Category: it

Category was added automatically. Read all entries about "it".

default

То, что вы НЕ хотите знать

про "Информационную безопасность".

1. Включаем компьютер.
2. Входим доменным пользователем, но с id rootа.
3. Подключаем сетевую карту.
4. Запускаем winbind
5. Получаем с контроллера домена свой id и id почтового ящика.
6. Идем на почтовый сервер и получаем почту.
7. Выключаем компьютер.
8. goto п1

Так выглядит типовой сеанс работы за компьютером с точки зрения современного "безопасника".
default

имею заметить

что советы в разных мурзилках задавать fqdn, realms, netbios и имена мелкомягких доменов в разных регистрах, чтобы они ТАКИМ способом получались разными - плохие, негодные советы.
Обезьяны от IT начитавшись тех мурзилок ТАКУЮ дичь творят, что потом столько не выпить, когда разгребать начинаешь.
default

О качестве кода

Говнокодом несомненно является любой код, автор которого, заглянувший в него после двухмесячного перерыва, все еще в состоянии понять, что этот код должен делать.

Тэг "сталкер" не ставлю, ибо не только про xray.
default

линуксовое-2, мысли вслух

Вообще, обоснование, что если разрешить пользователю что-то куда-то монтировать, то он будет иметь доступ ко всей системе - оно, мягко говоря, забавное.

su/sudo/suid - ему, конечно же, доступа не дает. А вот монтирование - того, что к системе вообще отношения не имеет - той же флэшки или сетевого ресурса - оно, видите ли, дает.
Точно также, для монтирования устройства надо, на секундочку, иметь доступ к этому устройству, нес па? И пользователь его если имеет, то и без монтирования. Причем именно тот, какой дали. Это во-первых. Во-вторых, при монтировании наследуются права, которые прописаны точке монтирования. В-третьих, на худой конец, имеются механизмы симлинков и nullfs, а саму точку монтирования можно вовсе не показывать. То есть, по любому доступ чрез примонтированный ресурс будет более ограничен, чем то, что вполне доступно тому, кто хочет именно доступа куда ему не надо, а не просто работать в тех рамках, которые дали.

Хотя, да, я понимаю: зачем придумывать что-то еще, в смысле, объяснения, имеющие хоть минимальное отношение к реальности, если и так сойдет...

Ну а для вящей пущести мы сюда прикрутим зачем-то еще ldap, кербероса и nss, и разрешим что-либо делать только через особоублюдочный кастрированный клон kde...
Хотя вот это вот все на раз обходится десятком способов даже не задумываясь, и проблема только в том, что это кому-то надо заходить снаружи каждый раз, или просто проковырять и оставить в навеки распахнутом виде еще одну мегадырень.
default

В целях информационной безопасности

Пока человечество переживает за Кука (не того, которого съели, а того, который 160 лет в строю, но и его, в общем-то, в итоге тоже съели), я о другим напишу.

Итак, в целях информационной безопасности (той самой, для которой запрещено использование файрволов и ната), а также законов о персоанальных данных, Сверху спускаются Формы Отчетов.
Вникая в эти самые формы, становится очевидно, что следует снести нафиг все эти ваши роли и права доступа, создать пяток групп, вписать в них кого попало, предоставить свободный доступ вообще всем к вообще всему, заполнить формы, сдать долбанный отчет, а дальше - как-нибудь.

Точнее, сначала - сдать отчет, а потом успеть до следующей Проверки привести все к состоянию, указанному в отчете. В целях информационной безопасности.
Но зато на всех целеронах-1700 должен стоять скомпилированный под x64 импортозамещенный сертифицированный линукс с мандатым доступом, минимум 6 дырами для всех желающих из инетов, и отсутствующими у локальных пользователей правами на доступ к локальным дискам и принтерам.

Вот примерно так оно все везде и делается, и с этим и живем.
default

"импортозаместительное"

Итак, опять "импортозамещенный" дебиан, суперсекретный VPN и puppet.
Как оно сделано, я уже рассказывал - 6 только очевидных дырок для заходи кто хочешь, делай что хочешь.
Про первые результаты со сбросом и запуском коллекции мальваря еще с участием винды - тоже рассказывал. Итак, сегодня - предсказанное и ожидаемое продолжение марлезонского балета...

Уставналиваем связь. Система встает колом, и долго-долго хрустит дисками, отрубив управление. Через час с лишним попустило, после чего удалось пробиться к консоли.
Итак, puppet куда-то сходил, после чего радостно ломанулся к куче левых сайтов типа приснопамятного балканского рассадника мальваря, прямо через весь из себя сертифицированный vpn, до двух третей из них даже достучался, чего-то оттуда накачал и начал ставить, накидав в логи кучу как бы ошибок и перекорежив все имеющиеся конфиги и базы.

Итого, система полностью в хлам, встает в позу раком при загрузке намертво.
Завтра, наверное, полная переустановка...
default

"неговнокод", продолжение эпопеи

Оказывается, в инете уже существуют автоматические проверяльщики на "неговнокодистость", в которые загружаешь рабочий нормально отформатированный файл, и получаешь назад "неговнокодный", с произвольно убранными/добавленными пробелами и cr, переставленными местами строками, напиханными символами изменения шрифта и еще какой-то невидимой хренью, которую невозможно удалить, и на которую компиляторы ругаются в стиле "line1 unexpexted symbol near 'я'"

(разумеется, никаких 'я' в рабочем коде не было).

зато - НЕГОВНОКОД.
default

Информационная безопасность и логика

Большинство атак на информационные системы идет изнутри либо с участием инсайдера. Это факт.

Следовательно, наибольшая опасность исходит от локального пользователя, и минимальная - снаружи.

Следовательно, надо лишить локального пользователя как можно большей части функционала, заставить все оставшиеся операции выполнять через танец с бубном, и добавить бэкдоров.

А чтобы этот самый локальный пользователь чего не сотворил - по умолчанию давать админские права всему, что выполняется снаружи, и лишить пользователя возможности эти админские права у выполняемого извне отобрать.

По-моему, действительно, логично. И, нет, это я даже не про винду.
default

Новости "информационной безопасности"

1. Ставим "импортозамещенный" линух.
2. Ставим вмварь.
3. Ставим вин7.
4. Вводим ее в домен, контроллер которого располагается где-то в публичных интернетах под управлением неизвестно кого.
5. Ставим крипточего-то там, и ВЕСЬ траффик через это крипто-чегото отправляем куда-то в публичный инет.
6. Ставим 10й виндоофис, получаем из публичного инета настройки для егойного аутглюка, и все документы с одного компа на другой, расположенный в этом же кабинете, гоняем строго через вот эту самую хрень.

Ну, разумеется, на каждом пункте платим "за продукт" и "за обслуживание" какому-то очередному ООО "рогi та копiтi", находящемуся, разумеется, в Одессе.