LINUX.ORG.RU

Блокирование доступа к Linux на промышленном уровне. Часть1: Удаление оболочки.


0

0

Искушенные пользователи, используя исключительную гибкость Linux, меняют все по своему усмотрению, тогда как неопытные пользователи теряют контроль над файловой системой. В этой первой части цикла из двух статей обсуждается, как и зачем закрывать эти машины для упрощения процессов поддержки и администрирования. В этом руководстве вы научитесь удалять интерпретаторы из базовой системы.

>>> Подробности

★★★

Проверено: Shaman007 ()
Ответ на: комментарий от gaa

gaa>В общем, моё предложение: прописать автору статьи препарат "апстенка" в дозировке по 2 кирпича 3 раза в день после еды

+5!!! Правильный диагноз. Но лечение слишком консервативно! ;)))

anonymous
()
Ответ на: комментарий от Sun-ch

Ага, ага... и доверительными отношениями 10-ти виндовых серверов друг с другом... Со всеми группами и ресурсами.
Санычь, будет дальше на думку пробивать, в дурку попадешь. :)

vada ★★★★★
()
Ответ на: комментарий от AEP

И о чем это говорит? Пытаемся перевести разговор в другую плоскость? Може ради интереса обсудим список всех уязвимостей в линаксе с 2005 года?

Sun-ch
()
Ответ на: комментарий от vada

Бери выше. Десятки тысяч серверов по всему миру. Виндовс, конечно имеет свои недостатки, но AD нравится даже мне.

Sun-ch
()
Ответ на: комментарий от Sun-ch

Зачем переводить в другую плоскость?
Групповые политики в винде - говно. Пользоваться этим не возможно. Поэтому, ни у кого не возникает потребности это говно в линуксе реализовывать.
ЗЫ. Ты ведь не организовываешь себе спальное место в холодильнике.

vada ★★★★★
()
Ответ на: комментарий от Sun-ch

> Може ради интереса обсудим список всех уязвимостей в линуксе с 2005 года?

В принципе я не против обсудить список неисправленных уязвимостей, и особенно неисправимых из-за кривого дизайна.

AEP ★★★★★
()
Ответ на: комментарий от Sun-ch

Саныч, знаешь такую компанию Жиллетт, что недавно схавана проктором с гембалом? Вот у них тыща виндовых серверов по всему миру. Когда от них приходит сообщение, что пользователя с таким емылом нет, мы уже даже не нервничаем, а просто посылаем письмо еще и еще... Бывает что и доходит. А одно письмо в их дебрях почти неделю путишествовало. Да там у них чудес столько, что в одном посте и не перечислить.

vada ★★★★★
()
Ответ на: комментарий от vada

Может предложишь аналог того как управлять правами на тысячах машин под линаксом? Когда параметров управления ~500.

Sun-ch
()
Ответ на: комментарий от AEP

В Windows Vista добавлено около 800 новых параметров политик. Эти параметры принадлежат к различным категориям.

В состав новых областей групповых политик входят политики проводных и беспроводных сетей, брандмауэра Windows и IPsec, управления печатью, оболочки рабочего стола, удаленного помощника и планшетных ПК.

Sun-ch
()
Ответ на: комментарий от Sun-ch

> В состав новых областей групповых политик входят политики проводных и беспроводных сетей, брандмауэра Windows и IPsec,

решено в iptables

> управления печатью,

решено в cups

> оболочки рабочего стола,

решено в kiosk

> удаленного помощника

нах?

> и планшетных ПК.

тоже решено. достаточно добавить или убрать пользователя из группы plugdev

gaa ★★
()
Ответ на: комментарий от gaa

2 gaa

В AD есть еще один момнет - централизованное управление всем этим хозяйством на уровне компютеров и/или пользователей. А если на наследованиях политик в AU менять разрешения, то и на уровне групп пользователей.

gggg
()
Ответ на: комментарий от lonki-lomki

> По ссылке не ходил. Неужели там наконец-то рассказано, что делает команда rm -rf /

Она давно уже ничего не делает.

# rm -rf / rm: невозможно удалить корневой каталог `/'

anonymous
()
Ответ на: комментарий от Sun-ch

> А вот интересно, насколько сложно в SELinux эмулировать возможности групповых политик в винде?

В венде вообще невозможно использовать политики SELinux из-за отсутствия в этой убогой системе мандатного контроля доступа вообще и на уровне ядра как в Linux в частности.

anonymous
()
Ответ на: комментарий от gaa

> решено в iptables > решено в cups > решено в kiosk

А теперь то же самое - централизованно, единой политикой?

anonymous
()
Ответ на: комментарий от gggg

> В AD есть еще один момнет - централизованное управление всем этим хозяйством на уровне компютеров и/или пользователей. А если на наследованиях политик в AU менять разрешения, то и на уровне групп пользователей.

Всё, что я выше написал, работает как для отдельных компов, так и для пользователей.

Централизованно - это из какого-то гуя? Этого нет. Кстати, мс вроде сам от настроечных гуёв отказывается, всё более смещаясь к консоли.

gaa ★★
()
Ответ на: комментарий от gaa

Централизованно - это из единой базы данных, которая называется Active Directory. Независимо от того, через что это делается - через гуй оснасток MMC, через командную строку, из скриптов WMI, из PowerShell или из приложений через API ActiveDirectory (http://msdn2.microsoft.com/en-us/library/aa772146.aspx)

gggg
()
Ответ на: комментарий от gggg

> Централизованно - это из единой базы данных, которая называется Active Directory.

