Цитата:
"видишь суслика? а он есть!"
» Флейм для сисадминов (часть V)
Цитата:
1karavan1
Цитата:
Цитата:
хочется спрятать туда браузер, чтоб этот мусорщик гадость в дом не нес ))У Майкрософт была DropMyRigths для понижения прав любых приложений.
Цитата:
У Майкрософт была DropMyRigths для понижения прав любых приложений.
Этого мало в случае с шифровальщиком косящим под офис-документ.
Если ограничить пользователя в сохранении файлов единственной директорией, то есть шанс уничтожать файлы с исполняемыми расширениями, поэтому и рассматриваю песочницу. Сперва думал, что у мягких есть собственный инструментарий, теперь понял - без сторонних приблуд не обойтись.
1karavan1
Цитата:
Цитата:
Если ограничить пользователя в сохранении файлов единственной директорией, то есть шанс уничтожать файлы с исполняемыми расширениямиКак Вы планируете это организовать?
reff
написать батник с бесконечным циклом в поиске файлов в песочнице удовлетворяющих условию и отправлением их под нож, объявить его службой.
написать батник с бесконечным циклом в поиске файлов в песочнице удовлетворяющих условию и отправлением их под нож, объявить его службой.
1karavan1
чё подумал - а почему бы юзеру просто не понизить права до минимума?
ну.. на службе же мы так и делаем, чем "обыкновенный домашний чайнЕГ" отличается от "офисного"?.
я, к примеру, на хоме-писюке так и сделал, одмин - он и дома должон быть один.. =))
чё подумал - а почему бы юзеру просто не понизить права до минимума?
ну.. на службе же мы так и делаем, чем "обыкновенный домашний чайнЕГ" отличается от "офисного"?.
я, к примеру, на хоме-писюке так и сделал, одмин - он и дома должон быть один.. =))
Цитата:
чё подумал - а почему бы юзеру просто не понизить права до минимума?
читай выше - шифровальщики (мать их в топку)
сколь бы ни был понижен в правах юзер, у него всегда есть некий набор рабочих документов, а иногда и ссылки на общее сетевое хранилище, если не маунт хранилки как диска.
P.S.: Вот за что я люблю Linux - этот конструктор позволяет ваять "чо хочешь, как хочешь и во что хочешь", как в настоящем сексе - без границ воображению
1karavan1
Если нельзя процесс заключить в контейнер, значит надо изолировать пользователя от интернета.
всех пользователей загнал на сервер терминалов в одной конторе. На сервере интернета нет.
Добавлено:
Где больше народу, пока не знаю как сделать, документы в сети лежат и архивируются.
1karavan1
Если найдете решение - напишите.
Если нельзя процесс заключить в контейнер, значит надо изолировать пользователя от интернета.
всех пользователей загнал на сервер терминалов в одной конторе. На сервере интернета нет.
Добавлено:
Где больше народу, пока не знаю как сделать, документы в сети лежат и архивируются.
1karavan1
Если найдете решение - напишите.
Цитата:
значит надо изолировать пользователя от интернета
это уже рубить с плеча, тоже не вариант ((
1karavan1
Цитата:
ну а если это всё же о конторе - а где всякие корпоративные антивири и прочие одминские заборы?
Цитата:
некий набор рабочих документов, а иногда и ссылки на общее сетевое хранилищеэ-эмм.. как понял - речь о домашних юзерах шла, не? или "работа и есть наш единственный дом"?
ну а если это всё же о конторе - а где всякие корпоративные антивири и прочие одминские заборы?
Цитата:
э-эмм.. как понял - речь о домашних юзерах шла, не?
Скорее о некоем инструменте, который можно применить где угодно, но самое рациональное это рабочая станция.
На данный момент у меня нет ни одного юзверя под администрированием, только сервера (разные, в т.ч. и терминальные, где юзверю отдаю приложение через remoteapp).
Размышления мои родились на недавнем шифровании документов в конторке, где есть локальный админ, а я там только серваками рулю.
