- Samsung Galaxy S23 Ultra - non plus ultra
- Xiaomi 13T és 13T Pro - nincs tétlenkedés
- Realme 9 Pro+ - szükséges plusz?
- Motorola Edge 40 - jó bőr
- Franciaországban nyit a Honor 200 Lite
- Garmin Forerunner 165 - alapozó edzés
- Mobil flották
- Samsung Galaxy Watch5 Pro - kerek, de nem tekerek
- Vodafone mobilszolgáltatások
- MIUI / HyperOS topik
Hirdetés
-
AMD Radeon undervolt/overclock
lo Minden egy hideg, téli estén kezdődött, mikor rájöttem, hogy már kicsit kevés az RTX2060...
-
Átjutottak a Ciscón, betörtek a kormányok hálózataiba
it A Cisco azt mondja, hogy a hackerek átjutottak a biztonsági eszközein, és a kormányok hálózatain keresztül kémkedtek, az ügy globális kiterjedésű.
-
Franciaországban nyit a Honor 200 Lite
ma A friss, de meglehetősen Lite ajánlat mellé arrafelé aktivitáskövető és fülhallgató is jár.
Új hozzászólás Aktív témák
-
Akkor meg megint minek AD? Amiket én mondtam, azok is pont arra jók, amiket felhoztál.
Meg a franc tudja, volt olyan, "elég nagy" IT cég (pár tízezresnél nagyobb), ahol dolgoztam, és nem volt AD. (Főleg hogy a kliensgépeken, és szervereken sem csak Windows volt.) Mégis átmentek auditon, saját megoldásak voltak. User kontroll is volt.Mutogatni való hater díszpinty
-
vicze
félisten
válasz Dilikutya #52 üzenetére
Megpróbálom leegyszerűsíteni, egy olyan SW-t keresek Linux-ra, amivel egy olyan egyszerű dolgot, mint pl. egy password policy és titkosítás ki tudok kényszeríteni, menő dolog lenne a távoli wipe, és user kizárása a gépről, SW-t tudok telepíteni és listázni a telepített SW-ket, admin jogot tudok megvonni. Mindezt lehetőleg felhőből.
JumpCloud elég sok mindent tud, csak nem Linux-ra, oda egész pontosan 9db policy-jük van, nem kevés pénzért. Továbbra se egy LDAP-ot szeretnék kihelyettesíteni, hanem arra építeni.[ Szerkesztve ]
-
Privátban mondok ilyet, ha kell
De különben ssh, kulcsolva, és management szerver. Szépen lenyúlkál, és beírja a megfelelő dolgokat a pam-ba. Nem nehéz megcsinálni. Távoli wipe = shred, user kizárás meg sed, awk, akármi.
OK, szerverre, de nálunk ez szépen ment, a saját scriptjeinkkel is.Ja tényleg, az Ansible, Chef eszembe se jutott, mert azokkal is pont meg lehet csinálni.
[ Szerkesztve ]
Mutogatni való hater díszpinty
-
miért keresel egy szoftvert?
egyrészt baj, ha nem egy szoftver?
másrészt minek keresni, mikor a linuxokban benne van.sw-t nem listázni kell, hanem felrakni azt, ami szükséges és pont. user úgysem tud sw-t telepíteni, ha nem adtad ki az admin jogot a kezedből.
amennyiben a felhő nálad a publikus, közismert felhő szolgáltatásokat jelenti, azokat nem szeretjük. amennyiben a felhő "csak" központosított menedzsmentet jelent, mint a windows szervereken az ad, akkor olyan van.
Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis
-
vicze
félisten
Ne nézzük már egymás hülyének. Továbbra is kliensekről beszélek nem szerverekről.
Leírtam mit szeretnék. Ezek követelmények, aminek meg kell feleljek, hogy a biztonságot biztosítani tudjam. Nem a kis ujjamból szoptam.
Megértem, hogy leszarod a biztonságot, leszarod a Linux managementjét és nem érdekel téged ez a te döntésed. Én meg kell hogy feleljek ezeknek, mert biztonságban szeretném tudni a gépeket.
