Правовой ликбез для сисадминов.

Я кнешно не правовой консультант, но, имхо, п*зды получит ответственный за машины, то бишь админ.

Ввести регламент установки софта (в котором говорится что весь софт ставится только сисадмином), закрепить каждый комп за его юзером.

Завести бумажную тетрадку, в которой записывать "такого-то числа на компьютер поставлены такие-то программы, подпись установившего, подпись того по чьему требовнаию установили.

Если на машине оказывается "левак" - сисадмин ни при чем, ибо ставил не он. А кто ставил - пусть следствие ищет

Перед передачей в суд следователь обязан ознакомить обвиняемого с делом. Вот и почитаешь...

Если беспредел на машинах, и каждый ставит что хочет - ответит админ. Если левак ставит админ, но по указанию начальства - то просто нужно документально подтвердить, что это реально инициатива начальника. Служебку там написать, зарегистрировать у секретаря, копию сделать и спрятать. Тогда ответит начальник. Я уже написАл :)

http://www.networkdoc.ru/

насколько я знаю, настругала этот довольно полезный ресурс команда с иксбита

Ситуация конечно не ахти :( Я кое-как отбивался от предложений с подмигиванием в своей конторе. Хотите функционал - идите и купите его. Нет - кушайте что имеете.

Вообще например в Польше ответственность за нелицензионное ПО несет фирма-работодатель всегда. И так должно быть ИМХО.

>Если левак ставит админ, но по указанию начальства - то просто нужно документально подтвердить, что это реально инициатива начальника.

"Не корысти ради, но волею лица начальствующего" =)) По-моему тут соучастием пахнет..

>Служебку там написать, зарегистрировать у секретаря, копию сделать и спрятать. Тогда ответит начальник. Я уже написАл :)

Поделись секретом как это удалось?!

>Ввести регламент установки софта (в котором говорится что весь софт ставится только сисадмином), закрепить каждый комп за его юзером.

Интересно как быть с тем софтом, который УЖЕ был установлен на момент заступления в должность нового админа, и до заведения тетрадки...

>Вообще например в Польше ответственность за нелицензионное ПО несет фирма-работодатель всегда. И так должно быть ИМХО.

Во-во.

В Латвии ответственность несет юридическое лицо. Причем неважно, знал ли директор про то, что у кого-то стоит пиратка. Все компьютеры с пиратским софтом конфискуются. Если комп принадлежал не юридическому лицу, а, например, чей-то личный ноутбук, он тоже конфискуется, но ответственность несет владелец. Если есть соглашение, что работник ответственен за установку софта на своем или еще каких компьютерах - комп также конфискуется, но ответственность несет работник, который отвечает за этот комп.

Собственно если такого соглашения с админом нет, на админа никто не наедет.

В деле Поносова также дело было заведено против директора, а не против учителя компьютерного класса например.

1) Виноват как правило директор(прециденты были)

2) Бл*, что он за админ? Он что не может урезать права на установку и использование софта?

> как быть с тем софтом, который УЖЕ был установлен на момент заступления в должность нового админа

Описать и зафиксировать документально (служебка/расписка). Ведь с точки зрения бухгалтерии коммерческий софт - те же самые "ценности на подотчете".

>Бл*, что он за админ? Он что не может урезать права на установку и использование софта?

Может расскажешь, как это сделать, если программа может устанавливаться в любой каталог, не обязательно в "C:\Program Files" или "/usr"?

Групповые политики на что (оффтопик)? Также есть патч на ядро, который не позволяет запускать проги, если владелец каталога не root.

>Кто может дать ссылочки на ресурсы, где можно и почитать и получить консультацию по правовым аспектам ПО

www.consultant.ru

>кто в случае проверки будет козлом отпущения - директриса или сисадмин, при обнаружении тонн левого софта на юзерных местах.

ВСЕГДА за все отвечает директор. Но, если ему удасться - переведет стрелки на админа, типа "это он сам, по своей инициатве". Админу - срочно прикрываться бумагами.

>Другая ситуация - продвинутая тётка работает в школе и она ответственная за компьютерный зал.

аналогично.

>И она матответственная за железо в зале.

это вообще пофик. К тому же, скорее всего, полной мат. ответственности у нее нет (даже если есть договор с ней на полную мат.отв. - он может быть ничтожным, бо ее должности может не оказаться в "Перечне..." должностей, которым можно мат.отв. :) man ТК, вобщем)

Привет,

1) Спасибо за ответы и за ссылки.

2) Ну какая там тетрадка учёта софта. Это и так понятно, что по-уму надо сделать список должностных обязанностей, описать полномочия и пр. Это где-нибудь в банке сисадмин может ходить с линейкой вдоль рядов служащих и если вдруг кто-то что-то своё на комп поставил, то сразу по рукам - бац-бац - и нету премии у человека в этом месяце. А тут научная богодельня. Каждый мнит себя админом. Все норовят поставить свой софт и даже свои самостийные куски сети с выходом в Интернет.

3) Если все компы обходить и обследовать - нет ли там не того софта, то недели на просмотр не хватит. Никакой реестр там особо не проконтролируешь, так как к вечеру всю систему могут просто переставить вовсе.

4) Уйти оттуда и забить не возможно (таковы исходные условия задачки).

Вопрос только в том, кого в этом бардаке назначат крайним...

Спасибо за коментарии про Польшу и др. страны. Приятно узнать, что где-то есть умные люди...

Олег

>Может расскажешь, как это сделать, если программа может устанавливаться в любой каталог, не обязательно в "C:\Program Files" или "/usr"?