Мне не западло продать этой конторке некоторое количество рабочих часов для исключения подобного факапа на будущее ))
1karavan1
Цитата:
ведь нету гарантии, шо "завтра" юзер не запустит другой портабельный браузер и на раз обойдёт твою песочницу.. =)
а запрет на запуск "стороннего" и есть часть той самой структуры.. причём - далеко не самая главная.. )
поэтому для "конторок" есть смысл предлагать не "кусочные" решения, а нечто более комплексное..
хотя бы в плане реализации некоего "базового" набора средств и методов, включая административные тоже..
Цитата:
в конторке, где есть локальный админ"факап" исключить не получится - если у юзеров не будет целостной общей структуры защиты..
ведь нету гарантии, шо "завтра" юзер не запустит другой портабельный браузер и на раз обойдёт твою песочницу.. =)
а запрет на запуск "стороннего" и есть часть той самой структуры.. причём - далеко не самая главная.. )
поэтому для "конторок" есть смысл предлагать не "кусочные" решения, а нечто более комплексное..
хотя бы в плане реализации некоего "базового" набора средств и методов, включая административные тоже..
TheBarmaley_TMP
да, только что меня вразумили, что умнее бэкапов еще ничего не выдумано
да, только что меня вразумили, что умнее бэкапов еще ничего не выдумано
1karavan1
Цитата:
2ALL
Решение, имхо, лежащее на поверхности, это файловый сервер, на котором пользователи хранят свои файлы. Содержимое этого сервера резервируется ХХХ раз в сутки. Сервер виртуальный. На случай аппаратных приключений неподалёку расположен второй хост виртуализации. Наиболее вероятным узким местом является сетевое подключение, ибо 1G может не хватить, а 10G недёшев. Варианты?
Цитата:
написать батник с бесконечным циклом в поиске файлов в песочнице удовлетворяющих условию и отправлением их под нож, объявить его службой.С точки зрения потребления ресурсов ЦП получится очень нерациональная вещь.
2ALL
Решение, имхо, лежащее на поверхности, это файловый сервер, на котором пользователи хранят свои файлы. Содержимое этого сервера резервируется ХХХ раз в сутки. Сервер виртуальный. На случай аппаратных приключений неподалёку расположен второй хост виртуализации. Наиболее вероятным узким местом является сетевое подключение, ибо 1G может не хватить, а 10G недёшев. Варианты?
reff
С резервированием хранилки сложно (для меня пока так), т.к. требуются объемы большие чем заняты полезными данными.
Правильное резервирование в конторе подразумевает не только документы, базы данных, но и сервера, и пользовательские системы, и только часть этого можно подвергнуть сжатию.
Требуется глобальный пересмотр выделения рабочего пространства.
У пользователя террабайтник? - Нафик!
Под систему 40ГБ, под данные 5-10ГБ, остальное в неразмеченное пространство.
Использовать остальное пространство террабайтника под локальное резервирование не предлагать - яйца остаются в той-же корзине.
Требуется очень грамотное расписание резервирования, иначе перегрузим сеть так, что вся работа, которую резервируем, встанет.
P.S.: ИМХО, шифровальщикам платить раз в месяц дешевле, чем строить ЦОД под конторку на 10 юзверей.
С резервированием хранилки сложно (для меня пока так), т.к. требуются объемы большие чем заняты полезными данными.
Правильное резервирование в конторе подразумевает не только документы, базы данных, но и сервера, и пользовательские системы, и только часть этого можно подвергнуть сжатию.
Требуется глобальный пересмотр выделения рабочего пространства.
У пользователя террабайтник? - Нафик!
Под систему 40ГБ, под данные 5-10ГБ, остальное в неразмеченное пространство.
Использовать остальное пространство террабайтника под локальное резервирование не предлагать - яйца остаются в той-же корзине.
Требуется очень грамотное расписание резервирования, иначе перегрузим сеть так, что вся работа, которую резервируем, встанет.
