Comments 65
Способ хороший, но признаюсь — я тоже не справился бы за поставленное время с задачей. Интересно было бы узнать, какие требования к кандидатам были для этой вакансии
Стандартный минимальный набор для системного администратора *nix:
bind
shell scripting (хотя б на начальном уровне)
mysql (управление и тюнинг)
apache
nginx
pppoe
radius
php (настройка как модуль и как cgi, хотяб начальные знания языка)
маршрутизация
вроде ничего для минимума не забыл
bind
shell scripting (хотя б на начальном уровне)
mysql (управление и тюнинг)
apache
nginx
pppoe
radius
php (настройка как модуль и как cgi, хотяб начальные знания языка)
маршрутизация
вроде ничего для минимума не забыл
спасибо)
>возможно соискатели читают Хабр, и увидят, наконец, решение не пройденного ими задания.
Вот бы все работодатели так отписывались на хабре (или, хотя бы, сообщали, чем конкретно им соискатель не подошёл) — чтоб знать, что нужно подтянуть, на что обратить особое внимание и т. п.
Вот бы все работодатели так отписывались на хабре (или, хотя бы, сообщали, чем конкретно им соискатель не подошёл) — чтоб знать, что нужно подтянуть, на что обратить особое внимание и т. п.
2.5 часа?.. ээ… хотя бы 4 бы давали… если человек сталкивался с такой, или похожей, связкой — справится за час… если не сталкивался, то 2.5 всё-таки маловато…
Мы же не выбираем, кто сталкивался, а кто нет. Судя по Вашему высказыванию, получается, что любую задачу можно решить, вопрос в том, сколько времени на это потребуется.
На самом деле, кандидаты, изначально указали, что работали с радиусом, а это значит, что они должны быть способны решить поставленную задачу.
Кстати, один из них, судя по всему, вообще не знал что такое радиус, и видать, указывал в ремюме знакомые слова.
И еще, в действительности, время не очень критично, и если б, мы увидели, что «дорога верная», и не хватает времени, то просто бы попросили растолковать дальнейшие действия. Нов нашем случае, такого не произошло.
На самом деле, кандидаты, изначально указали, что работали с радиусом, а это значит, что они должны быть способны решить поставленную задачу.
Кстати, один из них, судя по всему, вообще не знал что такое радиус, и видать, указывал в ремюме знакомые слова.
И еще, в действительности, время не очень критично, и если б, мы увидели, что «дорога верная», и не хватает времени, то просто бы попросили растолковать дальнейшие действия. Нов нашем случае, такого не произошло.
И еще, в действительности, время не очень критично, и если б, мы увидели, что «дорога верная», и не хватает времени, то просто бы попросили растолковать дальнейшие действия.Ну это меняет дело, согласен. Разобраться в предмете и начать действия за 2.5 часа вполне можно. Просто за себя пытаюсь оценить, сколько бы времени потратил, не просмотрев ваши конфиги, и совсем не уверен что вписался бы в 2.5 часа с получением полностью функционального решения.
А вы почаще пробуйте реализовывать задания такого типа, благо виртуалки это позволяют, глядишь и опыта будет много больше, пусть даже не в продакш, но по крайней мере, в суть вникнуть в дальнейшем будет намного проще.
Мне уже теперь опыт другого плана нужен, я в программисты ушел :-). Хотя надеюсь иногда, как минимум раз в год, при решении задач в категории admin с очередных RuCTF Quals, буду стряхивать пыль со своих отложенных на полку знаний. В прошлом году, например, там был таск на настройку маршрутизатора с сотней интерфейсов, полумиллионом статических правил и просчет на нем шлюзов для нескольких миллионов пакетов — при решении с помощью Linux пришлось немного оттюнинговать сборщик мусора в ядре… А уж какие они извращения с аутентификацией в кривом AD и настройкой SSH в restricted mode или с SELinux устраивали…
Странно, обычно бывает наоборот, из программеров в админы, но в начальной и средней стадии. как то так.
