Полезные утилиты для системных администраторов. Управление сетями. Правила для системного администратора

Системный администратор постоянно ведет борьбу за свободное дисковое пространство. Это касается как пользовательских систем, так и серверов. Иногда можно быстро определить, какие файлы занимают диск, но, находясь в спешке (форс-мажорная ситуация) или когда проблема не очевидна, на помощь придет бесплатная программа — WinDirStat .

С ее помощью можно быстро определить размер каталогов, файлов, их структуру и размещение на диске. Имеется несколько режимов отображения, среди них привычный нам «Проводник», а также графическое изображение занятого пространства диска.

Анализ сетевых пакетов и устранение неполадок в сетевой инфраструктуре достаточно трудоемкая задача, требующая подготовки. Бесплатный инструмент Wireshark позволит облегчит процесс обучения и анализа трафика благодаря его многочисленным функциям. Один взгляд на это ПО вызовет интерес и желание установить данную утилиту для дальнейшего ознакомления. На страницах проекта сайт обязательно появятся материалы, посвященный программе Wireshark — следите за обновлениями.

Кто не знает PuTTY? Пожалуй, это одна из немногих программ, которая используется всеми IT специалистами. Для тех, кто еще не знаком с ней — вот кратное описание. PuTTY — эмулятор терминала. Если вам нужно выполнить последовательное подключение (COM), Telnet, SSH, TCP, Rlogin — это программа для вас.

AMANDA Network Backup — система резервного копирования данных, использующая базовый (центральный) сервер и клиенты для разных ОС: Windows, Linux, Solaris, Mac OS X. При этом доступна запись на диски, ленты и облачные хранилища. Принцип работы хорошо изображен на рисунке ниже:

Nmap — свободная утилита, предназначенная для разнообразного настраиваемого сканирования IP-сетей с любым количеством объектов, определения состояния объектов сканируемой сети (портов и соответствующих им служб). Изначально программа была реализована для систем UNIX, но сейчас доступны версии для множества операционных систем.

PowerGUI — позволяет упростить сборку собственных сценариев PowerShell до простого выбора необходимых командлетов, которые подходят для Вашей задачи, и перетаскивания их в нужные места. Идеально подходит для тех, кто являются новичком в работе с PowerShell, но имеете базовое понимание концепций. PowerGUI - простой в использовании редактор, который, вероятно, усовершенствует Ваше понимание сборки более сложных и усовершенствованных сценариев, особенно если Вы лучше всего усваиваете информацию визуально.

.

VirtualBox — легкая и доступная виртуализация для разлиных ОС (Windows, Linux, Max OS и др.) Подробнее о данном ПО читайте .

ClamWin — бесплатный антивирус для ОС семейства Windows (все редакции). К возможностям относят:

• Планировщик сканирования по расписанию.
• Автоматическое обновление антивирусной базы.
• Антивирусный сканер.
• Интеграция в контекстное меню Проводника в Windows.
• Плагин для Microsoft Outlook.
• Возможность работы с флэшки или компакт-диска без необходимости установки.

Конечно, существует множество антивирусных программ, но данный продукт включен в сегодняшнюю статью из-за открытого программного кода и доступности.

Данная надстройка позволяет в удобном режиме управлять виртуальными машина в облаке Microsoft Azure.

Отличный быстрый мультиплатформенный сканер сети.

На этом все. Оставляйте в комментариях программы и сервисы, которые используете в своей работе. Удачи!

Встроенные средства администрирования ОС и ПО, часто не всегда удобны или функциональны, поэтому арсенал сисадмина со временем обрастает полезными утилитами, упрощающими некоторые задачи. При этом многие решения доступны совершенно бесплатно и покрывают самые разные аспекты системного администрирования: от настройки определенных параметров, управления учетными записями аудита, устранения неисправностей и резервного копирования. С их помощью можно не только обеспечить бесперебойную работу инфраструктуры ИТ, но и сделать ее более эффективной и безопасной. Рассмотрим 15 наиболее полезных решений затрагивающих разные сферы администрирования.

Advanced IP Scanner

Сисадмин должен знать все о системах работающих в сети и быстро получать к ним доступ, но используя Сетевое окружение Windows этого сделать нельзя. Эту задачу может решить программа Advanced IP Scanner (radmin.ru/products/ipscanner), предназначенная для быстрого многопоточного сканирования локальной сети. Предоставляется AIPS совершенно бесплатно, без каких либо оговорок. Программа очень проста и понятна в работе. После запуска AIPS проверяет IP сетевых интерфейсов ПК на котором она установлена и автоматически прописывает IP диапазон в установки сканирования, если IP менять не нужно, то остается просто запустить операцию сканирования. В результате получим список всех активных сетевых устройств. Для каждого будет собрана вся возможная информация: MAC-адрес, производитель сетевой карты, сетевое имя, зарегистрированный в системе пользователь, доступные общие ресурсы и сервисы (общие папки, HTTP, HTTPS и FTP). Практически все параметры сканирования можно настроить — изменить скорость, исключить проверку определенного типа сетевых ресурсов (общие папки, HTTP, HTTPS и FTP) и сервера Radmin. К любому ресурсу можно подключиться одним кликом, достаточно лишь отметить его в списке. Также AIPS интегрирована с программой Radmin и в процессе сканирования находит все машины с работающим Radmin Server. Результат сканирования можно экспортировать в файл (XML, HTML или CSV) или сохранить в «Избранном» (поддерживается Drag&Drop) и далее обращаться к нужному ПК по мере необходимости, не пересканируя повторно сеть. Если удаленное устройство поддерживает функцию Wake-On-Lan его можно включить и выключить, выбрав соответствующий пункт меню.
Поддерживается работа AIPS на любом компьютере работающем под управлением Windows, программа имеет статус Microsoft Platform Ready, Windows 7 Compatible.

NetWrix Inactive Users Tracker

Компания NetWrix специализирующаяся на разработке решений для аудита изменений IT-инфраструктуры, предлагает сисадминам 10 бесплатных и очень полезных утилит (goo.gl/sfQGX) позволяющий заметно упростить администрирование ОС Windows. Например, NetWrix Inactive Users Tracker (goo.gl/jWEj9) позволяет решить одну из насущных проблем безопасности — наличие неактивных учетных записей, которыми некоторое время ни кто не пользуется (уволенные сотрудники, командировка, перемещение по должности, временная и т.п.). ИТ-отдел редко предупреждают об изменениях, но таким аккаунтом может запросто воспользоваться злоумышленник или просто “вернуться” уволенный сотрудник. Утилита периодически проверяет все учетные записи в доменах и сообщает о тех, доступ к которым не осуществлялся в течение определенного количества дней. В версии Free в качестве действий возможно указать лишь предупреждение по email (достаточно задать параметры SMTP), все остальные операции админ производит вручную, хотя и предупреждения в нашем случае достаточно. В платной доступны — автоматическая установка случайного пароля, деактивация учетной записи и перемещение в другой OU и фильтр OU для поиска учетных записей. Отдельно предлагается PowerShell командлет get-NCInactiveUsers позволяющий получать список неактивных пользователей (проверяя атрибут «lastLogon») и упростить написание соответствующих скриптов.

WinAudit Freeware

WinAudit бесплатная утилита (в т.ч. для коммерческого использования) от компании Parmavex Services (pxserver.com/WinAudit.htm), позволяющая произвести полный аудит системы. Не требует установки, может запускаться и в командной строке. Программа обладает простым и локализованным интерфейсом, может запускаться на всех версиях Windows в том числе и 64-битных. Сами данные собираются примерно минуту (может варьироваться в зависимости от операционной системы и конфигурации компьютера), результирующий отчет состоит из 30 категорий (можно настроить). В результате админ может получить данные: о системе, установленном ПО и обновлениях с указанием версии и вендора, подключенных устройствах, список открытых сетевых портов (номер, сервис, программа и прочее) и открытых папок, активные сессии, установки безопасности, права доступа к периферии, учетные записи и группы, список задач/сервисов, программы в автозапуске, записи журналов и системной статистики (uptime, использование памяти, дисков) и многое другое. По сути все, что обычно требуется в процессе работы. Также можно задать поиск определенных файлов по имени. Например, чтобы найти музыку и видео на жестких дисках пользователя достаточно просто задать соответствующие расширения (avi, mp3 и т.п.). Результат можно открыть как веб-страницу, экспортировать в файл многих популярных форматов (xml, csv, pdf, текстовый), базу данных (при помощи мастера, поддерживается все популярные MS SQL, MS Access, MySQL, Oracle и другие), отправить по email и распечатать.

