» Флейм для сисадминов (часть IV)

OOD Повеселил! Тут ведь одни параноидальные админы и собрались
Ладно, скажу по секрету, тебе совсем в другой раздел.
Обход межсетевых экранов и фильтрующих прокси-серверов

vlary
на счет параноидальных админов блокировка всех портов на одном шлюзе в теории хороша, а на практике большинство пользователей создадут кучи точек доступа к Интернет bluetooth,wi-fi,3g,cdma , а админы получат кучу гемороя из-за этого, поэтому я как админ приверженец лаяльности по отношению к пользователем,если он адекватане и не достает своей тупостью раскрыть порт для него мне не составляет труда,хотел бы услышать ваше мнение
Цитата:

параноидальные админы

reff

да нет )) просто манталитет у нас на краю наверно так. подумаешь, работали без компьютеров и дальше будут. а телки - это же украшает бизнес ... пипец просто.. я себе кое как сдерживал, чтоб там не наорать и не посылать всех (эту девку тоже). да накипело просто...

vlary


Цитата:

Если хватает желающих работать и за такие деньги, то зачем платить больше?

ну это да, но дела в том, что манекенов на много больше!!!! почему им больше платят?

удалено

contrafack
Цитата:

манекенов на много больше!!!! почему им больше платят?

Видимо, их и больше требуется, чем сисадминов. И они на смешные деньги не идут.
Балланс между спросом и предложением.
Вот будет у вас в городке единственный специалист по суахили, так ему и этих 15т не дадут. Потому как на фиг он там не нужен.
OOD

Цитата:

хотел бы услышать ваше мнение

Скажем, OpenVPN сервер можно настроить и на 80 порт. Так что если есть друг, который может пустить через свою сеть, проблем нет.
Но по той ссылке, что я указал, тема живет очень давно, и мнений там предостаточно. Так что дублировать все это здесь явно не стоит.

привет народ

подскажите где капать...

ПК с ОС XP(рабочая станция), к которому подключено специальное оборудование со своим ПО.

требуется ЗАПРЕТИТЬ ЛЮБЫЕ ТЕЛОДВИЖЕНИЯ, кроме как пользование этим ПО.
В идеале хотелось бы сразу после загрузки ОС, в качестве средЫ назначить это спец. ПО...
что то вроде, как при подключении к терминальному серверу, указать для пользователя определенную программу во весь экран.

Также в этом специальном ПО для оборудования создается автоматически, или вручную файл небольшого размера, который периодически требуется сбрасывать на USB накопитель(флешку). Для этих нужд я думаю можно создать папку с определенными правами для этого выгружаемого файла, написать *.bat файл где будет проверяться наличие флешки, присваивать ей определенную букву, и собственно выгружать файл на нее....хотя пока это просто мыслЯ

Камрады с удовольствием выслушаю ваши идеи по поводу этой замуты, хотелось бы решить эту проблему без использование стороннего и варезного ПО, т.к. ОС и спец ПО лицензионное, но если варез значительно облегчит решение задачи то я только ЗА, в общем выслушаю любые полезные идеи

dddimmm
С одной стороны, ты хочешь "ЗАПРЕТИТЬ ЛЮБЫЕ ТЕЛОДВИЖЕНИЯ, кроме как пользование этим ПО", с другой - "периодически требуется сбрасывать на USB ", что твоё ПО не может, и является этими самыми телодвижениями, которые ты хочешь запретить.
С одной стороны, "без использование стороннего и варезного ПО, т.к. ОС и спец ПО лицензионное", с другой - "если варез значительно облегчит решение задачи то я только ЗА"

Так что подумай и составь внятное подробное непротиворечивое ТЗ со своим хотелками...

eap

хорошо, может тогда поочередно?!

Можно ли для пользователя после загрузки ОС в качестве среды прописать запуск определенной программы во весь экран, без возможности пользоваться другими ресурсами ОС?

Можно ли реализовать это средствами самой ОС, без применение стороннего ПО?

dddimmm
Компьютерный форум Ru.Board » Операционные системы » Microsoft Windows

dddimmm
Как верно указал ув. eap, вопрос для раздела Microsoft Windows. Но всё же подскажу, в какую сторону стоит копать.
Под ключём системного реестра [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] замените в значении параметра "Shell" explorer.exe (значение по умолчанию) на Вашу программу. И заблокируйте диспетчер задач: под [HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System] создайте Reg_DWord-параметр 'DisableTaskMgr" и установите его значение в единицу.

eap


BVV63
спасибо большое за столь конкретную подсказку
а реализовать это для конкретного пользователя возможно?

dddimmm Зачем тебе тогда вообще этому конкретному пользователю ставить комп, если на нем ничего делать нельзя? Ставь "тонкого клиента", подключай к серверу терминалов, настраивай там запуск конкретного приложения.

vlary
к этому ПК, подключен станок, установленЫ ПК в лесопильном цехе, таких ПК 3, через сервер терминалов никак, в ПК установлены платы расширения и ПО должно работать именно на этих ПК.

dddimmm

Цитата:

а реализовать это для конкретного пользователя возможно?