А с Radius'ом я ещё на первой работе познакомился, правда не слишком близко — всё сводилось к перенастройке с нуля старого PPP-шлюза с пулом модемов, и переходом с какого-то уж больно старого radius-сервера (не помню как назывался но он не собирался под тогдашней свежей FreeBSD) на freeradius.
Есть вещь, которая поражает меня уже много лет: на всех форумах полно ругани в адрес MS по поводу PPTP — и не криптостойкий де, и аутенфикации сервера не производит, и NAT'ить GRE сложно, и вообще — его MS придумал, и называется он не OpenVPN.
Критика в общем справедливая, протокол старый, MS его и сам давно использовать не рекомендует.
Вместо него уже чего только нет — L2TP/IpSec, SSTP (привет OpenVPN!), IKEv2, DirectAccess — на любой вкус и цвет.
Но мы не будем использовать, мы напишем 100-500-й howto по настройке pptpd.
Критика в общем справедливая, протокол старый, MS его и сам давно использовать не рекомендует.
Вместо него уже чего только нет — L2TP/IpSec, SSTP (привет OpenVPN!), IKEv2, DirectAccess — на любой вкус и цвет.
Но мы не будем использовать, мы напишем 100-500-й howto по настройке pptpd.
Здесь совсем не принципиально, pptpd это или openvpn, речь идет о тестовом задании, или Вы не удосужились прочитать?
Далее, в каждой how-to, что здесь выкладывают, находятся люди вроде Вас, которые обязательно скажут — «очередной how-to».
То что используют вместо него на продакш системах много лет, к Вашему сведению, мы все здесь знаем, да и используем. Новичкам же, pptpd очень удобен, и не потому что он от M$, и даже не потому что очень много how-to на эту тему, а просто потому что, обычные юзеры, которые используют виндовс, могут к нему подключится нативно, без установки дополнительных приложений и вмешательства более продвинутых юзеров со стороны.
Далее, в каждой how-to, что здесь выкладывают, находятся люди вроде Вас, которые обязательно скажут — «очередной how-to».
То что используют вместо него на продакш системах много лет, к Вашему сведению, мы все здесь знаем, да и используем. Новичкам же, pptpd очень удобен, и не потому что он от M$, и даже не потому что очень много how-to на эту тему, а просто потому что, обычные юзеры, которые используют виндовс, могут к нему подключится нативно, без установки дополнительных приложений и вмешательства более продвинутых юзеров со стороны.
По-моему это вы не удосужились прочитать, что я написал. К Вашему сведению, все перечисленное работает без установки дополнительных приложений и вмешательства более продвинутых юзеров со стороны.
Спасибо, что насрали в карму.
Спасибо, что насрали в карму.
Ну для начала, я никуда не какал, так что не стоит, это раз
Два — попробуйте предложить простому юзеру настроить L2TP/IPSec со своего компа и простое ВПН подключение, будете сильно удивлены, уверяю Вас.
Далее, диалог считаю бессмысленным, ибо, Вы изначально настроены враждебно.
Два — попробуйте предложить простому юзеру настроить L2TP/IPSec со своего компа и простое ВПН подключение, будете сильно удивлены, уверяю Вас.
Далее, диалог считаю бессмысленным, ибо, Вы изначально настроены враждебно.
Я выразил личное недоумение — где вы увидели враждебность? С чего вы вдруг решили перейти на личности и рассказать мне про «людей вроде меня»?
Основное предназначение L2TP/IpSec — удаленный доступ доменных машин. Установка сертификата на машину в доменной среде производится без участия пользователя. Вся прочая настройка VPN абсолютно(!) идентична настройке при PPTP.
Для недоменных (домашних) машин установка сертификата возможна через создание гостевой PPTP зоны и принудительному перенаправлению клиента на CA. Дополнительные действия пользователя — нажать одну кнопку.
Основное предназначение L2TP/IpSec — удаленный доступ доменных машин. Установка сертификата на машину в доменной среде производится без участия пользователя. Вся прочая настройка VPN абсолютно(!) идентична настройке при PPTP.
