Új hozzászólás Aktív témák
-
Okos ember nem teszi direktben, az tuti. AKkor sem, ha nem tudottan sebezhető.
Amikor megjelent full publicban az előző melóhelyeken (kettőnél is ment) a net felől elérhető OWA, akkor néztem, hogy az admin jelszavakat is kiírhatták volna (Mondjuk hasznos volt, az tuti, mert én is nézegettem rajta a levelezésem... )@Anulu : "nagy szervezetek a Win licenszeket fillérekért kapják"
Aztamocsok Akkor nálunk miért pár ezer EUR az ilyesmi? (Globális cég ez is.) Vagy én nem vagyok elég gazdag.@ysengrin : Azért ez elég beteg dolog, hogy ja, úgysem éri meg biztonságosabbnak lenni. Akárhogyan is.
[ Szerkesztve ]
Mutogatni való hater díszpinty
-
Nemtom, hogyan tárgyalnak, de azt tudom, hogy van szándék költségfaragásra, szóval tuti megpróbálták. Persze, maga a Windows olcsó, de az AD account (gépnek / usernek) nem. Onnantól meg fújhatod a Windowst.
Meg nem hiszem, hogy csak nálunk tárgyalnának rosszul, bár az előző helyeken sem láttam ebbe bele, de ott sem szórták nyakló nélkül az asztali usereket.
Kezedenek is már rájönni, hogy ahol nem kell a domain user, oda jó ingyenes OS isHa soha nem volt incidensed, az nem jelenti, hogy az tutibiztonságos is
[ Szerkesztve ]
Mutogatni való hater díszpinty
-
Elég jó architectek vannak (amennyiben létezik ez a fogalom ) , szóval ha csak ennyi lenne
@Vicze1 : OpenLDAP? Az is domain.
BTW ez pár tízezer user, sok országban. Nehézipar, szóval kevés telephely, kevés user, de a cég attól még marha nagy.
Azt mondjuk nem tudom, hogy elég-e, ha van valamilyen automatikus (központosított) user management, ami nem domain, de arra van több megoldás is.@pzstm : +domain account a gépnek +user
Mutogatni való hater díszpinty
-
Akkor meg megint minek AD? Amiket én mondtam, azok is pont arra jók, amiket felhoztál.
Meg a franc tudja, volt olyan, "elég nagy" IT cég (pár tízezresnél nagyobb), ahol dolgoztam, és nem volt AD. (Főleg hogy a kliensgépeken, és szervereken sem csak Windows volt.) Mégis átmentek auditon, saját megoldásak voltak. User kontroll is volt.Mutogatni való hater díszpinty
-
Privátban mondok ilyet, ha kell
De különben ssh, kulcsolva, és management szerver. Szépen lenyúlkál, és beírja a megfelelő dolgokat a pam-ba. Nem nehéz megcsinálni. Távoli wipe = shred, user kizárás meg sed, awk, akármi.
OK, szerverre, de nálunk ez szépen ment, a saját scriptjeinkkel is.Ja tényleg, az Ansible, Chef eszembe se jutott, mert azokkal is pont meg lehet csinálni.
[ Szerkesztve ]
Mutogatni való hater díszpinty
-
"Továbbra is kliensekről beszélek nem szerverekről."
Linux ilyen szinten nem sokban külömbözik"Az AD nem központosított management, hanem egy cseszett directory"
De management eszközöket is találsz benne (konkrétan jobb katt egy gépen, Manage, és tudod távolról zaklatni). Illetve a MS management cuccai nagyban épülnek az AD-re. (Meg hát, endpoint managementre ott a többi MS termék, amit meg szokás hozzá venni.)Mutogatni való hater díszpinty
-
Mármint, hogyan? Az init=/bin/bash elég könnyen kivédhető, nagy cégnél a LUKS alap, onnantól kezdve akkor kapsz shellt, ha valami nagyon el van kefélve. Cégnél nem mezei Ubit kell feltenni...
Meg hát kell bele tenni energiát meg kell csinálni a céges OS-t normálisan."A AD-ban a Mange menüpont csak egy külső hívás, ami "
Tököt érdekli, feature, működik.Azt nem tudom, miért csak felhővel megy. Még ha nem is lehet háló nélkül bejelentkezni, akkor is lehetnek olyan rések, amin be lehet jutni, ha meg nincs háló, akkor wipe-olni sem fogod. Aki hozzáfér a géphez fizikailag, az előbb-utóbb be tud törni rá. Aki otthon van, azt nem fogod tudni kontrollálni, ha kihúzza a hálókábelt. Felhőből sem.