Учет компьютеров CheckCfg

Проблема учета оргтехники и используемого ПО остро стоит в любой организации, решить ее можно разными способами, один из вариантов предлагает разработчик CheckCfg (checkcfg.narod.ru) Андрей Татуков. Это решение периодически собирает данные о «железе», ОС и программах, включая тип CPU, объем ОЗУ, место на дисках, состояние S.M.A.R.T., информацию о модемных соединениях и прочее. При этом CheckCfg легко управляется с несколькими сотнями компьютеров. Результат выводится в удобной древовидной форме, к локальным каталогам легко получить доступ. Всем ПК может присваиваться инвентаризационный номер, при необходимости легко сгенерировать отчет в RTF формате. Состоит CheckCfg из нескольких компонентов. За непосредственный сбор данных о компьютере “отвечает” CheckCfg, который стартует при старте ОС и записывает результат в файл. Управление и архивация информации производится при помощи программы учета — Sklad, которая обрабатывает файлы созданные CheckCfg и сохраняет в свою базу данных, после чего можно формировать отчеты. При помощи программы Sklad_w можно в удобной форме, просматривать текущие конфигурации компьютеров и основные данные по оргтехнике (по IP-адресам, CPU, Memory, ПО). Для анализа изменений в конфигурации ПК и оповещения об этом администратора используется еще одна утилита — Doberman. Настройка, возможно покажется не совсем нативной, так как предстоит вручную создать нужные конфигурационные файлы, но описание на сайте и имеющиеся шаблоны позволяет без проблем со всем разобраться.
Распространяется CheckCfg бесплатно по принципу «как есть», без согласия автора запрещается лишь продажа программ третьим лицам или изменение кода программ.

MailArchiva Open Source Edition

Бизнес процессы в любой современной компании, независимо от размера, немыслимы без электронной почты. Это очень удобный инструмент для обмена информацией, как внутри предприятия, так и с внешними корреспондентами. Некоторые почтовые серверы вроде MS Exchange имеют функции архивирования почты, позволяющие при необходимости найти старые сообщения, в том числе и при расследовании инцидентов для выявления утечки конфиденциальной информации. В остальных случаях приходится обеспечивать нужные функции самостоятельно. Вариантом решения является разработка компании MailArchiva (mailarchiva.com), обеспечивающая нужную функциональность и совместимую с большинством современных почтовых серверов среди которых — Lotus Domino, MS Exchange, MDaemon, Postfix, Zimbra, Sendmail, Scalix, Google Apps и другие. Возможно архивирование по протоколам SMTP, IMAP/POP3, WebDAV и через Мilter (программа имеет встроенный SMTP и milter сервер, IMAP/POP клиент). Чтобы не собирать всю почту, можно создавать любые правила архивации. Реализовано три уровня доступа к сохраненным данным — пользователь (только своя почта), администратор (настройки и своя почта) и аудитор (вся почта, можно ограничить правилами). В OpenSource версии MailArchiva (openmailarchiva.sf.net) также реализованы функции интуитивного поиска, включая среди вложения (Word, Powerpoint, Excel, OpenOffice, PDF, RTF, ZIP, tar, gz). Работает MailArchiva на множестве ОС — Windows, Linux, OS X и FreeBSD.

Performance Analysis of Logs

В случае проблем с производительностью системы, обнаружить узкое место при помощи штатного Windows Performance Monitor, не имея опыта, очень сложно. Для того чтобы разобраться в том какие метрики нужно снимать и как правильно интерпретировать результат понадобится чтение документации. Утилита PAL (Performance Analysis of Logs, pal.codeplex.com) заметно упрощает эту задачу. После запуска она просматривает журналы и анализирует их при помощи встроенных шаблонов. В настоящее время имеются настройки для большинства популярных продуктов MS — IIS, MOSS, SQL Server, BizTalk, Exchange, Active Directory и другие. После запуска администратор в PAL Wizard активирует нужные счетчики, просто выбрав шаблон из списка предложенных, указывает текущие настройки сервера (количество CPU и т.п.), интервал анализа и каталог для сохранения результата. После запуска, через некоторое время получает подробный отчет в HTML и XML, содержащий описание, имя счетчика, и показатели (Min, Avg, MAx и Horly Trend). Отчет затем можно легко скопировать в любой документ. Единственное, что далее разбираться в собранным параметрах придется все равно самостоятельно. Хотя если PAL показывает, что характеристика находится в зеленом секторе волноваться точно не стоит. Сам запрос сохраняется в скрипте PowerShell PAL.ps1, который можно сохранить для дальнейшего использования. Шаблоны представляют собой XML файлы, взяв за пример любой, можно создать свой. Для редактирования параметров в шаблоне предлагается встроенный редактор PAL Editor.
Официально поддерживается Win7, но работает на всех ОС от MS начиная от WinXP (32/64). Для установки понадобится PowerShell v2.0+, MS .NET Framework 3.5SP1 и MS Chart Controls for Microsoft .NET Framework 3.5.

Создаем точку доступа с Virtual Router

Ситуация когда компьютер с WiFi картой необходимо превратить в точку доступа сегодня отнюдь не редка. Например, нужно быстро подключить компьютеры в сети или расширить зону покрытия WiFi. Изначально работа сетевой карты предусматривалась только в одном из двух режимов: точка-точка, когда клиенты подсоединяются друг к другу или как точка доступа. Других вариантов не предлагалось. Но в Win7/2k8 (кроме Win7 Starter Edition) появилась возможность виртуализировать сетевые соединения, когда можно создавать несколько WiFi модулей со своими настройками использующих один физический WiFi адаптер. То есть такой компьютер работает в беспроводной сети и в то же время является еще и точкой доступа. Соответствующие технологии получили название Virtual Wi-Fi (в Intel есть My WiFi), когда один из адаптеров можно настроить в режиме Software Access Point (SoftAP). Соединение с таким виртуальным хотспотом защищено при помощи WPA2. Большинство WiFi карт совместимых с новыми ОС как правило поддерживают работу в таком режиме. Превратить ПК с Win7/2k8R2 в точку доступа можно при помощи консольной утилиты Netsh и через Центр управления сетями и общим доступом, хотя многие не любят возиться с установкой всех параметров. Поэтому можно рекомендовать приложение Virtual Router доступное в CodePlex (virtualrouter.codeplex.com) имеющее понятный GUI и очень простые настройки. После запуска Virtual Router нужно лишь указать SSD и пароль для доступа, после чего активировать точку доступа. При необходимости остановить работу хотспота можно также нажатием одной кнопки. Дополнительно в окне отображаются текущие подключения к точке, для каждого можно задать свой значок и изменить некоторые параметры.

Управление RDC подключениями — RDCMan

Для удаленного управления серверами и ПК работающими под Win используется оснастка Remote Desktop Connection. Если соединений с различными настройками много, то работать с ней несколько неудобно. Вместо сохранения индивидуальных настроек для каждого компьютера, можно использовать бесплатный инструмент Remote Desktop Connection Manager (RDCMan) несколько автоматизирующей этот процесс. Скачать RDCMan можно со страницы goo.gl/QHNfQ. После запуска следует указать настройки RDG подключения, которые будут использоваться по умолчанию и наследоваться всеми. Здесь задаем общие учетные данные, шлюз, установки экрана, параметры безопасности и многое другое. Далее создаем нужное количество групп систем (например, по назначению, расположению, версии ОС и т.п.) для каждых указываются специфические настройки соединения, отличные от общих и которые будут наследоваться входящими в состав ПК. И последним шагом заполняемся группы системами. Для добавление сервера следует ввести только его доменное имя, хотя если любой параметр будет отличаться от настроек групп его можно тут же переопределить. При необходимости системы легко перемещаются между группами перетаскиванием. Если систем много, проще подготовить текстовый файл, указав по одному имени в строке, после чего скормить утилите. Теперь чтобы подключиться достаточно выбрать нужный сервер и в контекстном меню пункт Connect. Можно одновременно активировать несколько соединений, переключаясь между ними. Если пространства мало, окно легко отсоединяется. Для работы подойдет любая ОС поддерживающая RDC 6 и выше.