Все проблемы с пользователями решает LDAP. Тут с базой лучше чем без базы. А совать туда права доступа на файл или настройки iptables неразумно просто исходя из того, как потом используются эти данные.

gaa ★★
()
Ответ на: комментарий от gaa

Ты это прочитал на умном форуме? У тебя используется LDAP в распределенной региональной сети? Работал ли ты с AD на уровне распределенной региональной сети?

anonymous
()
Ответ на: комментарий от anonymous

> Ты это прочитал на умном форуме? У тебя используется LDAP в распределенной региональной сети? Работал ли ты с AD на уровне распределенной региональной сети?

Сначала представьтесь, а потом я отвечу на все Ваши вопросы.

gaa ★★
()
Ответ на: комментарий от gaa

Есть у тебя сеть из кучи компов, тебе надо задавать правила iptables. Ну например ты установил везде новую прогу и теперь надо открыть ей порт. Как ты это будешь делать? конечно ты можешь это сделать пробежав ssh+cкрипты по всем машинам, но они должны быть для этого включены (а если не включены то изменения не применятся). учтя это ты усложняешь свой скрипт "разнесения настроек", который пробежиться по всем включеным, а те что не ответили будет долбить каждые 10 минут пока твоя самописная политика не разойдется на все компы. Помимо этого тебе надо будет вручную обновить настройки образа которые ты будешь разливать на любые вновь прибывшые компы, кроме того тебе эти правила желательно где-то централизовано хранить что б оно само (по крону) уехало в удаленный офис где ты к кадому компу напрямую достучаться не сможешь ибо там NAT. Теперь прибавь сюда требование разделять политики по группам компьютеров (одним одно,другим другое), плюс еще желательно иметь "Общие" политики, которые бы применялись ко всем компьютерам - иными словами тебе надо выстраивать иерархию ПК и к каждому уровню привязывать политику. Конечно потрахавшись недельки-две, отладив все скрипты, выловив толпу багов, в итоге ты будешь иметь инструмент который позволяет централизованно распространять настройки iptables, но проблема в том что таких задач десятки и под каждую придётся тебе писать свою пачку скриптов. А если ты уйдешь из этой компании? Следующий админ (какой бы толковый он не был) будет полгода разгребать твоё наследство, попутно дописывая своё (ибо нет предела совершенству).

redbaron ★★
()
Ответ на: комментарий от redbaron

> Ну например ты установил везде новую прогу

Попутно AD чере Group Policy еще и саму эту прогу установит кому надо.

gggg
()
Ответ на: комментарий от gaa

>> Ты это прочитал на умном форуме? У тебя используется LDAP в распределенной региональной сети? Работал ли ты с AD на уровне распределенной региональной сети?

>Сначала представьтесь, а потом я отвечу на все Ваши вопросы.
>gaa (*) (17.10.2007 20:56:40)


Фуууу .... так жЁстко слить на самом интересном месте :)
Хотя чего тебе оставалось то :)


anonymous
()
Ответ на: комментарий от anonymous

2anonymous (*) (17.10.2007 18:42:15)

хреновая шутка, кстати - щас веть ктонить попробует и кирдык...

anonymous
()
Ответ на: комментарий от redbaron

Слова iptables-save и iptables-resore знакомы? Выкладываем соответствующие файлы на шару и получаем при следующем запуске выключенных машин применение новой конфигурации. Фалов можно написать несколько, откуда получим разделение "одним одно, другим - другое".

Про NAT - а если между компами убрать сеть, так вообще неимоверно сложно будет ими централизованно управлять :) Так что это не довод в пользу AD.

Прошу озвучить оставшиеся десятки задач.

gaa ★★
()

Сходил по ссылке. Создалось впечатление, что автор мудак.

По кр. мере, не на таком уровне надо доступ контролировать.

Bass ★★★★★
()
Ответ на: комментарий от Bass

>Сходил по ссылке. Создалось впечатление, что автор мудак.

ага, а я заметил что человек запостивший новость не ответил ни на один вопрос в ветке...

alt0v14 ★★★
()

Статья для начинающих

Как достали журналюги!!! Ну нет такой системы X-Windows, есть X-Window System!!!

Да и сама статья говно:

Написанна для: "Это руководство написано для администраторов Linux, чьи навыки и опыт находятся на уровне от _среднего_ до _высокого_. Вы должны быть хорошо знакомы с процессом загрузки Linux, уверенно управляться с командной строкой и обладать практическими знаниями языка программирования C."

И в то же время объяснение как для даунов (да еще и не правильно): "выполнение так называемого скрипта init, записанного иногда в /etc/rc. (или в некой вариации этого пути) или в /etc/init.d (в случае Ubuntu Linux). Все эти скрипты используют для реального выполнения /bin/sh, так что вы не можете просто удалить эту оболочку из системы, в противном случае ваша машина не сможет загрузиться."

Alex007
()

Спасиба подрачил!!!

anonymous
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.