Контроль за состоянием машин учащихся средствами Linux: Часть 2. Выполнение контролирующих действий на удаленной машине

Убери тэг vnc, в статье vnc упоминается лишь в описании предыдущей статьи.

статья ниачом
то есть абсолютно

Пиндыр, просто

ВОТ ЧЕМУ НАС УЧИТ Татьяна Василькова - ведущий инженер Научно-исследовательского института средств автоматизации (Минск, Республика Беларусь). Основная область профессиональных интересов – защита информации в информационных системах, в том числе, программные средства безопасности с открытым исходным кодом. Имеет степень магистра технических наук.



1. SSH – общий принцип, защита от взлома

Во-первых, изменим стандартный порт в файле настроек /etc/ssh/sshd_config:

#Port 22
Port 2200


Во-вторых, запретим использование менее защищенной 1-й версии протокола:

#Protocol 2,1
Protocol 2


Наконец, запретим доступ к серверу с учетной записью root:

#PermitRootLogin yes
PermitRootLogin no

Т.е. меняем порт, запрещаем доступ рута удаленно и получаем степень Магистра в области безопасности :))

>администратор имеет возможность получить картину происходящего на рабочем месте пользователя.

Мне кажется, что это не совсем педагогично, подглядывать за школьницами?

получаем магистра линукс-безопасности

Слабенько. Больше подходит для контроля за состоянием удаленного локалхоста.

А где таг «Дети шпионов 5: Школота»?

И это, простите, «статья»? Зайти по ssh, поглядеть, какие процессы запущены, и поубивать некоторые из них?

Мда... Постыдились бы такую банальщину публиковать.

>Мне кажется, что это не совсем педагогично, подглядывать за школьницами?

Так ты ж не педагог. Так что расслабся, не комплексуй - подглядывай

> Наши подозрения оказались верны. Болтать в учебное время, понятное дело, нельзя. Завершим запрещенный процесс, используя команду kill и убедимся в успешном результате:

а ставить туда чат зачем было? может еще в группу games всех добавим?

> 1. Поиск и завершение запрещенного процесса
Мало того, что наставили «запрещенных» программ, так еще думают, что глупые школьники не догадаются сделать симлинк

Господа, а чего вы хотели? Эта статья написана не для Ъ-сисадминов, а для школьных учителей информатики, знания которых зачастую ограничиваются базовыми навыками пользователя и паскалем на уровне сортировки пузырьком. Так что для них, статья в тему.

Не совсем правда понято, что эта статья делает на главной ЛОРа.

Интересно, а кто это на школьной машине набрал su oracle? Это детки так шутят что ли?

>Во-первых, изменим стандартный порт в файле настроек /etc/ssh/sshd_config:

#Port 22

Port 2200

Мне кажется, или перенастройка ssh на непривелигированный порт, который один фиг отыскивается nmap'ом за минуту (а то и просто с 3 попыток - зашифровались, 22 на 2200 заменили) — не самое повышающее безопасность изменение?

Наконец, запретим доступ к серверу с учетной записью root:

#PermitRootLogin yes

PermitRootLogin no

В каком-то дистрибутиве по умолчанию так не стоит?

В че издеваетесь? Еще более глупую и песполезную статью найти не могли? Татьяне Василькове - незачет. степень за сало купила? )))

Ведущий инженер, между прочим. Я бы тогда сразу директором института смог бы работать, как нефик делать.

>Мне кажется, или перенастройка ssh на непривелигированный порт, который один фиг отыскивается nmap'ом за минуту (а то и просто с 3 попыток - зашифровались, 22 на 2200 заменили) — не самое повышающее безопасность изменение?

С этим изменением резко сокращается объём логов ssh (ибо на 22й порт постоянно почём зря ломится всякий гнус). А логи надо читать.

man puppet

> С этим изменением резко сокращается объём логов ssh (ибо на 22й порт постоянно почём зря

ломится всякий гнус). А логи надо читать.