Free Active Directory Tools

Управлять многими параметрами Active Directory при помощи штатных инструментов не всегда просто и удобно. В некоторых ситуациях поможет комплект утилит Free Active Directory Tools (goo.gl/g11zU) разрабатываемый компанией ManageEngine и распространяемый бесплатно. Комплект состоит из 14 утилит, запускаемых из одной оболочки. Для удобства они разбиты на 6 групп: AD USer Report, SharePoint Report, User Management, Domain and DC Info, Diagnostic Tools и Session Management. Например, запуск Empty Password User Report позволит получить список учетных записей с пустыми паролями, GetDuplicates — получить аккаунты с одинаковыми атрибутами, CSVGenerator — сохранить в CSV файл данные аккаунтов Active Directory. А еще: отчет о времени последнего входа в систему, получение данных из AD на основе запроса, отчеты по установкам SharePoint, управление локальными учетными записями, просмотр и редактирование политик паролей домена, получение списка контроллеров домена и их ролей, управлять их репликацией, производить мониторинг их работы (загрузка CPU, ОЗУ, жестких дисков, производительность и т.п.), статус DMS портов, управление терминальными сессиями и многое другое. Установка и использование FADT очень просты, для работы некоторых утилит потребуется PowerShell. Также следует отметить, что ManageEngine предлагает несколько других полезных для админа пакетов, список которых можно найти на сайте компании.

Comodo Time Machine

Возможность восстановления системы при помощи System Restore заложена в Win начиная с ХР, но ее функциональность мягко говоря ограничена, поэтому для бэкапа часто используют сторонние приложения. Бесплатная утилита Comodo Time Machine (comodo.com) позволяет сделать откат ОС до любого предыдущего состояния. Причем будет она работать даже в том случае, когда ОС совсем перестала загружаться. В процессе CTM создает точки восстановления (вручную или по расписанию), в которые заносятся все измененные системные файлы, реестр, а также файлы пользователя. В последнем большое преимущество перед System Restore, которая сохраняет и восстанавливает только системные файлы и реестр. Наибольшее место занимает первая копия, остальные сохраняют лишь измененные файлы. Чтобы экономить место, следует периодически создавать новую контрольную точку, удаляя старые архивы. Для возможности восстановления ОС, информация о CTM прописывается в загрузочный сектор, чтобы вызвать соответствующее меню достаточно нажать клавишу Home. Восстанавливать состояние ОС можно также по расписанию, например настроить поведение утилиты так чтобы при каждой перезагрузке производится автоматический откат к «чистой» версии системы. Это будет полезно например в интернет-кафе, где пользователи после себя оставляют в системе много мусора. Кроме полного восстановления ОС можно получить из архива более раннюю версию любого файла. Реализован поиск, поэтому найти нужные данные можно без проблем.

Amanda

Задачу централизованного бэкапа рабочих станций и серверов работающих под управлением Windows и *nix можно решить при помощи AMANDA (Advanced Maryland Automatic Network Disk Archiver, amanda.org). Изначально Amanda была создана для работы с ленточными накопителями, но со временем появились доработки “виртуальные ленты” (vtapes) позволяющие сохранять собранные данные на жесткие диски и CD/DVD. AMANDA является удобной надстройкой к стандартным Unix программам dump/restore, GNU tar и некоторым другим. Поэтому его основные характеристики следует рассматривать именно исходя из возможностей этих базовых утилит. Работает по клиент-серверной схеме. Для доступа к компьютерам используется все доступные методы аутентификации: Kerberos 4/5, OpenSSH, rsh, bsdtcp, bsdudp или пароль Samba. Для сбора данных с Windows систем также используется специальный агент или как вариант Samba. Для сбора данных используется свой протокол работающий поверх UDP или TCP. Сжатие и шифрование (GPG или amcrypt) информации можно производить как непосредственно на клиенте, так и на сервере. Все настройки параметров резервирования производятся исключительно на сервере, в поставке имеются готовые шаблоны, поэтому разобраться очень просто.

Core Configurator 2.0 for Server Core

Первоначальная настройка сервера работающего под управлением Win2k8R2 в режиме Server Core производится в консоли при помощи команд, поэтому новички не очень любят этот режим. Чтобы упростить задачу разработчики ОС добавили интерактивный скрипт SCONFIG.cmd позволяющий настроить основные параметры системы. Но как говорится лучшее — враг хорошего. На Сodeplex доступен замечательный конфигуратор Core Configurator (coreconfig.codeplex.com). Для его работы понадобится наличие компонентов NetFx2-ServerCore, NetFx2-ServerCore и PowerShell. После запуска Start_CoreConfig.wsf получаем меню, в котором находим несколько пунктов, обеспечивающих доступ к основным настройкам, которыми пришлось бы управлять из командной строки: активация продукта, настройка разрешения экрана, часов и временных зон, сетевого интерфейса, установка разрешений для удаленных RDP подключений, управление локальными учетными записями, настройки Windows Firewall, включение/отключение WinRM, указать имя компьютера, рабочей группы или домена, настроить роли и компоненты, Hyper-V и запустить DCPROMO. Все в очень понятной форме. Если установить флажок Load at Windows startup, то программа будет загружаться вместе с системой.

Exchange 2010 RBAC Manager

В Exchange 2010 появилась новая ролевая модель доступа позволяющая очень точно контролировать уровень привилегий для пользователей и администраторов в зависимости от выполняемых задач и использующий три разных способа выдачи разрешений. Единственный минус — встроенные средства управления при помощи командлетов PowerShell могут показаться не всем удобными и понятными. Более развитыми возможностями обладает бесплатный инструмент Exchange 2010 RBAC Manager (RBAC Editor GUI, rbac.codeplex.com) предлагающий понятный графический интерфейс для настройки свойств всех ролей. Разобраться с его особенностями может наверное и новичок. Написана программа на C# и использует Powershell. Для работы понадобится также установленный Exchange 2010 Management Tools.

PowerGUI

Не секрет, что PowerShell появившись сразу завоевал симпатии Win-админов, которые давно требовали подобный инструмент позволяющий автоматизировать многие задачи. Но как обычно в первой версии нам не предлагали внятного редактора, поэтому эту брешь решили несколько проектов. Самым лучшим из них на сегодня является PowerGUI (powergui.org), предоставляемый совершенно бесплатно, предоставляющий удобный графический интерфейс для эффективного создания и отладки PowerShell скриптов. Ряд функций позволяют автоматизировать многие задачи. При этом разработчики предлагают готовые комплекты сценариев для решения многих задач, которые можно использовать в своих разработках.

Multi-Tabbed PuTTY

Свободно распространяемый клиент PuTTY, хорошо известен админам, которым необходимо подключаться к удаленным машинам по протоколам SSH, Telnet или rlogin. Это очень удобная программа позволяющая сохранить настройки сессий для быстрого подключения к выбранной системе. Изначально PuTTY разрабатывался для Windows, однако позднее портирован на Unix. Единственное, что при большом количестве подключений рабочий стол получается загружен множеством открытых окон. Эту проблему решает надстройка Multi-Tabbed PuTTY (ttyplus.com/multi-tabbed-putty) реализующая систему вкладок.

Каждому сисадмину приходится иногда обслуживать компьютеры знакомых или совершать надомные выезды. В этом деле ему помогает проверенный набор утилит. Наш обзор расскажет только о бесплатных, не требующих установки и ставших стандартом де-факто.

Autoruns

Autoruns отображает самый полный и самый подробный список компонентов автозапуска независимо от их типа. Утилита показывает способы загрузки всех драйверов, программ (включая системные) и их модулей по разделам реестра. Она даже формирует список всех расширений проводника Windows, панели инструментов, автоматически запускаемых служб и многих других объектов, обычно ускользающих от других подобных программ.

Цветовая маркировка помогает быстро определить в списке из сотен записей стандартные компоненты, которые имеют цифровую подпись Microsoft, подозрительные файлы и ошибочные строки, которые ссылаются на несуществующие файлы. Чтобы отключить возможность автозапуска любого компонента, достаточно снять флажок напротив него слева.

Призраки объектов автозапуска в Autoruns выделены желтым

Часть компонентов автоматически загружается только при входе в систему под определенной учетной записью. В Autoruns можно выбрать записи, соответствующие каждому аккаунту, и просмотреть их отдельно.