А GPO на что? Неужели еще есть конторы которые живут без нее? А в линуксе рулит chmod -x ~

> Ввести регламент установки софта (в котором говорится что весь софт ставится только сисадмином), закрепить каждый комп за его юзером.

Ни в коем случае! Если написать, что весь софт СТАВИТСЯ сисадмином, на сисадмина если что шишки и посыплются. Здесь надо учитывая, что денег на софт никогда не дадут, вообще сисадмину отмазаться от установки софта. Как лучше написать надо думать, но смысл должен быть таков, что сисадмин вообще ни за что не отвечает, кроме чисто технических вещей.

>Групповые политики на что (оффтопик)?

А поконкретнее, какая опция и где?

>Также есть патч на ядро, который не позволяет запускать проги, если владелец каталога не root.

/lib/ld-linux.so.2 /home/vasya/warez/program - уже не катит?

>А в линуксе рулит chmod -x ~

А сам-то пробовал? Скажу по секрету: после этого юзеру нельзя будет зайти в свой домашний каталог и, само собой, работать со своими файлами.

Маленький совет технического рода.

Доходят сведения, что очень часто проверяющие действуют очень примитивно и их уровень познаний в системе невысок. Поэтому:

- убрать все левые проги из списка установленных программ.

- убрать их ярлыки с рабочего стола и следить, чтобы юзеры не клали документы и ярлыки, обрабатываемые левыми программами на десктоп

- убрать их из "Start/Program Files"

- устанавливать их куда-нибудь в другое место, а не в %ProgramFiles%

- еще неплохо переименовать их экзешники, поправив или нарочно нет ассоциации файлов.

Для запуска придумать, что-нибудь. Например, папку на десктоп с невинным названием, типа "Служебное", а в ней ярлыки к программам. Ярлыки, есесено с непохожим рисунком.

Конечно от нормальной проверки эти меры не помогут, но от обычных "продвинутых усеров" в штатском или нет, возможно.

Я знаю, что к сожалению, существуют некие программки, возможно даже на LiveCD, которые автоматичски проверяют диски компьютера на манер антивируса, но выявляя установленое ПО. Их правда кому попало не дают, в чем можно убедиться читая отчеты по судам, ведь их надо обновлять периодически и может быть реально они скисли сейчас.

>А в линуксе рулит chmod -x ~

???
в линуксе рулит mount -o noexec,nosuid,nodev /home ...

>/lib/ld-linux.so.2 /home/vasya/warez/program - уже не катит?
Видимо нет.

$ mount | grep squid
/dev/mapper/vg0-squid on /var/spool/squid type reiserfs (rw,noexec,nosuid,nodev,noatime,notail)

$ sudo cp /bin/echo /var/spool/squid/
Password:

$ ls -l /var/spool/squid/echo 
-rwxr-xr-x 1 root root 14572 2007-03-02 12:42 /var/spool/squid/echo

$ /var/spool/squid/echo "bebe"
bash: /var/spool/squid/echo: Permission denied

$ /lib/ld-linux.so.2 /var/spool/squid/echo "bebe"
/var/spool/squid/echo: error while loading shared libraries: /var/spool/squid/echo: failed to map segment from shared object: Operation not permitted
$ 

аналог chmod: cacls xcacls (лежит на диске установки, где точно не помню)

>Вопрос только в том, кого в этом бардаке назначат крайним...

админ должен загородится бумагой.

В любом случае - говорить: "мне начальник дал устное распоряжение установить прогу xyz". И - поменьше вые^W проявлять инициативы.

>Orlangoor (*) (02.03.2007 13:11:55)

>А в линуксе рулит chmod -x ~

Позор то какой.. А еще пять звезд..

Вантузятник?

>lib/ld-linux.so.2 /home/vasya/warez/program - уже не катит? Катит для случая, если монтировать девайс с опцией noexec. Лекарство - http://www.grsecurity.net/

>А поконкретнее, какая опция и где? На сколько я помню, точно можно запретить использование MSI :)

Кроме того, правами ntfs заперить для юзверей все, оставить только то, что _конкретно_ надо (домашний каталог), скрыть диск Ц (политики такое умеют). И вообще, если уж используются оффтопичные политики, пррчекать их на предмет запрета для пользователей всего, что явным образом не должно быть разрешено :)

>>lib/ld-linux.so.2 /home/vasya/warez/program - уже не катит? 
>Катит для случая, если монтировать девайс с опцией noexec.

Чет неработает.. %)

bash-3.1$ cat /proc/mounts | grep hda7
/dev/hda7 /mnt/hda7 ext2 rw,nosuid,nodev,noexec 0 0

bash-3.1$ pwd
/mnt/hda7/test

bash-3.1$ cat a.cpp 
#include <stdio.h>

int main(void)
{
  printf("%s\n", "бугага\n");

  return 0;
}

g++ a.cpp

bash-3.1$ /lib/ld-linux.so.2 ./a.out 
./a.out: error while loading shared libraries: ./a.out: failed to map segment from shared object: Operation not permitted

???

Хммм... Ну х\з %), я про это в security faq прочитал...

Это так сейчас пишут на С++?

>Это так сейчас пишут на С++?

А я уж было подумал, что никто не заметит.. %)

>Я знаю, что к сожалению, существуют некие программки, возможно даже на LiveCD, которые автоматичски проверяют диски компьютера на манер антивируса, но выявляя установленое ПО.

В Латвии при проверке запрещено запускать на компьютере то, чего на нем нет. Да и можно же зашифровать диск. :)

OK, но жабоварез будет по-прежнему запускаться:

java /home/vasya/warez/somejavaprogram

И венды, кстати, это тоже касается. :)

java '/documents and settings/vasya/warez/somejavaprogram'

А жаба на компе много для чего должна быть установлена.