Сокращаю объём логов на халяву. То есть, даром. :-)

-A INPUT -p tcp -m tcp --dport 22 --tcp-flags FIN,SYN,RST,ACK SYN -m recent --set --name ssh_rate_limit --rsource
-A INPUT -p tcp -m tcp --dport 22 --tcp-flags FIN,SYN,RST,ACK SYN -m recent --update --seconds 60 --hitcount 4 --name ssh_rate_limit --rsource -j DROP

Это если, вообще, не хочется доступ по ssh каким-то диапазоном IP ограничить.

Одна запись «неправильный пароль рута с китайского IP» в минуту - это тоже очень много по сравнению с тем, что даёт простая смена порта.

Для получения полного доступа нужно сменить учетную запись при помощи команды su.

[ssh-user@test ~]# su root

Автор палится, что уже работает под рутом, т.е., скорее всего, не использует данную фичу, но сам рут переименован.

> Одна запись «неправильный пароль рута с китайского IP» в минуту

А этого не будет скорее всего. Это же черви. Им производительность важна. Его зарубили - он дальше пошёл и вряд ли вернётся. Это вот если целенаправленно именно этот хост ломать все будут, тогда другой вопрос, но это редкий случай. Это надо быть кому-то очень сильно интересным. ;-)

По ссылкам не ходил.

0) Слежка - это самая гнусная и тупая форма администрирования.

1) То что студенты печатают, делают, является их личными трудом. Авторское право и все такое.

2) Нельзя завершать работу приложений без предварительного предупреждения пользователя. Потеря информации и все проблемы связанные с этим.

3) На пк рабочего (студента) не должно быть установлено того программного обеспечения которое ему не нужно.

4) Для университетов весь софт должен крутиться на виртуальных машинах. Которые являются личными для каждого студента, на которых он волен делать все что ему нужно - ставить софт, кодеки для просмотра видео уроков... прочее.

> По ссылкам не ходил.

0) Слежка - это самая гнусная и тупая форма администрирования.
1) То что студенты печатают, делают, является их личными трудом.
Авторское право и все такое.
2) Нельзя завершать работу приложений без предварительного
предупреждения пользователя. Потеря информации и все проблемы
связанные с этим.
3) На пк рабочего (студента) не должно быть установлено того
программного обеспечения которое ему не нужно.
4) Для университетов весь софт должен крутиться на виртуальных
машинах. Которые являются личными для каждого студента, на которых
он волен делать все что ему нужно - ставить софт, кодеки для
просмотра видео уроков... прочее

Всё это зависит от правил, установленных образовательным учреждением. С которыми студенты должны быть ознакомлены.

>Для университетов весь софт должен крутиться на виртуальных машинах. Которые являются личными для каждого студента, на которых он волен делать все что ему нужно - ставить софт, кодеки для просмотра видео уроков... прочее.

да вам просто место не жалко да и какая там скорость и какое видео один сплошной костыль

решение есть гораздо проще 1) развертывание всего раз в семестр с образа диска 2) ограничение прав доступа

>>Для университетов весь софт должен крутиться на виртуальных машинах. Которые являются личными для каждого студента, на которых он волен делать все что ему нужно - ставить софт, кодеки для просмотра видео уроков... прочее.

да вам просто место не жалко да и какая там скорость и какое видео один сплошной костыль

решение есть гораздо проще 1) развертывание всего раз в семестр с образа диска 2) ограничение прав доступа

Ты точно имешь предстваление о том, о чём говоришь?

>решение есть гораздо проще 1) развертывание всего раз в семестр с образа диска 2) ограничение прав доступа

1) В аудиториях зачастую учатся разные специальности. Куча софта, хрен разгребешь права (особенно под виндой) где есть софт, который позарез не загружается не из под админа.

2) А как же специальности аля «Безопасность информации» где нужны как раз полные права?

Выход один - использовать виртуальные машины. На практике уже неоднократно убедился что данный подход наиболее правильный.

PID USER PR NI VIRT RES SHR S %CPU %MEM TIME+ COMMAND
5201 root 25 0 2608 1024 788 R 93.4 0.2 30:23.23 top

Просто убило...

