Hirdetés

  2. Fórumok
  3. Infotech
  4. Elképesztő méreteket öltött a Microsoft Exchange-botrány
Keresés

Új hozzászólás Aktív témák

  • #65 hcl titán vicze #64
    Új Válasz #65
    Új hozzászólás
    Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
    Privát üzenet küldése

    hcl

    titán

    LOGOUT blog (1)

    válasz vicze #64 üzenetére

    Na várj, eddig csak annyit mondtál, hogy user management. Klienseken.

    IoT eszközök más téma, sokkal fapadosabb, ezeket azért érdemesebb helyi hálón használni. Viszont egy IoT eszközt (ha nincs kijelző) nem is fognak root shellbe dobni, mert nincs min utasításokat adni. (Soros konzol meg elég feltűnő.)

    A single usert ki lehet védeni.
    LUKS-ra azért van megoldás. Jelszómentes is. És nem admin a user onnantól (de a user adatai lehetnek pl. külön titkosítva jelszavassal is, így a gép elindul, majd ha felmegy a user VPN-re, akkor az adatokhoz is hozzáfér. Meg olyat is lehet, hogy külön van titkosítva a home.
    - SElinux alap
    - A boot megtörése ahogy nézem többféleképpen tiltható, onnantól nincs root shell (mondjuk a Local IT anyázni fog :D ) .

    "Lépjünk tovább, user nem privileged, rendben most innentől ő nem tud frissíteni vagy alkalmazást telepíteni, és át kell vegyem ezt valamivel. "
    A legtöbb disztrón van olyan szoftver, ami megoldja ezt (GUI-s szoftverboltok, stb., nem kell hozzá a usernek root access, sem privilégium). Illetve a usernek sem kell feltétlen telepítenie, mert felad egy jegyet, és a helpdesk feltolja neki. (Nekünk most Windowsra is ez van.)
    De olyat is lehet, hogy ha már van egy remote management cuccod, akkor a user egy webes felületen összekattintja, hogy milyen progit szeretne, a management cucc (akár Chef, Ansible is) lenyúl, és felteszi. Megint nem admin a user.

    "Ok azt mondod kap egy "no password"-ot apt-ra" - ez alapból hülyeség lenne.

    Árak? Ezek nagy része free cucc...

    Onnantól kezdve meg, hogy valaki hozzáfér a géphez fizikailag, nincs az a cucc, ami megvédené attól, hogy leolvassa a lemezt. Onnantól a Bitlocker titkosítás is törhető. És a managed Bitlockernek is el kell tárolnia valahogyan a kulcsot, ha legközelebb be akar bootolni.

    A fene tudja, ahol én Linux admin voltam, ott laptopon is lehetett Linux, LUKS jelszó volt, és ha recovery shellbe dobtad volna a géped, azzal max. egy újratelepítést érsz el az SElinux miatt. Nem igazán tudom, mi volt alatta, céges image volt. És megfeleltek auditon, meg hóm offisz is ment, vagy 10-15 éve (korábban meg nem volt itt a cég/nem osztottak laptopot). (Mondjuk a userek tényleg adminok voltak, mert pont tudtad a root jelszót, a gép telepítése során te adtad meg :D Ez jellemző mondjuk az egész cégre, hogy ilyen logikusan működik :D )

    De szerintem ha ilyesmire akarsz megoldásokat kapni, akkor ne itt offoljunk, hanem vagy az "Ingyen kellene", vagy a Linux haladó topicban...

Új hozzászólás Aktív témák