Внимания заслуживает и режим командной строки. Он исключительно удобен для экспорта списка элементов автозапуска в текстовый файл, создания расширенных отчетов и выборочной антивирусной проверки всех подозрительных объектов. Полную справку можно прочесть на сайте , здесь же приведу пример типовой команды:

Autorunsc -a blt -vrs -vt > C:\Autor.log
Здесь `autorunsc` - модуль программы, запускаемый в режиме командной строки. Ключ `-a` указывает, что после него перечислены объекты для проверки. В примере их три: b - boot execute (то есть все, что загружается после старта системы и до входа пользователя); l - logon, компоненты автозагрузки определенного пользователя и t - запланированные задания. Если вместо перечисления blt указать астериск (*), то будут проверены все объекты автозапуска.

Ключи `-vrs` и `-vt` указывают режим работы с онлайновым сервисом VirusTotal. Первый набор задает отправку только тех файлов, у которых отсутствует цифровая подпись Microsoft и которые ранее не проверялись. Если хотя бы один антивирус из полусотни сочтет файл вредоносным, подробный отчет откроется в отдельной вкладке браузера. Второй набор ключей нужен для того, чтобы каждый раз не открывалась вкладка с пользовательским соглашением об использовании сервиса VirusTotal и не приходилось подтверждать согласие с ним.

Отчет Autorunsc обычно получается на десятки и сотни килобайт. Читать его на экране неудобно, поэтому в примере вывод перенаправляется в лог-файл. Это обычный текстовый формат в кодировке UCS-2 Little Endian. Вот пример записи из него с одним ложноположительным срабатыванием:

HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run Adobe ARM "C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe" Adobe Reader and Acrobat Manager Adobe Systems Incorporated 1.801.10.4720 c:\program files (x86)\common files\adobe\arm\1.0\adobearm.exe 20.11.2014 21:03 VT detection: 1/56 VT permalink: (ссылка на отчет VirusTotal).


Два неподписанных драйвера оказались чистыми, а на один подписанный есть реакция VT

Process Explorer

В настройках PE можно указать желаемый способ отображения всех активных процессов: простой перечень с сортировкой по имени или степени загрузки ЦП либо древовидный список с указанием зависимостей. Там же задается опция, которая позволяет проверять неизвестные файлы (определяются по хешу) в VirusTotal. Если ее включить, то через некоторое время справа появится результат проверки. Все объекты, на которые ругается хотя бы один антивирус, будут выделены красным.

При нажатии окно делится по горизонтали, а в нижней части отображается полная информация о выбранном процессе и его действиях в системе. Нажатие вызовет дополнительное окно с индикаторами загрузки ЦП, ГП, ОЗУ, интенсивности операций ввода/вывода, использования накопителей и сети. Для каждого компонента отображается общая нагрузка и самый ресурсоемкий процесс. Для ГП показывается даже процент занятой видеопамяти и нагрузка на каждый чип, если их несколько. Сейчас это особенно актуально, так как многие (вредоносные) программы активно используют видеокарты для неграфических вычислений. Особенно такое поведение характерно для троянских майнеров криптовалют.

Тестовый троян пока не выглядит подозрительным, а на µTorrent уже ругаются четыре антивируса

По правому клику на любом процессе из списка PE появляется контекстное меню. Оно дублирует все функции встроенного диспетчера задач и добавляет несколько новых. В частности, можно одним кликом отправить соответствующий подозрительному процессу файл на анализ в VirusTotal, выполнить поиск его описания в интернете, сделать дамп или приостановить (suspend) выполнение. Поставленный на паузу процесс перестает реагировать на любые команды (включая внутренние), и его становится легче анализировать. После того как с ним разобрались, можно отправить через Process Explorer команду «возобновить» (resume). Разумеется, без острой необходимости так не стоит делать с системными процессами и утилитами, выполняющими низкоуровневые операции. Перепрошивка BIOS/UEFI, изменение разметки диска, выравнивание разделов и другие подобные операции лучше не прерывать.

Обычно в заголовке каждого окна указано название породившего его приложения, но бывает, что они остаются безымянными. Это особенно характерно для троянов, которые имитируют работу известных программ или маленьких диалоговых окон с кодами ошибок. В Process Explorer есть удобная функция «найти процесс по окну». Достаточно нажать эту кнопку на верхней панели и, удерживая левую клавишу мыши, перенести курсор в область странного окна. В таблице PE автоматически выделится соответствующий ему процесс.

Работа тестового трояна приостановлена через Process Explorer

Чтобы воспользоваться всеми функциями Process Explorer, потребуется запустить его с правами администратора и (в отдельных случаях) установить Debugging Tools for Windows. Их можно скачать отдельно либо загрузить в составе Windows Driver Kit . Последнюю версию Process Explorer можно скачать с сайта Microsoft .

Unlocker

Какой-то процесс блокирует удаление Safari

Unloker определяет дескрипторы запущенных процессов, которые в данный момент блокируют работу с нужным файлом или каталогом. Такая блокировка требуется для исключения взаимных влияний приложений в многозадачной среде. При нормальном функционировании ОС и программ она исключает случайное удаление используемых файлов, но иногда бывают ошибки. В результате одной из них приложение может зависнуть либо остаться в памяти после закрытия окна. Тогда объект файловой системы может оставаться заблокированным и после того, как в этом исчезнет необходимость.

Сегодня список активных процессов у рядового пользователя начинается от полусотни, поэтому искать среди них зомби можно долго. Unlocker помогает сразу определить, какой процесс блокирует изменение или удаление выбранного файла или каталога. Даже если он не сможет это выяснить из-за ограничений Win32 API, то предложит принудительно выполнить желаемое действие: переименовать, переместить или удалить объект.

Unlocker не нашел причину блокировки, но может удалить непокорный файл

Иногда сразу несколько программ могут обращаться к одному каталогу, поэтому среди блокирующих его процессов определяются сразу несколько дескрипторов. В Unlocker есть возможность отменить блокировку всех одной кнопкой.

Начиная с версии 1.9.0 поддерживаются 64-битные версии Windows. Утилита может быть интегрирована в контекстное меню проводника или запускаться в графическом режиме как переносимое приложение. Можно также установить Unlocker Assistant. Он будет висеть в трее и автоматически вызывать Unlocker всякий раз, когда пользователь пытается выполнить манипуляции с заблокированным файлом. Запуск с ключом `-h` выведет справку о режиме командной строки. Утилита доступна на сорока языках, хотя особо переводить в ней нечего - все и так интуитивно понятно.

AVZ

AVZ содержит множество инструментов анализа системы

Известные зловреды лучше удалять с помощью других антивирусных сканеров. AVZ пригодится для борьбы с неизвестным злом, поиска дыр, через которые оно может просочиться, и устранения последствий заражения. В большинстве случаев AVZ позволяет обойтись без переустановки ОС даже после тяжелой вирусной атаки.

Использовать AVZ можно как портативное приложение, но полный набор функций утилиты раскроется лишь в том случае, если установить AVZPM - собственный драйвер режима ядра. Он контролирует все модули, драйверы и активные приложения, позволяя легко выявлять маскирующиеся процессы и любые технологии подмены их идентификаторов.

AVZGuard - еще один драйвер режима ядра, который можно активировать из меню AVZ. Он разграничивает доступ активных процессов, подавляя антиантивирусную активность на зараженном компьютере. Такой подход позволяет запустить из окна AVZ любое приложение (в том числе другой антивирус) в защищенном режиме.

Одной из хитрых технологий противодействия у вредоносных программ остается метод блокировки своих файлов и воссоздания удаляемых антивирусом элементов при следующей загрузке ОС. Вручную она частично обходится с помощью Unlocker, но у AVZ есть своя технология - Boot Cleaner. Это другой драйвер режима ядра, который расширяет возможности встроенной в Windows функции отложенного удаления при перезапуске. Он загружается раньше, протоколирует результаты работы и может удалять записи реестра, равно как и файлы.

Сам антивирусный сканер AVZ тоже имеет множество ноу-хау. Он способен проверять альтернативные потоки NTFS и ускорять проверку за счет исключения из нее файлов, опознанных как безопасные по каталогу Microsoft или собственной базе. Все угрозы можно искать по определенным типам - например, сразу исключить категорию HackTool. Есть отдельные модули для поиска клавиатурных перехватчиков, открытых троянскими конями портов и поведенческого анализа. AVZ позволяет копировать подозрительные и удаляемые файлы в отдельные папки для их последующего детального изучения.

Создание детального протокола исследования в AVZ

Требование присылать отчеты AVZ и его модуля «Исследование системы» стали стандартной практикой на многих форумах вирусологов, куда обращаются за помощью в решении нетривиальных проблем.

