Всем привет!

Хотел бы услышать Ваше мнение о концепции, которую я хочу внедрить в своей организации.

Ситуация следующая - у меня большое число автономных компьютеров на Debian, которые нельзя подключить к интернету или локальной сети.

Я администратор безопасности и системный администратор в одном лице и я устал по каждой мелочи совершать обход всех ПК.

Одна смена пароля может затянуться на два дня, пока всех обойдёшь.

У меня работает система обновления баз антивируса с определённой флешкой (флешки кроме разрешённых блокированы).

При подключении определённой флешки с неё скачиваются базы вирусных сигнатур в каталог недоступный пользователю, после чего происходит обновление антивируса.

Система хорошо работает, единственное она мне не очень нравится в возможности пользователя изменить архив с обновлением и закинуть на компьютер лишние файлы (к которым доступа у него в любом случае не будет, но всё равно это не нормально).

И вот вчера я придумал следующую концепцию - использовать эту особенную флешку для автоматического выполнения загруженного мной скрипта с настройками.

Человек подключает флешку, компьютер выполняет скрипт (например смены пароля) и все счастливы.

Единственное «но» в безопасности такой реализации.

Итак концепция - есть два скрипта. Первый скрипт, размещён на моём ПК, он предназначен для подготовки скрипта (шифрования). У меня же размещён публичный ключ для шифрования.

Второй скрипт, размещён на всех автономных ПК. Он предназначен для расшифровки скриптов с настройками и их выполнения. На автономных ПЭВМ так же размещается приватный ключ для расшифровки.

Первый скрипт (шифрование):

#!/bin/bash

file_path_to_encrypt=$1
dir_path_to_result=./task

rm -Rf ./task && mkdir $dir_path_to_result

openssl rand 214 > ./key_to_work.key # Генерируем случайный ключ (он же пароль)

openssl enc -aes-256-ctr -pbkdf2 -in $file_path_to_encrypt -out $dir_path_to_result/encrypt_shell.sh -pass file:./key_to_work.key # Используя симметричное шифрование шифрую файл используя этот ключ (пароль)

openssl rsautl -encrypt -pubin -inkey public.pem -in ./key_to_work.key -out $dir_path_to_result/auth_key.pem # Используя публичный ключ шифрую пароль

rm ./key_to_work.key # Удаляю пароль в открытом виде

Второй скрипт (расшифровка и выполнение):

#!/bin/bash

file_path_to_decrypt="$1"

openssl rsautl -decrypt -inkey private.pem -in ./task/auth_key.pem -out ./key_to_work.key # Расшифрую пароль используя приватный ключ (асимментричное шифрование)

if [[ $? == "0" ]] # Если расшифровка прошла успешно
  then
    : # Значит скрипт зашифровал я, продолжаем работу
  else
    echo 'Скрипт не подтверждён. Завершаю работу.' # Иначе вывожу сообщение, удаляю открытый файл ключа, завершаю работу
    rm -f ./key_to_work.key
    exit 1
fi

openssl enc -d -aes-256-ctr -pbkdf2 -in $file_path_to_decrypt -out ./script.sh -pass file:./key_to_work.key # Расшифрую файл используя полученный пароль (симметричное шифрование)

/bin/bash ./script.sh # Запускаю расшифрованный скрипт

rm -f ./{key_to_work.key,script.sh} # Удаляю файлы пароля и скрипта

На «красоту» и оптимизацию кода прошу внимание не обращать. Это черновой вариант, просто чтобы посмотреть на концепцию.

Безопасно ли это? Какие тонкие места Вы видите в такой реализации (например, возможность замены инструкций скрипта настроек)?

Заранее спасибо!

Добрый день! Сделал в организации доску объявлений (по факту монитор с китайским тонким клиентом за 3500 р.). Тонкий клиент подключается к рабочему столу (Debian 9, xrdp), где с помощью скрипта включаются презентации. Всё здорово, однако есть проблема с которой я ничего не могу сделать уже пару дней (даже две, но второй можно избежать).

Главная проблема - после включения презентации курсор висит по центру. Некрасиво :) Я конечно могу подключить мышку и сдвинуть его в сторону, но хочется это как-то решить.

Что я пробовал:

1. Невидимая тема курсора - не работает (курсора нет, но висит вечная загрузка. Сделал значок загрузки тоже прозрачным - теперь тема вообще не работает на rdp. Без rdp результат есть).
2. Сдвинуть курсор в сторону с помощью xdotool. Не работает. XRDP использует свои устройства мыши и клавиатуры.
3. Спрятать курсор unclutter. В случае с rdp не работает. А без rdp работает нормально.
4. Подключиться через VNC и сдвинуть курсор :)) К сожалению не работает (сейчас пишу и думаю подключиться к vnc самого тонкого клиента, а не системы, как я пробовал ранее).
5. Убрать драйвера xrdp из /etc/X11/xrdp/xorg.conf - это был момент глубочайшего отчаяния)) Мышь перестала щёлкать, но двигается. Я не верил, что это сработает. Это не сработало.

Здравствуй ЛОР! Есть у меня один вопрос, на который я думаю, что знаю ответ, но всё таки хочу спросить Вашего мнения - вдруг, что-то можно сделать. Итак к сути. Есть два «сервера», вернее сказать - два ПК выделенных для работы серверов samba. На обоих функционируют софтовые RAID массивы. ЖМД, понятое дело, для RAID не предназначены.

