nuova struttura basata su srv linux

Tutto quello che ha a che fare con GNU/Linux, soprattutto in ambito sistemistico.

Moderatore: Federico.Lagni

Rispondi
davide.p
Cisco power user
Messaggi: 95
Iscritto il: dom 17 lug , 2005 12:26 pm
Contatta:

Salve a tutti ragazzi, eccomi qui a proporvi una nuova sfida (la sfida è farmi capire le cose ovviamente!!) dunque bando alle ciance che il messaggio sarà corposo....ho ricevuto una richesta da un'azienda dove lavoravo per un ammodernamento dell'infrastruttura IT in modo tale che tale sistema informatico si adatti alle loro esigenze, considerato che non vogliono spendere tanto e considerato che ho voglia di imparare vorrei tirar su un sever linux con debian sopra....ok il mio livello di conoscenze è entry level so come funziona piu o meno apt-get e sono riuscito ad installare debian,per ora però mi servono solo chiarimenti, su come fare le cose mi piacerebbe sbatterci un pò la testa sopra. Dunque lo scenario è il seguente:
due reti distinte con una decina di client windows per rete (atualmente in workgroup)
prima rete 192.168.x.x
seconda rete 10.0.0.x

le mie esigenze sono:
configurare il server linux come gateway per entrambe le reti (penso che con tre s chede di rete un il routing si possa fare)
come server per risorse condivise con samba
come proxy (squid????)
come DNS
comeDHCP
e come firewall (iptabless?????????)

i miei dubbi sono

posso abilitare il server come dns su entrambe le reti?
posso abilitare il server dhcp su entrambe le reti?
active directoy crea una struttura di identità di protezione in ambiente microsoft (quindi per accedere ad un pc servono delle credenziali e vengono creati dei profili), è possibile la stessa cosa in un ambiente misto? per la precisione con un server debian appunto
l'autenticazione di samba avviene trmite configurazione del client oppure è possibile impostare un accesso iterattivo con l'inserimento di utente e password?
il client samba può sfruttare l'autenticazione windows?
esiste la possibilità di filtrare virus e malware a livelli gateway o devo necessariamente installare un AV sul client?
ho pensato come hardware ad un pentium 2600 1 gb di ram su asrock p4v88, un disco da 40 gb per il so e uno da 160 per i dati, qualche correzione?

ringrazio in anticipo per tutti gli aiuti che (e se :-) ) giungeranno
un sistemista è un pò come mc gaiver.......
deve saper tirar fuori un prospetto tridimensionale da un file di testo!
Avatar utente
TheIrish
Site Admin
Messaggi: 1840
Iscritto il: dom 14 mar , 2004 11:26 pm
Località: Udine
Contatta:

Ti do qualche dritta su un paio di punti, poi per il resto probabilmente ci penserà l banshee :oops: .
configurare il server linux come gateway per entrambe le reti (penso che con tre s chede di rete un il routing si possa fare)
come server per risorse condivise con samba
come proxy (squid????)
come DNS
comeDHCP
e come firewall (iptabless?????????)
La risposta qui è molto semplice. NO. Non perché non sia possibile ma è MOLTO MOLTO sconsigliabile combinare appliances di sicurezza con qualsiasi altro appliance. Lo so che lo fanno molti, ma si chiama RISCHIARE.
Per quanto riguarda il gateway FW, la combinazione iptables+squid+snort è definitiva. Snort annusa le tracce di worm come un signore, poi se vogliamo andarci dentro duro, si può pensare di installare un antivirus centralizzato.
posso abilitare il server come dns su entrambe le reti?
posso abilitare il server dhcp su entrambe le reti?
non vedo perché no.

