Category: политика

Category was added automatically. Read all entries about "политика".

main

SELinux и недоадмин

Всем привет!

У нас появился кейс, под который ( как мне кажется ) прекрасно подходит SELinux как таковой. К сожалению, раскурить его сразу я не смог, поэтому обращаюсь за помощью - куда смотреть, что читать и кому писать.

TL;DR;
Нужно как-то ограничить права админов на сервере, но не всех а только тех, у которых права даны через sudo.
Исходная OS - CentOS 7.

Collapse )

Спасибо за внимание!
brain
  • yxyc

Маршрутизация ip route

Господа, приветствую.
Есть машинка Linux gw 3.13.0-62-generic #102-Ubuntu, с которой поднят GRE-тоннель в точку Х через интерфейс mopp.
Есть на ней правило в iptables, которое маркирует пакеты для сети x.x.x.x
$IPT -t mangle -A PREROUTING -i $LOC_IFACE -d х.х.х.х/24 -j MARK --set-mark 33
а
также маршруты для таблицы 33, которые заворачивают в нее все пакеты с маркой 33
ip route add default via 192.168.11.253 dev mopp table 33
ip rule add fwmark 33 lookup 33
Пока маршрута "ip route add default via 192.168.11.253 dev mopp table 33" нету - пакет не заворачивается в GRE-mopp, тоесть маркировка срабатывает.

Что я вижу tcpdump'ом:
tcpdump -v -i any host x.x.x.x1 -n
192.168.11.21 > x.x.x.x1: ICMP echo request, id 1, seq 1556, length 40
11:44:46.638688 IP (tos 0x0, ttl 127, id 3668, offset 0, flags [none], proto ICMP (1), length 60)
192.168.11.21 > x.x.x.x1: ICMP echo request, id 1, seq 1556, length 40
11:44:46.665547 IP (tos 0x0, ttl 59, id 31328, offset 0, flags [none], proto ICMP (1), length 60)
x.x.x.x1 > 192.168.11.21: ICMP echo reply, id 1, seq 1556, length 40
и так по кругу...
Здесь пакет прилетает на внутренний интерфейс, с него на GRE-mopp, и ответ от получателя до GRE-mopp тоже долетает.
А вот только видать что дальше с этим пакетом делать, ядро не знает, тк до внутреннего интерфейса он уже не добирается.
Зато как только я добавляю ручками маршрут, то все работает.
ip r add x.x.x.x/24 dev mopp
Политику по-умолчанию ставил в ACCEPT, толку нет, при политке DROP и ручным маршрутом без таблицы 33 пакеты бегают, так что дело не в этом.
Масла в огонь подливает то, что есть пару тачек с ядрами 2.6 и 3.2 и такой-же конфой, на которых такой проблемы нет.
Что посоветуете?


UPD1: Если пишу правило, с привязкой не по маркам а по назначению
ip rule add to x.x.x.x/24 lookup 33
все тоже работает. может conntrack не узнает пакеты?
wtf
  • dadv

Министерство связи РФ против.

Минсвязи РФ выступает против политически мотивированных блокировок, а также ограничения универсального права человека на получение и распространение информации и идей через любые средства массовой информации и независимо от государственных границ, как указано в статье 19 Всеобщей декларации прав человека.

Российская Федерация призывает все заинтересованные стороны всех стран воздерживаться от любых попыток использовать практику блокировки в сети интернет, включая блокировку доменных имен.

  • dil

Безопасность телефонных станций

А нет ли у кого случайно документов, регламентирующих политику безопасности корпоративных телефонных станций?
Типа, там, чтоб операционная система была свежайшая, чтоб административный доступ разрешался только с конкретных прямых линий, пароль административный не был легко подбираемым, переадресация звонков разрешалась только на внутренние номера, и всё такое прочее..

Но не общие рекомендации, а конкретные документы, используемые в компании, в которых бы по пунктам было перечислено, что как должно быть настроено.

Настройки прокси через GPO "по машинам"

Слегка пятничный вопрос. Есть такая настройка в GPO: "Задать параметры прокси для компьютера (а не для пользователя). Там собственно настроек нет, там просто галка "Включать/Не включать". В связи с чем вопрос -- а где, собссно, вписывать тогда адрес и порт прокси-сервера?

