До сегодняшнего дня резервные копии баз MySQL я делал при помощи примитивного скрипта, в котором настройки подключения к серверу были жестко забиты в качестве параметров mysqldump. К сожалению, это не самый безопасный путь резервирования, так как любой другой пользователь, просмотрев список процессов, легко сможет увидеть рутовый пароль. Чем это чревато, думаю, объяснять не нужно. Сегодня [...]

Для тех кто не в курсе, iLO — это встроенная в сервера Hewlett-Packard технология управления ними. И могу сказать, что этой штукой довольно удобно пользоватся. Более подробно можно почитать в Википедии. Ну и, естественно, как и к любому другому интерфейсу управления, доступ к iLO очень желательно ограничить пакетным фильтром. Вот таблица используемых для работы TCP-портов, которые [...]

Ниже описывается способ, при помощи которого можно восстановить забытый пароль к коммутаторам Cisco Catalyst, равно как и подправить его конфигурацию, если штатным способом это сделать не получается. Для проведения процедуры необходимо подключиться к коммутатору терминальным клиентом (например putty) при помощи консольного кабеля. Скорость подключения, если кто не помнит, должна быть 9600 bps. Для начала нужно [...]

У каждого администратора сетевых устройств cisco время от времени возникает потребность предоставить доступ к девайсам «случайным» пользователям, которым необходимо выполнение лишь определенного ограниченного набора команд. Наиболее частый случай — использование команды show для просмотра конфигурации, состояния портов etc. В принципе, вроде как ничего сложного здесь нет. В устройствах cisco существуют уровни привилегий, настроив которые, можно добиться [...]

Практически во всех коммутаторах cisco catalyst имеется возможность указать MAC-адреса сетевых устройств, которые должны работать через определенный порт коммутатора. Этим самым можно немного повысить безопасность своей локальной сети. Делается это следующим образом. Для начала нужно явно перевести порт в режим access и включить на порту port-security. Далее, для того, чтобы не прописывать руками на каждом [...]

В устройствах cisco есть интересная особенность, которая позволяет упростить настройку IPSec для защиты GRE-туннелей. Называется она IPSec profile. Используется она следующим образом. Часть настроек остается без изменений. Определение политики isakmp для фазы 1: crypto isakmp policy 10 encr 3des authentication rsa-sig group 2 Далее, нам нужет transform-set: crypto ipsec transform-set SET1 esp-3des esp-sha-hmac mode transport [...]

Сразу оговорюсь, пост не мой, его попросила разместить одна скромная девушка . Опробовав схему Squid и LDAP-аутентификация из Active Directory обнаружила некоторые неудобства. (см. комментарии от Аnna) Вариант с NTLM мне не подходит т.к. для него нужно членство в домене и использование Samba, что меня не устраивает. Т.о. приходим к идее проверять пользователя через Kerberos. [...]