"központosított menedzsmentet jelent, mint a windows szervereken az ad"
Az AD nem központosított management, hanem egy cseszett directory, egész pontosan egy szimpla LDAP implementáció. Semmilyen Endpoint funkcióval nem rendelkezik és vagy nem éritek, hogy hogyan működnek az MS rendszerek, vagy csak nem is akarjátok megérteni és csak agyatlan fikázás megy tudatlanságból.
Nincs AD-nk már 7éve és nem is szeretnék soha többet.Az hogy a felhős szolgáltatásokat nem tudod megfelelően használni, vagy nem tudod értelmezni, az megint nem az én problémám.
-
"Továbbra is kliensekről beszélek nem szerverekről."
Linux ilyen szinten nem sokban külömbözik"Az AD nem központosított management, hanem egy cseszett directory"
De management eszközöket is találsz benne (konkrétan jobb katt egy gépen, Manage, és tudod távolról zaklatni). Illetve a MS management cuccai nagyban épülnek az AD-re. (Meg hát, endpoint managementre ott a többi MS termék, amit meg szokás hozzá venni.)Mutogatni való hater díszpinty
-
vicze
félisten
Abban elég nagy különbség, hogy hol van, hogyan van használva és hogyan kell biztosítani, lezárni.
Egyik kedvencem egy "lezárt" Ubit futtató edzőgép, amin shellbe jutni elég könnyű volt. Sajnos Linuxot futtató bármilyen kliensbe nagyon kevés energiát fektetnek "hit"/tudatlanág miatt, és úgy törhetőek mint a ropi.A AD-ban a Mange menüpont csak egy külső hívás, ami megnyitja a Computer management MMC-t, amit amennyiben engedélyezve van(remélem nincs sehol), távolról csatlakozik a LAN-on lévő géphez. Gyak. semmi köze az AD-hoz a nélkül is működik LAN-on lévő gépek esetében. Ha meg a gép épp nincs LAN-on..
Covid megölte egy csapásra az on-prem rendszereket és kizárólag felhős megoldással tudok biztonságot(kontrollt) teremteni a jelenlegi helyzetben.
(Tudom tudom alwasy-on VPN stb. tisztában vagyok vele) -
lehet, hogy te kliensekről beszélsz, én viszont komplex hálózatról.
például egy iskolában diákok azonosítóinak komplex, központosított menedzsmentjéről."Megértem, hogy leszarod a biztonságot": nem, egyáltalán nem. számomra a biztonság nagyon fontos, és az a véleményem, hogy azt ms eszközökkel nem lehet megcsinálni. ezért röhögök, amikor hulladék exchange-t erőltetik, mikor a linuxos levelezőszerverekkel nagyon sok nagyságrenddel kevesebb baj van. exchange-t kiengedni a netre? lol. először az ember elévarr egy linuxot, majd amikor kiderül, hogy a linuxos levelezési tűzfal levelező szervernek is mindenben jobb, mint az exchange, akkor kiveszi mögüle az exchanget és mindenki boldog. a gazdasági vezető biztosan.
te is elköveted azt a hibát, hogy azt hiszed, azért utálom ezt meg azt, mert nem tudom mi az. összekevered az érteni és az egyetérteni kifejezéseket.
azért nem kell külön sw hozzá, mert a linuxok alapértelmezett autentikációs rendszere, a pam, azokat, amiket kértél, alapértelmezetten beépítve tudja. például: [link] de ilyen weblapokat te is találhatnál, ha elindítanál egy keresést. A unixokon ezer éve van NIS+, leánykori nevén yellow pages, a pamot össze lehet gyógyítani ldap-pal, sql szerver backenddel, stb. a home könyvtárakat ezer éve lehet automounterrel nfs-en mountolni, stb. stb. mindenre is van megoldás, amiről az ms fanok azt hiszik, hogy az ms találta fel.
Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis
-
vicze
félisten
És akkor továbbra is a lokális hálózatnál és on-prem-nél vagyunk leragadva, és nem otthon ücsörgők kontrolljáról, tényleg olyan nehéz megérteni?
Nem érdekel az MS. Linuxra akarok bármit, ami MDM szerű.
