» Флейм для сисадминов (часть V)

igor_me У нас во дворе копали траншею, задели электрический кабель.
А какой-то дворник дядя Вася этажом выше что-то сделал с водопроводной трубой.
Так что деструктивное могущество сисадмина сильно преувеличено.

Цитата:

igor_me У нас во дворе копали траншею, задели электрический кабель.
А какой-то дворник дядя Вася этажом выше что-то сделал с водопроводной трубой.
Так что деструктивное могущество сисадмина сильно преувеличено.

как-то зашел я к заму на комп (по запарке) и спалил его за фапом. я по запарке и удивлению прикрыл все окна. думаю он понял все ))) теперь он понимает особый статус адма )))

По собственному двойному опыту: особый статус админа проявляется только в том, что при смене высшего руководства, он (админ) увольняется вместе с ними.

urodliv
(у меня не было такого опыта) А в чем причина такого увольнения?

d0r0fey
"слишком много знает"(с)
Хотя увольнение зависит от того как увольняется руководитель.

Добавлено:
Народ.
Кто нить занимался перенаправлением видеоконференц связи в SSH tunnell?
Дано
1. Polycom PVX на ноутбуке (софтверная система видиоконференций от Polycom)
2. Закрытая сеть.
3. Возможность SSH Tunnell за сеть.
4. На ноутбуке SSH Tunnell настроен через принудительный перехват и перенаправление трафика заданных программ при помощи ProxyCap

Однако не пашет.
Совершенно не понятно почему, но ProxyCap не перехватывает трафик от Polycom PVX... В логах пусто.
ProxyCap работает нормально, т.к. другие программы перехватываются.

2 ALL
Кто-нибудь практикует ограничения по времени авторизации в той или иной системе (например, в домене)? То есть пользователь может получить доступ к/в совсем не круглосуточно. Чем сие обосновано?

Цитата:

увольняется вместе с ними

имхо, как раз наоборот - боссы приходят и уходят, а одмин вечен.. =)

reff

Цитата:

Чем сие обосновано?

"более чем как С и ПО сотрудник не находится на работе, значит он не может обращаться за доступом. Отсюда следует что то кто обращается в иное время с большой вероятностью обращается не санкционировано".
Безопасность.


Добавлено:
TheBarmaley

Цитата:

имхо, как раз наоборот - боссы приходят и уходят, а одмин вечен.. =)

Тану? Какой идиот оставит на таком "непонятном и опасном месте" человека НЕ из СВОЕЙ команды? А админ "прошлого ББ" может быть завязан на него.

reff
Цитата:

ограничения по времени авторизации в той или иной системе

один из вариантов: выход в тырнет - только в рабочее время.. ибо нехрен.. =)

Добавлено:
gryu
"пересидел" уже двоих.. ичсх, оба далеко не идиоты были.. видимо, "не тот случай".. )

Добавлено:
ну.. одмин ведь не главбух, "тёмных делишек" с ним особо не провернёшь..

TheBarmaley
ну так нет 100% правил.
И потом см выше
Цитата:

Хотя увольнение зависит от того как увольняется руководитель.

Если смена руководства по нормальной ротации и "наследник" не враг, то часть команды можно передать ему.


Добавлено:

Цитата:

ну.. одмин ведь не главбух, "тёмных делишек" с ним особо не провернёшь..

слив инфы и нет ББ. Это отлично понимаю умные люди.
И это помимо банальнейшего саботажа, который админ может легко устроить.

gryu
Цитата:

слив инфы и нет ББ. Это отлично понимаю умные люди.
И это помимо банальнейшего саботажа, который админ может легко устроить.

так это никак конкретно к одмину (как к должности!) не привязано..
в смысле, шо слить ведь может кто угодно, у кого "зуб" (или "интерес") имеется..
то бишь смена руководства не является чисто "профессиональным риском" для одмина.. =)

TheBarmaley
Вы опять не поняли.
Админ имеет сверхвысокий доступ(возможность доситупа) ко всему в компании.
Если компания большая и структура IT разбита на сектора, то по своему сектору.
Если нет, то глобально.
Это не начальник отдела, который знает минимум.
Это даже не первый зам.
Это хуже чем секретарь во времена "бумажного" документооборота.
Админ при минимуме усилий может развалить небольшую компанию за 2-3 месяца. (при наличии мозгов и большого желания)
Плюс контроль за ним затруднён.
...
Секретарей в "бумажные" времена меняли в 99% случаев не просто так.
За собой по карьерной лестнице тащили не по привычке, а потому что у секретаря шансов небыло, если шеф уйдёт оставив его.
Отсюда и обратная преданность была. Если не с ним, то на дно. (утрированно)

gryu

Цитата:

Кто нить занимался перенаправлением видеоконференц связи в SSH tunnell?