Per il resto, non entro nei dettagli, ma parti da questo principio, Samba E' l'emulazione di NetBios (e adesso anche active directory) sotto linux e quindi tenderà a comportarsi esattamente come fanno i cugini win.
Avatar utente
banshee
Cisco enlightened user
Messaggi: 136
Iscritto il: dom 26 set , 2004 3:58 pm
Località: udine

Sono in linea col consiglio dell'irish mi "mischiare" il meno possibile i campi d'azione della macchina, magari ad averne due...

per quello che riguarda le domande su dns e dhcp non mi vengono in mente restrizioni particolari.

per le altre domande rispondo in modo sintetico, magari approfondiamo su questioni un po' specifiche

samba:
Samba emula il comportamento dei domini nt4, niente active directory...
In sintesi puoi gestire il roaming profile e l'autenticazione distribuita dei client, in questo caso le credenziali fornite al login da parte dell'utente serviranno per garantirsi l'accesso agli altri share della rete (sperando che siano macchine 2k o superiori, senno le cose un filo si complicano).

av:
Dipende cosa ci vuoi fare, se il tuo interesse è scansionare TUTTO il traffico di rete... casino. Se ti "limiti" ad es a email+web puoi usare clamav in congiunzione con procmail (ad es) e squid.

ultima mia considerazione:
ok su sbatterci la testa ma una configurazione completa e funzionante di tutto ti porterà via del tempo e prima penso dovrai dipanare molti dei dubbi che traspaiono dal tuo messaggio. In ogni caso siamo qua :wink:
there is only a place like 127.0.0.1: www.ilbanshee.net
davide.p
Cisco power user
Messaggi: 95
Iscritto il: dom 17 lug , 2005 12:26 pm
Contatta:

salve ragazzi

prima cosa, grazie dei consigli. Sto studiando molto e voglio fare le cose un passo alla volta (per il sistema completamente funzionante non ho bisogno di risultati immediati, mi basta arrivarci:-) ho due domande fresche di giornata: prima domanda....partizioni disco, durante l'installazione di debian posso scegliere di mettere una partizione alla fine o all'inizio del disco....è un po imprecisa come indicazione! dove sta la fine e dove sta l'inizio? se metto due partizioni all'inizio? e sempre a tal proposito, quale schema è bene seguire per un sistema ad HOC? partizione swap alla fine o all'inizio?.....seconda domanda: dselect e apt...pregi difetti, differenze, chi è meglio?

grazie mille ragazzi!
un sistemista è un pò come mc gaiver.......
deve saper tirar fuori un prospetto tridimensionale da un file di testo!
Avatar utente
TheIrish
Site Admin
Messaggi: 1840
Iscritto il: dom 14 mar , 2004 11:26 pm
Località: Udine
Contatta:

Metti la / all'inizio del disco. Per il resto, fa un po' come preferisci.
Ti consiglio vivmente di creare almeno quattro partizioni: / , /home , /var, swap.
Dselect lascialo stare in modo categorico. Con apt fai tutto e controlli tutto.
Avatar utente
banshee
Cisco enlightened user
Messaggi: 136
Iscritto il: dom 26 set , 2004 3:58 pm
Località: udine

Un tempo (e non mi riferisco a 20 anni fa) i settori all'inizio del disco erano i più interni dello stesso e quindi quelli con un tempo di accesso leggermente inferiore. Oggi dovrebbe essere così ma i controller dei dischi (e intendo proprio quelli SUL disco) hanno molta più discrezionalità :)

Cmq io un po' per abitudine un po' per questo tendo a mettere swap e / nei "primi" settori del disco. Per il numero di partizioni direi che vale quanto detto dall'irish a meno di necessità particolari (che capirai quando sarà troppo tardi e il disco sarà già bello che partizionato, ma è sempre così :wink: )

Dselect... mhn lascia perdere al max aptitude
there is only a place like 127.0.0.1: www.ilbanshee.net
Jumpa
Cisco fan
Messaggi: 28
Iscritto il: lun 25 lug , 2005 2:18 pm
Contatta:

davide.p ha scritto:Salve a tutti ragazzi, eccomi qui a proporvi una nuova sfida (la sfida è farmi capire le cose ovviamente!!) dunque bando alle ciance che il messaggio sarà corposo....ho ricevuto una richesta da un'azienda dove lavoravo per un ammodernamento dell'infrastruttura IT in modo tale che tale sistema informatico si adatti alle loro esigenze, considerato che non vogliono spendere tanto e considerato che ho voglia di imparare vorrei tirar su un sever linux con debian sopra....ok il mio livello di conoscenze è entry level so come funziona piu o meno apt-get e sono riuscito ad installare debian,per ora però mi servono solo chiarimenti, su come fare le cose mi piacerebbe sbatterci un pò la testa sopra. Dunque lo scenario è il seguente:
due reti distinte con una decina di client windows per rete (atualmente in workgroup)
prima rete 192.168.x.x
seconda rete 10.0.0.x

le mie esigenze sono:
configurare il server linux come gateway per entrambe le reti (penso che con tre s chede di rete un il routing si possa fare)
come server per risorse condivise con samba
come proxy (squid????)
come DNS
comeDHCP
e come firewall (iptabless?????????)