Заблокировать диспетчер задач можно и для конкретного пользователя, если заменить [HKLM\...] на [HKCU\...]. А вот насчёт "Winlogon"... На ум ничего правильного не приходит. Можно использовать для разных пользователей стартовые скрипты (посредством "Reg Add" менять содержимое параметра), но, во-первых, нужно будет юзерам дать соответствующие права на ключ [...\Winlogon], что не есть гуд, а, во-вторых, им придётся перелогиниваться дважды (оболочка стартует, насколько помню, раньше исполнения скриптов).

dddimmm Ну, если там на лесопильных станках работают не особо продвинутые пользователи, в HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon в параметр Shell записать полный путь к нужной проге.

Как вариант, можно настроить в локальной политике "Политики ограниченного использования программ". Запретить все исполняемые файлы (кроме админов), убрать из исключений "лишние" пути, добавить Вашу прогу.

Добавлено:
Да, в исключения, конечно, в этом случае и explorer.exe нужно добавить.

dddimmm
Видишь ли, если комп стоит при лесопильном станке, нет ни сети, ни Инета, ни DVD-привода, не установлены игры в Виде, корпус компа заперт на замок, внешние USB порты заклеены, права Юзера-Работяги - пользователь, прописан автовход под Юзером-Работягой, в Автозагрузке прописан запуск программы в полноэкранном режиме, мое IMHO - все прочие действия просто не нужны. Лишняя головная боль для админа.
Ну стоял у меня один комп в охранно-пожарной сигнализации и 3 - в СКД. Настроенные как выше описано. Включены были 24/7. За 4 года ни охрана, ни девочки-ресепшн в них ничего не накосячили. ОСи переставлял только один раз - при переходе на лицензию. При обслуживании открывали комп, подключали к спрятанному внутри второму USB порту флэшку или USB-DVD. В первом (опять же внутри спрятанном) - сидел ключ от софта - чтобы по дури не приняли за флэшку и не стырили.

Добавлено:
И по поводу ТЗ. По-моему, оно должно звучать так:
"В ПК установлены платы расширения и спецПО. К ПК, подключены станки, установленые в лесопильном цехе. Таких ПК 3.
Как уменьшить количество мороки для админа с ПК в процессе эксплуатации?"

Добавлено:
Не знаю, как в лесопилке с пылью, но когда пылесосили старый комп из комбикормового цеха пылесосом с водяным фильтром, получили литр клейстера. Компы, которые пришли ему на замену, были безвентиляторные.

BVV63
vlary
eap
спасибо вам большое за наводку...буду пробовать, о результате отпишусь

reff

Цитата:

Мои запросы намного скромнее, но, имхо, фруктовый телефон Вам (и мне) не подойдёт.

Да уж, надкушенный фрукт стопудово не подойдёт. По-моему, главный параметр телефона - взаимозаменяемость с достаточно широким классом девайсов, включая дешевые. Настройки и контент девайса должны быть подконтрольны исключительно мне, а не вендору, провайдеру или оператору. Лишь при выполнении этого условия можно стремиться (или не стремиться) к украшательствам, переплачивая за дизайн.

Из общих соображений, андроид как платформа потенциально способна приблизиться к этому идеалу. Где бы почитать/с кем бы пообщаться в таком именно разрезе?

LevT
Цитата:

Настройки и контент девайса должны быть подконтрольны исключительно мне, а не вендору, провайдеру или оператору.

Выполнимо. Достаточно не покупать у сотового оператора и фруктовой компании.
Цитата:

Где бы почитать/с кем бы пообщаться в таком именно разрезе?

Кроме Хабра ничего в голову не приходит. Возможно, придётся идти впереди Планеты и пробовать всё на собственной шкуре.

reff

Цитата:

Выполнимо. Достаточно не покупать у сотового оператора и фруктовой компании.

Мне до сих пор казалось, что не всё так просто: например хтс тоже вставляет в андроид что-то своё. Судя по тому же 4pda.ru, народ интересуется "рутованием" едва ли всех подряд телефонов. И везде есть нюансы, которые кто-то опытный мог бы классифицировать.

А после рута вычистить говнософт и говносервисы - процедура... интересно, стандартная ли, или тоже есть нюансы?