P.S.: ИМХО, шифровальщикам платить раз в месяц дешевле, чем строить ЦОД под конторку на 10 юзверей.
1karavan1
Цитата:
Цитата:
ну а на случай "ядрёной войны" зеркалить общий бэкап на внешний носитель.. в конце концов, даже у мелкой конторки есть чел, которому не пофиг пропадание данных, вот пущай он и делает/контролирует периодично сей дубликат..
ланна.. видимо на сёдьня уже достаточно "о насущном", пора подумать и о "высоких материях".. )
короче, всех - ещё раз - с Новым Годом!
шоб не ломалось, не глючило, не косячило..
шоб юзвери были умные, но не "шипка".. =)
шоб все железки жужжали правильно..
шоб софтины юзались легко и вальяжно..
ну.. пое-еха-а-а-а-али-и-и!
Цитата:
умнее бэкапов еще ничего не выдумановоть! слова истинного кабальеро! то бишь сисодмина..
Цитата:
ЦОД под конторку на 10 юзверей..естессно, нафиг.. при таких объёмах вполне достаточно ежедневного/недельного общего бэкапа + ежедневный/часный бэкап документов на клиентах.. реализуется практически любым быкапером с бол/мен вменяемым планировщиком.. загрузка сети ваще смешная, если бэкапить на серв/НАС пожатые архивы, которые предварительно создаются на клиенте..
ну а на случай "ядрёной войны" зеркалить общий бэкап на внешний носитель.. в конце концов, даже у мелкой конторки есть чел, которому не пофиг пропадание данных, вот пущай он и делает/контролирует периодично сей дубликат..
ланна.. видимо на сёдьня уже достаточно "о насущном", пора подумать и о "высоких материях".. )
короче, всех - ещё раз - с Новым Годом!
шоб не ломалось, не глючило, не косячило..
шоб юзвери были умные, но не "шипка".. =)
шоб все железки жужжали правильно..
шоб софтины юзались легко и вальяжно..
ну.. пое-еха-а-а-а-али-и-и!
Всем в наступающем умных юзверей, но не прошареных, эти хуже ))
1karavan1
Цитата:
Цитата:
Цитата:
Цитата:
2ALL
Проблема актуальна только для 1karavan1? Остальные не ведают о проблеме или уже празднуют?
Цитата:
Правильное резервирование в конторе подразумевает не только документы, базы данных, но и сервера, и пользовательские системы, и только часть этого можно подвергнуть сжатию.Не путайте зелёное и круглое. Всё перечисленное, безусловно, нужно резервировать, но это не имеет отношение к криптопроблеме 2015 года.
Цитата:
У пользователя террабайтник? - Нафик!А если диск уже куплен и установлен? Не нафик, а квота.
Цитата:
Требуется очень грамотное расписание резервирования, иначе перегрузим сеть так, что вся работа, которую резервируем, встанет.Если резервировать файловый сервер, хранящий всё, то делать это в нерабочее время, с троттлингом и контролем ИОПСов и так далее.
Цитата:
Использовать остальное пространство террабайтника под локальное резервирование не предлагать - яйца остаются в той-же корзине.Не совсем. Можно ограничить доступ пользователя в каталог/диск с резервными копиями. В этом случае шифратор до них не доберётся.
2ALL
Проблема актуальна только для 1karavan1? Остальные не ведают о проблеме или уже празднуют?
я что-то пропустил?
Добавлено:
нет радости читать. приехал на работу обновить проксмокс
Добавлено:
нет радости читать. приехал на работу обновить проксмокс
Цитата:
нет радости читать. приехал на работу обновить проксмокс
гуан, твой прохмох, хен нормальные люди юзают
С Новым 2016 Годом!..
Цитата:
Правильное резервирование в конторе подразумевает не только документы, базы данных, но и сервера, и пользовательские системы, и только часть этого можно подвергнуть сжатию.
Правильное резервирование строится немного на других принципах.
