» Флейм для сисадминов (часть IV)

Farch
Цитата:

если в любом случае нормальные люди ставят Altiris в котором все есть

RDP, Radmin, NetOp, pcAnywehere, Dameware "ставят" и используют ненормальные люди?
ipmanyak
Цитата:

Altiris бесплатный что ли?

Нет. Вас, наверное, забанили в Гугле?

reff
Цитата:

Достаточно записать

так то да.. но ежли учесть, шо кроме него подключаццо могут и другие.. нычит, надо будет оповестить всех..
а ежли ему вдруг понравиццо периодически порт менять.. ну, мало ли.. тады ваще головняк-с.. ;)

не-не, грамотно настроенный фиревол - наше фсё.. :)

---

Farch
Цитата:

зачем тратить такие бабосы на удаленное администрирование?

ну и ваще.. очень многое решаеццо тут.. ;)

TheBarmaley
Цитата:

а ежли ему вдруг понравиццо периодически порт менять.. ну, мало ли.. тады ваще головняк-с..

Тогда сам себе злой Буратино. Впрочем, почтовая рассылка это несложно.

reff
Цитата:

сам себе злой Буратино

воть! и священный долг всех пап Карлов - не рассказывать про разные способы отымения Мальвины.. ;)
т.е. шоб "малец" просто обернул "сучок" презервативом и не пытался бы сделать "это" через анальное отверстие.. :)

эт я к тому, шо отход от стандартных вещей даёт в итоге множество лишних телодвижений.. и при этом нифига нету гарантии, шо в какой-то момент время, затрачиваемое на эти "довески", не превысит время выполнения изначальных задач.. :)

ну а фиревол ему по-любасу нужно настраивать, раз у него серв в "мир" смотрит..
ну.. как бэ "негоже на люди без трусов выходить".. :Ь

Цитата:

ну.. как бэ "негоже на люди без трусов выходить".. :Ь

Угу. Главное чтобы они (трусы) были собственные, а не соседские. И не дай бог, не были сняты с плеча человека с урогенитальными инфекциями.

urodliv Да, трусы с чужого плеча - это круто!

vlary
Цитата:

трусы с чужого плеча - это круто!

эх-х, Расея-матушка.. как в той рекламе - "у нас если трусы - то с чужого плеча.. а если плечо - то в чужих трусах".. ;))
ну, лежали они там, понимаешь.. мож плечо от солнца прикрывали.. а мож просто сохли.. в декабре.. на морозе.. :))

Цитата:

а мож просто сохли.. в декабре.. на морозе..

На морозе тоже хорошо сохнет. Капиллярные явления - лёд выдавливается.

BVV63
Цитата:

На морозе тоже хорошо сохнет

точно, бабки ить неспроста во дворах бельё вывешивают.. несмотря на всякие там сушащие стиральные машинки..
а куле - исконно расейская технология.. нано.. дёшево и сердито.. ;)
Цитата:

лёд выдавливается

угу.. а заодно и все микробы вместе с ним.. микроб не дурак, он тоже жить хочет.. ;)

..и тока слышиццо вдалеке - "труселя.. труселя.. мороженные труселя.. налетай.. торопись.. покупай.. живолИсь.." :)

---

а на "дискотеке" снова макаронник - про зряплату.. :)

Цитата:

..и тока слышиццо вдалеке

Ага. Заканчивая тему привязки трусов к фаейрволу:
"Просыпаюсь в шесть часов: где пароль от серверов?
Вот он! Вот он! На роутер намотан..."

urodliv
за "намотку" - пять баллов!
+ красные революцьённые труселя в придачу.. ;))
в мультимедию бы тебе.. :)

urodliv
reff
TheBarmaley
Спасибо за важные советы, с интересом прочел.
Цитата:

дайте доступ только с тех ip-адресов, которые заведомо вам известны

Проблема в том, что несколько человек подключаются с компьютеров, не имеющих статических ip адресов.
Цитата:

