Во след уходящей NetWare

Для любителей просто поболтать

Во след уходящей NetWare

Сообщение Владимир Семиколенных » 24 ноя 2009, 20:05

Время NW заканчивается, а жаль.
Поставили несколько лет назад задачу - сделать сервер с ограниченным доступом.
Хранится на нём должны были всякие документы не для третьих лиц.
В качестве ОС выбрана NW по следующим соображениям:
1. Её мало кто знает в нормальном объёме.
2. Работает (если настроить) как штык.
3. Секюрити на высоте.
4. NSS поддерживает шифрование, шреддинг и прочие фишки.
5. Аудит есть, можно следить, кто когда что делал.
Был поставлен сервер, заведены юзеры (user-1, user-2 etc...), настроен доступ по HTTPS (WebDAV).
Фильтрами закрыты все порты, кроме 443.
Два тома - SYS & DATA. DATA - шифрованный. "Пароль знает только ветер (с)".
Кроме того, DATA - на внешнем USB - драйве, при необходимости легко вытащить и спрятать в карман. Пробовал несколько раз выдёргивать прямо на ходу - проблем не замечено.
Загрузка - как обычно.
Том DATA монтируется ручками - т.е. пароль вводится вручную и нигде не светится.
На томе DATA есть .ncf с командами загрузки mysql, сервера и клиента аудита и в конце - secure console.
Аудит пишет в базу mysql, которая на DATA, там - же и временные файлы аудита и вообще все файлы логов.
После настройки сервера смотрим список загруженных модулей и ненужные удаляем (хотя можно этого и не делать, надо только проследить, чтобы в sys:system небыло модулей, позволяющих просматривать файлы на сервере - edit, cpqfm, cc и т.п.) - на случай, если кто зайдёт админом на консоль.
В результате пользователи имеют доступ к файлам из проводника виндов (в соответствии с назначенными правами), и никакой клиентской части не нужно.
Сервером можно рулить через iManager, что гут.
Пароль админа, если очень попросят, можно отдать - после перезагрузки том DATA (если не успели выдернуть его из USB) не смонтировать - этот пароль никому не даём. Не знаем. Забыли.
Попутно наступил на грабли - данные с тома DATA бэкапились (предварительно зазиповавшись) по sftp на другой сервер (на время копирования открывался 22 порт и юзался stuffkey) с аутентификацией по public key (см. TID 3297445) так вот, после secure console ssh не грузится, там в модуле явно указаны пути "sys:system/ssh.nlm" что secure console запрещает. Искать исходники и прекомпилировать лениво.
Для особо извращённых можно отключить протокол arp. Но ДО его отключения составить arp - таблицу хостов, с которыми нужно взаимодействовать, прописать mac - адрес сервера на соотв. порту свитча да и на самих хостах arp - записи сервера сделать. Честно говоря не пробовал, но в принципе работать должно.
Для 10 - 15 юзеров (больше вряд - ли будет) достаточно обычного писюка. Почти любого.
Работает уже года 3 - 4. Шустро и без проблем.
Самая большая дыра - в клиентах, винда открываемые файлы кэширует :(
В.
Владимир Семиколенных
 
Сообщения: 174
Зарегистрирован: 10 июн 2002, 16:03
Откуда: Мурманск

Сообщение Стогов Кирилл » 25 ноя 2009, 07:32

Круто.

Мы для таких клиентов ставим IBM (Lenovo) ThinkPad, в нем есть микросхема, шифруй хоть весь диск.
У меня лично тоже ThinkPad, но юзаю Alladin SecretDisk. Попробовал как-то зашифровать системный раздел.... Грузилось после этого исключительно в safemode, заодно винду переставил :D
Стогов Кирилл
 
Сообщения: 368
Зарегистрирован: 10 июн 2002, 14:11
Откуда: СПб

Re: Во след уходящей NetWare

Сообщение capricious » 25 ноя 2009, 10:57

Владимир Семиколенных писал(а):Время NW заканчивается, а жаль.

Кроме того, DATA - на внешнем USB - драйве, при необходимости легко вытащить и спрятать в карман. :(



наверное отстал от Netware :)
что можно запросто USB drive использовать на сервере без всяких ухищрений ? а модель сервера? USB drive ?

Аудит -- Novell Audit 2.0 ? купленый ?
Аватара пользователя
capricious
 
Сообщения: 393
Зарегистрирован: 21 апр 2003, 14:36
Откуда: Moscow

А разве TPM у нас уже сертифицирован?

Сообщение Павел Гарбар » 25 ноя 2009, 11:01

Собсно?
Павел Гарбар
 
Сообщения: 709
Зарегистрирован: 05 июн 2002, 09:36
Откуда: Санкт-Петербург

Сообщение Музалёв Николай » 25 ноя 2009, 12:12

что можно запросто USB drive использовать на сервере без всяких ухищрений ?


КУ??

====

...TPM.... сертифицирован?

Хм... в контексте данного обсуждения предполагается, что шифруется не ДЛЯ "товарища майора", а ОТ "товарища майора"...

Или я не понял коллег?
armoracia rusticana (lat.), "блины" и "фиги" всех видов, а также смайлики - крайне не желательны !
Музалёв Николай
 
Сообщения: 3034
Зарегистрирован: 04 июн 2002, 19:58
Откуда: Беларусь. МИНСК.

