- Realme GT 2 Pro - papírforma
- HTC U11 - újra a szorítóban
- Okosóra és okoskiegészítő topik
- És egy Tecno Pova 7 Ultra 5G is felbukkant
- Milyen okostelefont vegyek?
- Magisk
- Vivo X200 Pro - a kétszázát!
- Samsung Galaxy S25 Ultra - titán keret, acélos teljesítmény
- Samsung Galaxy S23 Ultra - non plus ultra
- Youtube Android alkalmazás alternatívák reklámszűréssel / videók letöltése
Új hozzászólás Aktív témák
-
-
Na várj, eddig csak annyit mondtál, hogy user management. Klienseken.
IoT eszközök más téma, sokkal fapadosabb, ezeket azért érdemesebb helyi hálón használni. Viszont egy IoT eszközt (ha nincs kijelző) nem is fognak root shellbe dobni, mert nincs min utasításokat adni. (Soros konzol meg elég feltűnő.)
A single usert ki lehet védeni.
LUKS-ra azért van megoldás. Jelszómentes is. És nem admin a user onnantól (de a user adatai lehetnek pl. külön titkosítva jelszavassal is, így a gép elindul, majd ha felmegy a user VPN-re, akkor az adatokhoz is hozzáfér. Meg olyat is lehet, hogy külön van titkosítva a home.
- SElinux alap
- A boot megtörése ahogy nézem többféleképpen tiltható, onnantól nincs root shell (mondjuk a Local IT anyázni fog
) ."Lépjünk tovább, user nem privileged, rendben most innentől ő nem tud frissíteni vagy alkalmazást telepíteni, és át kell vegyem ezt valamivel. "
A legtöbb disztrón van olyan szoftver, ami megoldja ezt (GUI-s szoftverboltok, stb., nem kell hozzá a usernek root access, sem privilégium). Illetve a usernek sem kell feltétlen telepítenie, mert felad egy jegyet, és a helpdesk feltolja neki. (Nekünk most Windowsra is ez van.)
De olyat is lehet, hogy ha már van egy remote management cuccod, akkor a user egy webes felületen összekattintja, hogy milyen progit szeretne, a management cucc (akár Chef, Ansible is) lenyúl, és felteszi. Megint nem admin a user."Ok azt mondod kap egy "no password"-ot apt-ra" - ez alapból hülyeség lenne.
Árak? Ezek nagy része free cucc...
Onnantól kezdve meg, hogy valaki hozzáfér a géphez fizikailag, nincs az a cucc, ami megvédené attól, hogy leolvassa a lemezt. Onnantól a Bitlocker titkosítás is törhető. És a managed Bitlockernek is el kell tárolnia valahogyan a kulcsot, ha legközelebb be akar bootolni.
A fene tudja, ahol én Linux admin voltam, ott laptopon is lehetett Linux, LUKS jelszó volt, és ha recovery shellbe dobtad volna a géped, azzal max. egy újratelepítést érsz el az SElinux miatt. Nem igazán tudom, mi volt alatta, céges image volt. És megfeleltek auditon, meg hóm offisz is ment, vagy 10-15 éve (korábban meg nem volt itt a cég/nem osztottak laptopot). (Mondjuk a userek tényleg adminok voltak, mert pont tudtad a root jelszót, a gép telepítése során te adtad meg
Ez jellemző mondjuk az egész cégre, hogy ilyen logikusan működik )De szerintem ha ilyesmire akarsz megoldásokat kapni, akkor ne itt offoljunk, hanem vagy az "Ingyen kellene", vagy a Linux haladó topicban...
-
Mármint, hogyan? Az init=/bin/bash elég könnyen kivédhető, nagy cégnél a LUKS alap, onnantól kezdve akkor kapsz shellt, ha valami nagyon el van kefélve. Cégnél nem mezei Ubit kell feltenni...
Meg hát kell bele tenni energiát meg kell csinálni a céges OS-t normálisan."A AD-ban a Mange menüpont csak egy külső hívás, ami "
Tököt érdekli, feature, működik.Azt nem tudom, miért csak felhővel megy. Még ha nem is lehet háló nélkül bejelentkezni, akkor is lehetnek olyan rések, amin be lehet jutni, ha meg nincs háló, akkor wipe-olni sem fogod. Aki hozzáfér a géphez fizikailag, az előbb-utóbb be tud törni rá. Aki otthon van, azt nem fogod tudni kontrollálni, ha kihúzza a hálókábelt. Felhőből sem.
-
"Továbbra is kliensekről beszélek nem szerverekről."