Разумеется, аптечка опытного админа может насчитывать не один десяток программ, но для решения большей части задач хватит и этих четырех утилит. Остальные ты легко найдешь в подборках по указанным в статье ссылкам.

WARNING!

Использование системных утилит требует понимания логики их работы и устройства самой ОС. Ознакомься со справкой прежде, чем вносить изменения в реестр и вмешиваться в работу активных процессов.

Подпишись на «Хакер»

1. Введение

Идея создания сетей для передачи данных на большие и не очень большие расcтояния витала в воздухе с той самой поры, как человек впервые задумался над созданием телекоммуникационных устройств. В разное время и в различных ситуациях в качестве «устройств передачи информации» использовались почтовые голуби, бутылки с сообщениями «SOS» и наконец, люди - гонцы и нарочные.

Конечно, с тех пор прошло немало лет. В наши дни для того, чтобы передать от одного человека к другому приглашение на субботний футбольный матч, множество компьютеров обмениваются электронными сообщениями, используя для передачи информации массу проводов, оптических кабелей, микроволновых передатчиков и прочего.

Компьютерные сети сегодня представляют собой форму сотрудничества людей и компьютеров, обеспечивающего ускорение доставки и обработки информации.

Сеть обеспечивает обмен информацией и ее совместное использование (разделение). Компьютерные сети делятся на локальные (ЛВС, Local Area Network, LAN), представляющие собой группу близко расположенных, связанных между собой компьютеров, и распределенные (глобальные, Wide Area Networks, WAN) (рис. 1).

Соединенные в сеть компьютеры обмениваются информацией и совместно используют периферийное оборудование и устройства хранения информации.

Очевидно, что администрирование работы сетевых служб подразумевает выполнение некоторых дополнительных процедур, направленных на обеспечение корректной работы всей системы. Вовсе не обязательно, чтобы эти функции выполнял один человек. Во многих организациях работа распределяется между несколькими администраторами. В любом случае необходим хотя бы один человек, который понимал бы все поставленные задачи и обеспечивал их выполнение другими людьми.

2. Основные задачи системного администратора

2.1. Подключение и удаление аппаратных средств

Любая компьютерная сеть состоит из трех основных компонентов:

1. Активное оборудование (концентраторы, коммутаторы, сетевые адаптеры и др.).
2. Коммуникационные каналы (кабели, разъемы).
3. Сетевая операционная система.

Естественно, все эти компоненты должны работать согласованно. Для корректной работы устройств в сети требуется их правильно инсталлировать и установить рабочие параметры.

В случае приобретения новых аппаратных средств или подключения уже имеющихся аппаратных средств к другой машине систему нужно сконфигурировать таким образом, чтобы она распознала и использовала эти средства. Изменение конфигурации может быть как простой задачей (например, подключение принтера), так и более сложной (подключение нового диска).

Для того чтобы принять правильное решение о модернизации системы, как системному администратору необходимо проанализировать производительность системы. Конечными узлами сети являются компьютеры, и от их производительности и надежности во многом зависят характеристики всей сети в целом. Именно компьютеры являются теми устройствами в сети, которые реализуют протоколы всех уровней , начиная от физического и канального (сетевой адаптер и драйвер) и заканчивая прикладным уровнем (приложения и сетевые службы операционной системы). Следовательно, оптимизация компьютера включает две достаточно независимые задачи:

• Во-первых, выбор таких параметров конфигурации программного и аппаратного обеспечения, которые обеспечивали бы оптимальные показатели производительности и надежности этого компьютера как отдельного элемента сети. Такими параметрами являются, например, тип используемого сетевого адаптера, размер файлового кэша, влияющий на скорость доступа к данным на сервере, производительность дисков и дискового контроллера, быстродействие центрального процессора и т.п.
• Во-вторых, выбор таких параметров протоколов, установленных в данном компьютере, которые гарантировали бы эффективную и надежную работу коммуникационных средств сети. Поскольку компьютеры порождают большую часть кадров и пакетов, циркулирующих в сети, то многие важные параметры протоколов формируются программным обеспечением компьютеров, например начальное значение поля TTL (Time-to-Live) протокола IP, размер окна неподтвержденных пакетов, размеры используемых кадров.

Тем не менее выполнение вычислительной задачи может потребовать участия в работе нескольких устройств. Каждое устройство использует определенные ресурсы для выполнения своей части работы. Плохая производительность обычно является следствием того, что одно из устройств требует намного больше ресурсов, чем остальные. Чтобы исправить положение, вы должны выявить устройство, которое расходует максимальную часть времени при выполнении задачи. Такое устройство называется узким местом (bottleneck). Например, если на выполнение задачи требуется 3 секунды и 1 секунда тратится на выполнение программы процессором, а 2 секунды - на чтение данных с диска, то диск является узким местом.

Определение узкого места - критический этап в процессе улучшения производительности. Замена процессора в предыдущем примере на другой, в два раза более быстродействующий процессор, уменьшит общее время выполнения задачи только до 2,5 секунд, но принципиально исправить ситуацию не сможет, поскольку узкое место устранено не будет. Если же мы приобретем диск и контроллер диска, которые будут в два раза быстрее прежних, то общее время уменьшится до 2 секунд.

Если вы всерьез недовольны быстродействием системы, исправить положение можно следующими способами:

• обеспечив систему достаточным ресурсом памяти. Объем памяти - один из основных факторов, влияющих на производительность;
• устранив некоторые проблемы, созданные как пользователями (одновременный запуск слишком большого количества заданий, неэффективные методы программирования, выполнение заданий с избыточным приоритетом, а также объемных заданий в часы пик), так и самой системой (квоты, учет времени центрального процессора);
• организовав жесткие диски и файловые системы так, чтобы сбалансировать нагрузку на них и таким образом максимально повысить пропускную способность средств ввода-вывода;
• осуществляя текущий контроль сети, чтобы избежать ее перегрузки и добиться низкого коэффициента ошибок. Сети UNIX/Linux можно контролировать с помощью программы netstat. Если речь идет об сетевых операционных системах семейства Windows, то вам поможет утилита PerformanceMonitor (рис. 2) .
• откорректировав методику компоновки файловых систем в расчете на отдельные диски;
• выявив ситуации, когда система совершенно не соответствует предъявляемым к ней требованиям.

Эти меры перечислены в порядке убывания эффективности.

2.2. Резервное копирование

Процедура резервного копирования довольно утомительна и отнимает много времени, но выполнять ее необходимо. Ее можно автоматизировать, но системный администратор обязан убедиться в том, что резервное копирование выполнено правильно и в соответствии с графиком. Практически любая сетевая операционная система содержит механизмы для создания резервных копий или зеркального ведения дисков. Например, в UNIX-системах самое распространенное средство создания резервных копий и восстановления данных - команды dump и restore . В большинстве случаев информация, хранящаяся в компьютерах, стоит дороже самих компьютеров. Кроме того, ее гораздо труднее восстановить.

Существуют сотни весьма изобретательных способов потерять информацию. Ошибки в программном обеспечении зачастую портят файлы данных. Пользователи случайно удаляют то, над чем работали всю жизнь. Хакеры и раздраженные служащие стирают данные целыми дисками. Проблемы c аппаратными средствами и стихийные бедствия выводят их строя целые машинные залы. Поэтому ни одну систему нельзя эксплуатировать без резервных копий.

При правильном подходе создание резервных копий данных позволяет администратору восстанавливать файловую систему (или любую ее часть) в том состоянии, в котором она находилась на момент последнего снятия резервных копий. Резервное копирование должно производиться тщательно и строго по графику.

Поскольку многие виды неисправностей способны одновременно выводить из строя сразу несколько аппаратных средств, резервные копии следует записывать на съемные носители, CD-диски, ZIP-дискеты и т.д. Например, копирование содержимого одного диска на другой, конечно, лучше, чем ничего, но оно обеспечивает весьма незначительный уровень защиты от отказа контроллера.

2.3. Инсталляция новых программных средств

После приобретения нового программного обеспечения его нужно инсталлировать и протестировать. Если программы работают нормально, необходимо сообщить пользователям об их наличии и местонахождении.

Как правило, самой ответственной и самой сложной задачей системного администратора являются инсталляция и конфигурирование операционной системы. От правильности ваших действий зависит, будете ли вы играть в Quake и просматривать любимые сайты или вам придется бегать между пользователями системы и заниматься рутинной работой.