Для недоменных (домашних) машин установка сертификата возможна через создание гостевой PPTP зоны и принудительному перенаправлению клиента на CA. Дополнительные действия пользователя — нажать одну кнопку.
Не надо высоких Выражений, типа CA, Гостевая зона, и т.д. — Вы это не мне (мне не стоит, уверяю), Вы это простому пользователю объясните.
Впрочем, это Ваше личное дело как считать.
По поводу перехода на личности — такого не было, ибо «людей вроде Вас» и Вы, не одно и то же.
В конце концов, Вы высказались, Вам ответили, слава Богу, все в пределах правил. Чего же боле…
Впрочем, это Ваше личное дело как считать.
По поводу перехода на личности — такого не было, ибо «людей вроде Вас» и Вы, не одно и то же.
В конце концов, Вы высказались, Вам ответили, слава Богу, все в пределах правил. Чего же боле…
Бред какой-то. Зачем простому пользователю вообще об этом знать?
Действительно бред.
Как Вы считаете, если работодатель поставит задачу потенциальному соискателю установить и настроить, скажем FreeBSD 4.0, потому что «так надо», должен ли соискатель назвать это бредом?
Просто посмотрите на это без эмоций.
Как Вы считаете, если работодатель поставит задачу потенциальному соискателю установить и настроить, скажем FreeBSD 4.0, потому что «так надо», должен ли соискатель назвать это бредом?
Просто посмотрите на это без эмоций.
Пожалуйста прочитайте мой начальный комментарий. Есть в нем что-нибудь про соискателей, работодателей и интервью?
Нет. Он про протоколы.
Нет. Он про протоколы.
Все, закончили, он(комментарий) действительно про протоколы, но статья то не про них — теперь усвоили.
Если выйдет новость, что в скором времени, к примеру, выйдем Windows8, Вы же не станете писать в комментах о том, что «нах это надо» и «ведь есть давно уже гном третий» и т.д.
То же самое и сейчас — отписались не по теме — жнёте плоды.
Если выйдет новость, что в скором времени, к примеру, выйдем Windows8, Вы же не станете писать в комментах о том, что «нах это надо» и «ведь есть давно уже гном третий» и т.д.
То же самое и сейчас — отписались не по теме — жнёте плоды.
Добавлю: в данном, конкретном случае, нужен был pptp, именно он, ну или мы так посчитали нужным, сделать тест по pptp.
Удовлетворены?
Удовлетворены?
Да, еще, возможно для Вас это будет новостью, но куча мелких провайдеров используют именно pptp для выхода в интернет, к примеру в домашних сетях.
Более того, я Вас еще удивлю — многие системы бронирования, в том числе Amadeus и Galileo (общемировые системы), в некоторых случаях до сих пор используют pptp.
Я не «за» и не «против» pptp, я лишь довожу до Вашего сведения.
Более того, я Вас еще удивлю — многие системы бронирования, в том числе Amadeus и Galileo (общемировые системы), в некоторых случаях до сих пор используют pptp.
Я не «за» и не «против» pptp, я лишь довожу до Вашего сведения.
Посылаю лучи высококогерентного поноса таким недопровайдерам, во главе с корбилайном. Производители soho-роутеров настолько офигели от этого, что называют его теперь Russian-VPN. Никому в мире, млеать, не приходит в голову использовать VPN для аутентификации пользователей в биллинге.
во всех ваших комментах в топике наблюдается чсв over9000, не понятные факты которые вы кому-то доводите до сведения и ни грамма информации. путаетесь в своих же словах и создаете впечатление что сами вчера прочитали по диагонали чьи-то записки или послушали на работе чье-то мнение отчего почувствовали себя всезнайкой, но в теме то по-прежнему плаваете…
>Да, еще, возможно для Вас это будет новостью, но куча мелких провайдеров используют именно pptp для выхода в интернет, к примеру в домашних сетях.