1) Правильна раздача прав пользователям + ABE (сокрытие тех ресурсов, доступа к которым нет).
2) Каждый час делаются слепки хранилища на отдельный «теневой» раздел (в терминах виндов)
3) С этих слепков делаются 3-х часовые дифбекапы к еженедельной полной копии
4) Используются примонтированные каталоги пользователя (скрипт перед входом) для старых машинок и перенаправление каталогов для тех машинок, которые это поддерживают.
5) смысла хранить бекапы стандартных машинок пользователя/сервера нет никакого, система должна разворачиваться из уже сделанного и регулярно обновляемого образа за приемлемое время восстановления после сбоя.
Всё вместе даже, в довольно большой конторе, с основным объёмом хранения оперативных данных в 5ТБ генерирует трафик на бекапный сервер не более 500 Мб/с, что при наличии только 2-х сетёвок в 1Гб/с на оперативной хранилке — вполне нормальная ситуация.
Впрочем, цифры выше — это синтетический тест, в реальности всё намного прозаичнее и менее ресурсоёмко: бекапного трафика генерируется 10—100 Мб/с (т.е. от 50 до 5 раз меньше, чем порождал синтетический тест). Если вы у себя поставите аудит на изменяемые/создаваемые файлы, вы поймёте почему так получается.
Бекапный сервер — это железяка с 20 ТБ хранилища и отторгаемыми носителями по 1 ТБ (так дешевле, чем ставить ленту, но геморней для админов в плане замены носителей).
Разрешите поздравить с наступившем Новым годом!
Удачи, здоровья, счастья, благополучия, берегите себя.
И всего самого наилучшего.
Други, подскажите, как теперь правильно заходить на dc.ru-board.com ? Раньше была ошибка 404, теперь логин-пароль неправильный
Могу и ошибаться, но наверное Новый год не только состоит из поедания, выпивания, танцевания, засыпания ...
Захотелось в Новом году на добрый трекер зайти, кроме форума, приобщиться к доброму и хорошему
Спасибо,
Удачи, здоровья, счастья, благополучия, берегите себя.
И всего самого наилучшего.
Други, подскажите, как теперь правильно заходить на dc.ru-board.com ? Раньше была ошибка 404, теперь логин-пароль неправильный
Могу и ошибаться, но наверное Новый год не только состоит из поедания, выпивания, танцевания, засыпания ...
Захотелось в Новом году на добрый трекер зайти, кроме форума, приобщиться к доброму и хорошему
Спасибо,
volgograd131
Цитата:
http://forum.ru-board.com/topic.cgi?forum=55&topic=11436
чес гря, хз как там ситуация после сбоев форума, но трекер, вроде как, не задет и одмины присутствуют..
..и да - с наступившим! 
Цитата:
как теперь правильно заходитьможет, лучше поинтересоваться в профильном топе, не? в смысле:
http://forum.ru-board.com/topic.cgi?forum=55&topic=11436
чес гря, хз как там ситуация после сбоев форума, но трекер, вроде как, не задет и одмины присутствуют..
..и да - с наступившим!
TheBarmaley_TMP
Спасибо. Как во время и кстати обнаружилась подсказка по указанной ссылке. И даже вошел http://tracker.ru-board.com/ по старому логину-паролю.
Теперь немного иная задача : скачать Хакера, СисАдмина, Радио или Незнайку на Луне ?
Или вначале посетить кухню
Как там в добрых размышлениях - " В том году отказался от оливье, в этом от мандаринок. Надо же выяснить, от чего 4 января так плохо.. "
Спасибо. Как во время и кстати обнаружилась подсказка по указанной ссылке. И даже вошел http://tracker.ru-board.com/ по старому логину-паролю.
Теперь немного иная задача : скачать Хакера, СисАдмина, Радио или Незнайку на Луне ?
Или вначале посетить кухню
Как там в добрых размышлениях - " В том году отказался от оливье, в этом от мандаринок. Надо же выяснить, от чего 4 января так плохо.. "
Оливье кончился. Новый год начался, понедельник. Пора на воздух
volgograd131
Цитата:
ну и не от солёных огурцов, точно..