Во многих современных операционных системах разработчики идут по пути исключения многих непродуктивных параметров системы, с помощью которых администраторы способны влиять на производительность ОС. Вместо этого в операционную систему встраиваются адаптивные алгоритмы, которые определяют рациональные параметры системы во время ее работы. С помощью этих алгоритмов ОС может динамически оптимизировать свои параметры в отношении многих известных сетевых проблем, автоматически перераспределяя свои ресурсы и не привлекая к решению администратора.

Существуют различные критерии оптимизации производительности операционной системы. К числу наиболее распространенных критериев относятся:

• Наибольшая скорость выполнения определенного процесса.
• Максимальное число задач, выполняемых процессором за единицу времени. Эта характеристика также называется пропускной способностью компьютера. Она определяет качество разделения ресурсов между несколькими одновременно выполняемыми процессами.
• Освобождение максимального количества оперативной памяти для самых приоритетных процессов, например процесса, выполняющего функции файлового сервера, или же для увеличения размера файлового кэша.
• Освобождение наибольшего количества дисковой памяти.

Обычно при оптимизации производительности ОС администратор начинает этот процесс при заданном наборе ресурсов. В общем случае одновременно улучшить все критерии производительности невозможно. Например, если целью является увеличение доступной оперативной памяти, то администратор может увеличить размер страничного файла, но это приведет к уменьшению доступного дискового пространства.

После инсталляции и оптимальной настройки операционной системы начинается практически бесконечный процесс установки программного обеспечения. И здесь на первый план выходят проблемы совместимости различных программ, а если вы устанавливаете серверное программное обеспечение, - то еще и о безопасности.

Если вы начинающий системный администратор - устанавливайте на свой сервер более простые программы - в них меньше ошибок. В UNIX - избавьтесь от sendmail, поставьте другой SMTP-демон, внимательно анализируйте исходный код всех устанавливаемых на сервер программ, особенно если имя производителя вам ничего не говорит. В Windows NT не стоит использовать монстры типа Microsoft Exchange Server, и желательно избегать установки на сервер всевозможных freeware-программок.

2.4. Мониторинг системы

Существует великое множество обязательных для исполнения ежедневных операций. Например, проверка правильности функционирования электронной почты и телеконференций, просмотр регистрационных файлов на предмет наличия ранних признаков неисправностей, контроль за подключением локальных сетей и за наличием системных ресурсов.

Все многообразие средств, применяемых для мониторинга и анализа вычислительных сетей, можно разделить на несколько крупных классов:

Системы управления сетью (NetworkManagementSystems) - централизованные программные системы, которые собирают данные о состоянии узлов и коммуникационных устройств сети, а также данные о трафике, циркулирующем в сети. Эти системы не только осуществляют мониторинг и анализ сети, но и выполняют в автоматическом или полуавтоматическом режиме действия по управлению сетью - включение и отключение портов устройств, изменение параметров мостов адресных таблиц мостов, коммутаторов и маршрутизаторов и т.п. Примерами систем управления могут служить популярные системы HPOpenView, SunNetManager, IBMNetView.

Средства управления системой (SystemManagement) . Средства управления системой часто выполняют функции, аналогичные функциям систем управления, но по отношению к другим объектам. В первом случае объектами управления являются программное и аппаратное обеспечение компьютеров сети, а во втором - коммуникационное оборудование. Вместе с тем некоторые функции этих двух видов систем управления могут дублироваться, например средства управления системой могут выполнять простейший анализ сетевого трафика.

Встроенные системы диагностики и управления (Embeddedsystems) . Эти системы выполняются в виде программно-аппаратных модулей, устанавливаемых в коммуникационное оборудование, а также в виде программных модулей, встроенных в операционные системы. Они выполняют функции диагностики и управления единственным устройством, и в этом их основное отличие от централизованных систем управления. Примером средств этого класса может служить модуль управления концентратором Distrebuted 5000, реализующий функции автосегментации портов при обнаружении неисправностей, приписывания портов внутренним сегментам концентратора, и ряд других. Как правило, встроенные модули управления «по совместительству» выполняют роль SNMP-агентов, поставляющих данные о состоянии устройства для систем управления.

Анализаторы протоколов (Protocolanalyzers ) . Представляют собой программные или аппаратно-программные системы, которые ограничиваются, в отличие от систем управления, лишь функциями мониторинга и анализа трафика в сетях. Хороший анализатор протоколов может захватывать и декодировать пакеты большого количества протоколов, применяемых в сетях, - обычно несколько десятков. Анализаторы протоколов позволяют установить некоторые логические условия для захвата отдельных пакетов и выполняют полное декодирование захваченных пакетов, то есть показывают в удобной для специалиста форме вложенность друг в друга пакетов протоколов разных уровней с расшифровкой содержания отдельных полей каждого пакета.

Оборудование для диагностики и сертификации кабельных систем . Условно это оборудование можно поделить на четыре основные группы: сетевые мониторы, приборы для сертификации кабельных систем, кабельные сканеры и тестеры (мультиметры).

Экспертные системы . Этот вид систем аккумулирует человеческие знания о выявлении причин аномальной работы сетей и возможных способах приведения сети в работоспособное состояние. Экспертные системы часто реализуются в виде отдельных подсистем различных средств мониторинга и анализа сетей: систем управления сетями, анализаторов протоколов, сетевых анализаторов. Простейшим вариантом экспертной системы является контекстно-зависимая help-система. Более сложные экспертные системы представляют собой так называемые базы знаний, обладающие элементами искусственного интеллекта. Примером такой системы является экспертная система, встроенная в систему управления Spectrum компании Cabletron.

Многофункциональные устройства анализа и диагностик и . В последние годы в связи с повсеместным распространением локальных сетей возникла необходимость разработки недорогих портативных приборов, совмещающих функции нескольких устройств: анализаторов протоколов, кабельных сканеров и даже ряд возможностей ПО сетевого управления.

Однако в отдельной сети Ethernet формальные процедуры управления сетью внедрять, как правило, не стоит. Достаточно провести тщательное тестирование сети после инсталляции и время от времени проверять уровень нагрузки. Сломается - почините.

Если у вас задействованы глобальная сеть или сложные ЛВС, рассмотрите вопрос приобретения выделенных станций управления сетью со специальным программным обеспечением.

2.5. Поиск неисправностей

Операционные системы и аппаратные средства, на которых они работают, время от времени выходят из строя. Задача администратора - диагностировать сбои в системе и в случае необходимости вызвать специалистов. Как правило, найти неисправность бывает намного сложнее, чем устранить ее.

Если вы обнаружили, что какой-то из узлов сети работает некорректно или вовсе отказывается работать, вам стоит обратить внимание на светодиодные индикаторы при включенном концентраторе и компьютерах, соединенных кабелями. Если они не горят, то очень вероятно, что причина заключается в следующем:

• Адаптеры некорректно сконфигурированы. Чаще всего при инсталляции сети проблем не возникает до тех пор, пока не будут подключены кабели, а иногда и до попытки получить доступ к сетевым ресурсам. Обычно источником проблемы является конфликт IRQ (два устройства используют одно прерывание). Такие ситуации не всегда легко обнаружить программными средствами, поэтому внимательно проверьте установки прерываний для всех устройств компьютера (звуковые платы, параллельные и последовательные порты, приводы CD-ROM, другие сетевые адаптеры и т.п). Иногда в определении доступного прерывания может помочь программа конфигурирования и/или диагностики адаптера. В некоторых случаях проблемы возникают при использовании на современных компьютерах с шиной PCI для сетевого адаптера IRQ 15, даже если это прерывание не используется.
• Адаптер не отвечает на запросы. Если после включения компьютера программа диагностики не может обнаружить адаптер или детектирует сбой при внутреннем тесте, попробуйте заменить адаптер или обратитесь к его производителям.
• Если проверка адаптеров и кабелей доказала их работоспособность, причиной возникновения проблем могут быть некорректные параметры драйвера сетевого адаптера. Проверьте корректность параметров и сам драйвер (он должен быть предназначен для используемого вами адаптера). Дополнительную информацию можно найти в описании адаптера.
• Концентраторы редко являются источником проблем, однако одной из наиболее распространенных проблем такого рода является отсутствие питания. Иногда неисправный сетевой адаптер может нарушить работу порта в концентраторе. Для проверки адаптера пользуйтесь диагностическими программами из комплекта адаптера.

