LINUX.ORG.RU
ФорумAdmin

Можно ли как-то защитить удаленное подключение с (предположительно зараженной) винды к linux-терминалу?

 , ,


0

1

Собственно, так кейс: есть у нас устройство юзера (который работает на винде, перестадить нельзя, дуабут или флешку с линуксом нельзя), нужно его подключить к терминальному серверу с линуксом (хотя можно и виндой) так, чтобы трояны не перехватывали клавиатуру и (желательно) экран. Реализуемо ли это? Например, клаву можно переадресовать как USB-устройство (ipusb или через spice/vmware клиент), но нужна отдельная клава. А вот с экраном не знаю, что делать.

Есть ли какие-то методы защиты без махрового ынтерпрайза, типа неработающего до сих пор для клав и мышей intel TXT?

Ответ на: комментарий от ktulhu666

Не заносить трояны или(если это невозможно) заюзать нормальный антивирус не пробовал?

Или интересует что-то сверх этих очевидных вещей?

клаву можно переадресовать как USB-устройство

Только если троян из под администратора работает - что ему помешает снимать данные со всех HID-устройств, которым один хрен будет являться клавиатура, как локальная, так и перенаправленная

Pinkbyte ★★★★★
()
Последнее исправление: Pinkbyte (всего исправлений: 1)
Ответ на: комментарий от Pinkbyte

Не заносить трояны или(если это невозможно) заюзать нормальный антивирус не пробовал?

Очевидно, что комп уже в говно и ничего нельзя сделать.

Или интересует что-то сверх этих очевидных вещей?

Именно.

Только если троян из под администратора работает

Они редко такие умные. Как вариант - именно проброс отдельной USB-клавы.

ktulhu666 ☆☆☆
() автор топика
Ответ на: комментарий от ktulhu666

А что ты собрался перехватывать? SSH по ключу? Или ты имел в виду не только credentials от линукс-сервера, а юзер еще и в процессе работы всякую важную инфу пальцем на клаве натыкивает?

thesis ★★★★★
()
Последнее исправление: thesis (всего исправлений: 1)
Ответ на: комментарий от thesis

а юзер еще и в процессе работы всякую важную инфу пальцем на клаве натыкивает?

Именно.

ktulhu666 ☆☆☆
() автор топика
Ответ на: комментарий от ktulhu666

Очевидно, что комп уже в говно и ничего нельзя сделать.

Тогда никак даже в теории. Есть всякие костыли вроде виртуальных клав Касперского, но и они не всесильны. Если бы комп был чистым на момент настройки плюс у юзера основная учётка не была бы админской — элементарно.

x3al ★★★★★
()

ТС, постит тупняк. Но что то похожее уже есть, правда не помню как называется. ТС, тебе нужно разрешать авторизацию только тем клиентам у которых установлен антивирус. Наверное стоит гуглить по следующим словам «healt policy, antivirus autorization»

snaf ★★★★★
()

Загружаешь любой LiveCD Linux, ставишь на флешку (скажем, с помощью Win32DiskImager), загружаешься. Поздравляю, ты в доверенном окружении.

KivApple ★★★★★
()
Ответ на: комментарий от ktulhu666

Очевидно, что комп уже в говно и ничего нельзя сделать.

А почистить комп от грязи религиякто запрещает?

julixs ★★★
()

Время переустанавливать шинвовс! Шиндовс сама не переустановится!

anonymous
()
Ответ на: комментарий от ktulhu666

Авторизация со станций где есть минимальная защита(а она, в случае наличия регулярно обновляемого антивируса, там таки есть) лучше чем авторизация хрен пойми откуда.

NAP в венде придумали не дураки. Клиент-серверные файрволы(например NuFW) - тоже.

Pinkbyte ★★★★★
()
Последнее исправление: Pinkbyte (всего исправлений: 1)
Ответ на: комментарий от Pinkbyte

Это хрень с проверкой наличия антивируса, обновлений и прочей джигурды насколько сложна в настройке, что смысла не имеет. Уж проще запинать пользователя грузиться с livecd или переставить винду ему.
И да: обычно бывает два случая:
1. Винду настраивал я, ПО для доверенного репозитория, юзеру всё запрещено (политики ограниченного использования программ), антивирус обычно стоит.
2. Ад и содомия (в плохом смысле этого слова). Даже если и есть антивирь, то там половина говнокряков у него в исключениях, а базы уже 2 года не обновлялись.

Я сейчас говорю про второй, к первому у меня претензий нет.

ktulhu666 ☆☆☆
() автор топика
Ответ на: комментарий от ktulhu666

Это хрень с проверкой наличия антивируса, обновлений и прочей джигурды насколько сложна в настройке, что смысла не имеет.

А простых решений озвученной тобой проблемы не существует. Ну, я имею, ввиду кроме очевидных -> переустановка венды, чистка компа и регулярно обновляемый антивирус, которые мы здесь по твоей просьбе не рассматриваем

Вопрос сродни тому как защититься от венерических заболеваний, но при этом безопасный секс - не вариант, поэтому что это «сложно».

Тут хочеться предложить только очевидный вариант - не трахаться вовсе. Ну, а в твоём случае - не включать комп.

Pinkbyte ★★★★★
()
Последнее исправление: Pinkbyte (всего исправлений: 1)

Виртуалку (даже тот же VirtuablBox подойдет) с виртуальной клавиатурой (например onboard) поставь, сессию пусть человек сохраняет, тогда он всегда будет уже сразу залогиненный и вводить ничего не придется. С экраном никак, если прямо видео пишется или скриншоты периодически отсылаются. Но можно пойти еще дальше, отключить хост от интернета и пользоваться интернетом только внутри виртуалки. При этом опять же если все так запущенно, пусть даже будет две виртуалки, одна из которых тоже Windows, подключенная к интернету, хост же от интернета отключен. Хотя конечно с Qubes OS все это решится гораздо элегантней, но уровень вхождения гораздо выше и желательно чтобы-нибудь достаточно производительное. (i7, несколько ssd).

anonymous_sama ★★★★★
()
Ответ на: комментарий от anonymous_sama

Очень уж в тему:

Программирование сегодня — это гонка, в которой соревнуются разработчики, стремящиеся построить большие и обладающие защитой от дурака программы, и вселенная, порождающая всё больших и качественных дураков. На данный момент вселенная побеждает. (Рич Кук)

Pinkbyte ★★★★★
()

Очень уж тебе с юзерами не повезло. Я даже не знаю, может какое хитрое шифрование запилить. Хотя как это сделать в винде, непонятно. Если будет захват картинки, ничего не спасёт.

sudopacman ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.