Линукс, обмазанный энтерпрайз секурити

есть желание пересесть на линукс

если нельзя, но очень хочется, то можно

да, но то же самое ПО будет чуть ли не в 10 раз дороже

есть у кого-нибудь опыт работы в организациях, где десктоп линукс официально был разрешен и поддерживался секурити.

В организации где я работаю онтопик разрешен и "поддерживается" ИБшниками. Как тебе помогла эта информация?

Вопрос: есть у кого-нибудь опыт работы в организациях, где десктоп линукс официально был разрешен и поддерживался секурити.

Да. В чем ваш вопрос?

Мне кажется, ОПа терзают вопросы типа «как в онтопике решаются вопросы, обычно решаемые в венде групповыми политиками»

Помогла тем, что я теперь могу спать спокойнее)))

У вас в организации полная обмазка в плане ИБ (dlp, политики и пр)? Наш секурити утверждает, что линукс вообще нет возможности контролировать в плане ИБ. Понятно, что до определенной степени это бред.

Да. В чем ваш вопрос?

Собственно, это и был вопрос. Это же толкс, поэтому вопрос в таком формате. Лично ни разу не слышал про десктоп линукса в серьезной корп обвязке. Видел какие-то отдельные мануалы про «линукс в ентерпрайзе», но максимум там было про интеграцию с АД.

Мне кажется, ОПа терзают вопросы типа «как в онтопике решаются вопросы, обычно решаемые в венде групповыми политиками»

Об этом честно говоря пока не думал. Полагаю, что для линуксов групповые политики каким-то образом адаптируются.

Можно сменить организацию на другую, более дружелюбную к гнулинуксу.

А можно стать Биллом Гейтсом, тоже вариант.

У вас в организации полная обмазка в плане ИБ (dlp, политики и пр)?

Ну всякие там доменные политики есть. DLP не знаю, наверно есть, но они же не локально стоят. Я просто не очень верю в вот именно это ИБ так что не в курсе как там "должно быть", но не слышал доводов типа "вот на винде мы такое можем, а на линуксе не можем, по-этому линукс нельзя".

винду можно контролировать

Следует читать как:

Мы следим за тобой, ничтожество.

А то, что "безопасники" морозятся, свидетельствует о их клиническом вуайеризме, единственная толковая отмазка у них – вирусы – при правильном подходе полностью нежизнеспособна (тем более если есть версия Касперского под "онтопик").

Так что "тікай з села", они знают, что ты на ЛОР-е. :)

P.S. Цитата из Morrowind-а, если что.

Есть. Линукс налитый из разрешенного образа или настроенный по инструкции от Security. С шифрованием диска, usb-ключами, osquery и т.п.

есть у кого-нибудь опыт работы в организациях, где десктоп линукс официально был разрешен и поддерживался секурити

У нас СБ официально только линуксы и разрешает. Маки по согласованию. За винду расстрел.

А если линукс поставить в виртуалку? Тогда весь выход в интернет все равно будет проходить через виндовые шлюзы и security это не затронет.
Но если бы мне навязывали винду, я бы драпанул из такой организации. Наоборот, у нас в конторе только у одного отдела есть доступ к лицензионной корпоративной винде, и я всех по ней страждущих отправляю лесом в этот отдел. А у меня доступа к лицензионной винде нет, и это хорошо. Если попытаюсь поставить пиратскую, то это уголовное дело. Я и не пытаюсь. :)

Респект и уважуха! Не в роскосмосе случайно работаешь? Думаю, только они могли бы так заморочиться. Ну или АЭС какая-нибудь.

Вопрос: есть у кого-нибудь опыт работы в организациях, где десктоп линукс официально был разрешен и поддерживался секурити.

Есть, разрешен даже произвольный на усмотрение пользователя при соблюдении предписвнных security practices. Чем тебе это помогло, ума не приложу.

Крутяк, а стон всяких бухов далеко за пределами Омска различим?

«безопасники» морозятся

Да или такие «безопасники», или топикстартера за гоблина держат.

Мы следим за тобой, ничтожество.