És még mielőtt jönne megint az MS, aki rohadtul nem érdekel. Mac-re gyönyörűen megoldott az MDM és teljesen rendben kezelhetőek a gépek, titkosítástól minden másig, ahogy ChromeOS-en is nagyon jól működik. Nem MS-ről beszélek... -
Mármint, hogyan? Az init=/bin/bash elég könnyen kivédhető, nagy cégnél a LUKS alap, onnantól kezdve akkor kapsz shellt, ha valami nagyon el van kefélve. Cégnél nem mezei Ubit kell feltenni...
Meg hát kell bele tenni energiát meg kell csinálni a céges OS-t normálisan."A AD-ban a Mange menüpont csak egy külső hívás, ami "
Tököt érdekli, feature, működik.Azt nem tudom, miért csak felhővel megy. Még ha nem is lehet háló nélkül bejelentkezni, akkor is lehetnek olyan rések, amin be lehet jutni, ha meg nincs háló, akkor wipe-olni sem fogod. Aki hozzáfér a géphez fizikailag, az előbb-utóbb be tud törni rá. Aki otthon van, azt nem fogod tudni kontrollálni, ha kihúzza a hálókábelt. Felhőből sem.
[ Szerkesztve ]
Mutogatni való hater díszpinty
-
-
vicze
félisten
Amit említettem nyilván "IoT-nak" számító eszközök, ott nem rakhatsz LUKS-ot, mert azt pl. egy TPM-mel összehozni kész atomfizika, restart nem kérhet jelszót.
Onnantól, hogy valamit single userbe(recovery/rescue stb.) tudsz rakni, meg van "törve" mert root vagy.LUKS alap(ez véd a fenti dolog ellen) és annak a kulcsait hogy kezeled központilag?
Tök jó hogy a usernek megvan, csak egyrészt akkor admin hozzáférése van a géphez, másrészt ha nem admin, de tudja LUKS kulcsot(legyen az bármi USB files stb.) a fentiek miatt megint admin.
És akkor elfogadtuk, hogy alapból admin a user ha Linuxot használ, vagy csak a látszatát tartjuk fent.
LUKs végső soron nem egy "Assured Full disk Encryption". A TPM-LUKS már közelebb van, de nagyon bugos, ahogy a TrustedGrub(2) se terjedt és nem nagyon támogatott.
Domainban LAN-on, RHLE-vel ez megoldott Network Bound Disk Encryption-nel, csak ott LAN nélkül nem bootol a gép, Home office fail...A céges kontroll arról szól, hogy a usertől védjük a gépet, akár otthon is. Ezt el tudom érni Macen, ChromeOS-en és Windows-on, de én legjobb tudomásom szerint és már pár éve nézegetem a lehetőségeket, erre nincs jelenleg egyszerű megoldás Linuxon. Sajnos Google teljesen zárt saját megoldást használ, pedig csak egy Linux.
Tehát elkezdődött a problémám a bootnál, behazudhatom különböző módokon, hogy biztonságos, mert a user nem root, nem tudja a kulcsot stb, de a valóságnak nem fog megfelelni.
Lépjünk tovább, user nem privileged, rendben most innentől ő nem tud frissíteni vagy alkalmazást telepíteni, és át kell vegyem ezt valamivel. Ok azt mondod kap egy "no password"-ot apt-ra(egyéb)? És akkor ezt biztonságos lesz?
Erre van megoldás és de és még nem találtam olyat mit egyben nyújtja mindet problémára megoldást, és az árak gyorsan elszállnak pár tool után.Szóval ezeket szórakozom végig újra és újra hátha megszüli valaki, és nagyon remélem meg fogja.
-
Na várj, eddig csak annyit mondtál, hogy user management. Klienseken.
IoT eszközök más téma, sokkal fapadosabb, ezeket azért érdemesebb helyi hálón használni. Viszont egy IoT eszközt (ha nincs kijelző) nem is fognak root shellbe dobni, mert nincs min utasításokat adni. (Soros konzol meg elég feltűnő.)
A single usert ki lehet védeni.
LUKS-ra azért van megoldás. Jelszómentes is. És nem admin a user onnantól (de a user adatai lehetnek pl. külön titkosítva jelszavassal is, így a gép elindul, majd ha felmegy a user VPN-re, akkor az adatokhoz is hozzáfér. Meg olyat is lehet, hogy külön van titkosítva a home.