Обратите внимание на используемые порты, возможно, что пробрасываете управляющий, а канал с медиаданными назначается рандомно в зависимости от наличия свободных, да еще может, что управляющий на tcp, а медиа-данные в udp.

karavan
ProxyCap работает по следующему принципу
Он перехватывает весь трафик от приложения.
Т.е. программа soft.exe запускается.
ProxyCap отслеживает её запуск и контролит.
Полез soft.exe в инет, ProxyCap перехватил запрос и послал его в туннель или прокси.
...
Но почему то вообще не перехватывает. Логи ProxyCap пусты
Так что наверно вы правы. Но В ЧЁМ ДЕЛО?
Потому и спрашивал.

TheBarmaley, gryu и ALL
Понятно, что в рабочее время, понятно, что "ибо нечего". Если более серьёзно подойти к вопросу и попытаться сформулировать ответы на вопросы вида "зачем?" и "почему?"? Понимаю, что всё это в целях безопасности, но привести даже один убедительный довод не сумел. Эх, мне бы цитату(-ы) из положений о политике информационной безопасности.

reff
Одна моя организация занимается торговлей мебелью. Точки продаж расположены в различных торговых центрах. Чтобы по ночам охрана не лазила в компьютер поставлено временное ограничение на вход. Но это мера против тупильников и для галочки. Ибо... livecd.

urodliv
Цитата:

Но это мера против тупильников и для галочки. Ибо... livecd.

Еще в 1997г, работая в одной конторе, тесно аффилированой с ФАПСИ,
имел дело с компами, внутрь которых вставлялась некая плата,
а наружу выходила штука размером с пятак.
Чтобы войти в компьютер, нужно было к этому пятаку приложить таблетку,
аналогичную нынешним ключам от подъездов.
Ни загрузка с livecd, ни кража диска ничего бы не дала, ибо диск, понятно, зашифрован.
Но такие навороты в организации, что занимается торговлей мебелью,
были бы явной паранойей.

gryu

Цитата:

Polycom PVX

Если поликому выход в мир не нужен, я бы попробовал заменить ProxyCap на OpenVPN, а его уже можно туннелировать в ssh

urodliv
Цитата:

Но это мера против тупильников и для галочки. Ибо... livecd.

Загрузка в БИОС разрешена только с жесткого диска, вход в БИОС запаролен. Сброс пароля с помощью извлечения батарейки не остаётся бесследным. Инцидент, если таковой случится, несложно расследуется. В любом случае лазать, как Вы выразились, по локальному ПК (а доступ в Сеть наверняка через доменную учетную запись) любителям котиков, ютубиков и клубничного кино, имхо, неинтересно.

Цитата:

Ибо... livecd.

пистолет с термоклеем - и залить все порты, включая внутренние ))

Когда выковыривал эту гадость на компьютерах завода, то испортил почти все usb на первом подопытном системнике.

Добавлено:

Цитата:

Загрузка в БИОС разрешена только с жесткого диска, вход в БИОС запаролен.

а как проконтролировать удаленно что пароль сброшен, и кто контролирует локально такой пароль на биос?

А авторизацию по портам свича что, никто ещё не сделал? (это я про это)
Биосы, термоклей, платы — это век XX.
ЗЫЖ Всегда можно принести свой ноут/планшет+wifi роутер с собой (что стало модным делом чуть менее чем у всех).

BigElectricCat
Цитата:

Всегда можно принести свой ноут/планшет+wifi роутер с собой

И доступом в Сеть от ОПСОСа. В противном случае ютуба и котов не будет.

gryu
Цитата:

Вы опять не поняли.

да понял я всё.. =)
просто я лично всегда отталкивался от немного другой отправной точки (в целом, не в частностях):
"правильный" одмин прежде всего работает на фирму/предприятие ("контору"), а не на конкретного руководителя..
отсюда вытекает и лояльность руководства к нему - никто при смене директора завода не увольняет хорошего слесаря.. ))
каэш, и "слесарь" не всегда бывает по носу отдельным "начайникам".. но тут уж никак.. )

Цитата:

Админ имеет сверхвысокий доступ(возможность доситупа) ко всему в компании.