Слежка изнутри не единственный вариант. Можно также следить по периметру сети. Если работодателю нужно за тобой следить, он за тобой следить будет, и никакие линуксы и опенбсд вместе взятые тебе не помогут.

Если серьезно, проблему Линукса в корпоративной виндовой сети можно решать только если докажешь боссу, что твоя эффективность от этого падает, и что это перевешивает риски, связанные с корпоративной административной целесообразностью. И чтобы твой босс убедил вышестоящего босса и т.д.

но хочется получить оф «бумажку»

В иной корпорации никто не даст тебе такую бумажку, потому что бумажка - это прием на себя дополнительной и ненужной ответственности (только потому что какому-то лоровцу хочется нативный линукс, непонятно, зачем).

Я на московскую компанию удаленно работаю. Отсюда не слышно.

У вас в организации полная обмазка в плане ИБ (dlp, политики и пр)? Наш секурити утверждает, что линукс вообще нет возможности контролировать в плане ИБ. Понятно, что до определенной степени это бред.

Брешут

Собственно, это и был вопрос. Это же толкс, поэтому вопрос в таком формате. Лично ни разу не слышал про десктоп линукса в серьезной корп обвязке. Видел какие-то отдельные мануалы про «линукс в ентерпрайзе», но максимум там было про интеграцию с АД.

А что тебе надо, кроме интеграции с АД?

Если ты хочешь за безопасников сделать их работу по настройке под корп политики - забей, оно того не стоит

Бгггг, ты правда веришь, что в росатоме/роскосмосе все сидят на линуксе?

непонятные регулярные глюки и тормоза с системой

kaspersky

Совпадение? Не думаю.

винду можно контролировать (антивирусы, dlp, корп политики), а линуксы нет.

да, продуктов для контроля больше.

и на оф сайте касперский даже предлагает kes для линукса.

имхо, ИБ всегда право. они хотят однообразные инсталы для легкости поддержки, никому неинтересно специально тебе ставить kes под линукс. в смысле им же нести ответственность, если ты попытаешься на своем линуксе что-то такое вытворять. так что если ты не можешь убедить их бумагой «я беру всю ответственность на себя» (ака «вам же меньше работы и ответственность вся моя»), то...

можно тихо поставить линукс и глаза на это могут закрыть

ну видишь, если в организации ИБ серьезное, то не закроют. а если закроют, то... что это за ИБ? вообще такие штуки лучше при устройстве на работу оговаривать.

может, в твоей организации есть еще линуксоиды и вы (чем больше вас, тем лучше), напишите коллективную заявку.

«тікай з села» ... Цитата из Morrowind-а, если что.

=) ох уж ваш этот язык)

Официальный ответ: винду можно контролировать (антивирусы, dlp, корп политики), а линуксы нет

Сделал мой день. Господи, каких же идиотов родила матушка-земля.

Официальный ответ: винду можно контролировать (антивирусы, dlp, корп политики), а линуксы нет.

Microsoft запретила перехват ссылок microsoft-edge:// в превью-сборках Windows 11

Пользователей в Сети заинтересовали изменения между сборками Windows 11 22483 и 22494 (обе сборки Windows Insider Preview). Выяснилось, что больше нельзя обойти Microsoft Edge с помощью таких приложений, как EdgeDeflector. Это было обнаружено по нескольким упоминаниям в журнале изменений сборки в протоколе системе ассоциации файлов и приложений по умолчанию.

Контроль на лицо.

И чтобы твой босс убедил вышестоящего босса и т.д.

А это обламывается, поскольку, например, слетает сертификация на Cyber Essentials, необходимая для госконтрактов в Великобритании, или нарушаются требования страховой компании, в которой застрахованы IT-риски.

Выбирай компании, где такого маразма нет. Жалко, что на самом первом этапе найма (где только HR) это не проверить.

Если с английским хорошо и удаленки не боишься, можешь попробовать послать резюме в NobleProg Ltd (https://hr.nobleprog.com/job-openings-active но лучше сразу на bs@nobleprog.com) или croit GmbH (https://croit.io/company/career).