i miei dubbi sono

posso abilitare il server come dns su entrambe le reti?
posso abilitare il server dhcp su entrambe le reti?
active directoy crea una struttura di identità di protezione in ambiente microsoft (quindi per accedere ad un pc servono delle credenziali e vengono creati dei profili), è possibile la stessa cosa in un ambiente misto? per la precisione con un server debian appunto
l'autenticazione di samba avviene trmite configurazione del client oppure è possibile impostare un accesso iterattivo con l'inserimento di utente e password?
il client samba può sfruttare l'autenticazione windows?
esiste la possibilità di filtrare virus e malware a livelli gateway o devo necessariamente installare un AV sul client?
ho pensato come hardware ad un pentium 2600 1 gb di ram su asrock p4v88, un disco da 40 gb per il so e uno da 160 per i dati, qualche correzione?

ringrazio in anticipo per tutti gli aiuti che (e se :-) ) giungeranno

per quanto riguarda l'hardware secondo me dovresti cercare di evitare un "assemblato" o quantomeno pensarlo con una componentistica che sia adatta ad un server non solo come performances nominale ma anche come durabilità e costanza del servizio... io tipicamente se posso consigliarti per un server evito gli assemblati... magar un entry level di chicchesia... ma mai assemblati!
In piu ti consiglio dei dischi SCSI, magari con un raid... aumenta di molto le prestazioni di I/O su disco ed in piu hai la comodità che se si rompe un disco non ti casca tutto!!!!!

altr nota... io al riguardo opterei per un server win2k3 per la gestione del dominio ed un server linux per la gestione della rete.....

detto cio buon divertimento!!
davide.p
Cisco power user
Messaggi: 95
Iscritto il: dom 17 lug , 2005 12:26 pm
Contatta:

Salve ragazzi! scusatemi il gran ritardo ma è stato un periodo tremendamente felice.....comunque sono dinuovo qua, Torniamo al nostro discorso....beh che dire, aveva ragione banshee.....le partizioni saranno gia belle che fatte e lo spazio non ti bastera....specie sulla /usr, ricominciamo da capo! Purtroppo il tutto non è andato come doveva e il lavoro non me lo hanno preso, hanno preferito che gli installassi un applianche fisico (snapgear SG300) per la gestione degli accessi internet, tuttavia mi sto impegnando per debian......due consigli, debian come server, sono evidenti le performance e la possibilità di personalizzazione, ma linux suse enterprise server riscuote grandi successi, quali dei due è il migliore?
seconda cosa, quanto mi costa in termini di sicurezza (irish pensaci te) installare webmin su un gateway?

grazie mille in anticipo
un sistemista è un pò come mc gaiver.......
deve saper tirar fuori un prospetto tridimensionale da un file di testo!
Avatar utente
andrewp
Messianic Network master
Messaggi: 2199
Iscritto il: lun 13 giu , 2005 7:32 pm
Località: Roma

davide.p ha scritto:debian come server, sono evidenti le performance e la possibilità di personalizzazione, ma linux suse enterprise server riscuote grandi successi, quali dei due è il migliore?
Debian è un ottimo server, Suse enterprise ha le qualità che lo rendono "enterprise": l'assistenza, i tool di amministrazione, il costo.
Devi valutare tu quale conviene.
davide.p ha scritto:seconda cosa, quanto mi costa in termini di sicurezza (irish pensaci te) installare webmin su un gateway?
Se lo rendi accessibile solamente dalla lan interna la sicurezza non ne risente in maniera significativa, se invece è pubblicato sulla wan beh...ti apri al mondo.


Ciao.
Manipolatore di bit.
Rispondi