по дефольту подразумевается определённый уровень честности и порядочности одмина и, опять же, в интересах "конторы"..
плюс (если шеф умный) всякие "соглашения о неразглашении" и прочая формалистика..

Цитата:

Админ при минимуме усилий может развалить небольшую компанию за 2-3 месяца. (при наличии мозгов и большого желания)
Плюс контроль за ним затруднён.

может, кто б спорил-то.. но - это у же не есть "действия в интересах фирмы" (исходное состояние)..
сталыть, одмин при этом теряет статус тру-одмина и становится продвинутым аникеем, если не сказать большего..
то бишь, сугубо имхо, смесь служебного и личного обязательно приводит к деградации одмина как спеца.. =))
шо же до "контроля" - соответственно, по-любому должен быть определённый уровень доверия..
если же его нет - я бы лично предпочёл уйти, чем "сраццо и бодаццо".. )

Цитата:

Отсюда и обратная преданность была. Если не с ним, то на дно. (утрированно)

кому как, но я такой тз не придерживаюсь.. может, потому и "пересидел".. х))

---

reff
Цитата:

Эх, мне бы цитату(-ы) из положений о политике информационной безопасности

гостов тут, думаю, нет - каждая контора ваяет при необходимости свои сопссные положения..
поступи проще - возьми для аналогии любой документ, регламентирующий физический доступ куда угодно..
хоть то же ограничение по входу на предприятие НЕ в свою смену или в нерабочие дни..
как пример - служебки, подписываемые в режимных отделах в случае реальной (!) потребности..

ну и главное - а чё так загоняться-то, если это надо доказывать?
забей и тупо вырубай серваки, если хочешь обрезать доступ во внерабочее время..
мотив - сохранность оборудования, пожаробезопасность, экономия электроэнергии.. ну и т.д... ))

TheBarmaley
Цитата:

гостов тут, думаю, не

Есть ISO/IEC 27001:2013/Cor 1:2014
Цитата:

поступи проще - возьми для аналогии любой документ, регламентирующий физический доступ куда угодно..

Спасибо за наводку.
Цитата:

забей и тупо вырубай серваки, если хочешь обрезать доступ во внерабочее время..

Это не ко мне, "мопед не мой".
Цитата:

мотив - сохранность оборудования, пожаробезопасность, экономия электроэнергии

Не верю. Верхушка в такое и подавно не поверит.

reff
Цитата:

Есть ISO/IEC 27001:2013/Cor 1:2014

ясно, не знал, пасиб за наводку.. ))

Цитата:

Не верю. Верхушка в такое и подавно не поверит

ну, дык, смоделировать "поломку" в "оставленном без присмотра".. ;)
и сказать - "а ведь я предупреждал".. )

вопчем, тут или нужно понимание/поддержка руководства или забить и не заморачиваться до "часа Х"..

TheBarmaley
Являясь тем самым руководством, я не понимаю.

reff
ясно.. тогда "план Б" - не заморачиваться до "часа Х".. =))

Цитата:

И доступом в Сеть от ОПСОСа.

Вы что, ещё не договорились с операторами мобильной связи на определённых сотах (или координатах) терять соединение с вашим списком телефонов? Обзаведитесь глушилками))) или злобными охранниками, которые будут при входе лишать "мобильной связи" с помещением личных сотовых телефонов в служебный железный шакф/сейф сотрудника. ) А все звонки только через ведомственную АТС, включая и звонки на мобилки партнёров.

Добавлено:
Кстати, ткните где поглядеть качественное сравнение VoIP—GSM sip-шлюзов, в уждалённый офис нужен шлюз на 4 симки, с приёмом смс на мыло + sip simple и роутингом вызовов на астериску и возможностью поднимать l2tp или openvpn соединение с сервером.

TheBarmaley

Цитата:

никто при смене директора завода не увольняет хорошего слесаря.. ))
каэш, и "слесарь" не всегда бывает по носу отдельным "начайникам".. но тут уж никак..

"Ваш авторитет мешает нам работать" (с) гендир главному технологу. Уволился технолог, а через некоторое время пришел назад, попросили вернутся ))