Потом можете vpn какой-нибудь поднять для доступа к серваку

Какие это даст преимущества? Насколько представляю, будут точно также пароль к vpn подбирать? Или есть преимущества, которых недопонимаю?
Цитата:

SSH/VPN

Расскажите подробней про преимущества.
Цитата:

возможно, имеет смысл оставить ловушку (honeyspot) на месте прежнего сервера терминалов

Интересная идея никогда с этим практически не сталкивался, только в теории. Может, есть какие-то практические моменты?
Цитата:

Введите временнЫе ограничения (у Вас ночь — RDP недоступен)

Как это сделать, не смог придумать на данный момент.
Цитата:

Ограничьте возможность подключения энным количеством подсетей.

То же не очень понимаю, как и чем это лучше сделать.
Цитата:

до кучи - включить/поставить/настроить файервол.. так, шобы отлуп всем подряд давал.. ну, кроме нужных адресов, ессно..
и настроить, шоб отлуп был бы по-тихому, без алертов/логов..

Какой лучше поставить. В win 2003 есть встроенный, подойдет? Как правильно настроить?

niko7
Цитата:

Расскажите подробней про преимущества.

Безопасность. Безопасность. Безопасность. Хватит?
Цитата:

Как это сделать, не смог придумать на данный момент.

Зависит от используемого Вами ПО. Например, в ISA есть возможность ограничить время действия конкретного правила.
Цитата:

То же не очень понимаю, как и чем это лучше сделать.

Это ограничение нужно внести в правила файрволла.
Цитата:

несколько человек подключаются с компьютеров, не имеющих статических ip адресов.

Наверняка известны их подсети. Ограничение по ним отсечёт множество желающих.

reff
Цитата:

Безопасность. Безопасность. Безопасность. Хватит?

Наверняка к SSH/VPN тоже пароли подбирают.
Цитата:

Зависит от используемого Вами ПО

Практически голый win 2003, как можно сделать на нем?
Цитата:

Наверняка известны их подсети

На данный момент не знаю, как проще вычислить?

niko7
Цитата:

Наверняка к SSH/VPN тоже пароли подбирают.

Тогда выставляйте "голый" RDP в Сеть и не жалуйтесь на брутфорс. Напомню, что самая защищённая система — выключенная, отключенная от Сети и охраняемая ротой солдат.
Цитата:

На данный момент не знаю, как проще вычислить?

Спросить у пользователей. Мониторить текущие (валидные) подключения.
Цитата:

Практически голый win 2003, как можно сделать на нем?

Рисуйте логическую схему. Без неё бессмысленно обсуждать вопросы, которые Вы задаёте.

niko7
Цитата:

Наверняка к SSH/VPN тоже пароли подбирают.

А о такой вещи как авторизация по сертификату слышал когда нибудь? А если этот сертификат еще и на аппаратном токене хранится?
Но reff конечно, прав. Подключение к сети, использование сменных носителей, работа в комнате где имеются окна - уже риск. Непонятно только, чем вы так уж рискуете? Секретные планы консервного завода?

niko7
Цитата:

Какой лучше поставить. В win 2003 есть встроенный, подойдет? Как правильно настроить?

погоди.. не частИ.. стока вопросов сразу, шо теряется суть.. :)
ланна, давай по порядку:

1. у каждого своё мнение на счёт "идеального" файера.. посему ничо не скажу.. ;)
..но вот тебе тема для ознакомления с матчастью..
но тока там не всё, что можно юзать под серверной вендой.. :)

2. на первое время - подойдёт.. наверное.. я хз, встроенное у меня лично отключено, не юзаю..
а в принципе - пофиг.. при грамотной (и правильной!) настройке любой файер хорош.. имхо..

3. для начала стОит чётко понять общий механизм защиты.. потом выбрать чё-то конкретное.. потом копать.. :)
или курить.. в зависимости от способа.. ну.. если форумы - то копать.. если маны - курить.. :Ь

зы.
слишком общие вопросы были заданы.. так внятного ответа ни в жисть не получишь..

