Памятка

Никогда не давай никому пароль рута, даже самым близким и дорогим, даже если ты сменишь его через час. Ты можешь не успеть, или будет поставлена труднообнаружимая закладка. Используй только OpenSSL, никаких Telnet’oв, никаких r’login. Шифруйся, ибо снифинг трафа никто не отменял! Если юзаешь Webmin, то только локально, запрети на межсетевом экране порт webmin’a для внешних сетей. Модемщикам необходимо раздать статические IP-адреса, причем не реальные, а вида 192.168.*.*. Это необходимо, чтобы следить за порядком в сети, а точнее отлавливать горе-хацкеров по логам и IP-адресам. Поставь маршрутизацию HTTP-протокола через скуид. Таким образом ты вводишь экономию трафа при повышении скорости работы в сети (если посещаются уже закэшированные ресурсы). Старайся закрыть все внешние порты, без сервисов которых сервер будет работать нормально.

Никогда

- Никогда не отвергай помощь юзеров, часто к локальному инету тянутся очень незаурядные компьютерщики, способные оказать тебе помощь.

- Никогда не успокаивайся, даже если твой сервер работает как часы, старайся что-то улучшить, поднять. Когда программисту нечего делать, он настраивает цвета :).

- Никогда не разговаривай по телефону, одновременно занимаясь админингом серванта. Простейшими методами СИ тебе можно запудрить мозги и узнать много чего интересного.

- Никогда не экономь на интернете, который нужен для обновления ОС и сервисов. Очень часто цена мегабайта - карьера админа.