Для серьёзных манипуляций с контентом необходимы стандартная де-факто процедура синхронизации с PC а, покуда такой нет или она несовершенна - vnc сервер. И такой есть, но жадный, с рекламой и задержками. Лекарства я не видел.

А если бы и видел: насколько оно универсально? Различаются ли между собой версии андроида с точки зрения процедур установки софта? А взломанного софта?

Взломанный vnc сервер вещь очевидно стрёмная, необходим анализ рисков и их смягчения. Достаточно ли его выключать - или раз запущенный софт на андроиде может впендюрить туда "руткит" так же, как на пц?


Добавлено:

Сами процедуры "получения рута" - насколько они рискованы? Не получает ли рута кто-то ещё, вместе с владельцем аппарата?

LevT

Цитата:

Мне до сих пор казалось, что не всё так просто: например хтс тоже вставляет в андроид что-то своё. Судя по тому же 4pda.ru, народ интересуется "рутованием" едва ли всех подряд телефонов. И везде есть нюансы, которые кто-то опытный мог бы классифицировать.

Некоторый софт для работы требует права root'а. Потому и интересууются.


Цитата:

А после рута вычистить говнософт и говносервисы - процедура... интересно, стандартная ли, или тоже есть нюансы?

Ну можно залить фирмварь где всего этого нету.


Цитата:

Для серьёзных манипуляций с контентом необходимы стандартная де-факто процедура синхронизации с PC

Какого рода? Просто я с ПК свой телефон только для перепрошивок конекчу. Android это не тот огрызок которым является WM, который без активсинка ничего не может синхрониировать толком. Тут напрямую интеграция с гуглосервисами.

Цитата:

покуда такой нет или она несовершенна - vnc сервер. И такой есть, но жадный, с рекламой и задержками. Лекарства я не видел.

Доступ к устройству поидее можно через SDK получить.

Цитата:

А если бы и видел: насколько оно универсально?  Различаются ли между собой версии андроида с точки зрения процедур установки софта? А взломанного софта?

Некоторый софт требует некоторые фичи которые есть только в новых версиях андроида. Но маркет в принципе не даст поставить если оно несовместима. А левый софт ставится просто копированием и установкой apk файла с приложением.

Цитата:

Взломанный vnc сервер вещь очевидно стрёмная, необходим анализ рисков и их смягчения. Достаточно ли его выключать - или раз запущенный софт на андроиде может впендюрить туда "руткит" так же, как на пц?

Ахз. Там ARM, надо еще умудриться запустить.

Цитата:

Сами процедуры "получения рута" - насколько они рискованы?

Зависит от устройства но обычно проблем никаких.

Цитата:

Не получает ли рута кто-то ещё, вместе с владельцем аппарата?

Всмысле? Права вы же на своем аппарате получаете?


PS: Сам пользуюсь Motorola Milestone более года. Жалко только что забили на поддержку аппарата в россии и залочили бут

WebMaster'a у нас суровые!
Месть webmaster'а
Если закроют:
http://imageshack.us/photo/my-images/844/webmastert.png/

goletsa

Цитата:

Ну можно залить фирмварь где всего этого нету.
 

Цитата:

А левый софт ставится просто копированием и установкой apk файла с приложением.

А удаляется как?
А сама фирмварь редактируется ли какими-то доступными инструментами?



Цитата:

Доступ к устройству поидее можно через SDK получить.

А вендовый драйвер можно пропатчить с использованием ассемблера - и тем решить множество сисадминских проблем. Но так мало кто делает, сисадминистрирование это отдельное ремесло с другими методами.

Вот в частности, синхронизация с гуглем это хорошо, именно с т. зр. ремесла это приемлемый компромисс (если существование надежной процедуры синхронизации гарантировано для любого девайса - что тоже под вопросом, если верить википедии: после публичного скандала гуглосервисы надо вручную доустанавливать в прошивку Cyanogenmod).

Но вообще-то это означает, что собственник моих контактов и проч. не я, а гугль.



Цитата:

Всмысле? Права вы же на своем аппарате получаете?

Не получает ли их одновременно ещё кто-то (и не подключает ли мой девайс к своим "сервисам", меня не спросясь)?


Добавлено:
goletsa

Правильно ли я понимаю, что софт из маркета - ни в коем разе не собственность владельца девайса, потому что привязан к аккаунту и может быть скачан-установлен не более пяти раз? Или я перепутал, и это относится только к яблочному стору?

Подобным образом отягощённый метод получения софта следует СОВЕРШЕННО исключить из рассмотрения для выше заявленных мною целей "сисадминистрирования и техподдержки".

http://manicure.kh.ua/publ/ так понимаю он только главную поменял))) мстя не полная))

Мои требования к умным гаджетам резюмируются так.

