Время NW заканчивается, а жаль.
Поставили несколько лет назад задачу - сделать сервер с ограниченным доступом.
Хранится на нём должны были всякие документы не для третьих лиц.
В качестве ОС выбрана NW по следующим соображениям:
1. Её мало кто знает в нормальном объёме.
2. Работает (если настроить) как штык.
3. Секюрити на высоте.
4. NSS поддерживает шифрование, шреддинг и прочие фишки.
5. Аудит есть, можно следить, кто когда что делал.
Был поставлен сервер, заведены юзеры (user-1, user-2 etc...), настроен доступ по HTTPS (WebDAV).
Фильтрами закрыты все порты, кроме 443.
Два тома - SYS & DATA. DATA - шифрованный. "Пароль знает только ветер (с)".
Кроме того, DATA - на внешнем USB - драйве, при необходимости легко вытащить и спрятать в карман. Пробовал несколько раз выдёргивать прямо на ходу - проблем не замечено.
Загрузка - как обычно.
Том DATA монтируется ручками - т.е. пароль вводится вручную и нигде не светится.
На томе DATA есть .ncf с командами загрузки mysql, сервера и клиента аудита и в конце - secure console.
Аудит пишет в базу mysql, которая на DATA, там - же и временные файлы аудита и вообще все файлы логов.
После настройки сервера смотрим список загруженных модулей и ненужные удаляем (хотя можно этого и не делать, надо только проследить, чтобы в sys:system небыло модулей, позволяющих просматривать файлы на сервере - edit, cpqfm, cc и т.п.) - на случай, если кто зайдёт админом на консоль.
В результате пользователи имеют доступ к файлам из проводника виндов (в соответствии с назначенными правами), и никакой клиентской части не нужно.
Сервером можно рулить через iManager, что гут.
Пароль админа, если очень попросят, можно отдать - после перезагрузки том DATA (если не успели выдернуть его из USB) не смонтировать - этот пароль никому не даём. Не знаем. Забыли.
Попутно наступил на грабли - данные с тома DATA бэкапились (предварительно зазиповавшись) по sftp на другой сервер (на время копирования открывался 22 порт и юзался stuffkey) с аутентификацией по public key (см. TID 3297445) так вот, после secure console ssh не грузится, там в модуле явно указаны пути "sys:system/ssh.nlm" что secure console запрещает. Искать исходники и прекомпилировать лениво.
Для особо извращённых можно отключить протокол arp. Но ДО его отключения составить arp - таблицу хостов, с которыми нужно взаимодействовать, прописать mac - адрес сервера на соотв. порту свитча да и на самих хостах arp - записи сервера сделать. Честно говоря не пробовал, но в принципе работать должно.
Для 10 - 15 юзеров (больше вряд - ли будет) достаточно обычного писюка. Почти любого.
Работает уже года 3 - 4. Шустро и без проблем.
Самая большая дыра - в клиентах, винда открываемые файлы кэширует