ну, конечно, все идиоты, а ты самый умный... а придет запрос в ИБ, был ли юзер такого-то числа в корпоративной сети, и что ты будешь делать?

ну, конечно, все идиоты, а ты самый умный... а придет запрос в ИБ, был ли юзер такого-то числа в корпоративной сети, и что ты будешь делать?

Я подключился к корпоративной сети со смартфона. Какой следующий шаг в твоем мире? Единственный способ — это анально оградить сеть вообще и пускать туда только по паролям. Отсюда ты автоматически получаешь контроль за логином пользователей в сеть.

Я подключился к корпоративной сети со смартфона

ты никогда в жизни не видел корпоративных сетей. очевидно, сидишь в фирмочке из 100-200 человек, а на лор пишешь посты «все идиоты». очень типично. весь вопрос ведь в том, _как_ ты подключился к wifi.

man RADIUS

еще один альтернативно одаренный... зачем ты мне про RADIUS пишешь? ты не понял, что я знаю, а подчеркнул для собеседника?

Разве твой поток сознания не был про то, что когда у пользователя на машине Linux, то нельзя посмотреть логи его подключения к корпоративной сети?

А у вас - это где? Какого масштаба контора? Все крупные компании про какие я знаю - имеют наборы для анальной оккупации винды и мака, а линукс либо запрещён, либо, как у ТС, закрывают глаза.

А без анальной оккупации - это значит не не корпоративно, не ынтырпрайзно и вообще ИБ нету получается.

Даже в гос конторах можно поставить на комп всё, что захочешь. Чтобы ИБшники бегали за пользователям? Им видимо очень скучно. Но. Бумажку никто не даст. Никогда. Они бумажку даже для винды не дадут, лол.

Не на винде же.

На сервер заставили ставить касперского, скачал rpm, установил.

Ставить надо kesl и к нему agent, агент как раз для управления с центрального контроллера касперского (или как там оно). В этот центральный контроллер, надо будет плагин для поддержки касперского на линукс доустанавливать.

Именно она, уверен процентов на 98,5%

а придет запрос в ИБ, был ли юзер такого-то числа в корпоративной сети, и что ты будешь делать?

ЯННП, как мне линукс помешает посмотреть, был ли пользователь в сети?

Единственный способ — это анально оградить сеть вообще и пускать туда только по паролям.

И это вполне нормальная практика - пускать в корпоративный беспровод только по логину-паролю. Замороченные еще и на провод 802.1x натравят

В онтопике они могут решаться, к примеру, оркестратором типа ansible.

У нас следящий за юзером софт онли виндовый и жрёт кучу ОЗУ дрянь такая, поэтому никаких Линуксов на корпоративных ноутах

Технический отдел крупной частной компании, человек на 300. Всего народу больше тыщи. Манагеры сидят на том, что им дают, там вроде нет админских прав. У технарей же своя атмосфера.

а придет запрос в ИБ, был ли юзер такого-то числа в корпоративной сети, и что ты будешь делать?

В ИБ не везде же дауны сидят. У нас например логов десятки терабайт, «все ходы записаны». Для удаленки давно у всех контор VPN стоят, там хоть облогируйся. Еще есть системные логеры, причем полно таких, которые именно на линуксе очень бесшовно и беспроблемно ставятся.

Разве твой поток сознания не был про то, что когда у пользователя на машине Linux, то нельзя посмотреть логи его подключения к корпоративной сети?

я не хочу повторяться, давая еще одну оценку твоим знаниям ИБ... но интеграция линукса с корпоративными сетями M$ работает так себе. еще разноброд линуксовых DE глючит от смеси локальных/удаленных учеток по-разному. у RH, как бы тут альфа ни пела, вообще очень глючно работала их vfs в гноме. это я тебе говорю как человек, который все проблемы опробовал на своей шкуре еще в 2007 году из большого энтузиазма и с тех пор еще и возвращался к этому вопросу. так что отдел ИБ из сабжа просто не должен этим заниматься. а вряд ли возможны какие-то другие варианты, если мы не хотим давать юзеру локального рута, чей логин не будет отражен в логах домена. более того, при физическом доступе банальным редактированием текстовика он может его добавить. ну и зачем мне в сети некто, кто заходит когда ему вздумается и творит что ему вздумается?

p.s.