вы приводите в пример хоминеты (на которые тащемто вообще грех ориентироваться) и кого-то еще (корбилайны мир в себе и варятся в собственном соку) с целью показать «смотрите они пользуют что-то там значит и нам надо это пользовать», — мышление нуба ничего не смыслящего в отрасли. вы бы хотя бы задумались о причинах по которым хоминеты/корбилайны и ко пользуют в данном случае vpn'ы для предоставления доступа интернета. если хорошо подумать, то в списке этих причин пункт «это самый удобный и лучший способ доступа» будет отсутствовать вовсе. и с чего вы решили что никто из вышеперечисленных не мечтает избавиться от ненавистных vpn'ов, но в силу определенных и местами разных причин не может это сделать?
>Да, еще, возможно для Вас это будет новостью, но куча мелких провайдеров используют именно pptp для выхода в интернет, к примеру в домашних сетях.
вы приводите в пример хоминеты (на которые тащемто вообще грех ориентироваться) и кого-то еще (корбилайны мир в себе и варятся в собственном соку) с целью показать «смотрите они пользуют что-то там значит и нам надо это пользовать», — мышление нуба ничего не смыслящего в отрасли. вы бы хотя бы задумались о причинах по которым хоминеты/корбилайны и ко пользуют в данном случае vpn'ы для предоставления доступа интернета. если хорошо подумать, то в списке этих причин пункт «это самый удобный и лучший способ доступа» будет отсутствовать вовсе. и с чего вы решили что никто из вышеперечисленных не мечтает избавиться от ненавистных vpn'ов, но в силу определенных и местами разных причин не может это сделать?
Я рад, что в Ваших комментах чвс «не наблюдается», в порыве навязать свою точку зрения.
Не вижу ни разу никакой путаницы в своих ответах, если Вы про pptp от M$, то я не сказал, что это так и есть, обратите внимание, кто это сказал. Я вообще не вдавался в подробности о начальном происхождении pptp. А то, что он символизируется с M$, то, надеюсь, этого Вы не будете отрицать.
Не вижу ни разу никакой путаницы в своих ответах, если Вы про pptp от M$, то я не сказал, что это так и есть, обратите внимание, кто это сказал. Я вообще не вдавался в подробности о начальном происхождении pptp. А то, что он символизируется с M$, то, надеюсь, этого Вы не будете отрицать.
> Новичкам же, pptpd очень удобен, и не потому что он от M$, и даже не потому что очень много how-to на эту тему, а просто потому что, обычные юзеры, которые используют виндовс, могут к нему подключится нативно, без установки дополнительных приложений и вмешательства более продвинутых юзеров со стороны.
запутались в своих же словах. pptpd не от MS, а порождение разработчиков из gnu-коммьюнити. от MS протокол pptp.
windows нативно умеет как-минимум еще l2tp, почему не l2tp? у него кстате транспорт не gre => лишен проблем с nat'ами.
ну и да, я не понимаю, как этот конструктор из костылей и подпорок для pppd/pptpd может быть удобным? в vpn линуксам всегда было нечем гордиться. тестовое задание на «задрочить». мне бы и в голову не пришло соискателя роботы насиловать тестовым заданием «а ну настрой мне впн на костылях на линуксе за N минут». и не только потому что это бессмысленные мучения, а еще и потому что навык «нагуглить хавту» хоть и приветствуется, но не является самым важным и приоритетным. а именно его вы и «тестируете» такими заданиями.
впрочем критерии и их приоритеты в поиске сотрудника каждый определяет сам. кому-то нужен специалист понимающий суть вещей в его работе, а кому-то нужна обезъяна обученная гуглить хавтушки и за N минут делать по ним что-то.
запутались в своих же словах. pptpd не от MS, а порождение разработчиков из gnu-коммьюнити. от MS протокол pptp.
windows нативно умеет как-минимум еще l2tp, почему не l2tp? у него кстате транспорт не gre => лишен проблем с nat'ами.
ну и да, я не понимаю, как этот конструктор из костылей и подпорок для pppd/pptpd может быть удобным? в vpn линуксам всегда было нечем гордиться. тестовое задание на «задрочить». мне бы и в голову не пришло соискателя роботы насиловать тестовым заданием «а ну настрой мне впн на костылях на линуксе за N минут». и не только потому что это бессмысленные мучения, а еще и потому что навык «нагуглить хавту» хоть и приветствуется, но не является самым важным и приоритетным. а именно его вы и «тестируете» такими заданиями.