- SElinux alap
- A boot megtörése ahogy nézem többféleképpen tiltható, onnantól nincs root shell (mondjuk a Local IT anyázni fog ) ."Lépjünk tovább, user nem privileged, rendben most innentől ő nem tud frissíteni vagy alkalmazást telepíteni, és át kell vegyem ezt valamivel. "
A legtöbb disztrón van olyan szoftver, ami megoldja ezt (GUI-s szoftverboltok, stb., nem kell hozzá a usernek root access, sem privilégium). Illetve a usernek sem kell feltétlen telepítenie, mert felad egy jegyet, és a helpdesk feltolja neki. (Nekünk most Windowsra is ez van.)
De olyat is lehet, hogy ha már van egy remote management cuccod, akkor a user egy webes felületen összekattintja, hogy milyen progit szeretne, a management cucc (akár Chef, Ansible is) lenyúl, és felteszi. Megint nem admin a user."Ok azt mondod kap egy "no password"-ot apt-ra" - ez alapból hülyeség lenne.
Árak? Ezek nagy része free cucc...
Onnantól kezdve meg, hogy valaki hozzáfér a géphez fizikailag, nincs az a cucc, ami megvédené attól, hogy leolvassa a lemezt. Onnantól a Bitlocker titkosítás is törhető. És a managed Bitlockernek is el kell tárolnia valahogyan a kulcsot, ha legközelebb be akar bootolni.
A fene tudja, ahol én Linux admin voltam, ott laptopon is lehetett Linux, LUKS jelszó volt, és ha recovery shellbe dobtad volna a géped, azzal max. egy újratelepítést érsz el az SElinux miatt. Nem igazán tudom, mi volt alatta, céges image volt. És megfeleltek auditon, meg hóm offisz is ment, vagy 10-15 éve (korábban meg nem volt itt a cég/nem osztottak laptopot). (Mondjuk a userek tényleg adminok voltak, mert pont tudtad a root jelszót, a gép telepítése során te adtad meg Ez jellemző mondjuk az egész cégre, hogy ilyen logikusan működik )
De szerintem ha ilyesmire akarsz megoldásokat kapni, akkor ne itt offoljunk, hanem vagy az "Ingyen kellene", vagy a Linux haladó topicban...
Mutogatni való hater díszpinty
-
Azért azt alapból ráérted, legalábbis én. Valaminek a managementje annak a dolognak a felügyeletét is jelenti.
De IoT eszközöket nem is egészen ilyesmivel kellene kezelni (meg ott az SCCM, és hasonlók sem értelmezettek). Egyszerűen nem ilyesmire valók.Mutogatni való hater díszpinty
-
anulu
félisten
Win-en SCCM-el (ha rendesen össze van rakva) akár self-service portal-al is tud a user magának appot telepíteni, és nem kell semmilyen elevált cucc a részéről. vagy a HD hozzárendeli a felhasználóhoz, és rövid időn belül ott lesz a gépén. akár localban, akár VPN-en, akár DirectAccess-en legyen.
és igen, ennek is az alapja az AD.
"Jelenleg a cloud nem más mint a sales által elhazudott és eladott utópia, egy ígéret, csalánba csomagolt mézesmadzag, amit az üzemeltetés f@$zával vernek" | Feel the power! Intel Core i7 | iPhone 14Pro 256GB | iPad Pro 2017 64GB
-
-
mai index hír: kékhalált okozhat a legutóbbi windows frissítés. [link]
meg az azelőtti.
meg az azelőtti.
meg az azelőtti.
az exchange csak ezután jön.
rotfl.Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis
-
-
-
nemsokára kiszorulnak a hírekből az exchange botrányok.
jön a féléves nagy w10 upgrade packEgy átlagos héten négy hétfő és egy péntek van (C) Diabolis
Új hozzászólás Aktív témák
- Házimozi haladó szinten
- NBA és kosárlabda topic
- Samsung Galaxy S23 Ultra - non plus ultra
- Milyen asztali (teljes vagy fél-) gépet vegyek?
- Milyen légkondit a lakásba?
- Luck Dragon: Asszociációs játék. :)
- Politika
- Milyen RAM-ot vegyek?
- Samsung LCD és LED TV-k
- A személyre szabott reklám lehet a streaming következő slágere
- További aktív témák...