а за поток сознания мне не стыдно. температурка-с.

Для удаленки давно у всех контор VPN стоят, там хоть облогируйся.

в чем смысл этой фразы? логи впн бесполезны? это, конечно, не характеризует ваших админов твоими же словами (дауны сидят), но...

Еще есть системные логеры

я не понимаю, о чем конкретно ты говоришь и что они логируют. в сабжевой новости мне примерно понятно - типовая ситуация. а что у вас навелосепедили на линуксе я даже гадать не берусь. но это, вряд ли, может являться эталоном. ну извратились админы у вас. ну что-то там логируют, что считают нужным. ну и что?

более того, у вас одни линуксы и твой пример к дискуссии вообще не имеет по сути отношения, потому что вопрос интеграции в M$ корпоративные сети - это совсем другое.

У технарей же своя атмосфера.

ну:) о чем я и пишу выше. только к ИБ это не имеет отношения:) так что тебе тоже не стоило бы про даунов писать. самоуправство в особо крупных размерах, а не ИБ, - вот у вас что)))

тебе тоже не стоило бы про даунов писать

ИБ такие же технари и собирать логи обязаны уметь. Иначе да, и линукс у них плохой и дальше все по списку.

потому что вопрос интеграции в M$ корпоративные сети - это совсем другое.

У нас продукты MS как раз таки везде интегрированы. И как я уже написал, это не мешает обеспечивать безопасность и на линуксах и на маках там, где они стоят не столько по требованиям ИБ, сколько по нуждам тех процессов.

Так, что, если ты не понял, мой посыл про даунов означает, что на винде людей со знаниями AD и политик настолько дофига, что безопасникам можно куи пинать. Собственно СБ в большинстве случаев и представляет из себя связку админа и бывшего мента, который для HR кандидатов пробивает. А вот когда везде линуксы, то внезапно оказывается, что нужно знать и уметь на порядок больше среднего разработчика или админа.

самоуправство в особо крупных размерах, а не ИБ, - вот у вас что)))

Ты не прав. У нас даже внешний аудит есть. Потому что торгуемся на NYSE.

ИБ такие же технари и собирать логи обязаны уметь. Иначе да, и линукс у них плохой и дальше все по списку.

ИБ - это прежде всего отдельная команда и отдельные привилегии.

А вот когда везде линуксы, то внезапно оказывается, что нужно знать и уметь на порядок больше среднего разработчика или админа.

Это ты выписывание кульбитов, придумывание хаков и велосипедостроение считаешь ценным качеством ИБешника?? Это немного не та область, где каждый должен предложить свой уникальный скрипт.

Ты не прав. У нас даже внешний аудит есть. Потому что торгуемся на NYSE.

Я боюсь, что не я не прав, а ты смешиваешь все понятия в одну кучу. Этот внешний аудит проводился по рабочим местам менеджеров, у которых линукс? Или он покрывает сервисную часть, взаимодействующую с NYSE, а «у технарей своя атмосфера»? Есть там вообще задача сделать так, чтобы условный менеджер не мог вынести внутреннюю информацию из офиса?

ИБ - это прежде всего отдельная команда и отдельные привилегии

Верно, у нас так

Есть там вообще задача сделать так, чтобы условный менеджер не мог вынести внутреннюю информацию из офиса?

Вынести может любой. Задача ИБ в ограничении доступов, чтобы они были в минимально необходимом объеме. Сбор логов туда же. И защита системы от взломов, тк менеджеры очень любят открывать что попало из почты. Я не знаю про какие велосипеды ты постоянно пишешь, у нас используется сторонний софт, зачастую опенсорсный. Но тк я не имею к ИБ отношения, то подробности и сам не знаю. Важно то, что аудиторы все равно бы не дали ИБ сильно велосипедить и костылять. А еще они исходный код смотрят :)