Как "сам-себе-CIO", я хочу, чтобы мои девайсы в максимальной мере годились в качестве клиентов МОИХ сервисов (например, домашнего центра синхронизации).

И одновременно - чтобы их работа в чужими сервисами (неважно, гугля, провайдера, вендора...) была в максимальной степени подконтрольна мне.


В идеале это должен быть "прокси-сервис". Который

1) для моих девайсов выглядит автономным центром синхронизации,
2) для внешних сервисов - девайсом,
3) управляем мною, притом на уровне администрирования сервисов, а не системного программирования.

(Далее, выбираем девайсы и внешние сервисы, исходя из способностей нашего "прокси" их приручить. Беспощадно жертвуя диким - т.е. неприрученным пока - функционалом)


Кто-нибудь видел работы в этом направлении?

LevT

Цитата:

А удаляется как?  

Ну там есть манагер установленного софта.

Цитата:

А сама фирмварь редактируется ли какими-то доступными инструментами?  

Под вендой наврятли
Хотя если есть рут с правами записи в /system/ то лишний софт удаляется кромсанием apk'шек прямо с устростйва.

Цитата:

Вот в частности, синхронизация с гуглем это хорошо, именно с т. зр. ремесла это приемлемый компромисс (если существование надежной процедуры синхронизации гарантировано для любого девайса - что тоже под вопросом, если верить википедии: после публичного скандала гуглосервисы надо вручную доустанавливать в прошивку Cyanogenmod).

Ну применить 1-2 update файла. Причем есть сборки циана с уже добавлеными гуглосервисами.
Плюс вроде можно прикрутить синхрониацию к эксченжу если он вам больше нравится.

Цитата:

Но вообще-то это означает, что собственник моих контактов и проч. не я, а гугль.

Ну тут надо читать соглашение внимательно, кто что кому должен.

Цитата:

Не получает ли их одновременно ещё кто-то (и не подключает ли мой девайс к своим "сервисам", меня не спросясь)?  

Там ставится приложение которое хранит список программ которым можно получать права рута. И если ктото хочет получить эти права то оно спрашивает.



Цитата:

Правильно ли я понимаю, что софт из маркета - ни в коем разе не собственность владельца девайса, потому что привязан к аккаунту и может быть скачан-установлен не более пяти раз?  Или я перепутал, и это относится только к яблочному стору?

Любой софт вам дается не в собственность. Почитайте лиц соглашения того же M$. Вам дается право использовать его. Большинство софта привязываются к мылу гуглоакаунта - можете ставить сколько угодно раз. И даже на несколько устроств (проверял, у меня часть купленого софта стоит и на телефоне и на планшете).

Люди выручайте!!! Есть сервер с двумя жесткими дисками которые работают в зеркале. До этого дня было все ок, делал регулярно на сервере 2003 архив жесткого диска с помощью проги acronis 9.8, но сегодня система слетела. Я загрузил с загрузочного диска Aсronis а он диски теперь видит как два разных устройства (к примеру было C,D,E то теперь F,G,H) Как мне теперь их соединить вместе может как нить дрова с RAID подсунуть в acronis?

goletsa

Цитата:

Хотя если есть рут с правами записи в /system/ то лишний софт удаляется кромсанием apk'шек прямо с устростйва.

То есть, "фирмварь" в андроидах принципиально редактируема ПОФАЙЛОВО? (при условии прав рута) Это сильный плюс, по сравнению с роутерами и компами.



Цитата:

Ну тут надо читать соглашение внимательно, кто что кому должен.  

Цитата:

Любой софт вам дается не в собственность... Вам дается право использовать его.

Я сознательно игнорирую юридические вопросы, мне хватает проблем технических - именно в той области, где у меня ещё сохраняются кое-какие рычаги воздействия на окружающую реальность (в некоей ближней окрестности).



Цитата:

Большинство софта привязываются к мылу гуглоакаунта -

Тоже ничего хорошего: это значит, например, что мы с Вами не можем поделиться друг с другом кое-каким софтом, не поделившись гуглоидентичностью. Если нужно админить не только свои девайсы, но в перспективе и окружающих, это не годится.

Получается, что у нас отбирают наш хлеб - техническую экспертизу, и исподтишка делают из нас впаривателей гугло- и прочих сервисов. А мы хаваем и не сопротивляемся.

Цитата:

WebMaster'a у нас суровые!
Месть webmaster'а

мдя... видать, лак для ногтей не подошёл.. кровная обида, точно.. :)
имхо, дятел он, а не мастер.. это даже не 213-я.. так, 20.1 КоАП.. грустно..
а мобыть просто хакнули сайтец.. тады - вдвойне дятел..