впрочем критерии и их приоритеты в поиске сотрудника каждый определяет сам. кому-то нужен специалист понимающий суть вещей в его работе, а кому-то нужна обезъяна обученная гуглить хавтушки и за N минут делать по ним что-то.
ну xl2tpd настроить не сложнее, ради интереса вечером попробую привязать его к радиусу.
а кстати,
> в vpn линуксам всегда было нечем гордиться.
> ну и да, я не понимаю, как этот конструктор из костылей и подпорок для pppd/pptpd может быть удобным?
Про костыли напомнило.
> в vpn линуксам всегда было нечем гордиться.
> ну и да, я не понимаю, как этот конструктор из костылей и подпорок для pppd/pptpd может быть удобным?
Про костыли напомнило.
псто нытиков о побеждании рраса на клиентском виндовсе. не понимаю зачем впн-сервер в клиентской системе. впрочем виндовс жжот не своими впнами и сетевыми возможностями, в инфраструктуре сети MS этими вещами занимается железо правильных вендоров.
«просто сделать vpn сервер» и «есть чем гордиться в сетях и vpn» относилось к FreeBSD вообще и mpd частности.
но вобщем-то суть моего коммента не в том где проще или где лучше. суть в том что вы замеряете на собеседовании не совсем то что нужно на мой скромный взгляд.
«просто сделать vpn сервер» и «есть чем гордиться в сетях и vpn» относилось к FreeBSD вообще и mpd частности.
но вобщем-то суть моего коммента не в том где проще или где лучше. суть в том что вы замеряете на собеседовании не совсем то что нужно на мой скромный взгляд.
Ну это на Ваш взгляд, ведь так.
Замеряют то, что надо, или то, что считают нужным — вроде как должно быть понятно
Замеряют то, что надо, или то, что считают нужным — вроде как должно быть понятно
я на собеседовании ничего не замеряю, а топикстартер и на мой взгляд тоже не совсем корректен при построении задач для него.
p.s. " в инфраструктуре сети MS этими вещами занимается железо правильных вендоров" — в нормальных конторах само собой asa/pix имюет место быть, а в разного рода офисах «в инфрастрктуре сети MS zver cd этими вещами занимается windows server 2003 с рутрэкера» я бы так сказал =)
p.s. " в инфраструктуре сети MS этими вещами занимается железо правильных вендоров" — в нормальных конторах само собой asa/pix имюет место быть, а в разного рода офисах «в инфрастрктуре сети MS zver cd этими вещами занимается windows server 2003 с рутрэкера» я бы так сказал =)
в инфраструктуре сети MS этими вещами занимается железо правильных вендоров.
ну это вы зря, RRAS и «надстройки» к нему ISA\TMG — более чем внятное решение
а уж UAG — так вообще мечта поэта
емнип isa не ставится на что-то кроме windows server.
Гыгы, про UAG это вы хорошо пошутили. Он ущербен. Он в принципе не может работать так, как должен — потому что даже его разработчики не знают, как он работает (у меня есть прямые телефоны этих разработчиков). Хотите, я вам подкину контакты людей, которые ЭТО пытаются заставить работать в продакшене уже полтора года?
Уже то, что UAG рубит урлы с диакритическими символами, ставит под очень большое сомнение факт применимости этой поделки в реальной жизни.
Уже то, что UAG рубит урлы с диакритическими символами, ставит под очень большое сомнение факт применимости этой поделки в реальной жизни.
так а расскажите про вакансию?
Ты уже не прошел. Должен был по нику выявить сайт, далее через 0-day уязвимость в hardened-linux проникнуть на фронт-сервер, оттуда просочиться сквозь файервол и ips в доверенный сегмент, оттуда сквозь database-файервол попасть на сервер БД, найти там кадровую базу (которая, естественно, называется «бухгалтерия» и вложена в базу «склад»), далее найти вакансию и вписать там свое имя. На все это тебе 2.5 часа и сделать это надо с android-телефона по GPRS.