разве шо от кефира, я хз..
Paromshick
Цитата:
Цитата:
Надо же выяснить, от чего 4 января так плохоа чё тут выяснять - главное, шо не от водки с пЫвом..
ну и не от солёных огурцов, точно..
разве шо от кефира, я хз..
Paromshick
Цитата:
Оливье кончился. Новый год начался, понедельник. Пора на воздух..пополнить запасы и вновь к станку..
Цитата:
и вновь к станку..
Если кто отвлечется от станка, прошу совета.
Возникла у меня дискуссия с php-кодером, которому (и не только ему) я организовываю доступы к сайтам (никакого шареда, только VPS) по протоколам отличным от http (ftps, ssh with keys).
Он (этот кодер), настаивает на развертывании для каждого сайта phpadmin`a, мотивируя тем, что работа со скулем этого требует.
Я категорически против любого инструментария, ставящего под угрозу безопасность, предлагаю пользовать консоль ssh. неужели настали времена, когда в гуях можно сделать больше, чем в консоли?
А еще более тру - предлагаю кодингом ограничиться на домашних виртуалках, а мне передавать готовые архивы и дампы для замены текущих версий сайтов.
Да, безопасность стараюсь содержать в ранге абсолюта.
Прошу сообщество более аргументировано, чем просто "удобно", встать на защиту php-кодера.
Иначе мы с ним так и будем говорить на разных языках. яж админ, а не кодер, мне его не понять
Преследуемая цель - безопасность-безопасностью, но эффективность производства страдать не должна.
1karavan1
на защиту кодера вставать не буду, ибо все программеры = зло.. =)
по сути вопроса:
1. настроить/опробовать систему гарантированного бэкапа сайта, доступ к бэкапу(ам) - никаких кодеров.. )
2. как понимаю, есть договор.. в нём требуется указать чёткое разделение ответственности и полномочий..
3. если сайты пишутся для конкретных заказчиков - решение о размещении "новья" принимают они и только они..
4. ..и только после этого сайт правится/перезаливается.. либо не участвуй в этом "бардаке".. =)
5. если кодеру край нужна одминка - делаем зеркало сайта/домена - и на нём пущай и тренируется как угодно..
итого: поддержу во мнении
Цитата:
вот как-то так..
ну.. и снова - к станку - 
на защиту кодера вставать не буду, ибо все программеры = зло.. =)
по сути вопроса:
1. настроить/опробовать систему гарантированного бэкапа сайта, доступ к бэкапу(ам) - никаких кодеров.. )
2. как понимаю, есть договор.. в нём требуется указать чёткое разделение ответственности и полномочий..
3. если сайты пишутся для конкретных заказчиков - решение о размещении "новья" принимают они и только они..
4. ..и только после этого сайт правится/перезаливается.. либо не участвуй в этом "бардаке".. =)
5. если кодеру край нужна одминка - делаем зеркало сайта/домена - и на нём пущай и тренируется как угодно..
итого: поддержу во мнении
Цитата:
категорически против любого инструментария, ставящего под угрозу безопасность...ибо нефиг - отвечать за траблы всё-рно одмину.. особенно, если сайт критичен для некоего "бизнеса"..
...предлагаю кодингом ограничиться на домашних виртуалках
вот как-то так..
ну.. и снова - к станку -
Страницы: 123456789101112131415161718192021222324252627282930313233343536373839404142434445464748495051525354555657585960616263646566676869707172737475767778798081828384858687888990919293949596979899100101102103104105106107108109110111112113114115116117118119120121122123124125126127128129130131132133134135136137138139140141142143144145146147148149150151152153154155156157158159160161162163164165166167168169170171172173174175176177178179180181182183184185186187188189190191192193194195196197198199200201202203204205206207208209210211212213214215216217218
Предыдущая тема: Как открыть порт в Kerio?
Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.