LINUX.ORG.RU
ФорумJob

Младший системный администратор Linux в Zeptolab, Москва

 ,


0

1

Команда техподдержки и системного администрирования растет пропорционально компании - и сейчас у нас появились следующие

Задачи:

- Поддержка офисной сети, доступа в интернет, серверов на базе Linux; - Закупка оборудования и ПО, поддержка парка рабочих мест на базе MacOS и разнообразных мобильных устройств, на которых ведётся разработка продуктов компании.

Что нужно иметь за плечами:

- Понимание TCP/IP и базовых сетевых технологий; - Опыт администрирования Linux/Unix-like OS; - Английский язык на уровне чтения документации и ведения рабочей переписки.

Весомый плюс:

- Опыт автоматизации задач администрирования. Для понимания того, насколько будущие задачи будут по тебе - мы предлагаем тестовое задание, после успешного выполнения которого мы с удовольствием познакомимся лично и обсудим детали.

Задание:

В интернете есть веб-сайт http://www.supersait.ru. Вам необходимо подменить его для сотрудников офиса на внутренний сайт так, чтобы внутренний сайт открывался им по этому адресу вместо сайта из интернета. Расскажите, как бы вы решили такую задачу.

Присылайте резюме сразу с решением нашего мини-теста на job@zeptolab.com - с фидбеком вернемся оперативно.

На zeptoteam.ru есть про нас и позицию

Задание:

Больно легкое задание.

Так вроде подхожу, а вот с англ. бида-пичаль, деловую переписку вести смогун а уровне «ok\fine\УМВР\fuck off»

roman77 ★★★★★ ()
Последнее исправление: roman77 (всего исправлений: 2)

Хорошее тестовое задание, интересное.

Можно поиграть с доменным именем, но в этом варианте сотрудник может прописать 8.8.8.8 вместо dns и попасть на оригинальный сайт.

Можно еще посмотреть текущий ip адрес этого сайта и зароутить его на машину-заглушку, но тут всегда есть внешняя контрольная точка которая может все поломать.

Остается только прокси-сервер, всем хороший вариант, но что делать если ваш сайт хочет https? Обучать пользователей плохому=соглашаться с не валидными сертификатами? или поднимать свою инфраструктуру PKI?

В общем, да, поговорить про то что в жизни счастья нет с этого тестового задания можно, и хорошо можно, но вот, как мне кажется, для junior sysadmin это таки перебор, не?

catap ★★★★★ ()
Ответ на: комментарий от catap

Да проще же всё, дружище! Как, по-твоему, расейские провайдеры исполняют указания о блокировке неугодных сайтов?

- все запросы по 53 TCP/UDP заворачиваются рутером на локальный DNS. Привет любителям писать 8.8.8.8 - вы и вправду думаете, что вы с гугловым DNSом общаетесь? :) ;

- все запросы на 3128-3140, 8080 (ну и еще что-нибудь до кучи) - на локальную проксю.

- обычные запросы - через прозрачную проксю. Ну и СОРМ, конечно же. :)

slamd64 ★★★★★ ()
Ответ на: комментарий от slamd64

Так может делать только ростком, выплачивая сотни лямов менеджерам и кричя,что купить DPI у хуавея денег нет.

gh0stwizard ★★★★★ ()
Ответ на: комментарий от catap

Да ничего с ним не делать.

На внутреннем хосте, который отрисовывает страшную страничку «сюда вам доступ запрещен» просто не слушать 443-й порт.

Соответственно, браузер юзерам отрисует тайм-аут и всё.

slamd64 ★★★★★ ()

Хм. Вообще сделал бы средствами веб-сервера как-нибудь так:

# Lighttpd...

    $HTTP["remoteip"] == "192.168.0.0/16" {
        server.document-root = var.basedir + "local.supersait.ru"
    }   
- это, если на одном хосте.

backbone ★★★★★ ()
Последнее исправление: backbone (всего исправлений: 1)
Ответ на: комментарий от backbone

Это если supersait.ru вам принадлежит. Тогда можно кучей способов это сделать.

В условии задачи не сказано, что вы можете им управлять.