---

однако, тяпница на дворе.. надыть старые кости подразмять.. а то засиделись мы за клавками..
предлагаю для поднятия духа поорать песни и/или просто поплясать вприсядку.. сёння на дискотеке частушки.. :)

TheBarmaley
В Windows 2003 скорее NAT, чем файрволл. Только тс-с-с, никому.

reff
Цитата:

Только тс-с-с, никому

не совсем понял, правда, почему так.. но - ш-ш-ш.. могила.. :))

Друзья, обрисуйте плиз в общих чертах: каким образом получить полный Gnome-desktop по сети на виндовом X сервере?

Что следует настроить в никсах, и какую подоконную приблуду заюзать?


Добавлено:
Никсы - оракловая соляра 11/11.

Поставил туда графику потому, что хочу разобраться с навороченным фреймворком nwam (network automagic), который теперь рекомендован для продакшена на серверах.

Мне как старому виндузятнику проще абстрактные концепции начинать изучать с графических утилит (если конечно хоть кто-то там проектировал юзабилити... что не факт, потому что не М$).

VNC не хочу ставить, хочу повозиться с nwam и удалить графику с сервера нахрен.


Добавлено:
Через IPMI - тормоза ((

LevT Попробуй задействовать Xming X Server for Windows

vlary
Спасибо, но важнее для меня вопрос - что в соляре настроить по-быстрому?
С X-ми всерьёз связываться не хочу.

товарищи юниксоиды, ну объясните же логику в двух словах.
Поставил я Netsarang Xmanager, и из тамошнего хелпа вычитал, что мне нужно XDMCP

Мне много чего не нужно в иксах (почти всё), и я не хочу сейчас ничего об этом знать, у меня совершенно другие задачи.

Мне всего лишь нужно получить доступ к целому гном-десктопу с сетевого хоста.


Добавлено:

оказалось проще vnc сервер включить, в гномдесктопе графическая включалка

LevT
Цитата:

оказалось проще vnc сервер включить, в гномдесктопе графическая включалка

а ларчик просто открывался...
XDMCP - вообще суровая попытка...

Могу предложить еще изврат без доп софта, типа vnc... Используем ssh X11Forwarding. Тут описан способ для работы и через Putty и в лине на 12консоле. (при копипасте команд, аккуратнее с дефисами - лучше просто перепечатывать)

Добавлено:
А вообще, по UNIX like есть целый раздел и темы типа Новичек в GNU/Linux. Ну или по фре там есть и некоторым другим UNIX'ам.

Alukardd

новички обычно спрашивают "как сделать"?
А меня больше интересует, что делать - и, главное, зачем?

ЗЫ. Читаю сейчас http://docs.oracle.com/cd/E23824_01/html/821-2726/index.html
Зачем? А для того, чтобы доковыряться до способа грузить соляру попеременно на физ. железе и в виртуалке.

Спрашивать где бы то ни было бесполезно, узкие специалисты обычно такие узкие...

LevT
Ну в соляре я вам помочь не смогу, только если это не общие концепции Linux.
Что касается по перемененного запуска, то я что-то проблем себе и представить не могу... Разве, что сетевые интерфейсы могут номера сменить от перепугу увидев виртуальный интерфейс.

А вообще, пожалуй, не буду соваться здесь с советами, т.к. не разбирался в данном вопросе.

нихрена, похоже, в установленной соляре нет автоподгрузки модулей - и тогда надо править конфиг /etc/system

мне уже пару лет назад такое советовали.
http://www.sunhelp.ru/forum/viewtopic.php?t=949&start=45

Я тогда забил, но сейчас намерен доковырять до конwа

Вопрос общего плана.
Можно ли настроить RDP-клиент (конкретно, mstsc.exe), чтобы он брал без лишних базаров учётные данные текущего аккаунта?

Народ а кто-нибуть юзает ssh vpn под винду?
Хотелось бы отзывы услышать

itrex111
— Здесь продаётся славянский шкаф?
— ...
Вы бы определились: SSH или VPN. Кстати, и то и другое работает.