2.6. Ведение локальной документации

Настраивая конфигурацию под конкретные требования, вы вскоре обнаружите, что она значительно отличается от той, что описана в документации (базовой конфигурации). Скорее всего, вы не вечно будете занимать место системного администратора и рано или поздно на ваше место придет другой человек. Известно, что бывших супругов и бывших системных администраторов редко вспоминают добрым словом. Но, чтобы уменьшить количество «камней в ваш огород» и, что важнее, оградить себя от звонков и вопросов с места бывшей работы, системный администратор должен документировать все инсталлируемые программные средства, не входящие в стандартный пакет поставки, документировать разводку кабелей, вести записи по обслуживанию всех аппаратных средств, регистрировать состояние резервных копий и документировать правила работы с системой.

Также следует учитывать, что система учета, ядро, различные утилиты - все эти программы выдают данные, которые регистрируются и в конце концов попадают на ваши диски. Эти данные тоже являются локальной документацией, характеризующей работу конкретной системы. Однако срок полезной службы большинства данных ограничен, поэтому их нужно обобщать, упаковывать и наконец, выбрасывать.

Процедура ведения файлов регистрации в любой операционной системе представляет собой набор процедур, которые повторяются через определенное время в одном и том же порядке. Следовательно, ее необходимо автоматизировать.

В UNIX-системах для этой цели используется процесс cron . А программа syslog может удачно применяется в качестве полной системы регистрации. Она отличается высокой гибкостью и позволяет сортировать сообщения системы по источникам и степени важности, а затем направлять их в разные пункты назначения: в файлы регистрации, на терминалы пользователей и даже на другие машины. Одной из самых ценных особенностей этой системы является ее способность централизовать регистрацию для сети.

Администраторы Windows NT могут для тех же целей использовать утилиту PerformanceMonitor, разработанную для фиксации активности компьютера в реальном масштабе времени. С ее помощью можно определить большую часть узких мест, снижающих производительность. Эта утилита включена в Windows NT Server и Windows NT Workstation.

PerformanceMonitor основан на ряде счетчиков, которые фиксируют такие характеристики, как число процессов, ожидающих завершения операции с диском, число сетевых пакетов, передаваемых в единицу времени, процент использования процессора и другие. PerformanceMonitor генерирует полезную информацию посредством следующих действий:

• наблюдения за производительностью в реальном времени и в исторической перспективе;
• определения тенденций во времени;
• определения узких мест;
• отслеживания последствий изменения конфигурации системы;
• наблюдения за локальным или удаленными компьютерами;
• предупреждения администратора о событиях, связанных с превышением некоторыми характеристиками заданных порогов.

2.7 Контроль защиты

Основной особенностью любой сетевой системы является то, что ее компоненты распределены в пространстве, а связь между ними осуществляется физически - при помощи сетевых соединений (коаксиальный кабель, витая пара, оптоволокно и т.д.) и программно - при помощи механизма сообщений. К сетевым системам наряду с обычными (локальными) атаками, осуществляемыми в пределах одной операционной системы, применим специфический вид атак, обусловленный распределенностью ресурсов и информации в пространстве, - так называемые сетевые (или удаленные) атаки. Они характеризуются тем, что, во-первых, злоумышленник может находиться за тысячи километров от атакуемого объекта, а во-вторых, нападению может подвергнуться не конкретный компьютер, а информация, передающаяся по сетевым соединениям.

Системный администратор должен реализовывать стратегию защиты и периодически проверять, не нарушена ли защита системы.

Естественно, абсолютная защита сети невозможна, однако задача каждого администратора - сделать все возможное для максимального ее улучшения. При построении системы защиты разумно придерживаться следующих принципов:

• Актуальность. Защищаться следует от реальных атак, а не от фантастических или же архаичных.
• Разумность затрат. Поскольку 100% защиты вы все равно не обеспечите, необходимо найти тот рубеж, за которым дальнейшие траты на повышение безопасности превысят стоимость той информации, которую может украсть злоумышленник.

Конечно же, действия, которые вы должны предпринять для защиты своего сервера очень зависят от того, какую операционную систему вы используете. Однако есть ряд простых правил, которые пригодятся любому системному администратору.

• Внимательно прочитайте руководство по администрированию системы, вы наверняка найдете там полезные советы, которыми захотите воспользоваться.
• Запустите программу автоматизированного контроля вашего хоста - типа Internet Scanner. Система Internet Scanner может быть запущена на одной из платформ (Windows NT, Windows 2000, HP/UX, AIX, Linux, Sun OS, Solaris). Используется она для анализа защищенности систем.
• Загляните на серверы CERT (http://www.cert.org) (рис. 3) или CIAC (http://ciac.llnl.gov) и внимательно прочитайте относящиеся к вашей ОС бюллетени за последнее время. Установите все рекомендуемые заплатки и сконфигурируйте систему, как полагается.
• Правильно настройте (или установите) межсетевой экран. Поставьте монитор всех входящих соединений (например, tcp_wrapper).
• Запустите последний взломщик паролей. Здесь у вас большое преимущество перед хакерами - у вас уже есть файл с хэшированными паролями.
• Проверьте настройки основных Интернет-служб (http, ftp). Максимально используйте анонимный доступ, чтобы предотвратить передачу паролей по сети в открытом виде. При необходимости разграничения доступа используйте стойкие протоколы типа SSL.
• У всех остальных сетевых служб также по возможности используйте аутентификацию, не включающую передачу пароля открытым текстом.
• Выбросьте некоторые малоиспользуемые службы. Особенно это касается администраторов UNIX-серверов: давно не используемый, но существующий на вашем сервере сервис типа finger, talk, rpc может стать той самой «дырой» в системе безопасности, через которую сможет проникнуть (или уже проник) хакер.
• Поставьте proxy-сервер для дополнительной аутентификации извне, а также для скрытия адресов и топологии внутренней подсети.
• Поставьте защищенную версию UNIX или другой операционной системы.

2.8. Подключение и удаление пользователей. Оказание им помощи

Создание бюджетов для новых пользователей и удаление бюджетов тех пользователей, которые уже не работают, - обязанность системного администратора. Процесс включения и удаления пользователей можно автоматизировать, но некоторые решения, от которых зависит включение нового пользователя, должен принимать администратор.

Очень часто сотрудники предприятия оказываются самым слабым звеном в системе его безопасности, поэтому системному администратору следует уделять больше внимания работе с пользователями системы. Иначе простой листочек бумаги с паролем, лежащий на рабочем месте забывчивой сотрудницы, сделает бесполезной выверенную настройку вашего межсетевого экрана.

Для усиления безопасности компьютерных систем компании разумными могут считаться следующие шаги:

• Привлечение внимания людей к вопросам безопасности.
• Осознание сотрудниками всей серьезности проблемы и принятие в организации политики безопасности.
• Изучение и внедрение необходимых методов и действий для повышения защиты информационного обеспечения.

Если вы работаете в крупной (более 100 человек) организации, то для определения уровня ее защищенности можно провести тест на проникновение. Этот метод позволяет выявить недостатки безопасности с точки зрения постороннего человека. Он позволяет протестировать схему действий, которая раскрывает и предотвращает внутренние и внешние попытки проникновения и сообщает о них.

Тест должен разрешить два основных вопроса:

• Все ли пункты политики безопасности достигают своих целей и используются так, как было задумано.
• Существует ли что-либо, не отраженное в политике безопасности, что может быть использовано для достижения злоумышленником своих целей.

Таблица. Вероятность успешного проведения атаки в зависимости от навыков выполняющего (низкая - 1, средняя - 2, высокая - 3)

Все попытки должны контролироваться обеими сторонами - как взломщиком, так и «клиентом». Это поможет протестировать систему гораздо более эффективно. Необходимо также свести к минимуму количество людей, знающих о проведении эксперимента.

Требуется создать и разработать различные варианты политики безопасности, определить правила корректного использования телефонов компьютеров и другой техники. Необходимо учитывать и неосведомленность в области безопасности, поскольку любые средства технического контроля могут быть использованы ненадлежащим образом. В итоге тестирование системы безопасности должно обеспечить вам защиту от проникновения.

3. Почему давят на системного администратора

Сети имеют тенденцию разрастаться, следовательно, вы будете вынуждены тратить все больше и больше времени на выполнение функций администратора. Вскоре окажется, что вы - единственный человек в своей организации, который знает, как решить целый ряд важнейших проблем.