Соответственно, речь идет о том, чтобы заблокировать доступ к внешнему сайту, представив локальным юзерам сайт-заглушку.

slamd64 ★★★★★ ()
Ответ на: комментарий от slamd64

Тогда да, на прикладном уровне задачу не решить.

Интересно, 2-ой задачей не будет: как получить доступ к внешнему сайту?

backbone ★★★★★ ()
Ответ на: комментарий от slamd64

Нет. Добавляется один серт, которым сквид подписывает сгенеренные для каждого сайта

Kuzz ★★★ ()
Ответ на: комментарий от slamd64

Понятно, что можно использовать VPN или proxy, чтобы зайти на сайт. Но не лучше ли называть всё своими именами? Если это локальный ресурс для пользователей компании, то использовать другое имя?

backbone ★★★★★ ()
Ответ на: комментарий от backbone

Ну если не VPN, то другая логическая подсеть, которой разрешено всё.

slamd64 ★★★★★ ()
Ответ на: комментарий от backbone

Это самый хороший расклад, я же считаю что надо закрыть vk.com доступа к которому нет и подменить его на мотивирующую страницу.

catap ★★★★★ ()
Ответ на: комментарий от Kuzz

Кстати, не факт что админите :)

И разве cert может выписывать сертификаты без подверждения владения доменом? А если нет владения доменом то усе пропаложе, да? Остается поднимать только свой центр сертификации и прочую PKI инфраструктуру, что было озвучено еще в первом комментарии ;)

catap ★★★★★ ()
Ответ на: комментарий от slamd64

если резать все https запросы же то усе пропало!

А если не резать, то хоть tor можно поднимать :)

catap ★★★★★ ()
Ответ на: комментарий от catap

Кстати, не факт что админите :)

Пляски с DNS и перенаправлением на шлюзе всех DNS-запростов выше описаны)

А по сертификатам: достаточно и самоподписанного. Это ж его добавляем в доверенные корневые центры сертификации. И им squid подписывает динамически генерируемые для доменов.

Kuzz ★★★ ()
Ответ на: комментарий от catap

Еще раз:

DNS-запрос перенаправили на локальный DNS-сервер. Который на «нехороший» сайт дал IP локального сервера.

У локального сервера в HTTP-сервере нет разделения на виртуалхосты. Тупо *:80. С каким бы именем сайта в http-запросе к нему ни обратились, он всегда отдаст один и тот же контент. Если запрос https, то этот сервер на него просто не ответит и браузер отрисует пользователю тайм-аут или режект.

При чем тут редирект с http на https на оригинальном сайте?!?!?!?

slamd64 ★★★★★ ()
Ответ на: комментарий от catap

Обмануть систему можно, принудительно подсунув в доверенные левый корневой сертификат каждому пользователю на предприятии. Соответственно, на основе этого левого сертификата генерировать «страшные странички» и по https тоже.

Но тут ряд проблем:

1. Если уволившийся админ утащит с собой этот корневой сертификат, любимой конторе в будущем он сможет организовать много «приятных» событий типа фишинговых сайтиков банков, которые не отобьются контролем левых сертификатов в браузерах.

2. Банальная задачка «заблокировать https сайт» превращается в кучу плясок с бубном. Не только прописать зону, но и прописать виртуальный хост на локальном веб-сервере, да еще и сгенерировать ему сертификаты.

3. Беготня с тем, чтобы каждому юзеру на предприятии таки вписать этот самый корневой сертификат на всех браузерах.

slamd64 ★★★★★ ()
Ответ на: комментарий от slamd64

Как было отмечено изначально, придется возиться с инфраструктурой PKI, а это уже работа не junior sysadmin, ага?

catap ★★★★★ ()
Ответ на: комментарий от catap

Я же объяснил: по-моему, с этим вообще возиться не надо.

Ну нарисует браузер таймаут вместо «страшной странички». Ну и что? Зато не надо много-много лишних телодвижений и нет потенциальной дыры в безопасности компании.

slamd64 ★★★★★ ()
Ответ на: комментарий от slamd64

Ну нарисует браузер таймаут вместо «страшной странички». Ну и что?

