Всем привет!

Хотел бы услышать Ваше мнение о концепции, которую я хочу внедрить в своей организации.

Ситуация следующая - у меня большое число автономных компьютеров на Debian, которые нельзя подключить к интернету или локальной сети.

Я администратор безопасности и системный администратор в одном лице и я устал по каждой мелочи совершать обход всех ПК.

Одна смена пароля может затянуться на два дня, пока всех обойдёшь.

У меня работает система обновления баз антивируса с определённой флешкой (флешки кроме разрешённых блокированы).

При подключении определённой флешки с неё скачиваются базы вирусных сигнатур в каталог недоступный пользователю, после чего происходит обновление антивируса.

Система хорошо работает, единственное она мне не очень нравится в возможности пользователя изменить архив с обновлением и закинуть на компьютер лишние файлы (к которым доступа у него в любом случае не будет, но всё равно это не нормально).

И вот вчера я придумал следующую концепцию - использовать эту особенную флешку для автоматического выполнения загруженного мной скрипта с настройками.

Человек подключает флешку, компьютер выполняет скрипт (например смены пароля) и все счастливы.

Единственное «но» в безопасности такой реализации.

Итак концепция - есть два скрипта. Первый скрипт, размещён на моём ПК, он предназначен для подготовки скрипта (шифрования). У меня же размещён публичный ключ для шифрования.

Второй скрипт, размещён на всех автономных ПК. Он предназначен для расшифровки скриптов с настройками и их выполнения. На автономных ПЭВМ так же размещается приватный ключ для расшифровки.

Первый скрипт (шифрование):

#!/bin/bash

file_path_to_encrypt=$1
dir_path_to_result=./task

rm -Rf ./task && mkdir $dir_path_to_result

openssl rand 214 > ./key_to_work.key # Генерируем случайный ключ (он же пароль)

openssl enc -aes-256-ctr -pbkdf2 -in $file_path_to_encrypt -out $dir_path_to_result/encrypt_shell.sh -pass file:./key_to_work.key # Используя симметричное шифрование шифрую файл используя этот ключ (пароль)

openssl rsautl -encrypt -pubin -inkey public.pem -in ./key_to_work.key -out $dir_path_to_result/auth_key.pem # Используя публичный ключ шифрую пароль

rm ./key_to_work.key # Удаляю пароль в открытом виде

Второй скрипт (расшифровка и выполнение):

#!/bin/bash

file_path_to_decrypt="$1"

openssl rsautl -decrypt -inkey private.pem -in ./task/auth_key.pem -out ./key_to_work.key # Расшифрую пароль используя приватный ключ (асимментричное шифрование)

if [[ $? == "0" ]] # Если расшифровка прошла успешно
  then
    : # Значит скрипт зашифровал я, продолжаем работу
  else
    echo 'Скрипт не подтверждён. Завершаю работу.' # Иначе вывожу сообщение, удаляю открытый файл ключа, завершаю работу
    rm -f ./key_to_work.key
    exit 1
fi

openssl enc -d -aes-256-ctr -pbkdf2 -in $file_path_to_decrypt -out ./script.sh -pass file:./key_to_work.key # Расшифрую файл используя полученный пароль (симметричное шифрование)

/bin/bash ./script.sh # Запускаю расшифрованный скрипт

rm -f ./{key_to_work.key,script.sh} # Удаляю файлы пароля и скрипта

На «красоту» и оптимизацию кода прошу внимание не обращать. Это черновой вариант, просто чтобы посмотреть на концепцию.

Безопасно ли это? Какие тонкие места Вы видите в такой реализации (например, возможность замены инструкций скрипта настроек)?

Заранее спасибо!

Здравствуй ЛОР! Есть у меня один вопрос, на который я думаю, что знаю ответ, но всё таки хочу спросить Вашего мнения - вдруг, что-то можно сделать. Итак к сути. Есть два «сервера», вернее сказать - два ПК выделенных для работы серверов samba. На обоих функционируют софтовые RAID массивы. ЖМД, понятое дело, для RAID не предназначены.

Характеристики следующие:

Первый (назовём его шустрик): Debian 7 (Samba - 16 клиентов) Intel Core i3-7100 (3900 MHz, 2 ядра, 4 потока) 12 Гб ОЗУ DDR4 RAID 5 (mdadm) - 3 ЖМД wd10ezex 1tb

Второй (он и по жизни второй): Debian 9 (Samba - 8 клиентов) Intel Core i3-7350k (4200 MHz, 2 ядра, 4 потока) 16 Гб ОЗУ DDR4 RAID 1 (mdadm) - 2 ЖМД wd10ezex 1tb и Toshiba DT01ACA100

Берём 100 Gb и копируем. У первого CPU average (1 min) 2.1, у второго 4.9 и адские муки :) CPU нагружается на процентов 50-60 у обоих процессоров.

Вопрос - почему так? Я думаю, что дело в том, что процессор слабее и Toshiba медленнее WD, раньше Toshiba было два, сразу после поставки поскрипывали и я решил, что дело в них (скоро мне придёт второй WD и попробую Toshiba заменить). Почему сомневаюсь? Вроде разница процессоров не такая большая, как и дисков - а работает заметно медленнее. Читал статьи, где говорилось, что RAID1 шустрее «на запись» чем RAID5. Как Вы считаете, дело в разнице процессоров? Или стоит всё-таки второй ЖМД заменить?

Здравствуйте! На ПЭВМ установил Astra Linux 1.5. До этого на ПЭВМ была установлена МС ВС 3.0. Проблема заключается в том что к ПЭВМ подключено специфическое оборудование, взаимодействие с которым осуществляется через COM порт (либо переходник USB to COM). До этого взаимодействие осуществлялось через программное обеспечение для МСВС, теперь до нас довели аналогичное но для Astra Linux. Проблема заключается в том, что данные пройдя через Com порт и вернувшись обратно на ПЭВМ искажаются. Увеличивается размер, часть символов меняется. Не меняются только очень мелкие файлы в несколько байт, когда дело доходит до килобайтов файлы искажаются.

Я устанавливал ОС с нуля, пробовал менять кабеля, переустанавливал программу, ставил все разрешения, запускал ПО под root, пользователи включены в dialout, менял скорости ком порта через ПО. Проверил программу на 3х компьютерах. Два из них с одинаковой конфигурацией, третий - ноутбук. Как результат на ноутбуке всё сразу заработало без искажений, а на компьютере с той же конфигурацией как у «проблемного» - нет. Вывод однозначен - аппаратура и соединительные кабели исправны. Проблема в конфигурации. Что меня смущает, так это то, что искажения есть и на Com порте и на переходнике USB to Com (причём на usb to com они меньше). Пробовал отключать Com в биосе и работать только через переходник, менять настройки USB портов. Результата нет. Пробовал смотреть на настройки портов (stty) - они одинаковы и у работающего ПЭВМ и у неработающего.

Буду очень рад дельным советам!!!!

Прошу Вас дать направление для поиска проблем.