Типичная статья написанная бландинкой. Нет, у меня нет предубеждений относительно всего прекрасного пола, и даже относительно к экземплярам с волосами белого цвета мое мнение не совпадает с общепринятым. Но я достаточно хорошо знаком с представительницами, подобными той, что написала данную статью. И я просто умоляю ее - бросьте вы это напрасное занятие! На вас противно смотреть когда вы считаете себя умными не смотря на то какие вы красивые.

>Типичная статья написанная бландинкой.

Она не блондинка, а вчерашняя студентка:

http://vasilkova-silina-tatyana.moikrug.ru/

Нет, у меня нет предубеждений относительно всего прекрасного пола, и даже относительно к экземплярам с волосами белого цвета мое мнение не совпадает с общепринятым.

Т.е. ты не согласен, что эти белобрысые дуры считаются привлекательными?:)

жду статью от IBMdw о смене обоин, или чего нибудь вроде. И не стыдно ведь им

[petrosyan mode=on]

с нетерпением жду статью от ибм о том, как правильно установить убунту, используя графический интерфейс

[petrosyan mode=off]

>Наши подозрения оказались верны. Болтать в учебное время, понятное дело, нельзя. Завершим запрещенный процесс, используя команду kill и убедимся в успешном результате:

просто убило )))

>Выход один - использовать виртуальные машины. На практике уже неоднократно убедился что данный подход наиболее правильный.

Совершенно согласен.

А насчет места комплексовать както глупо. Студент может образ своей виртуалки на своей-же флешке таскать.

В моем колледже помнится было 2000 студентов. На каждого выделялась сетевая папочка метров на сто (это было в далеком 2003 году) и с этой папочкой мы прошли до самого диплома.

Почемубы не сделать сервера для факультетов, а уже на них сделать выделение для студентов этого факультета.

Кароче проблема свободного места надуманная.

Вирт машины рулез.

И совершенно насрать какой софт стоит на учебных тачках, главное чтобы были вмвари или что там у вас по идее необходимо.

>На каждого выделялась сетевая папочка метров на сто (это было в далеком 2003 году) и с этой папочкой мы прошли до самого диплома.

А надо было идти в сторону стены.

>IBM_dW *** (16.02.2010 14:53:59)

Как всегда качество статей оставляет желать лучшего. Такого рода статьи подходят для чьих-нибудь «уютненьких ЖЖ» но не для IBM. Хотя может IBM является чьим-то «уютненьким ЖЖ», тогда нафига это на ЛОРе?

авторша просто всю жизнь в винде мышкой ганяла, а тут открыла для себя шелл и страшное слово ЛИНУКС.
она просто в шоке!!!

надо ее мужу написать письмо, чтобы в декрет ее отправил.

почитал сайт НИИ, где она работает: ностальгия по СССР пробИла! Вот как нужно было развиваться стране после 91го, а не слушать всяких гайдаро-чубайсо-ЕБНутых.
Батько! Приди к нам и управляй нами!!!!!

зы но не слышет батько......а только смотрит на нас, как на Г

вдовесок, развернуть терминальный сервер с тонкими клиентами и виртуализацей десктопа получим очень легкое управление всеми классами.

>вдовесок, развернуть терминальный сервер с тонкими клиентами и виртуализацей десктопа получим очень легкое управление всеми классами.

Была попытка использования VMware Server, но его глюки заставили вернуться к обычной VMware workstation + player.

0) Слежка - это самая гнусная и тупая форма администрирования.

1) То что студенты печатают, делают, является их личными трудом. Авторское право и все такое.

Ты что курил? Это дома ты можешь свой комп хоть разрезать пополам, а если ты комп АРЕНДУЕШЬ для работы (рабочее место), а тем более в государственном предприятии то за просмотр порнухи, написания вредоносных программ, взлом сетей и прочего - ты, сисадмин и директор предприятия будут нести уголовную ответственность по соответствующим статьям. История с Поносовым не научила ничему?