Юзеры оборвут тебе телефон и прочие средства связи с жалобами на то, что Интернет не работает. А так ничего.

dexpl ★★★★★ ()
Ответ на: комментарий от catap

Ты сам себе усложняешь задачу. Джуниор вряд ли знает про PKI и вряд ли вспомнит про https :)

xpahos ★★★★★ ()
Ответ на: комментарий от dexpl

Пусть обрывают. По каждому такому звонку - докладная руководству.

Так, мол, и так. Милый гражданин такой-то мало того, что в рабочее время пытается сидеть в запрещенных корпоративными правилами вконтактичке/быдлоглазничках, так еще и IT-отдел напрягает. И аудиозапись с астера приложить.

После пары-тройки строгих выговоров с занесением в трудовую, все станут тихими, белыми и пушистыми. И вопросы глупые задавать перестанут.

slamd64 ★★★★★ ()
Ответ на: комментарий от catap

Сделать fake'овое DNS-имя для этого сайта :)
А вообще задание явно на SQUID, а сделать это проще/интереснее - подменой HTTP-заголовков с помощью Privoxy.
Ну и да, не могу не отметить, что российский бизнес - самый инфантильный, самый паразитический и самый морально разлагающий бизнес на свете. На 1 человека, который организует бизнес по производству йогуртов найдётся 2000 человек, производящих НЁХ (неведомую ё*ную х*йню). Стыдно и горько за нашу страну, в которой что-то полезное могут производить только крупные госпредприятия, не развалившиеся с распадом Союза.

DRVTiny ★★★★★ ()
Ответ на: комментарий от no-such-file

Даже в венде вполне можно сделать policy так, чтобы юзерский комп смотрел DNS и не смотрел локальные hosts.

Да и, как бы, очень мудрым должен быть юзер, чтобы знать, где hosts менять. И права у него должны быть на это.

slamd64 ★★★★★ ()
Ответ на: комментарий от no-such-file

С чего бы это? Насколько я понимаю, в данном случае это - политика партии и правительства.

slamd64 ★★★★★ ()
Ответ на: комментарий от slamd64

Даже в венде вполне можно сделать policy так

Неизвестно, что за железки у пользователей.

очень мудрым должен быть юзер

Юзер тебе ничего не должен. Твоя задача подменить сайт, несмотря на действия пользователей.

Представь, что в организации 100500 машин и на 50% завёлся троянчик, который рандомно раз в час заменяет запросы к сайтам на запрос к сайту в задаче. Тебе, как младшему, поручают простую задачу: завернуть обращения к сайту на локальный сайт, чтобы: 1.у пользователей не вылазили голые нигры, 2.собрать информацию о том, какие машины заражены. А ты берёшь и https отрубаешь вообще - зашибись, специалист.

no-such-file ★★★★★ ()
Ответ на: комментарий от catap

Самоподподписанный сертификат, не? Можно и по браузерам распихать сертификат фейкового CA, но зачем - на это итак никто не обратит внимания.

DRVTiny ★★★★★ ()

- Опыт автоматизации задач администрирования. Для понимания того, насколько будущие задачи будут по тебе - мы предлагаем тестовое задание

Специфический стиль журнала Хакер. Как говорят либерасты, в ЭТОЙ стране принято к незнакомым людям обращаться на Вы.

DRVTiny ★★★★★ ()
Ответ на: комментарий от catap

Да ладно, поставить срок протухания сертификата лет 20-ть - и не парится. По-моему проблема всецело надуманная. И что там ревокать, и зачем? Пустой crl создаётся одной командой.

DRVTiny ★★★★★ ()
Ответ на: комментарий от DRVTiny

Потом у тебя стащат корневой сертификат, ибо использование флешки тебе кажется сложным, и сделав фейковый сайт вашего интернет банка где в компании зарплатный проект отобьют все бапки?

:)

catap ★★★★★ ()
Ответ на: комментарий от kukara4

https как бы призван защищать от прозрачных прокси ;)

catap ★★★★★ ()
28 мая 2014 г.

Я бы использовал для подключения локальных пользователей компании в инет маршрутизатор. На маршрутизаторе использовал бы policy-based routing. Там настроил http-redirect по url "http://www.supersait.ru" для требуемых src ip.

andrew667 ★★★★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.