data security.

Remigiusz 'Enleth' Marcinkiewicz enleth w enleth.com
Pią, 10 Gru 2010, 12:13:22 CET 

On Thursday 09 December 2010 23:31:47 Paweł Sikora wrote:
> > Branżowa anegdota mówi, że najskuteczniejszy na to jest pistolet klejowy.
> 
> rozumiem, ze goldpiny na plycie do podpiecia paneli usb/firewire
> tez mam wylutowac, a obudowe zaspawac :)

Są śruby do obudowy ze zintegrowanym zamkiem, wystarczy tym zamknąć lewy panel 
obudowy - a jak masz pudła typu leżącego jak często bywa w biurowych stacjach 
roboczych większych producentów, da się nawet całą obudowę jedną taką śrubą. 
Śmiesznie tanie, raczej odporne na usuwanie czymkolwiek innym niż duże, 
porządne nożyce do drutu i nie do usunięcia bez zostawiania bardzo wyraźnych 
śladów na obudowie.

Inna sprawa, że terminale bezdyskowe to faktycznie dobra rzecz o ile wartość 
potencjalnie wykradzionych danych może być naprawdę duża, a użytkownicy 
wykonują prace niewymagające bezpośredniego dostępu do mocnego komputera z 
jakimś 3D itp..

Na jakimś mocnym pudle instalujesz normalny system jak na desktop, ale login 
managera konfigurujesz pod xrdp/Xvnc/co tam wygodniej i ew. użytkowników na 
jakimś LDAPie, na innym mocnym pudle możesz postawić Windowsa z serwerem 
terminalowym albo hypervisor maszyn wirtualnych z Windowsem i tak samo 
wystawiasz na zewnątrz zdalne logowanie, a na trzecim pudle, już nie takim 
dużym, stawiasz serwer DHCP dla klientów, TFTP żeby miały skąd sobie ładować 
kernele i NFS z rootfsem tylko do odczytu. Rzeczy które mają być do zapisu 
ustawiasz w rc.sysinit jako tmpfs nadmontowany unionfsem, konfigurujesz login 
managera do łączenia z serwerami zdalnego pulpitu... I w zasadzie powinno 
działać.

Na Politechnice Wrocławskiej tak ustawionych pracowni są dziesiątki i 
wprawdzie początkowy koszt serwera który to uciągnie jest wysoki, ale proste 
zarządzanie, serwisownaie stacji roboczych (wywalić, złożyć nową z części 
świeżo wyciągniętych z pudełek, podłączyć - nic konfigurować nie trzeba) i 
bezpieczeństwo to rekompensują. Z mocnym serwerem nawet większe pakiety 
inżynierskie na tym działają całkiem nieźle, przy dziesiątkach userów naraz. 

Jak jeszcze dodasz do tego czytniki SmartCard albo skorzystasz z gotowego 
sprzętu terminalowego z wbudowanymi czytnikami, odpada problem haseł (a 
pojawia się problem zgubionych kart, ale od tego jest portiernia, żeby 
sprawdzać, czy się gęba zgadza jak pracownik wchodzi)

Oczywiście, to wszystko w praktyce jest trochę skomplkowane i ma sens jak się 
akurat robi okresowy upgrade całego sprzętu i można sobie pozwolić na 
rewolucje bo i tak by jakieś były - no, ale pytasz o rozwiązania, a to jest 
jedno ze stosowanych. Może będzie inspiracją do czegoś prostszego i 
przydatnego na zaraz w twoim przypadku (urządzić tak tylko stażystów i 
szeregowych klepaczy którzy nie są dokładnie sprawdzani przez HR, itp...)

-- 
Remigiusz "Enleth" Marcinkiewicz, enleth w enleth.com
WWW http://enleth.com http://heroes.net.pl
JID enleth w jabster.pl
-------------- następna część ---------
Załącznik, który nie był tekstem został usunięty...
Name: nie znany
Type: application/pgp-signature
Size: 198 bytes
Desc: This is a digitally signed message part.
Url : /mailman/pipermail/pld-users-pl/attachments/20101210/8bfac08c/attachment.sig

Więcej informacji o liście dyskusyjnej pld-users-pl