>Вот это уже серьёзное предложение. Такая атака действительно может пройти. Защититься от неё можно подключив мышку к PS/2.

Ну ковырялся бы рабочий не с мышкой, а со станком.

Расковырялки.

Ну ковырялся бы рабочий не с мышкой, а со станком.

А я где-то сказал, что там всё было сделано правильно? Я лишь указал, что в том взломе который был проведён взломали человека, а не систему.

Сервер прикрываем файрволом В файрволе разрешаем SSH В SSH разрешаем X11 forwarding Отключаем остальные фичи SSH типа SFTP и Port forwarding Все, теперь вынос кода будет сопряжен с таким геморроем, что проще вынести сервер

> Работа в режиме X-терминала - единственное решение, которое я вижу.

xclipboard = передача больших кусков данных. Сколько туда помещается данных?

> Сервер прикрываем файрволом В файрволе разрешаем SSH В SSH разрешаем X11 forwarding Отключаем остальные фичи SSH типа SFTP и Port forwarding Все, теперь вынос кода будет сопряжен с таким геморроем, что проще вынести сервер

ssh login@server «tar czf - /path/to/sources» > sources.tar.gz

Получили локально архив с исходниками. Отличное решение, даша!

Виданные мной буржуи в таких случаях садят кодеров за rdp/vnc терминалы к серверу разработки с отключёнными клипбоардами и файлошарами.

>xclipboard = передача больших кусков данных

Однако «канонический» xserver не отдаёт свой clipboard кому попало. Т.е. для получения «дохода» придётся написать свой xserver, сохраняющий clipboard локально, и выдающий обратно кучу событий, приводящих к открытию x-клиентом всех файлов проекта по очереди, и запихиванию их содержимого в clipboard (и начинай сначала). Конечно, вариант с «растровым» терминалом ещё интереснее. Но для информации, которая не стоит описанного выше труда, может быть достаточно.

Уволить всех и идти выращивать хлеб.

Хернёй занимаетесь.

Если не доверяете - делайте всё сами.

Какой у вас мотив скрывать разработку? А у сотрудников? Слабо их смотивировать по-человечески, не превращая их в быдло?

> Однако «канонический» xserver не отдаёт свой clipboard кому попало. Т.е. для получения «дохода» придётся написать свой xserver, сохраняющий clipboard локально,

export DISPLAY=xserver-address:display_numer

xauth nlist / xauth nimport -

Всё.

Ну извини, я не виноват, что ты про chsh не слышал...

>xauth nlist / xauth nimport - Всё

Не всё. Нужно, как минимум, иметь xauth на уже разрешённой машинке, метод получить авторизационную информацию на контроллируемой, и программу, которая будет открывать все по очереди файлы и загонять их в clipboard. Не rocket science, конечно, но при определённых админ. ограничениях может быть достаточно(для охраняемой информации) сложно.

> Ну извини, я не виноват, что ты про chsh не слышал...

В упор не вижу chsh в твоём предыдущем посте. Наверное это потому, что там нет упоминания chsh, тебе так не кажется, но-даша?

> Нужно, как минимум, иметь xauth на уже разрешённой машинке,

Или хедеры + компилятор + мануалы. Или посмотреть исходники дома. Да и вообще, я не понимаю, как отрезание разработчиков от интернета поможет вам ускорить разработку. Лично мне часто приходится гуглить.

которая будет открывать все по очереди файлы и загонять их в clipboard.

Зачем по очереди? Архив + xxd/hexdump/od. В любом случае, простой скрипт поможет

Я привожу примеры к тому, что предлагаемые решения не помогут, так как есть куча вариантов их обойти. А продумать их все - не у всех хватает ума.

Вон даша предлагала доступ заспуск приложений через Х-тунель по ссш. Можно подумать, это от чего-то защитит.

>как отрезание разработчиков от интернета поможет вам ускорить разработку

Никак. Потому их не нужно отрезать. Нужно отрезать интернет от машинки с исходниками. Проще всего — запустить на клиентском терминале 2 Xсервера, один для работы управляемый «рабочим» сервером, второй — для развлечений, управляемый из другого места. От нескольких нажатий CtrlAltF[0-12] пальцы не отвалятся, и ограничения будут досаждать только в одном типе деятельности, т.ч. вполне может не очень грузить.

Или хедеры + компилятор + мануалы

Недостаточно. Можно, например, в начале сессии добавить x-авторизацию по krb5, убрать всю остальную, спрятать kdc от клиентских машин за firewallами и системный xauth на сервере от клиентских программ selinux-ом. copypaste из интернета в закрытой разработческой конторе всё равно должен быть забанен, т.ч. исходники xauth придётся вбивать руками. Это уже нудно. Т.ч. придётся принести патченый xserver, который относительно легко обнаружить при обязательной проверке «кошерности» софта терминала. Это уже относительно большой геморрой для взломщика. Правда и для конторы тоже. Добавить на сервер мониторинг (на предмет частоты) операций открытия файлов проекта гуёвыми программами (audit-ом), и/или X-clipboard-а, объявить единственным кошерным редактором vim (и другие, способные копипейстить без X-clipboard) и нанять бригаду скорой помощи с наручниками и вантузом со стальной ручкой метровой или более длинны, ну и т.п.

предлагаемые решения не помогут, так как есть куча вариантов их обойти. А продумать их все - не у всех хватает ума

Т.ч. на каждый вариант обхода можно выкопать свою ямку с дерьмом. И не хватает вовсе не ума а безумия, паранойя никогда не была признаком первого. Ведь единственный действительно надёжный способ сохранения информации — не давать её в руки людям. Вообще. И текст программ тоже должен быть открыт. И мы всё это знаем. И продолжаем придумывать всякую @#$@#$ню. Это ли не безумие?

Чем сложнее «система защиты», тем интереснее найти способ её обойти.

А вообще в том, что запретить разработчикам уносить написанный же ими код - какая-то глупость. Ну, написал он на работе. А дома кто ему помешает написать то же самое?

Осталось после окончания проекта выкалывать глаза, отрезать язык и руки у архитекторов/тимлидов :)

>Чем сложнее «система защиты», тем интереснее найти способ её обойти.... А дома кто ему помешает написать то же самое?

Лень, скука. Это единственные(*) препятствия «воровству», на которые контора может эффективно влиять. Система защиты должна иметь очевидные (чтобы искать было неинтересно) но трудоёмкие (чтобы лень) пути обхода. И мониторить их, на случай если вдруг попадётся неленивый, склонный к нудной работе и несоблюдению договоров сотрудник.

(*) хотя уже 2. Есть ещё усталость, но её невыгодно применять, они работать перестанут. Вероятно есть ещё какие-то, но их лень вспоминать.

наоборот закрытие доступа породит всенепременное желание вынести, даже если сотрудник и не помышлял об этом раньше.