[ Szerkesztve ]
Mutogatni való hater díszpinty
-
Na várj, eddig csak annyit mondtál, hogy user management. Klienseken.
IoT eszközök más téma, sokkal fapadosabb, ezeket azért érdemesebb helyi hálón használni. Viszont egy IoT eszközt (ha nincs kijelző) nem is fognak root shellbe dobni, mert nincs min utasításokat adni. (Soros konzol meg elég feltűnő.)
A single usert ki lehet védeni.
LUKS-ra azért van megoldás. Jelszómentes is. És nem admin a user onnantól (de a user adatai lehetnek pl. külön titkosítva jelszavassal is, így a gép elindul, majd ha felmegy a user VPN-re, akkor az adatokhoz is hozzáfér. Meg olyat is lehet, hogy külön van titkosítva a home.
- SElinux alap
- A boot megtörése ahogy nézem többféleképpen tiltható, onnantól nincs root shell (mondjuk a Local IT anyázni fog ) ."Lépjünk tovább, user nem privileged, rendben most innentől ő nem tud frissíteni vagy alkalmazást telepíteni, és át kell vegyem ezt valamivel. "
A legtöbb disztrón van olyan szoftver, ami megoldja ezt (GUI-s szoftverboltok, stb., nem kell hozzá a usernek root access, sem privilégium). Illetve a usernek sem kell feltétlen telepítenie, mert felad egy jegyet, és a helpdesk feltolja neki. (Nekünk most Windowsra is ez van.)
De olyat is lehet, hogy ha már van egy remote management cuccod, akkor a user egy webes felületen összekattintja, hogy milyen progit szeretne, a management cucc (akár Chef, Ansible is) lenyúl, és felteszi. Megint nem admin a user."Ok azt mondod kap egy "no password"-ot apt-ra" - ez alapból hülyeség lenne.
Árak? Ezek nagy része free cucc...
Onnantól kezdve meg, hogy valaki hozzáfér a géphez fizikailag, nincs az a cucc, ami megvédené attól, hogy leolvassa a lemezt. Onnantól a Bitlocker titkosítás is törhető. És a managed Bitlockernek is el kell tárolnia valahogyan a kulcsot, ha legközelebb be akar bootolni.
A fene tudja, ahol én Linux admin voltam, ott laptopon is lehetett Linux, LUKS jelszó volt, és ha recovery shellbe dobtad volna a géped, azzal max. egy újratelepítést érsz el az SElinux miatt. Nem igazán tudom, mi volt alatta, céges image volt. És megfeleltek auditon, meg hóm offisz is ment, vagy 10-15 éve (korábban meg nem volt itt a cég/nem osztottak laptopot). (Mondjuk a userek tényleg adminok voltak, mert pont tudtad a root jelszót, a gép telepítése során te adtad meg Ez jellemző mondjuk az egész cégre, hogy ilyen logikusan működik )
De szerintem ha ilyesmire akarsz megoldásokat kapni, akkor ne itt offoljunk, hanem vagy az "Ingyen kellene", vagy a Linux haladó topicban...
Mutogatni való hater díszpinty
-
Azért azt alapból ráérted, legalábbis én. Valaminek a managementje annak a dolognak a felügyeletét is jelenti.
De IoT eszközöket nem is egészen ilyesmivel kellene kezelni (meg ott az SCCM, és hasonlók sem értelmezettek). Egyszerűen nem ilyesmire valók.Mutogatni való hater díszpinty
-
-
Új hozzászólás Aktív témák
- No Rest for the Wicked
- HiFi műszaki szemmel - sztereó hangrendszerek
- Tőzsde és gazdaság
- Kormányok / autós szimulátorok topicja
- Autós topik
- Politika
- Otthoni hálózat és internet megosztás
- Késik a következő S24 Ultra kamerafrissítés?
- Google Pixel 8 Pro - mestersége(s) az intelligencia
- Redmi Note 12 Pro - nem tolták túl
- További aktív témák...
- 1.250.000 FT helyett 940.000 FT !! MacBook Pro 16" M3 Pro 12CPU / 18GPU / 18GB / 512 SSD
- RTX 2080TI ROG STRIX GAMER PC
- AKCIÓ !! M3 Chip - MacBook Pro 14" 8C CPU / 10C GPU / 8 GB/ 1 TB / Bontatlan / Magyar
- Tidradio td-h3 akkumulátor
- HP ZBook Studio x360:i7 9850H,32GB,512GB,P2000,15.6" UHD 3840x2160 TOUCH 600nit 100%AdobeRGB,HP gari