Теперь о домашнем компе. В Англии если на тебя настучит твой сосед - прийдут с полицией и если найдут ворованную программу - выпишут такой штраф что мало не покажется, а если еще найдут заготовки вирусов и секс с малолетками - тюрьма. Кстати, стукачек получает с этого процент.

Об авторе

Татьяна Василькова - ведущий инженер Научно-исследовательского института средств автоматизации (Минск, Республика Беларусь). Основная область профессиональных интересов – защита информации в информационных системах, в том числе, программные средства безопасности с открытым исходным кодом. Имеет степень магистра технических наук.

Мдеее что такое xymon и big brother магистры не знают. Куда уж мне на 7 год застрявшему на 3ем курсе =)

зачем это здесь?

> Она не блондинка, а вчерашняя студентка:

http://vasilkova-silina-tatyana.moikrug.ru/

Сомневаюсь что она когда-нибудь исправится.

Судя по статье и профилю на яндексе, она из тех, кто по нелепой случайности (в силу некоторого присутствия зачатков разума и приятной внешности) приобрел репутацию умного человека. Наверняка, она на отлично закончила свою специальность, наверняка любой ее преподаватель, если вы спросите, скажет что она «что-то шарит». И наверняка как «инженер по защите информации» на всех своих курсовых и дипломах она пудрила мозги этим самым преподавателям, преподнося им такую нелепую <вырезано цензурой> что всем вокруг было стыдно признать что это нелепая <вырезано цензурой> - никому не хотелось во-первых - обижать девушку, во-вторых - признавать что такая девушка смогла доучиться до этих курсовых/диплома на их специальности, а в-третьих - у них не было достаточно весомых аргументов, так как редко кто из докторов точных наук имеет достаточно знаний в этой области.

Не считаю что можно в отношении человека, который мог написать сабжевую статью и так ее преподать, сказать что он «что-то шарит». Хотя конечно, девушка может быть и не виновата, может быть она писала эту «статью» в ответ на письмо с просьбой написать о том как же удаленно можно управлять Linux-машинами от какого-нибудь ее бывшего преподавателя, и совершенно не предполагала что ответ разместят на IBM_dW в виде статьи от ее имени... Тогда конечно косяк на IBM_dW.

Т.е. ты не согласен, что эти белобрысые дуры считаются привлекательными?:)

Нет. Я просто не согласен с утверждением что все белобрысые - дуры. А то, что большинство блондинок, не выделяющихся умом, красивы - это несомненно.

Мдяяя,
статья для журнала “Мурзилка”, но уж точно не для первой страницы ЛОРа,,,,

Тема “сисек” раскрыта не полностью. Как пользоваться командой man? С нетерпением жду новых публикаций!

Я не читал 1-ю часть, а там скорее всего, наверное, был разговор о vpn. Сейчас еще к этому добавляют в компьютерные клубы вебкамеры с хронометражем. Так что для гбистов просто нет никаких проблем.

>Ты что курил? Это дома ты можешь свой комп хоть разрезать пополам, а если ты комп АРЕНДУЕШЬ для работы (рабочее место), а тем более в государственном предприятии то за просмотр порнухи, написания вредоносных программ, взлом сетей и прочего - ты, сисадмин и директор предприятия будут нести уголовную ответственность по соответствующим статьям.

Если студент выполняет лабораторную работу, то ее результат это его научная деятельность, которая подпадает под авторское право. Пример другой, зачем риалтайм мониторить бухов? чтобы админ потенциально знал пароли к банкклиентам? Это потенциальная угроза. Админ не должен знать ничего, что превышает его полномочия.

Если вы считаете что необходима риалтайм слежка за сотрудниками мне вас жаль. Сколько нужно персонала чтобы проследить за работой 1000 сотрудников? Да хотя-бы 100. Я о том, что безопасность нужно строить не на постоянном мониторинге что там делает пользователь, а на банальных ограничениях для учетной записи. Для защиты сети - firewall + IDS + голова на плечах.