Характеристики следующие:

Первый (назовём его шустрик): Debian 7 (Samba - 16 клиентов) Intel Core i3-7100 (3900 MHz, 2 ядра, 4 потока) 12 Гб ОЗУ DDR4 RAID 5 (mdadm) - 3 ЖМД wd10ezex 1tb

Второй (он и по жизни второй): Debian 9 (Samba - 8 клиентов) Intel Core i3-7350k (4200 MHz, 2 ядра, 4 потока) 16 Гб ОЗУ DDR4 RAID 1 (mdadm) - 2 ЖМД wd10ezex 1tb и Toshiba DT01ACA100

Берём 100 Gb и копируем. У первого CPU average (1 min) 2.1, у второго 4.9 и адские муки :) CPU нагружается на процентов 50-60 у обоих процессоров.

Вопрос - почему так? Я думаю, что дело в том, что процессор слабее и Toshiba медленнее WD, раньше Toshiba было два, сразу после поставки поскрипывали и я решил, что дело в них (скоро мне придёт второй WD и попробую Toshiba заменить). Почему сомневаюсь? Вроде разница процессоров не такая большая, как и дисков - а работает заметно медленнее. Читал статьи, где говорилось, что RAID1 шустрее «на запись» чем RAID5. Как Вы считаете, дело в разнице процессоров? Или стоит всё-таки второй ЖМД заменить?

Здравствуйте!

Есть ли у кого-нибудь опыт настройки аудита самбы? Сервер и клиент на ОС Astra Linux 1.5, samba3.

Настроил всё по многочисленным мануалам, в т.ч. и с сайта самбы. Всё работает, логирование идёт. Однако лог заваливается горам мусора.

То есть, открываю папку - в лог пишется 30 неподдерживаемых операций, например:

*Данные о пользователе и ПК* |is_offline|fail (Operation not supported) *один из фалов в папке*

В интернете не так много людей с подобными проблемами, но решений они не нашли.

Буду рад вашим советам.

Здравствуйте! Решил использовать возможности udev, bash, xmpp для контроля использования флеш носителей в организации.

В результате всё получилось и при подключении флешки не входящей в «белый список» мне приходит сообщение на psi.

Однако возник вопрос размещения файла с белым списком. Понимаю, что размещать его на каждом компьютере сети не рационально - нужно сделать, так, чтобы он размещался на сервере.

Однако пока не понимаю, как это лучше реализовать. Думаю в следующих направлениях:

1) Использовать Samba и файловую шару (минус в том, подключение к ней происходит при входе в учётную запись пользователя, а флешку могут подключить и до входа).

2) Использовать OpenLDAP (пока в нём слабо разбираюсь, читаю примеры, книги, статьи - и разобраться сходу не выходит. Нужна практическая необходимость - может сейчас это она и есть?).

3) Размещение локально на каждом ПК (минус - обновление файла. На мой взгляд самое нерациональное использование возможностей сети).

Буду рад Вашим советам!

Здравствуйте! Интересно Ваше мнение. Я системный администратор 40 автономных ПЭВМ.

По политике нашей организации ПЭВМ настроены таким образом, что использование дисководов запрещено (в fstab nouser), флеш-носители работают только учтённые (с функцией шифрования). Иногда (довольно часто) начальство ставит задачи на перенос файлов извне на автономные ПЭВМ.

Задачи эти могут поступить в любое время дня и ночи) Особенно ночи)))

И я задумался о написании программы для предоставления пользователю доступа для монтирования диска, на основании разового пароля.

Написал программу, присвоил ей suid (root). Программа имеет два файла с паролями. В первом файле все пароли которые я генерировал заранее, во второй файл вносятся гашенные пароли (уже использованные).

Программа представляет собой GUI интерфейс с окном ввода пароля и кнопками «Монтировать» и «Размонтировать» диск. Пользователь вводит пароль который я ему продиктовал, программа читает список гашенных паролей. Если пароль не использовался (его в этом списке нет) программа читает файл со всеми паролями, и если он там есть производит монтирование диска и копирование его образа командой dd в каталог (чтобы потом посмотреть, что за диск вставляли).

Использованный пароль заносится в список гашенных паролей. Кнопка размонтировать доступна без ввода пароля. Файлы паролей не доступны пользователям на чтение и запись (root:root, 770).

Как Вы оцените эту идею (конечно, проще генерировать пароли - но в QT я ещё этому не научился)?

Как бы поступили Вы?

Здравствуйте! На ПЭВМ установил Astra Linux 1.5. До этого на ПЭВМ была установлена МС ВС 3.0. Проблема заключается в том что к ПЭВМ подключено специфическое оборудование, взаимодействие с которым осуществляется через COM порт (либо переходник USB to COM). До этого взаимодействие осуществлялось через программное обеспечение для МСВС, теперь до нас довели аналогичное но для Astra Linux. Проблема заключается в том, что данные пройдя через Com порт и вернувшись обратно на ПЭВМ искажаются. Увеличивается размер, часть символов меняется. Не меняются только очень мелкие файлы в несколько байт, когда дело доходит до килобайтов файлы искажаются.

Я устанавливал ОС с нуля, пробовал менять кабеля, переустанавливал программу, ставил все разрешения, запускал ПО под root, пользователи включены в dialout, менял скорости ком порта через ПО. Проверил программу на 3х компьютерах. Два из них с одинаковой конфигурацией, третий - ноутбук. Как результат на ноутбуке всё сразу заработало без искажений, а на компьютере с той же конфигурацией как у «проблемного» - нет. Вывод однозначен - аппаратура и соединительные кабели исправны. Проблема в конфигурации. Что меня смущает, так это то, что искажения есть и на Com порте и на переходнике USB to Com (причём на usb to com они меньше). Пробовал отключать Com в биосе и работать только через переходник, менять настройки USB портов. Результата нет. Пробовал смотреть на настройки портов (stty) - они одинаковы и у работающего ПЭВМ и у неработающего.

Буду очень рад дельным советам!!!!

Прошу Вас дать направление для поиска проблем.