Linux ilyen szinten nem sokban külömbözik
"Az AD nem központosított management, hanem egy cseszett directory"
De management eszközöket is találsz benne (konkrétan jobb katt egy gépen, Manage, és tudod távolról zaklatni). Illetve a MS management cuccai nagyban épülnek az AD-re. (Meg hát, endpoint managementre ott a többi MS termék, amit meg szokás hozzá venni.) -
Privátban mondok ilyet, ha kell
De különben ssh, kulcsolva, és management szerver. Szépen lenyúlkál, és beírja a megfelelő dolgokat a pam-ba. Nem nehéz megcsinálni. Távoli wipe = shred, user kizárás meg sed, awk, akármi.
OK, szerverre, de nálunk ez szépen ment, a saját scriptjeinkkel is.Ja tényleg, az Ansible, Chef eszembe se jutott, mert azokkal is pont meg lehet csinálni.
-
Akkor meg megint minek AD? Amiket én mondtam, azok is pont arra jók, amiket felhoztál.
Meg a franc tudja, volt olyan, "elég nagy" IT cég (pár tízezresnél nagyobb), ahol dolgoztam, és nem volt AD. (Főleg hogy a kliensgépeken, és szervereken sem csak Windows volt.) Mégis átmentek auditon, saját megoldásak voltak. User kontroll is volt. -
Elég jó architectek vannak (amennyiben létezik ez a fogalom
![;]](//cdn.rios.hu/dl/s/v1.gif)
) , szóval ha csak ennyi lenne @Vicze1 : OpenLDAP? Az is domain.
BTW ez pár tízezer user, sok országban. Nehézipar, szóval kevés telephely, kevés user, de a cég attól még marha nagy.
Azt mondjuk nem tudom, hogy elég-e, ha van valamilyen automatikus (központosított) user management, ami nem domain, de arra van több megoldás is.@pzstm : +domain account a gépnek +user
-
Nemtom, hogyan tárgyalnak, de azt tudom, hogy van szándék költségfaragásra, szóval tuti megpróbálták. Persze, maga a Windows olcsó, de az AD account (gépnek / usernek) nem. Onnantól meg fújhatod a Windowst.
Meg nem hiszem, hogy csak nálunk tárgyalnának rosszul, bár az előző helyeken sem láttam ebbe bele, de ott sem szórták nyakló nélkül az asztali usereket.
Kezedenek is már rájönni, hogy ahol nem kell a domain user, oda jó ingyenes OS isHa soha nem volt incidensed, az nem jelenti, hogy az tutibiztonságos is
-
Okos ember nem teszi direktben, az tuti. AKkor sem, ha nem tudottan sebezhető.
Amikor megjelent full publicban az előző melóhelyeken (kettőnél is ment) a net felől elérhető OWA, akkor néztem, hogy az admin jelszavakat is kiírhatták volna (Mondjuk hasznos volt, az tuti, mert én is nézegettem rajta a levelezésem... )@Anulu : "nagy szervezetek a Win licenszeket fillérekért kapják"
Aztamocsok Akkor nálunk miért pár ezer EUR az ilyesmi? (Globális cég ez is.) Vagy én nem vagyok elég gazdag.@ysengrin : Azért ez elég beteg dolog, hogy ja, úgysem éri meg biztonságosabbnak lenni. Akárhogyan is.
) .
![;]](http://cdn.rios.hu/dl/s/v1.gif)
) , szóval ha csak ennyi lenne 
Új hozzászólás Aktív témák
Hirdetés
- Panasonic Lumix gx80 + sok tartozék
- iBasso SR3 fejhallgató eladó
- GL65 9SD 15.6" FHD IPS i7-9750H GTX 1660Ti 16GB 256GB NVMe + 1TB HDD gar
- ZBook Fury 16 G9 16" FHD+ IPS i7-12850HX RTX A2000 32GB 512GB NVMe magyar vbill ujjlolv IR kam gar
- AKCIÓ!!! GAMER PC: Új i5-14400F +RTX 4060/5060/4070/5070 +16-64GB DDR4! GAR/SZÁMLA! 50 FÉLE HÁZ!
- AKCIÓ! Dell Latitude 5440 14 FHD üzleti notebook - i5 1335U 8GB RAM 256GB SSD Intel Iris Xe
- Apple iPad (9th Generáció) Wi-fi + Cellular, 1 Év Garanciával
- Veszünk: PS5 Fat/Slim/Digital/Pro konzolt, játékokat, Portalt stb. Kérj ajánlatot!
- DELL Universal Dock D6000 docking station (452-BCYH) (DisplayLink)
- Bomba ár! HP EliteBook 830 G8 - i5-11GEN I 16GB I 512GB SSD I HDMI I 13,3" FHD I Cam I W11 I Gari!
Állásajánlatok
Cég: PCMENTOR SZERVIZ KFT.
Város: Budapest
Cég: Promenade Publishing House Kft.
Város: Budapest