Поскольку круг обязанностей системного администратора четко ограничить нельзя, от вас, скорее всего, потребуют, чтобы вы были не только штатным администратором, но и штатным инженером, писателем, а также секретарем.

Вместо этого мы предлагаем вам следующее: ведите работу на должном уровне, параллельно регистрируя время, затрачиваемое на системное администрирование. Собирайте доказательства, которые могут вам пригодиться, когда вы попросите руководство взять в штат еще одного администратора или освободить вас от «лишних» обязанностей.

С другой стороны, вы можете обнаружить, что системное администрирование вам нравится. В этом случае проблем с поиском работы у вас не будет.

КомпьютерПресс 5"2001

Всем системным администраторам, независимо от того, администрируете вы Windows или Linux нужен определенный набор программ, инструментов и утилит, которые помогут справиться с непредвиденной ситуацией, проанализировать систему или облегчат решение повседневных задач. Существует очень много таких решений,
в том числе и с открытым исходным кодом.

В этой статье мы рассмотрим лучшие программы для системного администратора 2016, которые вы можете использовать в своей работе. В нашем списке будут не только обычные утилиты и программы для определенной операционной системы, но и целые образы. А теперь перейдем к нашему списку.

Хороший текстовый редактор - это один из основных инструментов системного администратора, поскольку во многих ситуациях приходится вносить правки в конфигурационные файлы и важно делать это очень быстро. Редактору Vim недавно исполнилось 25 лет, и он все еще очень активно развивается.

Он выгодно отличается от всех других редакторов тем, что позволяет выполнять редактирование текста
и перемещение по нему очень быстро, не отрывая пальцы от основной клавиатуры. Для этого в редакторе реализовано два режима - командный режим, с помощью которого вы можете перемещаться по тексту с помощью буквенных клавиш, а также выполнять различные команды. Второй режим - редактирование, в котором программа превращается в обычный редактор.

В ноябре вышла восьмая версия Vim, в которой программа получила много улучшений. Например, поддержку GTK3
и асинхронный ввод/вывод для плагинов. Этот редактор может работать не только в Linux, но и в Windows и MacOS.

2. Htop

Мониторинг нагрузки на операционную систему - это тоже очень важная задача, которая стоит довольно часто перед системными администраторами. Например, если нужно очень срочно выяснить какая программа перегружает процессор или занимает всю доступную оперативную память. Утилита htop показывает в реальном времени список всех запущенных процессов с возможностью сортировки по нужному параметру, использованию процессора, памяти.

Кроме того, с помощью утилиты можно посмотреть количество потоков ядра процессора, на котором запущенна программа и многое другое. Это одна из самых важных утилит в списке программ системного администратора. Программа работает только в Linux системах.

3. Git

Контроль версий имеет очень важное значение не только в программировании. Для различных скриптов, конфигурационных и обычных текстовых файлов тоже может быть очень полезным восстановить предыдущую версию.

Изначально система Git была разработана Линусом Торвальдстом для управления разработкой ядра Linux.
Но на сегодняшний день это полноценная платформа, которой пользуется очень большое количество проектов
с открытым исходным кодом. Но она также может быть полезной в сохранении старых версий ваших конфигурационных файлов.

Последняя на данный момент версия - это 2.10, в которой есть много полезных функций. Например, с помощью команды git diff вы можете узнать какие именно строки и в каких файлах были изменены, удаленные строки будут зачеркнуты. Программа может использоваться в Windows и в Linux.

Компьютеры не всегда работают как нужно и имеют обыкновение ломаться. Отличная практика для системных администраторов - это иметь компакт диск или USB диск с набором инструментов, которые помогут восстановить систему или хотя бы данные с проблемных компьютеров.

SystemRescueCD - это активно развивающийся набор утилит для системного администратора на все случаи жизни. Это загрузочный дистрибутив Linux, основанный на Gentoo, который содержит различные инструменты для проверки аппаратного обеспечения, разметки диска, восстановления данных, проверки компьютера на вирусы, настройки сети и многое другое.

В 2016 году были выпущены версии 2.8 и 2.9. В этих версиях образ получил обновления различных компонентов, включая добавление поддержки инструментов для работы с btrfs.

5. Clonezilla

Иногда лучше не восстанавливать систему с нуля, а иметь резервную копию всей машины, чтобы иметь возможность вернуть систему к жизни за несколько минут. Clonezilla - это де-факто стандарт для создания резервных копий
и развертывания образов систем на диск. Вы можете создавать резервные копии, как для отдельных разделов,
так и для всего диска целиком.

Программа может использоваться из текущей системы или в виде загрузочного образа с псевдографическим интерфейсом - Clonezilla Live. После того как у вас будет готовая копия, вы можете очень просто восстановиться после неудачной конфигурации или обновления.

В последней версии была добавлена поддержка обнаружения зашифрованных с помощью Windows BitLocker томов, улучшена поддержка EFI, а также обновлено все программное обеспечение до последних версий Debian.

6. Docker

Контейнеры - это изолированные окружения, которые позволяют запускать несколько систем на одном ядре Linux. Все системы изолированы одна от другой, а также от основной системы. Инструмент настройки контейнеров Docker очень сильно посодействовал развитию контейнеров в 2016 году.

Docker - это открытая платформа, которая позволяет буквально в несколько команд развернуть контейнеры
с нужными дистрибутивами Linux и выполнять в них необходимое программное обеспечение. С помощью Docker
вы можете упаковать отдельное приложение со всеми его зависимостями, а затем запускать в любом дистрибутиве, где поддерживается Docker.

Вы можете создавать свои программы и обмениваться ими с другими пользователями. Docker позволяет компаниям выбирать систему, в которой будет работать программное обеспечение, не ограничивая разработчиков
в инструментах и языках программирования.

В последних версиях Docker была добавлена возможность проверки состояния контейнера и автоматического восстановления в случае проблем, а также теперь контейнеры Docker могут работать не только в Linux,
но и в Windows.

7. Wireshark

Wireshark - это инструмент для анализа, проходящего через компьютер трафика и сохранения сетевых пакетов. Такая задача может возникнуть при анализе работоспособности сети, сетевых сервисов или веб-приложений. Программа поддерживает огромное количество протоколов, может даже расшифровывать HTTPS трафик при наличии ключа.
Вы можете фильтровать весь трафик по нужным параметрам, сортировать пакеты, просматривать их содержимое
и полную информацию, а также многое другое.

Новая версия программы Wireshark 2.0 была выпущена в 2015 году, с тех пор она активно развивается уже в этой ветке. Ее интерфейс был переписан на Qt5, а также сделан более интуитивно понятным.

8. TightVNC

TightVNC позволяет получить доступ к графическому интерфейсу на удаленном компьютере. С помощью этой программы вы можете управлять компьютером удаленно, фактически, не находясь перед ним. Обычно администраторы управляют серверами Linux через ssh, однако, некоторые пользователи предпочитают использовать графический интерфейс для решения таких задач.

У программы есть возможность шифровать трафик VNC, таким образом, делая его безопасным, точно так же, как и ssh. TightVNC может работать как в Linux, так и в Windows. Затем вы сможете получить доступ к вашему устройству
с любого места, где есть интернет.

9. Zenmap

Zenmap - это графический интерфейс для популярного сетевого сканера - nmap. С помощью этого инструмента
вы можете очень быстро найти все подключенные к сети узлы, проверить топологию сети, а также посмотреть список запущенных служб на каждом из компьютеров.

Также с помощью программы вы можете найти потенциально опасные места в настройке серверов, многими администраторами она используется для проверки доступности узлов или даже измерения времени аптайма.

10. Filezilla

Наш список утилит для системного администратора подходит к завершению. Во время администрирования серверов достаточно часто приходится передавать файлы. Обычно эта задача выполняется по протоколу FTP. Filezilla - это один из лучших и самых популярных клиентов для передачи и загрузки файлов по FTP. Интерфейс программы разделен
на две панели, в одной из них вы видите локальный компьютер, а в другой удаленную файловую систему FTP сервера.

Интерфейс программы интуитивно понятен, и ее можно использовать в Windows, Linux и MacOS.

Выводы

В этой статье мы рассмотрели программы для системного администратора 2016, которые могут вам очень сильно помочь в администрировании вашей экосистемы компьютеров. А какими инструментами вы пользуетесь? Напишите в комментариях!