А то вилы получаются. Домен один, а офисов несколько, в каждом свой прокси-сервер. А юзерская база везде одна и та же. В OU юзеров занести нельзя, чтобы каждому в зависимости от офиса проставить прокси. Вот компы занести можно было бы, но для этого надо как-то в политиках вкрутить настройки прокси по-компьютерно, а не по-юзерно. Это реально?
new

Всегда ждал пятницы, чтобы оторваться.

Соратники, мне тут внезапно понадобилось придумать решение по защите от DDoS и помощи при оптимизации пиринговой политики для мелкого оператора (2–4 бордера /juniper MX старшие/, менее 40 Гбит/с трафика). Беда в том, что на Arbor Peakflow SP (CP5500 + TMS) денег у них явно нету. Как нынче принято выкручиваться в подобных случаях?
Короче говоря, нужно что–то, что умеет чистить перенаправляя на себя при атаке трафик при помощи BGP, и нечто анализирующее sflow от бордеров и дающее раскладку по трафику по клиентам на аплинков.

Групповые политики и консультант+

Решив унизить пользователей закрыть вопрос типа "портабль на флешке", собираюсь ввести ограничение запуска программ.
Тестовый OU, отдельная политика, политика для компов (Computer Configuration).
Домен 2008, машины в основном XP.
Ворд- эксель - командные файлы для автозагрузки добавились по хешу без проблем.
Удаление lnk файлов из списка исполняемых программ сняло проблемы с "ярлыками для запуска".

Добрался для консультант + и познал непостижимое. .
Консультант + живет на отдельной шаре \\server\cons\, прицепленной в \\server2\DFS, а DFS  прицеплена как сетевой диск (Z).

Добавляю консультант + по хешу. Запуск невозможен.
Добавляю запуск по пути \\server\cons\cons.exe - запуск невозможен потому как не разрешен запуск vrчтототам.res
Добавляю хеш vrчтототам.res - \\server\cons\cons.exe начинает стартовать.

Добавляю z:\cons\cons.exe - не стартует.
Поиграл с большими и маленькими буквами, с добавлением через "обзор" - не стартует один икс.
После каждого добавления gpupdate /force естественно.

Куда копать ?
Думаю начать издалека, с Z:\ и z:\

UPD. решено с путями - \\server2\DFS\cons\cons.exe .
Но что там с хешем ?
гугль читал, пишут
http://forum.sysadmins.su/index.php?showtopic=40244946 - все ручками и через ХП, тогда может быть прокатит.
http://social.technet.microsoft.com/Forums/ru/ws2008r2ru/thread/6dac4bb5-0499-4919-a0c7-41aa52a810ea изучаю.
jarviconi
  • schors

Раскладывание/замена ssh-ключей

Пятничный вопрос в замену гражданину Роговскому.

Цель - добавлять, удалять, обновлять публичные ключи на десятках (сотнях?) ssh-аккаунтов. Желаемая фишка - по группам. Например, на user1@server1, user1@server2, user4@server10 - ключи A, B и С, на сервер user2@server1, user3@server2 - ключи D и E. Необязательная фишка - настраиваемый контроль опций публичного ключа в зависимости от сервера/ключа/пользователя.

Вопрос - есть ли готовое красивое, простое и прозрачное решение?

Что-то все мои велосипеды выглядят или как "вчера уволился одмин надо было на 100 аккаунтах доступ убрать хоть как-то" или "я портировал JDK под inferno" (не, гугль конечно так и сделал, но я как-то стесняюсь рядом стоять).

UPDATE: Предполагается, что не везде есть root, не все сервера под управлением. Просто много разных доступов в том числе и сервисных, для которых я хочу вести единую политику для своих скриптов/сотрудников.
  • kranov

логирование трафика в сторону интернета на squid-е

пользователи ходят в инет через squid и get запросы в нем логируются, но безопасники хотят чтобы и содержимое post-в записывалось в файлики, т.е. когда работник банка зашел на форум и запостил информацию о клиентах банка (написал гадость про навального) и т.п., необходимо залогировать это. Запись всего трафика tcpdump-м не устраивает, хочется именно готовых высокоуровневых post запросов, с информацией кто с какого адреса.
В какую сторону копать? icap ? Есть готовые решения или писать самому?


ps: ssl bump пока не будем трогать, им займемся позже. Круг пользователей имеющих такой доступ в инет заужен до минимума, но все-же они есть, с ними пока поделать ничего нельзя.
Что безопасники будут с файликам делать? Не знаю, похоже они написали что-то типа баеса и перерывают исходяющую почту и все остальное этим.