так, теперь вакансия не интерестна — рассказывайте про database-файервол :)
Это логическое развитие систем класса ips, эдакий level-up. Входит в класс систем application-level файерволов, наиболее известны web-application firewall (apache mod_security, Imperva WAF, cisco WAF, citrix netscaler имеет такую функцию и пр.) и database firewall (Imperva DBF/DSS, Guardium DBF). DBF (как и WAF, впрочем) работает не только на уровне транспортно-прикладного протокола, как ips, но и понимает саму суть транзакций, разбирая payload целиком, выискивая аномалии, заведомо вредоносные запросы, выявляя растянутые во времени атаки путем внутренней корреляции отдельных срабатываний в комплексные алерты, умеет мониторить и контроллировать в том числе и локально залогинившихся админов, вплоть до SYSDBA.
Весьма полезные штуки, особенно в больших организациях с критичными сервисами.
Весьма полезные штуки, особенно в больших организациях с критичными сервисами.
Вакансия за пределами СНГ, в одном славном, но не большом, европейском провайдере.
придумать бы как сделать что-б он ещё некий маршрут посылал при установке pptp сессии, но кроме как 33ей опции dhcp (релэить?) ничего на ум не приходит.
Через 249-ю опцию и DHCP Relay это делается. Gateway при этом можно указать любой — все маршруты полученные от DHCP через VPN — будут рутиться в него.
Альтернатива — CMAK, там можно даже возможность по HTTP забирать таблицу рутинга настроить можно. Но по мне — оно излишне.
Альтернатива — CMAK, там можно даже возможность по HTTP забирать таблицу рутинга настроить можно. Но по мне — оно излишне.
121-ая опция. Vista и выше понимают из коробки. Linux после напильника.
Спасибо за статью! Очень хорошо что именно на примере центоси 6-й пример!
Пользуясь случаем спрошу (т.к. еще нигде в статьях не видел проработки этого вопроса):
Планировались ли подключения клиентов с Windows (стандартными средствами)?
Если да, то каким образом клиенты на Windows подключаются из-за NAT? (Вы ведь строите vpn-сервер не только в локалке) — ведь виндовый pptp работает через GRE (не IP!) протокол, а L2TP отучается от GRE только «грязным хаком» реестра…
Планировались ли подключения клиентов с Windows (стандартными средствами)?
Если да, то каким образом клиенты на Windows подключаются из-за NAT? (Вы ведь строите vpn-сервер не только в локалке) — ведь виндовый pptp работает через GRE (не IP!) протокол, а L2TP отучается от GRE только «грязным хаком» реестра…
Читал статью и думал — «К чему бы докопаться?». Но когда дочитал, понял, что как то так и стоит поступать. Действительно зачем душить людей теорией. Приблизительно так же поступал и я, когда искал человека на свое место на прошлое место работы. Единственное что было не так — задач было больше и они были более мелкие, чтобы можно было более обширно оценить знания соискателя(наверное с каждым случается дикий затуп с какой-нибудь мелкой задачей и не хотелось бы быть предвзятым). Ах и да — я бы наверное не стал ставить это дело на 6 центос — кто его знает — где там вылезет проблема, но это уже больше дело привычки.
PS. Спасибо за статью. Толковый мануал побуждает развернуть это дело на тестовой платформе)
PS. Спасибо за статью. Толковый мануал побуждает развернуть это дело на тестовой платформе)
Как можно проверить связку radiusclient-ng -> freeradius? Сам фрирадиус проверен и отвечает как положено, а единственное, что использует radiusclient-ng это pppd, который ставился до радиуса и ужасно не хочется ломать продакшн. Есть ли у него тулзы для проверки запроса на RADIUS хотя бы вида user/password?
PS: в словарях radiusclient-ng микрософта нет до сих пор. Ну не редиски?
PS: в словарях radiusclient-ng микрософта нет до сих пор. Ну не редиски?
Sign up to leave a comment.
VPN-сервер в стиле how-to (pptpd+mysql+radius) на CentOS6