Сообщение Владимир Семиколенных » 25 ноя 2009, 13:53

Сервер - обычный писюк. Aquarius.
USB драйв - WD на 160 Гиг. Драйвера брал здесь.
6.5 - купленная, правда для других целей, но поставили винды и надобность отпала. Audit 2.0.2 starter pack.
Собственно, интересовал сам процесс как без особых ухищрений закрыть инфу при этом не напрягая юзеров.
В.
Владимир Семиколенных
 
Сообщения: 174
Зарегистрирован: 10 июн 2002, 16:03
Откуда: Мурманск

а как при этом

Сообщение skoltogyan » 26 ноя 2009, 10:07

а как при этом у пользователей закрывалось ?
они, работая со своих windows, с документами имеют кучу TMP итому подобного на своих локальных винтах
skoltogyan
 
Сообщения: 2037
Зарегистрирован: 12 июл 2002, 19:39
Откуда: Украина, Донецк

Сообщение capricious » 26 ноя 2009, 10:31

Владимир Семиколенных писал(а):. Audit 2.0.2 starter pack.
.


а разве starter pack может писать куда то кроме текстового файла? у Вас написано про Mysql
Аватара пользователя
capricious
 
Сообщения: 393
Зарегистрирован: 21 апр 2003, 14:36
Откуда: Moscow

Сообщение Владимир Семиколенных » 26 ноя 2009, 11:49

The Novell Audit Starter Pack contains a subset of the features available in the full product. Using the starter pack, you can log events from any Novell instrumented application to either a MySQL database or flat file. You can also create SMTP e-mail notifications.
В.
Владимир Семиколенных
 
Сообщения: 174
Зарегистрирован: 10 июн 2002, 16:03
Откуда: Мурманск

Про TPM

Сообщение Павел Гарбар » 26 ноя 2009, 15:08

Николай, привет!
Без этой сертификации устройства с TPM не могут официально попасть в страну. И, если ноутбук еще можно за рубежом купить и с собой привезти, то вот с сервером это как-то труднее.
Несколько лет назад у нас просили станции и буки с TPM, но по официальным каналам такое было не сделать.
Сертификации TMP у нас точно ведется с 2008 года, а вот завершилась ли она, я не знаю.
Павел Гарбар
 
Сообщения: 709
Зарегистрирован: 05 июн 2002, 09:36
Откуда: Санкт-Петербург

Re: Про TPM

Сообщение Аркадий Глазырин » 04 дек 2009, 10:22

Павел Гарбар писал(а):Николай, привет!
Без этой сертификации устройства с TPM не могут официально попасть в страну. И, если ноутбук еще можно за рубежом купить и с собой привезти, то вот с сервером это как-то труднее.


Павел, ну не могу сдержаться: - и цЫски с шифрованием и просто "серые" цЫски, и серверы с тем и с этим, всё это есть.

Сперва написал где именно это есть, а потом затёр.
Зачем контору палить?
Причина онкологий - иммунодефицит. Он вызывается загаром, нервотрёпкой, прививками от гриппа, генномодифицированными дрожжами, например "Саф-Момент", приёмом наркотиков, особенно героиновой группы. + Грибы и паразиты.
Аватара пользователя
Аркадий Глазырин
 
Сообщения: 2762
Зарегистрирован: 16 авг 2002, 09:09
Откуда: Екатеринбург

про циски

Сообщение Павел Гарбар » 04 дек 2009, 12:51

Аркадий, знаешь, как циска возила модули VPN-акселлераторов для своих маршрутизаторов много лет назад в нашу страну?
По документам их оформляли как математические модули для сжатия информации. А на вопрос: "А почему данных на выходе получается больше, чем на входе?" Просто отвечали: "Такой хреновый алгоритм сжатия!"
По левым каналам можно привезти все, что угодно.
Другое дело, когда надо, чтоб все было совсем по-официальному и по-белому. Тогда, пока не будет необходимой сертификации, не будет и нормальных поставок. Не будет и гарантии от вендора.
Я ж говорю не про единичный случай, а когда это можно будет делать массово.
Павел Гарбар
 
Сообщения: 709
Зарегистрирован: 05 июн 2002, 09:36
Откуда: Санкт-Петербург

Re: про циски

Сообщение Аркадий Глазырин » 09 дек 2009, 11:45

Павел Гарбар писал(а):По левым каналам можно привезти все, что угодно.


Именно так и поступают Провайдеры.
Возят через Нагибина откровенное Б.У. вообще без сертификатов.
.
.
.
Да что там с коммутацией - её вообще не видно.
Спрятана где-то и всё.

Провайдеры Екатеринбурга регулярно у меня, представителя по Kraftway УрФО просили (но не получали, разумеется) пустые корпуса серверов с надписью Kraftway для того, что бы набить их своим нынешним "железом" и, таким образом обойти сертификацию.
Причина онкологий - иммунодефицит. Он вызывается загаром, нервотрёпкой, прививками от гриппа, генномодифицированными дрожжами, например "Саф-Момент", приёмом наркотиков, особенно героиновой группы. + Грибы и паразиты.
Аватара пользователя
Аркадий Глазырин
 
Сообщения: 2762
Зарегистрирован: 16 авг 2002, 09:09
Откуда: Екатеринбург


Вернуться в Флейм

Кто сейчас на конференции

Сейчас этот форум просматривают: Bing [Bot] и гости: 9

cron