LINUX.ORG.RU
ФорумAdmin

Удалённое безопасное монтирование /home/user, что посоветуете?


0

1

Недавно я создал тему, но по ней пока ясности нет, потому я решил попробовать идти другим путём.

Задача такая. Есть офис, в котором несколько машин. Владелец офиса почему-то опасается каких-то проверок! И хочет, чтобы все работы велись удалённо, чтоб, если проверяющий прийдёт - ничего чтоб не нашёл (я даже сам не знаю, что там искать будут)!. Задачи - обыденные: браузер, почта, офисный пакет, скайп. Идея в том, чтоб купить удалённый сервер, и чтоб всё выполнялось там, а в офисе - только отображалось. Сначала он просил настроить что-то типа VNC, но чтоб со звуком. Я пока что ничего не придумал, и из той темы выше ясности нет - пока ковыряюсь.

Но! Я вот о чём подумал. Может, проще было бы просто монтировать хомяки юзеров на удалённом сервере? Не нужно было бы пробрасывать звук, и т.д., и всё бы хранилось удалённо. Чтоб, например, юзер логинился в систему (например, Ubuntu), а потом запускал бы какую-то прогу, которая бы подменяла его локальный хомяк на удалённый - и там уже пошёл работать! Но тут такой момент: как это осуществить? NFS - в открытом виде всё гоняет, небезопасно. NFS over SSH - так там люди не разберутся, как запускать. В общем, я не хочу своим замыленным взглядом (я об этой проблеме думаю несколько дней!) мешать полёту мысли тех, кто, возможно, мне что-то посоветует, и направлять мысли в придуманное мной русло. Может, кто-то посоветует что-то неожиданно элегантное и простое?

Подскажите, как бы это делали Вы?


Задача такая. Есть офис, в котором несколько машин. Владелец офиса почему-то опасается каких-то проверок! И хочет, чтобы все работы велись удалённо, чтоб, если проверяющий прийдёт - ничего чтоб не нашёл

Может, кто-то посоветует что-то неожиданно элегантное и простое?

стукни на него в налоговую. Я серьезно.

dikiy ★★☆☆☆
()

А просто монтировать /home по сети нельзя? А внутри сделать ecryptfs или что-то подобное.

AITap ★★★★★
()

терминальный доступ, правда сервачёк возможно придётся помощнее поставить
а на клиенте автоматический соединение с сервером, для большей безопасности соединяться через VPN

imb ★★
()

Тонкие клиенты, сетевая прозрачность иксов.

unfo ★★★★★
()
Ответ на: комментарий от AITap

Думаю, что автоматом нельзя монтировать, весь смысл, чтоб человек вводил пароль руками. А желательно, чтоб даже не было известно заранее, что можно куда-то там вводить пароль. Типа - загрузили - голый хомяк, подключились руками - работают.

xl743
() автор топика
Ответ на: комментарий от imb

Это я в предыдущей теме обсуждал, но пока решения не нашёл. Проблема в звуке. А платные решения - не хотелось бы. Они и так к венде склоняют! А мне не хочется её туда ставить, т.к. меня будут дёргать вирусы лечить!

xl743
() автор топика
Ответ на: комментарий от massive

Может, у Вас есть подобие мануала, как это сделать? Я не очень опытный ещё, только начал учиться!

xl743
() автор топика
Ответ на: комментарий от xl743

Ну монтируйте ecryptfs руками, кто мешает?

AITap ★★★★★
()
Ответ на: комментарий от xl743

Проблема в звуке.

Ниет никакой «проблемы в звуке». И никогда не было.

anonymous
()
Ответ на: комментарий от xl743

Ну дак тогда вобще написать свой скрипт, повесить его на какой-нибудь виртуальной консоли вместо login'а и пусть когда там введут нужный логин/пароль устанавливается шифрованый тунель и монтируется хомяк по NFS. И подключать это нужно пока пользователь не залогинен, чтобы не было проблем с перемонтированием домашнего каталога.

Только такую сложную последовательость могут не запомнить, запишут на бумажке и повесят на самое видно место...

mky ★★★★★
()

Зачем лисапед изобретаешь? Можно сделать следующим образом. Делаешь каждому пользователю чистый от всякой бяки хомяк, который монтируется по дефолту, а для работы поверх него монтируешь закриптованный (вот тебе и ввод пароля). Дабы умные дядки из всяких отделов с заглавными буквами не прихватили за неудобные места, контейнер кладёшь в неразмеченную область диска, причём кладешь его без создания разделов и прочего (немного геморойно его потом оттедова монтировать, но думаю ты справишься). Либо можешь как раз этот криптоконтейнер на удалённый сервак положить.

aleks13
()
Ответ на: комментарий от dikiy

стукни на него в налоговую. Я серьезно.

Согласен.

Miguel ★★★★★
()
Ответ на: комментарий от true_admin

Ух ты! Я такого не знал! Буду разбираться...

xl743
() автор топика
Ответ на: комментарий от aleks13

Ух ты! Меня очень заинтересовало, как неразмеченные области монтируют! Дайте пожалуйста несколько ключевых терминов или подскажите, как поискать. Хоть в моём случае это, наверное, не совсем то, что нужно, но очень интересно!

xl743
() автор топика
Ответ на: комментарий от xl743

Не надо неразмеченную. Любая утилита по восстановлению удалённых файлов покажет там файловую систему. В данном случае идеальным решением был бы толстый канал в интернет, сервер с LDAP, подключенный по vpn, и NFS-хомяки, монтируемые при помощи autofs.

om-nom-nimouse ★★
()
Ответ на: комментарий от om-nom-nimouse

Это если туда фс делать, а если тупо dd'шнуть контейнер, то будет обычный мусор, который без информации о начальной и конечной точках вкупе с алгоритмом шифрования таковым и останется. И фиг ты его вычислишь. Ну разве что если предварительно весь диск будет забит нулями.

aleks13
()
Ответ на: комментарий от xl743

Тут речь не совсем про монтирование неразмеченной области. Тут речь про монтирование файла, только с тем отличием, что вместо его имени ты должен скормить его ТТХ (которые обычно фс хранит).

aleks13
()
Ответ на: комментарий от xl743

man pam.

При логине пользователя используешь его пароль для установки SSH-тунеля.

KivApple ★★★★★
()
Ответ на: комментарий от aleks13

а если тупо dd'шнуть контейнер, то будет обычный мусор, который без информации о начальной и конечной точках вкупе с алгоритмом шифрования таковым и останется. И фиг ты его вычислишь.

Ну разве что кто-нибудь таки посмотрит конфигурационные файлы и определит, как чего при загрузке монтируется.

om-nom-nimouse ★★
()
Ответ на: комментарий от om-nom-nimouse

Угу и именно поэтому автоматом монтируется няшный хом и только потом ручками нужный из контейнера - врядли кто будет читать все скрипты ;)

aleks13
()
Ответ на: комментарий от aleks13

Именно поэтому все хомяки надо сложить на подключенный к сети конторы по VPN сервер и монтировать их при логине по NFS с помощью autofs. Без какого-либо геморроя и прочего. Все логины и пароли также хранить на сервере.

И никаких гвоздей. Всё давным-давно придумано.

om-nom-nimouse ★★
()

Да поставь ему какую-нибудь eyeos! Пусть развлекается и чувствует сухие памперсы!

Marrenoloth
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.